本发明专利技术提供了一种工控网络入侵检测的多级自适应耦合方法,涉及工业控制网络安全技术领域,包括以下步骤,基于白名单技术过滤数据包中与规则库不匹配的通信行为;基于深度学习方法进行离线训练、构建分类器,实现异常通信行为的在线实时检测;本方法适用于处理海量高维的入侵检测数据;能够较好的解决样本非平衡分类问题;对于未知类型攻击具有相当的应对能力,增强检测模型泛化能力,有效降低漏报率,尤其明显提升了系统对分布稀疏的少数类入侵攻击的检测能力;采用自适应耦合方法离线构建分类器,弥补了单一检测方法的不足和盲目性。
A multi-level adaptive coupling method for industrial control network intrusion detection
【技术实现步骤摘要】
一种工控网络入侵检测的多级自适应耦合方法
本专利技术涉及工业控制网络安全
,尤其是涉及一种工控网络入侵检测的多级自适应耦合方法。
技术介绍
工业控制系统(IndustrialControlSystem,ICS),是用于监控工业生产过程、收集关键生产数据的一类控制与采集系统,它被广泛应用于自动控制中。特别的,工业控制网络在先进制造以及工业通信领域具有关键性作用,它能够允许用户对工业生产进行远程监控,并且为分散的工业生产控制以及监控设施提供远程访问和控制。目前,中国大部分关键基础设施(涉及电力、石化、制造等)均通过工业控制系统和工业控制网络进行生产过程监控。可以说,工业控制系统的安全性对工业生产具有重大意义。传统意义上,工业控制系统及其组态网络对外界隔离,不受传统IT网络漏洞和病毒的影响。随着信息化技术的提升,ICS也产生了连接IT网络、进行数据交互的需求。但是传统工业控制网络缺乏类似IT网络中成熟的网络安全技术,对于网络的恶意行为无法实施有效的防护。另外,工业控制网络与控制生产的关键设备相连,一旦遭受攻击,产生的危害将会十分严重,不仅仅破坏工业生产过程,甚至会危及人员的生命安全。入侵检测系统(IntrusionDetectionSystem,IDS)是针对于计算机的监视系统,是在防火墙之后又一道网络安全保护屏障。传统的入侵检测系统是基于误用检测的模式匹配检测系统,通过广泛收集入侵或攻击信息同规则模式数据库中已知的信息进行对比,匹配成功则给予预警反馈,显然该种方式缺乏对新型攻击的抵御能力。近年来,基于混合模式的检测深受研究领域的关注,该类检测不仅对现有系统的攻击类型进行分析,又能够观察可疑的新型入侵或攻击数据,具有积极的主动学习能力,被业界称为“启发式检测”。平衡数据集指待统计分析的数据中,不同类别数据分布比例近似相同。若不同类别间数据量差别太大,某些少数类样本数量稀少,该类数据集被称为非平衡数据集。针对入侵检测系统,某些特定攻击或入侵出现频率很低,是检测过程中的少数行为,直接在此类数据集上训练学习算法,少数重要攻击类型数据不足,将直接导致入侵检测系统的漏检率升高,严重威胁系统安全,显然此种方式并不可取。在实际的检测过程中,代表少数类的入侵数据携带更多的信息点,同时更具分析研究价值。当前,针对非平衡数据分类的解决办法分为两类:基于算法层面的方法、基于数据层面的方法。1)算法层面的解决方法:通过改进算法的训练过程或选用多种集成训练方法,主要包括集成学习方法、代价敏感学习方法。2)基于数据层面的方法:通过采样方法平衡数据样本分布,具体方式包括过采样和欠采样。在实现方式上,采样算法可分为随机过(欠)采样和启发式过(欠)采样。作为研究热点,入侵检测研究领域学者提出了多种基于深度学习的检测模型,现有入侵检测模型存在的问题:海量高维数据环境下检测效果差,模型自适应能力差,数据不平衡问题。目前,基于深度学习的工控网络入侵检测研究处于起步阶段,深度学习通过其深层结构对数据特征充分学习,在分析海量高维数据时表现优秀,适宜处理稠密复杂的入侵检测数据集,将深度学习应用到工业控制系统网络入侵检测中,在实践场景中有较高探索价值和实用价值。
技术实现思路
本专利技术的目的在于提供一种工控网络入侵检测的多级自适应耦合方法,以解决现有技术中海量高维数据环境下检测效果差,模型自适应能力差,数据不平衡问题的不足,适用于处理海量高维的入侵检测数据,能够较好的解决样本非平衡分类问题,对于未知类型攻击具有相当的应对能力,有效降低漏报率,尤其明显提升了系统对分布稀疏的少数类入侵攻击的检测能力;本专利技术提供的诸多技术方案中的优选技术方案所能产生的诸多技术效果详见下文阐述。为实现上述目的,本专利技术提供了以下技术方案:本专利技术提供的一种工控网络入侵检测的多级自适应耦合方法,包括以下步骤,步骤1:基于白名单技术过滤数据包中与规则库不匹配的通信行为;步骤2:基于深度学习方法进行离线训练、构建分类器,实现异常通信行为的在线实时检测。进一步,步骤1中,白名单技术过滤将提取的数据包特征信息与白名单规则库进行匹配,如果匹配成功视为安全信息则放行;否则进行异常提醒。进一步,步骤2包括以下步骤,步骤2.1:针对步骤1得到的数据信息进行数据预处理;步骤2.2:神经网络模型及SDA,改进堆叠式降噪自编码器特征降维;步骤2.3:基于深度学习的分类器构建;步骤2.4:在线实时检测。进一步,步骤2.1中,数据预处理首先进行数据集的高维映射,然后将数据标签进行one-hot编码;再将高维映射后的数据集进行归一化处理;最后依据已处理的数据集实际工业现场特性和协议特点判定是否进行ADASYN自适应综合过采样算法处理。进一步,步骤2.2中,首先使用Dropout正则化与Adam优化算法对神经网络进行改进,针对其隐层层数、节点数进行设计;然后进行神经网络模型的预训练、权值微调;最后用堆叠式降噪自编码器对预处理数据集进行集成式特征提取。进一步,步骤2.3中,将降维处理后的数据作为AMPSO-SVM-K-means++算法和GSA-AFSA-ELM两种算法的学习样本,依据网络通信数据的特征不同,采用自适应耦合方法训练样本数据,建立入侵检测模型;自适应耦合处理以样本数据中各个类别属性在该数据集中所占的百分比为判断依据;其中,AMPSO-SVM-K-means++算法用于小样本数据集,GSA-AFSA-ELM算法用于大样本数据集。进一步,步骤2.3包括以下步骤,步骤2.3.1:构建AMPSO-SVM-K-means++算法模型;步骤2.3.2:构建GSA-AFSA-ELM神经网络模型;步骤2.3.3:依据训练样本数据中各个类别属性在该数据集中所占的百分比,判别执行方法。进一步,步骤2.3.1实现的具体过程为,首先初始化粒子群算法的参数,其次设定优化核函数和惩罚参数,进行SVM模型训练,然后判断是否达到最大迭代次数或目标精度,若未达到,则计算适应度值,设置变异因子和变异操作,重新设定优化核函数和惩罚参数,重复SVM模型训练,循环上述步骤,直到达到最大迭代次数或目标精度;若达到,则依次经过优化的SVM算法和K-means++算法,最后输出网络通信数据的预测值。进一步,步骤2.3.2实现的具体过程为,首先初始化鱼群算法的参数以及公告板,依次进行改进的聚群行为、追尾行为、改进的觅食行为然后更新公告板,再判断是否达到最大迭代次数或目标精度,若未达到,则重复进行改进的聚群行为、追尾行为、改进的觅食行为以及更新公告板,直到达到最大迭代次数或目标精度;若达到,则将公告板上的权值和阈值带入ELM中训练,最后输出网络通信数据的预测值。进一步,步骤2.3.3实现的具体过程为,经过步骤2.1及步骤2.2处理后的样本数据,依据各个类别属性在该数据集中所占的百分比,判别执行AMPSO-SVM-K-means++算法还本文档来自技高网...
【技术保护点】
1.一种工控网络入侵检测的多级自适应耦合方法,其特征在于,包括以下步骤,/n步骤1:基于白名单技术过滤数据包中与规则库不匹配的通信行为;/n步骤2:基于深度学习方法进行离线训练、构建分类器,实现异常通信行为的在线实时检测。/n
【技术特征摘要】
1.一种工控网络入侵检测的多级自适应耦合方法,其特征在于,包括以下步骤,
步骤1:基于白名单技术过滤数据包中与规则库不匹配的通信行为;
步骤2:基于深度学习方法进行离线训练、构建分类器,实现异常通信行为的在线实时检测。
2.根据权利要求1所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤1中,白名单技术过滤将提取的数据包特征信息与白名单规则库进行匹配,如果匹配成功视为安全信息则放行;否则进行异常提醒。
3.根据权利要求1所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2包括以下步骤,
步骤2.1:针对步骤1得到的数据信息进行数据预处理;
步骤2.2:神经网络模型及SDA,改进堆叠式降噪自编码器特征降维;
步骤2.3:基于深度学习的分类器构建;
步骤2.4:在线实时检测。
4.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.1中,数据预处理首先进行数据集的高维映射,然后将数据标签进行one-hot编码;再将高维映射后的数据集进行归一化处理;最后依据已处理的数据集实际工业现场特性和协议特点判定是否进行ADASYN自适应综合过采样算法处理。
5.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.2中,首先使用Dropout正则化与Adam优化算法对神经网络进行改进,针对其隐层层数、节点数进行设计;然后进行神经网络模型的预训练、权值微调;最后用堆叠式降噪自编码器对预处理数据集进行集成式特征提取。
6.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.3中,将降维处理后的数据作为AMPSO-SVM-K-means++算法和GSA-AFSA-ELM两种算法的学习样本,依据网络通信数据的特征不同,采用自适应耦合方法训练样本数据,建立入侵检测模型;自适应耦合处理以样本数据中各个类别属性在该数据集中所占的百分比为判断依据;其中,AMPSO-SVM-K-means++算法用于小样本数据集,GSA-AFSA-ELM算法用于大样本数据集。
7.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在于,所述步骤2.4中,离线训练得到的分类器模型作为在线检测过滤器,实现网络通信实时数据的在线异常检测,同时依据检测结果更新白名单规则库,实现人工手动增删和自动批量更新白名单规则库。
8.根据权利要求6所述的一种工控网络入侵检测的多级自适应耦合方法,其特征在...
【专利技术属性】
技术研发人员:陈万志,刘天骄,唐雨,徐东升,李东哲,
申请(专利权)人:辽宁工程技术大学,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。