一种基于PCA-CNN的工业控制系统异常检测方法技术方案

本申请涉及一种工业控制系统的入侵检测方法、装置、计算机设备和计算机可读存储介质，该方法包括：从工业控制系统的通信协议的网络数据集中，提取工业控制系统的原始数据集；从原始数据集中获取训练数据集和测试数据集；利用主成分分析法对训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；基于入侵检测模型对降维后的训练数据集进行训练，得到分类模型；将特征降维后的测试数据集输入上述分类模型进行分类处理，获取所述工业控制系统的入侵检测结果。该方案通过运用主成分分析法进行特征降维，实现了去除冗余信息，减少计算量，从而解决了传统技术工业控制系统入侵检测方法训练时间长的技术问题。

An anomaly detection method of industrial control system based on pca-cnn

【技术实现步骤摘要】
一种基于PCA-CNN的工业控制系统异常检测方法
本申请涉及工业控制
，特别是涉及一种工业控制系统的入侵检测方法、工业控制系统的入侵检测装置、计算机设备和计算机可读存储介质。
技术介绍
工业控制系统遍及电力、化工、石油等行业，并且随着信息化和工业化的相互融合，使得工业控制系统内部的通信网络逐渐的与互联网互联互通。这样使得工控系统原有的封闭性被打破，容易遭受到更多的攻击。入侵检测系统可以在外部攻击对系统造成危害之前检测出攻击，并发出警报。传统的IT网络中入侵检测技术已经比较成熟，但是工业控制系统对于安全的要求与传统IT系统不同。当前针对工业控制系统入侵检测的方法是通过实时采集ModbusTCP数据作为特征向量，通过支持向量机二分类模型得到检测结果，如果发现异常流量则进行报警，其优势在于可以检测出某些防火墙无法识别的异常流量。然而，传统技术工业控制系统入侵检测的方法，存在训练时间长的问题。
技术实现思路
基于此，有必要针对传统技术工业控制系统入侵检测的方法，存在训练时间长的技术问题，提供一种工业控制系统的入侵检测方法、工业控制系统的入侵检测装置、计算机设备和计算机可读存储介质。一种工业控制系统的入侵检测方法方法，包括步骤：从工业控制系统的通信协议的网络数据集中，提取所述工业控制系统的原始数据集；从所述原始数据集中获取训练数据集和测试数据集；利用主成分分析法对所述训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；基于入侵检测模型对所述降维后的训练数据集进行训练，得到分类模型；将所述特征降维后的测试数据集输入所述分类模型进行分类处理，获取所述工业控制系统的入侵检测结果。一种工业控制系统的入侵检测装置，包括：原始数据集提取模块，用于从工业控制系统的通信协议的网络数据集中，提取所述工业控制系统的原始数据集；原始数据集分类模块，用于从所述原始数据集中获取训练数据集和测试数据集；特征降维模块，用于利用主成分分析法对所述训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；模型训练模块，用于基于入侵检测模型对所述降维后的训练数据集进行训练，得到分类模型；数据分类模块，用于将所述特征降维后的测试数据集输入所述分类模型进行分类处理，获取所述工业控制系统的入侵检测结果。一种计算机设备，包括处理器和存储器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现如下步骤：从工业控制系统的通信协议的网络数据集中，提取工业控制系统的原始数据集；从原始数据集中获取训练数据集和测试数据集；利用主成分分析法对训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；基于入侵检测模型对降维后的训练数据集进行训练，得到分类模型；将特征降维后的测试数据集输入上述分类模型进行分类处理，获取工业控制系统的入侵检测结果。一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如下步骤：从工业控制系统的通信协议的网络数据集中，提取工业控制系统的原始数据集；从原始数据集中获取训练数据集和测试数据集；利用主成分分析法对训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；基于入侵检测模型对降维后的训练数据集进行训练，得到分类模型；将特征降维后的测试数据集输入上述分类模型进行分类处理，获取工业控制系统的入侵检测结果。上述工业控制系统的入侵检测方法、装置、计算机设备和存储介质，通过从工业控制系统的通信协议的网络数据集中，提取工业控制系统的原始数据集；从原始数据集中获取训练数据集和测试数据集；利用主成分分析法对训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；基于入侵检测模型对降维后的训练数据集进行训练，得到分类模型；将特征降维后的测试数据集输入上述分类模型进行分类处理，获取工业控制系统的入侵检测结果。该方案通过运用主成分分析法进行特征降维，实现了去除冗余信息，减少计算量，从而解决了传统技术工业控制系统入侵检测方法训练时间长的技术问题。附图说明图1为一个实施例中工业控制系统的入侵检测方法的流程示意图；图2为一个实施例中从工业控制系统的通信协议的网络数据集中，提取工业控制系统的原始数据集的方法的流程示意图；图3为一个实施例中利用主成分分析法对训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集的方法的流程示意图；图4为一个实施例中卷积神经网络架构图；图5为一个实施例中工业控制系统的入侵检测方法的流程示意图；图6为一个实施例中工业控制系统的入侵检测装置的结构框图；图7为一个实施例中计算机设备的内部结构图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。在一个实施例中，提供了一种工业控制系统的入侵检测方法，参考图1，图1为一个实施例中工业控制系统的入侵检测方法的流程示意图，该工业控制系统的入侵检测方法可以包括以下步骤：步骤S101，从工业控制系统的通信协议的网络数据集中，提取工业控制系统的原始数据集。其中工业控制系统的通信协议一般为Modbus协议。具体地，可以采集工业系统基于Modbus协议的网络数据集，从网络数据集中提取工业控制系统遭到入侵时可能受到影响的变量作为选取的特征，作为原始数据集。步骤S102，从原始数据集中获取训练数据集和测试数据集。其中，训练数据集用于输入入侵检测模型，从而得到分类模型，而测试数据集则用于输入上述分类模型进行分类，从而得到分类结果。具体地，在得到原始数据集之后，可以将上述原始数据集按一定比例分为训练数据集和测试数据集。例如：可以根据需要将原始数据集按4:1的比例，分为训练数据集和测试数据集。在将原始数据集分为训练数据集和测试数据集之后，还可以对训练数据集和测试数据集进行归一化处理，以保证特征向量中的各个数值处于同一数量级。步骤S103，利用主成分分析法对训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集。其中，主成分分析法是一种统计方法，可以通过将原来众多具有一定相关性的指标或变量，重新组合成一组新的互相无关的指标或变量。具体地，通过主成分分析，可以针对训练数据集和测试数据集特征数量多、可能存在相关性和冗余的问题，使得少数新特征来代替原有的特征，将原始数据中存在的多个具有相关性的变量的相关性消除，重新再组成一组个数较少且互不相关的变量，从而去除冗余信息，减少计算量，加快了训练时间。步骤S104，基于入侵检测模型对降维后的训练数据集进行训练，得到分类模型。...

【技术保护点】
1.一种工业控制系统的入侵检测方法，其特征在于，包括步骤：/n从工业控制系统的通信协议的网络数据集中，提取所述工业控制系统的原始数据集；/n从所述原始数据集中获取训练数据集和测试数据集；/n利用主成分分析法对所述训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；/n基于入侵检测模型对所述降维后的训练数据集进行训练，得到分类模型；/n将所述特征降维后的测试数据集输入所述分类模型进行分类处理，获取所述工业控制系统的入侵检测结果。/n

【技术特征摘要】
20190929 CN 20191093294831.一种工业控制系统的入侵检测方法，其特征在于，包括步骤：
从工业控制系统的通信协议的网络数据集中，提取所述工业控制系统的原始数据集；
从所述原始数据集中获取训练数据集和测试数据集；
利用主成分分析法对所述训练数据集和测试数据集进行特征降维，获取特征降维后的训练数据集和特征降维后的测试数据集；
基于入侵检测模型对所述降维后的训练数据集进行训练，得到分类模型；
将所述特征降维后的测试数据集输入所述分类模型进行分类处理，获取所述工业控制系统的入侵检测结果。


2.根据权利要求1所述的方法，其特征在于，所述从工业控制系统的通信协议的网络数据集中，提取所述工业控制系统的原始数据集，包括：
根据所述工业控制系统的通信流量对待处理数据进行分类处理，获取所述待处理数据的入侵类别；所述待处理数据为所述网络数据集中的数据；
获取所述网络数据集中的命令数据包和响应数据包；
根据所述命令数据包和响应数据包获取所述待处理数据的数据特征；
将所述数据特征和所述入侵类别设为所述原始数据集。


3.根据权利要求2所述的方法，其特征在于，所述数据特征包括：设备地址、内存起始位置、读写命令、响应的内存字节数、命令数据包和响应数据包的读写功能码、命令数据包和响应数据包的长度、命令数据包和响应数据包之间的时间间隔、循环冗余校验的错误率以及工业控制系统的特性或状态值。


4.根据权利要求2所述的方法，其特征在于，所述获取所述待处理数据的入侵类别之后，还包括：
对所述数据的入侵类别进行赋值处理。


5.根据权利要求1所述的方法，其特征在于，所述利用主成分分析法对所述训练数据集和测试数据集进行特征降维，包括：
对所述训练数据集中的元素进行标...

【专利技术属性】
技术研发人员：林晔篁，刘海洋，钟雪辉，刘蕾蕾，彭纬伟，杜伟，陈云云，陈旭腾，崔钰，王思杰，陈晓锋，
申请(专利权)人：惠州蓄能发电有限公司，
类型：发明
国别省市：广东;44