一种基于工业控制网络的入侵检测模型的自动建立方法及装置制造方法及图纸

本申请公开了一种基于工业控制网络的入侵检测模型的自动建立方法，包括：判断第一入侵检测模型是否符合预设的检测要求，如果否，实时提取通信行为流量数据；根据所述通信行为流量数据设置训练数据集和测试数据集；根据所述训练数据集创建初始入侵检测模型；利用所述测试数据集对所述初始入侵检测模型进行测试，根据测试结果创建符合预设检测要求的第二入侵检测模型。该第二入侵检测模型的检测精度高，从而提高了异常行为的入侵检测率，降低了误报率和漏报率。

Method and device for automatically building intrusion detection model based on industrial control network

The invention discloses an intrusion detection model of industrial control network based on automatic establishment method, including: first determine the intrusion detection model is in accordance with the requirements, the default detection if not, real-time extraction of communication behavior of traffic data; according to the communication flow data set of training data set and test data set according to the training data; in creating the initial intrusion detection model; using the test data set on the initial intrusion detection model is tested, the test results meet the requirements of the second to create the preset detection model based on Intrusion detection. The detection accuracy of the second intrusion detection model is high, so as to improve the intrusion detection rate of abnormal behavior and reduce the false alarm rate and false alarm rate.

【技术实现步骤摘要】

本申请涉及一种基于工业控制网络的入侵检测模型的自动建立方法及装置，属于工业控制网络安全防护

技术介绍
工业控制系统(IndustrialControlSystems，以下简称ICS)是由计算机设备与工业过程控制部件组成的自动控制系统，其广泛运用于工业、能源、交通、石油化工等工业基础领域。由于ICS越来越多的与企业网和互联网相连，形成了一个开放式的网络环境，因此ICS的网络安全防护技术对于保障ICS的安全、可靠和稳定运行具有重要的意义。目前主要采用入侵检测技术保障ICS的网络安全。入侵检测是一种主动的安全防护技术，通过提取ICS中的通信流量数据特征，并对其分析，以检测出异常的行为操作，并在异常行为产生危害之前进行拦截、报警、系统恢复等操作。现有技术中，根据网络通信流量数据建立入侵检测模型，然后一直利用该入侵检测模型进行异常行为的入侵检测，而工业通信是实时的，通信行为的流量数据也是持续变化的，因此现有技术的入侵检测的误报率和漏报率较高。
技术实现思路
根据本申请的一个方面，提供了一种基于工业控制网络的入侵检测模型的自动建立方法，该方法得到的入侵检测模型的检测精度高，从而提高了异常行为的入侵检测率，降低了误报率和漏报率。一种基于工业控制网络的入侵检测模型的自动建立方法，包括：判断第一入侵检测模型是否符合预设的检测要求，如果否，实时提取通信行为流量数据；根据所述通信行为流量数据设置训练数据集和测试数据集；根据所述训练数据集创建初始入侵检测模型；利用所述测试数据集对所述初始入侵检测模型进行测试，根据测试结果创建符合预设检测要求的第二入侵检测模型。其中，所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。进一步的，所述实时提取通信行为流量数据之后，还包括：对实时提取的通信行为流量数据进行属性约简。所述对实时提取的通信行为流量数据进行属性约简，具体为：采用RST对实时提取的通信行为流量数据进行属性约简。根据本申请的一个方面，提供了一种基于工业控制网络的入侵检测模型的自动建立装置，所述装置包括：判断模块，提取模块，设置模块，第一创建模块，第二创建模块；所述判断模块，用于判断第一入侵检测模型是否符合预设的检测要求，如果否，触发所述提取模块；所述提取模块，用于在受到所述判断模块的触发后，实时提取通信行为流量数据；所述设置模块，用于根据所述提取模块提取的通信行为流量数据设置训练数据集和测试数据集；所述第一创建模块，用于根据所述设置模块设置的训练数据集创建初始入侵检测模型；所述第二创建模块，用于利用所述设置模块设置的测试数据集对所述第一创建模块创建的初始入侵检测模型进行测试，根据测试结果创建符合预设检测要求的第二入侵检测模型。所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。进一步地，还包括属性简约模块，用于对所述提取模块实时提取的通信行为流量数据进行属性约简；相应的，所述设置模块，用于根据所述属性简约模块简约后的通信行为流量数据设置训练数据集和测试数据集。具体地，所述属性简约模块采用RST对实时提取的通信流量数据特征进行属性约简。本申请能产生的有益效果包括：1)本申请通过判断第一入侵检测模型是否符合预设的检测条件，当其不符合预设的检测条件时，实时提取通信行为流量数据，根据实时提取的通信行为流量数据设置训练数据集和测试数据集，根据训练数据集创建初始入侵检测模型，然后利用测试数据集对初始入侵检测模型进行测试，根据测试结果创建符合预设检测要求的第二入侵检测模型，相对于采用固定的第一入侵检测模型进行入侵检测的现有技术来说，本专利技术实施例得到的第二入侵检测模型的检测精度高，从而提高了异常行为的入侵检测率，降低了误报率和漏报率；2)进一步地，本申请采用RST对实时提取的通信行为流量数据进行属性约简，降低了第二入侵检测模型的复杂度，进一步提高了第二入侵检测模型的检测精度，节约了检测时间。附图说明图1为一种基于工业控制网络的入侵检测模型的自动建立方法流程示意图；图2为一种基于工业控制网络的入侵检测模型的自动建立装置结构示意图。具体实施方式下面结合实施例详述本申请，但本申请并不局限于这些实施例。实施例1参见图1，本专利技术实施例提供了一种基于工业控制网络的入侵检测模型的自动建立方法，该方法包括：101、判断第一入侵检测模型是否符合预设的检测要求，如果否，执行步骤102；具体地，预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和漏报率阈值等参数中的一种或多种，可以根据实际情况来选取，本专利技术实施例对此不作具体限制。102、实时提取通信行为流量数据；本专利技术实施例中实时提取的通信行为流量数据可能是正常通信行为流量数据，也可能是包括异常攻击行为的通信行为流量数据。本专利技术实施例中异常行为包括非法连接、非授权访问、篡改或破坏数据等各种破坏行为。103、根据通信行为流量数据设置训练数据集和测试数据集；104、根据上述训练数据集创建初始入侵检测模型；105、利用测试数据集对上述初始入侵检测模型进行测试，根据测试结果创建符合预设检测要求的第二入侵检测模型。现有技术中，采用固定建立的第一入侵检测模型进行异常行为的入侵检测，由于工业通信是实时发生的，其通信行为流量数据也在持续变化，因此采用固定的第一入侵检测模型进行入侵检测，使得检测精度不高，无法满足工业通信的实时性要求。而本专利技术实施例中，首先判断第一入侵检测模型是否符合预设的检测要求，当第一入侵检测模型不符合预设的检测要求时，实时提取通信行为流量数据，然后根据这些通信行为流量数据重新创建初始入侵检测模型，对该初始入侵检测模型进行修正，得到符合预设检测要求的第二入侵检测模型，利用该第二入侵检测模型进行异常行为的入侵检测，大大提高了入侵检测率，降低了入侵检测误报率和漏报率。进一步地，在步骤102之后，还包括：对实时提取的通信行为流量数据进行属性约简。具体地，基于粗糙集理论(RoughSetsTheory，以下简称RST)对实时提取的通信流量数据特征进行属性约简。更具体地，采用基于RST的PawLak属性重要度的决策表对实时提取的通信流量数据特征进行属性约简。在入侵检测系统中，通信行为流量数据量巨大，属性众多，其中一部分属性对入侵检测结果作用不大，甚至一部分属性对入侵检测结果是无用的，这样会对异常行为的入侵检测结果产生误导，不仅降低了异常行为的入侵检测率，同时也影响了工业控制网络实时性通信的要求。RST适用于处理含糊性和不确定性的一种数学工具，主要用于从不完整的数据集中发现模式和规律，RST目前广泛应用于化工、医疗诊断、过程控制、商业经济等领域。本专利技术实施例将RST首次应用于本专利技术中，采用RST对实时提取的通信行为流量数据进行属性约简，将无用属性进行分离，使检测过程集中在关键数据属性上，大大降低了入侵检测模型的复杂度，提高了入侵检测模型的检测精度，节约了检测时间，但本专利技术实施例也不限于采用RST进行属性简约，能达到属性简约效果的遗传算法、动态简约等简约方式也可以。本专利技术实施例通过判断第一入侵检测模型是否符合预设的检测条件，当其不符合预设的检测条件时，实时提取通信行为流量数据，根据实时提取的通信行为流量数据设置训练数据集和测试数据集，根据训练数据本文档来自技高网...

【技术保护点】
一种基于工业控制网络的入侵检测模型的自动建立方法，其特征在于，包括：判断第一入侵检测模型是否符合预设的检测要求，如果否，实时提取通信行为流量数据；根据所述通信行为流量数据建立训练数据集和测试数据集；根据所述训练数据集创建初始入侵检测模型；利用所述测试数据集对所述初始入侵检测模型进行测试，根据测试结果创建符合预设检测要求的第二入侵检测模型。

【技术特征摘要】
1.一种基于工业控制网络的入侵检测模型的自动建立方法，其特征在于，包括：判断第一入侵检测模型是否符合预设的检测要求，如果否，实时提取通信行为流量数据；根据所述通信行为流量数据建立训练数据集和测试数据集；根据所述训练数据集创建初始入侵检测模型；利用所述测试数据集对所述初始入侵检测模型进行测试，根据测试结果创建符合预设检测要求的第二入侵检测模型。2.根据权利要求1所述的方法，其特征在于，所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。3.根据权利要求1或2所述的方法，其特征在于，所述实时提取通信行为流量数据之后，还包括：对实时提取的通信行为流量数据进行属性约简。4.根据权利要求3所述的方法，其特征在于，所述对实时提取的通信行为流量数据进行属性约简，具体为：采用RST对实时提取的通信行为流量数据进行属性约简。5.一种基于工业控制网络的入侵检测模型的自动建立装置，其特征在于，所述装置包括：判断模块，提取模块，设置模块，第一创建模块，第二创建模块；所述判断模块，用于判断第...

【专利技术属性】
技术研发人员：曾鹏，尚文利，赵剑明，万明，安攀峰，
申请(专利权)人：中国科学院沈阳自动化研究所，
类型：发明
国别省市：辽宁;21