一种工控网络入侵检测方法及系统技术方案

本发明专利技术提供了一种工控网络入侵检测方法及系统，该方法包括：获取当前时刻工控网络中各节点的网络数据，将当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；根据当前时刻检测结果对当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；根据更新数据对网络入侵检测模型中的参数进行调整，更新网络入侵检测模型。通过本发明专利技术的上述方法以实现对工控网络的在线入侵检测，同时提高了检测的实时性和准确性。

An industrial control network intrusion detection method and system

【技术实现步骤摘要】
一种工控网络入侵检测方法及系统
本专利技术涉及网络安全入侵检测
，特别是涉及一种工控网络入侵检测方法及系统。
技术介绍
工业控制系统是应用于工业生产领域的自动控制系统的统称，它的组成庞大复杂，包括由各类硬件控制器组成的硬件控制系统，由上位机等组成的软件控制系统，软硬件之间的通信协议等等。而使工业控制系统各组成部分之间相互连接通信的网络也就是所谓的工控系统网络。随着互联网技术的不断发展，原本相对传统网络而言较为封闭安全的工控网络遭受到更多的安全威胁。由于工业控制系统被广泛应用于大型交通、煤炭、冶金、电力等关系到国计民生的重要领域，因此，对工控网络安全的研究迫在眉睫，维护工控系统网络的安全具有重要的意义。传统的工控网络安全防护手段包括防火墙和入侵检测系统等。防火墙是设置在外网和本地网络之间的防御系统，通过检测和限制流通于防火墙的数据流，达到防止外部入侵、保护工控系统网络安全的目的。这是一种被动的防御方法。现在更多的是采用主动的防御方法，即建立入侵检测系统。入侵检测系统是从网络中即时获取各节点流量信息等网络信息，基于一定方法对信息进行分析和判断，主动对入侵行为做出反应的网络安全防御系统，是一种主动积极的防御方法。对传统网络的入侵检测的研究已经十分广泛，相对于普通的网络入侵检测系统而言，目前的工控网络入侵检测存实时性差、准确率低的问题。因此，亟待一种实时性和准确性较高的工控网络入侵检测方法，以实现对工控网络的在线入侵检测。
技术实现思路
基于此，有必要提供一种工控网络入侵检测方法及系统，以实现对工控网络的在线入侵检测，提高检测的实时性和准确性。为实现上述目的，本专利技术提供了如下方案：一种工控网络入侵检测方法，所述入侵检测方法包括：获取当前时刻工控网络中各节点的网络数据；将所述当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，其中，所述网络入侵检测模型的输入为所述当前时刻工控网络中各节点的网络数据；所述网络入侵检测模型的输出为检测结果；所述网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；；根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测；所述网络入侵检测模型的建立方法具体包括：获取工控网络中各节点的网络数据，作为训练网络数据；对所述训练网络数据进行编码和标准化，得到标准训练网络数据；采用主成分分析法PCA对所述标准训练网络数据进行降维，得到降维训练网络数据；采用BA算法对ELM分类器的参数进行优化，根据所述降维训练网络数据对优化后的ELM分类器进行训练，所述离线BA-ELM分类器即为网络入侵检测模型。可选的，所述根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据，具体包括：根据所述检测后网络数据中检测结果的不同，将所述检测后网络数据存入相应的缓存区，以实现数据的标定。可选的，所述对所述训练网络数据进行编码和标准化，得到标准训练网络数据，具体包括：采用one-hot编码方法将所述训练网络数据中的非数值部分转化成数值形式，得到全数值训练网络数据；采用Z-score标准化方法对所述全数值训练网络数据进行标准化，得到标准训练网络数据。可选的，所述采用BA算法对ELM分类器的参数进行优化，根据所述降维训练网络数据对优化后的ELM分类器进行训练，具体包括：采用所述BA算法对ELM分类器的输入层权值和隐含层阈值进行优化；根据所述降维训练网络数据对ELM分类器进行训练，得到ELM分类器的输出层阈值。可选的，所述训练网络数据中包括给定的状态标签。一种工控网络入侵检测系统，所述入侵检测系统包括：数据获取模块，用于获取当前时刻工控网络中各节点的网络数据；入侵检测模块，用于将所述当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，其中，所述网络入侵检测模型的输入为所述当前时刻工控网络中各节点的网络数据；所述网络入侵检测模型的输出为检测结果；所述网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；更新数据获取模块，用于根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；网络入侵检测模型更新模块，用于根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测；所述网络入侵检测模型的建立方法具体包括：训练网络数据获取模块，用于获取工控网络中各节点的网络数据，作为训练网络数据；标准训练网络数据获取模块，用于对所述训练网络数据进行编码和标准化，得到标准训练网络数据；降维训练网络数据获取模块，用于采用主成分分析法PCA对所述标准训练网络数据进行降维，得到降维训练网络数据；网络入侵检测模型确定模块，用于采用BA算法对ELM分类器的参数进行优化，根据所述降维训练网络数据对优化后的ELM分类器进行训练，所述离线BA-ELM分类器即为网络入侵检测模型。可选的，所述更新数据获取模块，具体包括：数据标定单元，用于根据所述检测后网络数据中检测结果的不同，将所述检测后网络数据存入相应的缓存区，以实现数据的标定。可选的，所述标准训练网络数据获取模块，具体包括：全数值训练网络数据获取单元，用于采用one-hot编码方法将所述训练网络数据中的非数值部分转化成数值形式，得到全数值训练网络数据；标准训练网络数据获取单元，用于采用Z-score标准化方法对所述全数值训练网络数据进行标准化，得到标准训练网络数据。可选的，所述网络入侵检测模型确定模块，具体包括：输入层权值和隐含层阈值优化单元，用于采用所述BA算法对ELM分类器的输入层权值和隐含层阈值进行优化；输出层阈值确定单元，用于根据所述降维训练网络数据对ELM分类器进行训练，得到ELM分类器的输出层阈值。可选的，所述训练网络数据中包括给定的状态标签。根据本专利技术提供的具体实施例，本专利技术公开了以下技术效果：本专利技术中通过PCA对网络数据的降维处理可用于解决工控网络节点数据的高维特性和数据强相关特性，BA算法的优化可以提高ELM分类器的性能，使其具有更高的准确度和精度，网络入侵检测模型利用在线数据对其进行不断更新训练，提升了网络入侵检测模型的泛化性能，通过本专利技术的上述方法以实现对工控网络的在线入侵检测，同时提高了检测的实时性和准确性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的本文档来自技高网...

【技术保护点】
1.一种工控网络入侵检测方法，其特征在于，所述入侵检测方法包括：/n获取当前时刻工控网络中各节点的网络数据；/n将所述当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，其中，所述网络入侵检测模型的输入为所述当前时刻工控网络中各节点的网络数据；所述网络入侵检测模型的输出为检测结果；所述网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；/n根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；/n根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测；/n所述网络入侵检测模型的建立方法具体包括：/n获取工控网络中各节点的网络数据，作为训练网络数据；/n对所述训练网络数据进行编码和标准化，得到标准训练网络数据；/n采用主成分分析法PCA对所述标准训练网络数据进行降维，得到降维训练网络数据；/n采用BA算法对ELM分类器的参数进行优化，根据所述降维训练网络数据对优化后的ELM分类器进行训练，得到离线BA-ELM分类器，所述离线BA-ELM分类器即为网络入侵检测模型。/n...

【技术特征摘要】
1.一种工控网络入侵检测方法，其特征在于，所述入侵检测方法包括：
获取当前时刻工控网络中各节点的网络数据；
将所述当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，其中，所述网络入侵检测模型的输入为所述当前时刻工控网络中各节点的网络数据；所述网络入侵检测模型的输出为检测结果；所述网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；
根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；
根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测；
所述网络入侵检测模型的建立方法具体包括：
获取工控网络中各节点的网络数据，作为训练网络数据；
对所述训练网络数据进行编码和标准化，得到标准训练网络数据；
采用主成分分析法PCA对所述标准训练网络数据进行降维，得到降维训练网络数据；
采用BA算法对ELM分类器的参数进行优化，根据所述降维训练网络数据对优化后的ELM分类器进行训练，得到离线BA-ELM分类器，所述离线BA-ELM分类器即为网络入侵检测模型。


2.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据，具体包括：
根据所述检测后网络数据中检测结果的不同，将所述检测后网络数据存入相应的缓存区，以实现数据的标定。


3.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述对所述训练网络数据进行编码和标准化，得到标准训练网络数据，具体包括：
采用one-hot编码方法将所述训练网络数据中的非数值部分转化成数值形式，得到全数值训练网络数据；
采用Z-score标准化方法对所述全数值训练网络数据进行标准化，得到标准训练网络数据。


4.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述采用BA算法对ELM分类器的参数进行优化，根据所述降维训练网络数据对优化后的ELM分类器进行训练，具体包括：
采用所述BA算法对ELM分类器的输入层权值和隐含层阈值进行优化；
根据所述降维训练网络数据对ELM分类器进行训练，得到ELM分类器的输出层阈值。


5.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述训练网络数据中包括给定的状态标签。


6.一种工控网络入侵检测系统，其特征在于，所述入侵检测系统包...

【专利技术属性】
技术研发人员：柴森春，张晨，庞中华，张百海，崔灵果，姚分喜，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京;11