工控入侵检测方法、装置、存储介质和设备制造方法及图纸

本申请公开了一种工控入侵检测方法、装置、存储介质和设备，获取监控系统在当前预设时间周期内所采集的工控信息。对工控信息中各个维度的数据进行标准化处理，得到各个目标数据。对各个目标数据进行降维处理，得到工控信息的特征。将特征输入至工控入侵检测模型中，得到工控入侵检测模型输出的检测结果。在确定检测结果指示工控系统处于被入侵的状态的情况下，向用户发送报警提示。相较于现有技术，本申请利用各个工控设备所采集的数据，作为工控入侵检测的参考特征，并以GRU模型作为参考模型，构建工控入侵检测模型，利用工控入侵检测模型，能够准确识别出针对工控指令的数据域进行篡改的入侵行为，提高工控入侵检测的识别准确率。确率。确率。

【技术实现步骤摘要】
工控入侵检测方法、装置、存储介质和设备


[0001]本申请涉及工控领域，尤其涉及一种工控入侵检测方法、装置、存储介质和设备。

技术介绍

[0002]传统的工控安全技术，如用户认证、防火墙、数据加密等，已经无法应对不断创新的网络入侵手段。因此，入侵检测领域已成为研究热点，成为工业控制信息安全的第二道防线。
[0003]目前，较为常见的工控入侵检测方式为：监控工控系统流量数据，判断流量数据的变化是否异常，若流量数据的变化存在异常，则确定工控系统被入侵。然而，部分入侵方式会针对工控指令的数据域进行篡改，并不会给流量数据的变化带来任何影响。显然，现有的工控入侵检测方式难以识别出针对工控指令的数据域进行篡改的入侵行为，其识别准确率较低。
[0004]为此，如何提高工控入侵检测的识别准确率，成为了本领域亟需解决的问题。

技术实现思路

[0005]本申请提供了一种工控入侵检测方法、装置、存储介质和设备，目的在于提高工控入侵检测的识别准确率。
[0006]为了实现上述目的，本申请提供了以下技术方案：一种工控入侵检测方法，包括：获取预设的监控系统在当前预设时间周期内所采集的工控信息；所述工控信息包括多个维度的数据；每个维度的所述数据为：工控系统中每个工控设备在所述当前预设时间周期内所采集的数据；对所述工控信息中各个维度的数据进行标准化处理，得到各个目标数据；对各个所述目标数据进行降维处理，得到所述工控信息的特征；将所述特征输入至预先构建的工控入侵检测模型中，得到所述工控入侵检测模型输出的检测结果；所述工控入侵检测模型基于样本工控信息的特征作为输入，并以人工针对所述样本工控信息所标定的状态标签作为训练目标，预先训练得到；所述样本工控信息为：所述监控系统在以往各个预设时间周期内所采集的历史工控信息；所述状态标签用于指示所述工控系统的状态；在确定所述检测结果指示所述工控系统处于被入侵的状态的情况下，向用户发送报警提示。
[0007]可选的，所述对各个所述目标数据进行降维处理，得到所述工控信息的特征，包括：将各个所述目标数据作为预设的自编码模型的输入，经由所述自编码模型中的编码函数，将各个所述目标数据映射到预设的特征空间中，得到所述工控信息的特征。
[0008]可选的，所述工控入侵检测模型基于样本工控信息的特征作为输入，并以人工针
对所述样本工控信息所标定的状态标签作为训练目标，预先训练得到，包括：获取所述监控系统在以往各个预设时间周期内所采集的历史工控信息，以及人工针对每个所述历史工控信息所标定的状态标签；所述历史工控信息包括多个维度的数据；对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理，得到归属于同一维度的各个有效数据；对于每个所述历史工控信息，对归属于同一所述历史工控信息的各个有效数据进行降维处理，得到每个所述历史工控信息的特征；按照采集时间由早到晚的顺序，对各个所述历史工控信息的特征进行排序，得到特征序列；将所述特征序列中的各个特征作为训练样本，输入至预设的门控循环单元模型中，获得每个所述训练样本的预测结果，并基于每个所述训练样本的预测结果，以及与每个所述训练样本对应的状态标签，利用预设的损失函数训练调整所述门控循环单元模型的参数，得到工控入侵检测模型；其中，所述门控循环单元模型所使用的激活函数为：支持向量机的径向基函数。
[0009]可选的，所述将所述特征序列中的各个特征作为训练样本，输入至预设的门控循环单元模型中之前，还包括：预先利用网格搜索算法，确定所述门控循环单元模型的超参数。
[0010]可选的，所述对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理，得到归属于同一维度的各个有效数据，包括：计算以往各个预设时间周期内所采集的、且归属于同一维度的各个数据的中位数和绝对偏差；将归属于同一维度的各个数据、所述中位数以及所述绝对偏差代入预设标准化公式中，计算得出归属于同一维度的各个有效数据。
[0011]一种工控入侵检测装置，包括：获取单元，用于获取预设的监控系统在当前预设时间周期内所采集的工控信息；所述工控信息包括多个维度的数据；每个维度的所述数据为：工控系统中每个工控设备在所述当前预设时间周期内所采集的数据；标准化单元，用于对所述工控信息中各个维度的数据进行标准化处理，得到各个目标数据；降维单元，用于对各个所述目标数据进行降维处理，得到所述工控信息的特征；检测单元，用于将所述特征输入至预先构建的工控入侵检测模型中，得到所述工控入侵检测模型输出的检测结果；所述工控入侵检测模型基于样本工控信息的特征作为输入，并以人工针对所述样本工控信息所标定的状态标签作为训练目标，预先训练得到；所述样本工控信息为：所述监控系统在以往各个预设时间周期内所采集的历史工控信息；所述状态标签用于指示所述工控系统的状态；提示单元，用于在确定所述检测结果指示所述工控系统处于被入侵的状态的情况下，向用户发送报警提示。
[0012]可选的，所述降维单元具体用于：将各个所述目标数据作为预设的自编码模型的输入，经由所述自编码模型中的编
码函数，将各个所述目标数据映射到预设的特征空间中，得到所述工控信息的特征。
[0013]可选的，所述检测单元用于预先训练得到所述工控入侵检测模型的过程，包括：获取所述监控系统在以往各个预设时间周期内所采集的历史工控信息，以及人工针对每个所述历史工控信息所标定的状态标签；所述历史工控信息包括多个维度的数据；对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理，得到归属于同一维度的各个有效数据；对于每个所述历史工控信息，对归属于同一所述历史工控信息的各个有效数据进行降维处理，得到每个所述历史工控信息的特征；按照采集时间由早到晚的顺序，对各个所述历史工控信息的特征进行排序，得到特征序列；将所述特征序列中的各个特征作为训练样本，输入至预设的门控循环单元模型中，获得每个所述训练样本的预测结果，并基于每个所述训练样本的预测结果，以及与每个所述训练样本对应的状态标签，利用预设的损失函数训练调整所述门控循环单元模型的参数，得到工控入侵检测模型；其中，所述门控循环单元模型所使用的激活函数为：支持向量机的径向基函数。
[0014]一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，所述程序执行所述的工控入侵检测方法。
[0015]一种工控入侵检测设备，包括：处理器、存储器和总线；所述处理器与所述存储器通过所述总线连接；所述存储器用于存储程序，所述处理器用于运行程序，其中，所述程序运行时执行所述的工控入侵检测方法。
[0016]本申请提供的技术方案，获取预设的监控系统在当前预设时间周期内所采集的工控信息。工控信息包括多个维度的数据，每个维度的数据为：工控系统中每个工控设备在当前预设时间周期内所采集的数据。对工控信息中各个维度的数据进行标准化处理，得到各个目标数据。对各个目标数据进行降维处理，得到工控信息的特征。将特征输入至预先构建的工控入侵检测模型中，得到工控入侵检测本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控入侵检测方法，其特征在于，包括：获取预设的监控系统在当前预设时间周期内所采集的工控信息；所述工控信息包括多个维度的数据；每个维度的所述数据为：工控系统中每个工控设备在所述当前预设时间周期内所采集的数据；对所述工控信息中各个维度的数据进行标准化处理，得到各个目标数据；对各个所述目标数据进行降维处理，得到所述工控信息的特征；将所述特征输入至预先构建的工控入侵检测模型中，得到所述工控入侵检测模型输出的检测结果；所述工控入侵检测模型基于样本工控信息的特征作为输入，并以人工针对所述样本工控信息所标定的状态标签作为训练目标，预先训练得到；所述样本工控信息为：所述监控系统在以往各个预设时间周期内所采集的历史工控信息；所述状态标签用于指示所述工控系统的状态；在确定所述检测结果指示所述工控系统处于被入侵的状态的情况下，向用户发送报警提示。2.根据权利要求1所述的方法，其特征在于，所述对各个所述目标数据进行降维处理，得到所述工控信息的特征，包括：将各个所述目标数据作为预设的自编码模型的输入，经由所述自编码模型中的编码函数，将各个所述目标数据映射到预设的特征空间中，得到所述工控信息的特征。3.根据权利要求1所述的方法，其特征在于，所述工控入侵检测模型基于样本工控信息的特征作为输入，并以人工针对所述样本工控信息所标定的状态标签作为训练目标，预先训练得到，包括：获取所述监控系统在以往各个预设时间周期内所采集的历史工控信息，以及人工针对每个所述历史工控信息所标定的状态标签；所述历史工控信息包括多个维度的数据；对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理，得到归属于同一维度的各个有效数据；对于每个所述历史工控信息，对归属于同一所述历史工控信息的各个有效数据进行降维处理，得到每个所述历史工控信息的特征；按照采集时间由早到晚的顺序，对各个所述历史工控信息的特征进行排序，得到特征序列；将所述特征序列中的各个特征作为训练样本，输入至预设的门控循环单元模型中，获得每个所述训练样本的预测结果，并基于每个所述训练样本的预测结果，以及与每个所述训练样本对应的状态标签，利用预设的损失函数训练调整所述门控循环单元模型的参数，得到工控入侵检测模型；其中，所述门控循环单元模型所使用的激活函数为：支持向量机的径向基函数。4.根据权利要求3所述的方法，其特征在于，所述将所述特征序列中的各个特征作为训练样本，输入至预设的门控循环单元模型中之前，还包括：预先利用网格搜索算法，确定所述门控循环单元模型的超参数。5.根据权利要求3所述的方法，其特征在于，所述对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理，得到归属于同一维度的各个有效数据，包括：
计算以往各个预设时间周期内所采集的、且归属于同一维度的各个数据的中位数和绝对偏差；将归属于同一维度的各个数据、所述中位...

【专利技术属性】
技术研发人员：张志群，何伟，还约辉，彭鑫，邹玲，
申请(专利权)人：浙江国利网安科技有限公司，
类型：发明
国别省市：