【技术实现步骤摘要】
一种工控网络入侵检测的多级自适应耦合方法
本专利技术涉及工业控制网络安全
,尤其是涉及一种工控网络入侵检测的多级自适应耦合方法。
技术介绍
工业控制系统(IndustrialControlSystem,ICS),是用于监控工业生产过程、收集关键生产数据的一类控制与采集系统,它被广泛应用于自动控制中。特别的,工业控制网络在先进制造以及工业通信领域具有关键性作用,它能够允许用户对工业生产进行远程监控,并且为分散的工业生产控制以及监控设施提供远程访问和控制。目前,中国大部分关键基础设施(涉及电力、石化、制造等)均通过工业控制系统和工业控制网络进行生产过程监控。可以说,工业控制系统的安全性对工业生产具有重大意义。传统意义上,工业控制系统及其组态网络对外界隔离,不受传统IT网络漏洞和病毒的影响。随着信息化技术的提升,ICS也产生了连接IT网络、进行数据交互的需求。但是传统工业控制网络缺乏类似IT网络中成熟的网络安全技术,对于网络的恶意行为无法实施有效的防护。另外,工业控制网络与控制生产的关键设备相连,一旦遭受攻击,产生的...
【技术保护点】
1.一种工控网络入侵检测的多级自适应耦合方法,其特征在于,包括以下步骤,/n步骤1:基于白名单技术过滤数据包中与规则库不匹配的通信行为;/n步骤2:基于深度学习方法进行离线训练、构建分类器,实现异常通信行为的在线实时检测。/n
【技术特征摘要】
1.一种工控网络入侵检测的多级自适应耦合方法,其特征在于,包括以下步骤,
步骤1:基于白名单技术过滤数据包中与规则库不匹配的通信行为;
步骤2:基于深度学习方法进行离线训练、构建分类器,实现异常通信行为的在线实时检测。
2.根据权利要求1所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤1中,白名单技术过滤将提取的数据包特征信息与白名单规则库进行匹配,如果匹配成功视为安全信息则放行;否则进行异常提醒。
3.根据权利要求1所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2包括以下步骤,
步骤2.1:针对步骤1得到的数据信息进行数据预处理;
步骤2.2:神经网络模型及SDA,改进堆叠式降噪自编码器特征降维;
步骤2.3:基于深度学习的分类器构建;
步骤2.4:在线实时检测。
4.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.1中,数据预处理首先进行数据集的高维映射,然后将数据标签进行one-hot编码;再将高维映射后的数据集进行归一化处理;最后依据已处理的数据集实际工业现场特性和协议特点判定是否进行ADASYN自适应综合过采样算法处理。
5.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.2中,首先使用Dropout正则化与Adam优化算法对神经网络进行改进,针对其隐层层数、节点数进行设计;然后进行神经网络模型的预训练、权值微调;最后用堆叠式降噪自编码器对预处理数据集进行集成式特征提取。
6.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.3中,将降维处理后的数据作为AMPSO-SVM-K-means++算法和GSA-AFSA-ELM两种算法的学习样本,依据网络通信数据的特征不同,采用自适应耦合方法训练样本数据,建立入侵检测模型;自适应耦合处理以样本数据中各个类别属性在该数据集中所占的百分比为判断依据;其中,AMPSO-SVM-K-means++算法用于小样本数据集,GSA-AFSA-ELM算法用于大样本数据集。
7.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.4中,离线训练得到的分类器模型作为在线检测过滤器,实现网络通信实时数据的在线异常检测,同时依据检测结果更新白名单规则库,实现人工手动增删和自动批量更新白名单规则库。
8.根据权利要求6所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在...
【专利技术属性】
技术研发人员:陈万志,刘天骄,唐雨,徐东升,李东哲,
申请(专利权)人:辽宁工程技术大学,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。