本发明专利技术公开了一种基于AE‑CNN的工业控制网络入侵检测方法及装置,所述方法包括如下步骤:从工业控制系统的通信协议的网络数据集中,提取工业控制系统的原始数据集;从原始数据集中获取训练数据集和测试数据集;利用自编码器对训练数据集和测试数据集进行特征降维,获取特征降维后的训练数据集和特征降维后的测试数据集;基于入侵检测模型对特征降维后的训练数据集进行训练,得到分类模型;将特征降维后的测试数据集输入分类模型进行分类处理,获取工业控制系统的入侵检测结果。本发明专利技术通过运用自编码器进行特征降维,实现了去除冗余信息,减少计算量,从而解决了传统技术工业控制系统入侵检测方法训练时间长的技术问题。
Industrial control network intrusion detection method and device based on ae-cnn
【技术实现步骤摘要】
基于AE-CNN的工业控制网络入侵检测方法及装置
本专利技术属于工业控制系统入侵检测
,涉及一种基于AE-CNN(Auto-enconder-EnhancedConvolutionNeuralNetwork,自编码器-卷积神经网络)的工业控制网络入侵检测方法及装置。
技术介绍
工业控制系统遍及电力、化工、石油等行业,并且随着信息化和工业化的相互融合,使得工业控制系统内部的通信网络逐渐的与互联网互联互通。这样使得工控系统原有的封闭性被打破,容易遭受到更多的攻击。入侵检测系统可以在外部攻击对系统造成危害之前检测出攻击,并发出警报。传统的IT网络中入侵检测技术已经比较成熟,但是工业控制系统对于安全的要求与传统IT系统不同。当前针对工业控制系统入侵检测的方法是通过实时采集ModbusTCP数据作为特征向量,通过支持向量机二分类模型得到检测结果,如果发现异常流量则进行报警,其优势在于可以检测出某些防火墙无法识别的异常流量。传统技术工业控制系统入侵检测的方法,存在训练时间长的问题。
技术实现思路
为了解决传统技术工业控制系统入侵检测的方法存在训练时间长的技术问题,本专利技术提供了一种基于AE-CNN的工业控制网络入侵检测方法及装置。本专利技术的目的是通过以下技术方案实现的:一种基于AE-CNN的工业控制网络入侵检测方法,包括如下步骤:S100、从工业控制系统的通信协议的网络数据集中,提取工业控制系统的原始数据集;S200、从原始数据集中获取训练数据集和测试数据集;S300、利用自编码器对训练数据集和测试数据集进行特征降维,获取特征降维后的训练数据集和特征降维后的测试数据集;S400、基于入侵检测模型对特征降维后的训练数据集进行训练,得到分类模型;S500、将特征降维后的测试数据集输入分类模型进行分类处理,获取工业控制系统的入侵检测结果。一种实现上述基于AE-CNN的工业控制网络入侵检测方法的检测装置,包括原始数据集提取模块、原始数据集分类模块、特征降维模块、模型训练模块和数据分类模块,其中:所述原始数据集提取模块用于从工业控制系统的通信协议的网络数据集中,提取工业控制系统的原始数据集;所述原始数据集分类模块用于从原始数据集中获取训练数据集和测试数据集;所述特征降维模块用于利用自编码器对训练数据集和测试数据集进行特征降维,获取特征降维后的训练数据集和特征降维后的测试数据集;所述模型训练模块用于基于入侵检测模型对降维后的训练数据集进行训练,得到分类模型;所述数据分类模块用于将特征降维后的测试数据集输入分类模型进行分类处理,获取工业控制网络的入侵检测结果。相比于现有技术,本专利技术具有如下优点:本专利技术通过运用自编码器进行特征降维,实现了去除冗余信息,减少计算量,从而解决了传统技术工业控制系统入侵检测方法训练时间长的技术问题。附图说明图1为本专利技术基于AE-CNN的工业控制网络入侵检测方法的流程图;图2为图1中S100的具体流程图;图3为图1中S300的具体流程图;图4为图1中S400的具体流程图;图5为实施例中的卷积神经网络模型架构图;图6为实施例中工业控制系统的入侵检测方法的流程示意图;图7为本专利技术基于AE-CNN的工业控制网络入侵检测装置的结构框图。具体实施方式下面结合附图对本专利技术的技术方案作进一步的说明,但并不局限于此,凡是对本专利技术技术方案进行修改或者等同替换,而不脱离本专利技术技术方案的精神和范围,均应涵盖在本专利技术的保护范围中。本专利技术提供了一种基于AE-CNN的工业控制网络入侵检测方法,如图1所示,所述入侵检测方法包括以下步骤:S100、从工业控制系统的通信协议的网络数据集中,提取工业控制系统的原始数据集。如图2所示,S100具体包括以下步骤:S110、根据工业控制系统的通信流量对待处理数据进行分类处理,获取待处理数据的入侵类别,其中:待处理数据为网络数据集中的数据;S120、获取网络数据集中的命令数据包和响应数据包;S130、根据命令数据包和响应数据包获取待处理数据的数据特征;S140、将数据特征和入侵类别设为原始数据集,其中:数据特征包括设备地址、内存起始位置、读写命令、响应的内存字节数、命令数据包和响应数据包的读写功能码、命令数据包和响应数据包的长度、命令数据包和响应数据包之间的时间间隔、循环冗余校验的错误率以及工业控制系统的特性或状态值。S110后还包括以下步骤:S111、对数据的入侵类别进行赋值处理。本步骤中,工业控制网络的通信协议一般为Modbus协议。具体地,可以采集工业控制网络基于Modbus协议的网络数据集,从网络数据集中提取工业控制系统遭到入侵时可能受到影响的变量作为选取的特征,作为原始数据集。S200、从原始数据集中获取训练数据集和测试数据集。本步骤中,训练数据集用于输入入侵检测模型,从而得到分类模型,而测试数据集则用于输入上述分类模型进行分类,从而得到分类结果。具体地,在得到原始数据集之后,可以将上述原始数据集按一定比例分为训练数据集和测试数据集。例如:可以根据需要将原始数据集按4:1的比例,分为训练数据集和测试数据集。本步骤中,在将原始数据集分为训练数据集和测试数据集之后,还可以对训练数据集和测试数据集进行归一化处理,以保证特征向量中的各个数值处于同一数量级。S300、利用自编码器对训练数据集和测试数据集进行特征降维,获取特征降维后的训练数据集和特征降维后的测试数据集。如图3所示,S300具体包括以下步骤:S310、对训练数据集中的元素进行标准化,组成标准化矩阵;S320、先对解码网络和编码网络的权值进行随机初始化,再通过标准化矩阵中的最小化重构项和原始数据集之间的误差对权值进行训练。S320中,误差的偏导数通过后向传播得到梯度,即把误差偏导数先通过解码网络,再通过编码网络进行传播,从而得到AE网络模型。S400、基于入侵检测模型对特征降维后的训练数据集进行训练,得到分类模型。具体地,可以通过入侵检测模型对降维后的训练数据集进行训练,从而得到支持向量机的分类模型。如图4所示,S400具体包括以下步骤:S410、从训练数据集中提取出数据特征作为输入数据集;S420、通过卷积神经网络分类模型对输入数据集进行训练,得到预测值;S430、将预测值和实际值输入到分类交叉熵损失函数,获取分类交叉熵损失函数输出的损失函数值,其中:实际值可以是数据的入侵类别的赋值;S440、当训练次数达到损失函数值变化小于设定阈值时,选择损失函数值最小时所对应的训练后的卷积神经网络分类模型为分类模型。具体的,在得到分类模型后,可以将测试数据集输入上述分类模型进行分类处理,该分类结果可以是五维的混淆矩阵,之后可以对五维混淆矩阵进行评估,来判断上述工控系统网络入侵本文档来自技高网...
【技术保护点】
1.一种基于AE-CNN的工业控制网络入侵检测方法,其特征在于所述方法包括如下步骤:/nS100、从工业控制系统的通信协议的网络数据集中,提取工业控制系统的原始数据集;/nS200、从原始数据集中获取训练数据集和测试数据集;/nS300、利用自编码器对训练数据集和测试数据集进行特征降维,获取特征降维后的训练数据集和特征降维后的测试数据集;/nS400、基于入侵检测模型对特征降维后的训练数据集进行训练,得到分类模型;/nS500、将特征降维后的测试数据集输入分类模型进行分类处理,获取工业控制系统的入侵检测结果。/n
【技术特征摘要】
1.一种基于AE-CNN的工业控制网络入侵检测方法,其特征在于所述方法包括如下步骤:
S100、从工业控制系统的通信协议的网络数据集中,提取工业控制系统的原始数据集;
S200、从原始数据集中获取训练数据集和测试数据集;
S300、利用自编码器对训练数据集和测试数据集进行特征降维,获取特征降维后的训练数据集和特征降维后的测试数据集;
S400、基于入侵检测模型对特征降维后的训练数据集进行训练,得到分类模型;
S500、将特征降维后的测试数据集输入分类模型进行分类处理,获取工业控制系统的入侵检测结果。
2.根据权利要求1所述的基于AE-CNN的工业控制网络入侵检测方法,其特征在于所述S100具体包括以下步骤:
S110、根据工业控制系统的通信流量对待处理数据进行分类处理,获取待处理数据的入侵类别,其中:待处理数据为网络数据集中的数据;
S120、获取网络数据集中的命令数据包和响应数据包;
S130、根据命令数据包和响应数据包获取待处理数据的数据特征;
S140、将数据特征和入侵类别设为原始数据集。
3.根据权利要求2所述的基于AE-CNN的工业控制网络入侵检测方法,其特征在于所述数据特征包括设备地址、内存起始位置、读写命令、响应的内存字节数、命令数据包和响应数据包的读写功能码、命令数据包和响应数据包的长度、命令数据包和响应数据包之间的时间间隔、循环冗余校验的错误率以及工业控制系统的特性或状态值。
4.根据权利要求2所述的基于AE-CNN的工业控制网络入侵检测方法,其特征在于所述S110后还包括以下步骤:
S111、对数据的入侵类别进行赋值处理。
5.根据权利要求1所述的基于AE-CNN的工业控制网络入侵检测方法,其特征在于所述S200中,还包括以下步骤:对训练数据集和测试数据集进行归一化处理,以保证特征向量中的各个数值处于同一数量级。
6.根据权利要求1所述的基于AE-CNN的工业控制网络入侵检测方法,其特征在于所述S300具体...
【专利技术属性】
技术研发人员:佟为明,田立坤,金显吉,王学森,张爱民,逄龙,刘冰冰,
申请(专利权)人:哈尔滨凯纳科技股份有限公司,哈尔滨工业大学,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。