基于边缘智能的工控网络误用入侵检测预警系统技术方案

本发明专利技术公开了一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，由网络数据获取设备、边缘智能计算设备、中央服务器、网络监控终端显示器、入侵警报器组成。网络连接数据由网络数据获取设备收集并传送至边缘智能计算设备。边缘智能计算设备包括数据预处理模块、边缘智能计算模块，用以进行工控网络误用入侵检测，并将检测结果发送至中央服务器、网络监控终端显示器和入侵警报器，进行显示、报警。本发明专利技术提供一种检测精度高、误报率低、快捷的利用边缘智能的轻量级工控网络误用入侵检测预警系统。检测预警系统。

【技术实现步骤摘要】
基于边缘智能的工控网络误用入侵检测预警系统


[0001]本专利技术涉及一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，属于工控安全入侵检测


技术介绍

[0002]传统的工业控制系统相对独立，并且往往与外部的互联网相分离。但是，如今的工业控制系统，朝着信息化、网络化的大趋势发展。外网的加入打破了原先的封闭性，这是一把双刃剑，一方面可以加速工控网络的发展，另一方面工控网络将面临着一系列的网络安全问题，导致近几年工控安全事件频发，例如，2015年发生在乌克兰电力厂控制网络遭受攻击的事件等。如何在互联网+的环境下有效地应对网络攻击成为工控安全急迫需要解决的问题。
[0003]传统工控网络安全使用防火墙技术，然而防火墙是一种被动防御技术，高级的网络攻击可以针对防火墙的漏洞，绕过防火墙进行攻击，并且防火墙设置在外网和内网之间，目的是拦截外部攻击，但对于内网的攻击不会做出回应。入侵检测技术是通过进行安全监控和异常警报的方式来保障系统安全，它主动检测网络中的存在的攻击，因此对于内网攻击也同样有效，从而弥补了防火墙的不足，能够为工控网络系统提供第二道安全防线。目前，工业控制系统入侵检测方法，已经有基于模式匹配、基于时域、频域分析以及基于设备指纹等手段，但仍然存在着检测精度不高、误报率不低的问题。特别是控制现场往往离中央服务器距离较远，容易导致处理数据上的时延，并且在数据传输的过程中，也存在较高的数据泄露风险。

技术实现思路

[0004]为了克服目前已有的工控网络入侵检测过程的检测误报率高、速度慢、难以充分利用本地计算资源的不足，本专利技术的目的在于提供一种检测精度高、误报率低、响应速度快能利用边缘计算资源的工控网络入侵检测方法，旨在提供一种有效的基于边缘智能工控网络误用入侵检测预警系统。
[0005]本专利技术解决其技术问题所采用的技术方案是：一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，包括以下步骤：
[0006]1)获取网络请求数据，以2秒为采样间隔记录流量特征；
[0007]1.1)一时间段内的网络请求数据发送至最近的边缘智能计算设备；
[0008]1.2)在边缘智能计算设备中完成步骤2
‑
3)；
[0009]2)检测网络入侵并判断该时间段内入侵类别，分别为拒绝服务攻击，未经授权的远程机器访问，未经授权访问本地超级用户权限，监视和其他探测，并将正常状态也设置为一类，共有五类；
[0010]3)显示网络状况，若检测到入侵行为，输出入侵类别信息，若没有则显示网络状态安全。该预警系统的数据传输过程：边缘智能计算设备将入侵警报信息发送至中央服务器，
中央服务器将接收到的入侵警报信息发送至警报显示器，同时在网络监控终端发出类别消息框提示。进一步地，预警系统所述过程包括：将引起警报信息的网络请求数据进行存储，定期更新边缘智能计算模块。
[0011]该警报系统由边缘智能计算设备，中央服务器，终端显示设备，入侵警报器组成。
[0012]边缘智能计算设备中的边缘智能计算模块，用以进行工控网络误用入侵检测，采用如下过程完成：
[0013]数据预处理模块，采用以下步骤来实现数据预处理：
[0014]1)符号编码：部分特征包含字符信息，这里利用独热编码机制进行编码。
[0015]例如属性协议类型protocol_type，可能的协议类型有tcp，udp，icmp，采用独热编码机制，即tcp用[1,0,0]表示，udp用[0,1,0]表示，icmp用[0,0,1]表示。其他符号属性还包括，服务类型service_type和标志类型flag_typey，均使用该编码机制进行编码处理，将原先41个特征扩展为122个特征。
[0016]2)标准化处理：
[0017][0018]其中，mean表示各变量的算术平均值，std表示各变量的标准差，表示输入变量的值，下标i表示第i次检测、j分别表示第j维变量，x
ij
表示标准化后的输入变量，S表示模型输入变量；
[0019]3)数据二维化处理：
[0020]为了便于后续的处理，将输入的流量信息通过删去第122个特征后，将数据转换为大小11
×
11的二维形式x0。
[0021]边缘智能计算模块，采用以下步骤来实现入侵检测：
[0022]1)建立基础学习机f1模型。为3
×
3的权值矩阵算子，其中，l表示层数，m表示通道数，i＝1,2,3，j＝1,2,3表示算子在第i行，第j列的元素值。针对二维输入数据，利用算子进行如下操作：
[0023]1.1)输入预处理后的数据x0进行算子相乘操作。选择输入数据中相邻的与算子相同大小的区域，按照步长s＝1的滑动窗口的方式进行相乘操作，即将输入数据划分为a
×
a个的大小3
×
3的区域，a表示在二维数据的一个维度方向上以3
×
3、步长s＝1的滑动窗口可以滑动的次数，公式如下：
[0024][0025]其中，表示在第l层，第m通道的进行一次算子操作后，输出矩阵第i行，第j列的元素值，表示l
‑
1层的输出矩阵被3
×
3滑动窗口所划分区域内的第r行，第t列的元素值，表示第l层，第m通道的权值矩阵算子上第r行，第t列的元素值。max表示取最大值，这里与零进行比较，即将矩阵中的负值设置为零。
[0026]最后由公式(2)获得的元素值组合成新的二维数据矩阵如下所示：
[0027][0028]重复上述操作4次，一次为一层，每层各有8、16、32和64个算子，若一层有8个算子，则表示输出数据有8个通道，且每层中a的值分别为9、7、5、5。这里特别说明，在第4层算子计算中，输入数据进行补零操作，该操作通过每行每列的首端和尾端添加零，并在新增的零行零列首端和尾端也添加零，使得该层输入由原先的5
×
5大小扩充为7
×
7，因此该层a值并未减小。通过以上操作最终获得在高维空间映射的数据信息
[0029]1.2)将步骤1.1)中最后输出的多通道二维数据x
l
，通过在每一通道的矩阵元素求取平均值z
m
，获得一维数组z＝[z1,z2,
…
,z
m
]T
，然后进行以下操作：
[0030]y＝Wz
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)
[0031]其中，y为C
×
1的向量，表示分类类别，W是c
×
a的权值矩阵。公式(3)将高维度特征信息通过映射函数映射回分类类别空间y＝[y1,y2,
…
,y
c
]T
。
[0032]1.3)输出分类概率分布：
[0033][0034]其中，c表示类别，C表示类别总个数，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，由网络数据获取设备、边缘智能计算设备、中央服务器、网络监控终端显示器、入侵警报器组成。网络连接数据由网络数据获取设备收集并传送至边缘智能计算设备。边缘智能计算设备包括数据预处理模块、边缘智能计算模块，用以进行工控网络误用入侵检测，并将检测结果发送至中央服务器，再由中央服务器发送给网络监控终端显示器、入侵警报器，进行显示、报警。其特征在于，所述系统采用以下步骤来实现预警功能：(1)获取网络请求数据，以2秒为采样间隔记录流量特征；一时间段内的网络请求数据发送至最近的边缘智能计算设备，在边缘智能计算设备中完成步骤2
‑
3；(2)检测网络入侵并判断该时间段内入侵类别，分别为拒绝服务攻击，未经授权的远程机器访问，未经授权访问本地超级用户权限，监视和其他探测，并将正常状态也设置为一类，共有五类；(3)显示网络状况，若检测到入侵行为，输出入侵类别信息，若没有则显示网络状态安全。2.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统，其特征在于，边缘智能计算设备将入侵警报信息发送至中央服务器，中央服务器将接收到的入侵警报信息发送至入侵警报器，同时在网络监控终端显示器发出类别消息框提示。将引起警报信息的网络请求数据添加至中央服务器的网络请求数据库，并进行类别标注，更新历史网络请求数据库，并对警报次数进行统计。3.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统，其特征在于，所述数据预处理模块采用以下步骤来实现数据预处理：(3.1)符号编码：部分特征包含字符信息，这里利用独热编码机制进行编码。例如属性协议类型protocol_type，可能的协议类型有tcp，udp，icmp，采用独热编码机制，即tcp用[1,0,0]表示，udp用[0,1,0]表示，icmp用[0,0,1]表示。其他符号属性还包括，服务类型service_type和标志类型flag_typey，均使用该编码机制进行编码处理，将原先41个特征扩展为122个特征。(3.2)标准化处理：其中，mean表示各变量的算术平均值，std表示各变量的标准差，表示输入变量的值，下标i表示第i次检测、j分别表示第j维变量，x
ij
表示标准化后的输入变量，S表示模型输入变量；(3.3)数据二维化处理：为了便于后续的处理，将输入的流量信息通过删去第122个特征后，将数据转换为大小11
×
11的二维形式x0。4.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统，其特征在于，所述边缘智能计算模块，采用以下步骤来实现入侵检测：
(4.1)建立基础学习机f1模型。为3
×
3的权值矩阵算子，其中，l表示层数，m表示通道数，表示算子在第i行，第j列的元素值。针对二维输入数据，利用算子进行如下操作：(4.1.1)输入预处理后的数据x0进行算子相乘操作。选择输入数据中相邻的与算子相同大小的区域，按照步长s＝1的滑动窗口的方式进行相乘操作，即将输入数据划分为a
×
a个的大小3
×
3的区域，a表示在二维数据的一个维度方向上以3
×
3、步长s＝1的滑动窗口可以滑动的次数，公式如下：其中，表示在第l层，第m通道的进行一次算子操作后，输出矩阵第i行，第j列的元素值，表示l
‑
1层的输出矩阵被3
×
3滑动窗口所划分区域内的第r行，第t列的元素值，表示第l层，第m通道的权值矩阵算子上第...

【专利技术属性】
技术研发人员：刘兴高，商子琴，王文海，唐莽，苏建忠，袁健全，张泽银，曾德国，任桢，孔玉，张志猛，陈歆炜，张正辉，徐传刚，
申请(专利权)人：浙江大学，
类型：发明
国别省市：