适用于工控系统中基于特征热力图的恶意流量识别方法技术方案

本发明专利技术公开了一种适用于工控系统中基于特征热力图的恶意流量识别方法，该方法基于每个特征对于卷积神经网络模型分类结果的影响程度不同，通过热力图机制，对特征进行重新排序，进而对特征在图片上的位置产生影响；同时卷积神经网络进行图片分类时，对图像部分区域的敏感程度更高，因此将更重要的特征放置于卷积神经网络的敏感区域，更有益于区分恶意流量。本发明专利技术应用于已经存在恶意流量识别应用的工控系统中，工控系统将进一步提升已有应用的识别模型的准确率。识别模型的准确率。识别模型的准确率。

【技术实现步骤摘要】
适用于工控系统中基于特征热力图的恶意流量识别方法


[0001]本专利技术涉及工业控制安全领域中恶意流量识别率较低的问题，具体涉及一种适用于工控系统中基于特征热力图的恶意流量识别方法。

技术介绍

[0002]工业控制系统是支撑国民经济的重要设施，是工业领域的神经中枢。目前工业控制系统己广泛应用于电力、轨道交通、石油化工、高新电子、航空航天、核工业、医药、食品制造等工业领域，大多数国计民生的关键基础设施依靠工业控制系统来实现自动化作业。随着我国工业由传统产业向数字化、网络化和智能化转型升级，网络安全威胁日益向工业领域蔓延。与此同时，我国工业领域仍存在信息安全防护水平偏低和防护措施不到位等问题。
[0003]目前流量生成图片技术是一种常用的恶意流量检测技术，在许多领域都有应用。该技术是将流量包转化为图片，利用机器学习算法对转化后的图片进行识别。当下的网络流量中，威胁流量和恶意流量的比例不平衡，在工控系统中无法采集到足够多的数据，对机器学习的模型进行训练。不平衡的数据量会导致训练的模型不能达到足够高的正确率。因此迫切的需要寻找一种方式，能够在既定的有限的数据集的情况下，进一步地提高机器学习模型的准确率。
[0004]本专利技术提出了一种基于特征热力图的机器学习准确率提升机制，用于提升工控系统中已经完成训练的机器学习模型。

技术实现思路

[0005]为了解决当前工控系统中恶意流量识别领域的不足，本专利技术提出了一种适用于工控系统中基于特征热力图的恶意流量识别方法。该方法应用于已经存在恶意流量识别应用的工控系统中，工控系统将进一步提升已有应用的识别模型的准确率。
[0006]本专利技术具体包括以下步骤：
[0007]S1、准备数据集，搭建卷积神经网络。根据初始的特征顺序(特征名称按首字母排序)制作初始特征像素映射关系图。特征像素关系映射图表示每个特征在图片中的像素对应区域，即像素点与特征之间的对应关系。同时，建立初始的特征权重表，将每个特征的初始特征权值设置为默认值0。记录设置的准确率和召回率阈值分别为r_acc和r_recall。
[0008]初始特征权值设置其中W是权重标记，下标a表示特征的序号，上标r表示迭代的轮次，N为特征的总个数，R表示迭代的总轮次，每一轮迭代所有特征的初始特征权值都设置为0。
[0009]S2、用特征像素映射关系图将所述数据集中每一条数据转化为对应的流量灰度图。用流量灰度图对卷积神经网络进行训练。得到训练完成的卷积神经网络模型，该轮训练的准确率和召回率记为pre_acc
r
和pre_recall
r
。
[0010]S3、利用训练完成的卷积神经网络模型使用GradCam算法，对流量灰度图生成模块生成的每张流量灰度图生成对应的热力图。在生成的所有热力图中随机选取一张热力图作
为下一轮流量灰度图生成的基准，选取的这张热力图被标记为基准图。热力图的图片大小和流量灰度图的图片大小是一致的。以下为GradCam算法的公式：
[0011][0012]该公式为计算流量灰度图中第k个通道的每个像素的平均偏导，y
c
表示流量灰度图被卷积神经网络模型被预测为c类的概率(卷积神经网络模型训练完成后，对一张流量灰度图进行分类时，首先输出该图片为某一类的概率)，A表示流量灰度图的像素矩阵，该像素矩阵是一个二维正方形矩阵，i表示行序号，j表示列序号，A
ij
表示特征图A上(i,j)位置对应的值即该位置对应像素点的值。A
k
表示第k个通道的像素矩阵，表示第k个通道的特征图上(i,j)位置的值。Z表示像素矩阵A的矩阵大小(矩阵规格为12
×
12，则矩阵大小为144)。表示预测为c类的第k个通道的每个像素的平均偏导。
[0013]根据公式计算单个流量灰度图所对应的热力图：
[0014][0015]该公式的计算结果为流量灰度图对应热力图。将像素矩阵A
k
与其对应的平均偏导相乘，
[0016]得到第k个通道的加权像素值，将所有通道的加权像素值相加，再使用整流函数ReLU进行规整。整流函数具体功能为将输入的负值进行舍弃，整流函数将大于0的值保留，小于或等于0的值统一取值为0。表示第c类流量灰度图对应的特征热力图，即流量灰度图对应的热力图。
[0017]S4、判断pre_acc
r
和pre_recall
r
是否大于或等于r_acc和r_recall。如果均大于或等于则进入步骤S5。如果否(pre_acc
r
小于r_acc和pre_recall
r
小于r_recall至少任意一个条件成立)，则根据特征像素映射关系图对每张热力图进行统计。在热力图中，如果像素点对于分类结果有贡献，则对应像素点的热力值大于0；如果因为整流函数导致无贡献的像素点，其热力值为0。热力值的高低代表代表了像素点对于分类结果贡献程度的大小。统计每个特征被命中的次数，即特征对应的像素区域中大于热力图像素平均值的热力值的个数。将特征按照特征权值从高到低进行排序，其中特征权值的更新按照公式所述，权值最高的特征放在S3基准图中热力值最高的位置，权值次高的特征放置在基准图中热力值次高的区域，依此逻辑将所有特征的区域规划完毕，得到新的(即下一轮迭代的)特征像素映射关系图(k表示特征的序号，即第k个特征)。重新初始化特征权重表。重新执行S2。根据公式计算热力图像素平均值：
[0018][0019]其中Avg表示热力图中所有热力值的平均值，H表示热力图像素矩阵，i表示行号，j表示列号，H
ij
表示单个点热力值，Z表示热力图像素矩阵中热力值的总个数。如果H
ij
大于Avg，根据特征像素映射关系图，表示对应的特征被卷积神经网络模型命中了一次，由于热
力图和流量灰度图的图片大小是一致的，因此可以使用特征像素映射关系图。依次统计每个特征被命中的次数，特征被命中的次数为新的特征权值：
[0020]根据公式对本轮特征权值进行更新：
[0021][0022]表示当前第r轮迭代中第a个特征的权重，a为特征的序号。在每一轮迭代开始时，特征的权重都会被初始化为0(每一轮迭代开始时，会将全部设置为0，且每一轮迭代开始时，自动执行r＝r+1)。
[0023]H
ij
表示热力图(i,j)位置处的热力值。B表示特征像素映射关系图，B
a
表示第a个特征对应的像素区域，表示当前第r轮迭代中第a个特征对应的像素区域。该公式整体表示，如果热力图中热力值大于或等于该热力图的平均值，则将本轮迭代对应特征的权重进行加1；如果热力图中热力值小于该热力图的平均值，则不改变本轮迭代对应特征的权重。
[0024]S5、保存迭代完成的特征像素映射图、训练完成的卷积神经网络模型，并将训练完成的特征像素映射图，还是训练完成的卷积神经网络模型应用到恶意流量识别系统的使本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种适用于工控系统中基于特征热力图的恶意流量识别方法，其特征在于，该方法通过工控系统中的恶意流量识别系统实现，该方法包括以下步骤：S1)准备数据集，搭建卷积神经网络，根据初始的特征顺序制作初始特征像素映射关系图，其中，所述数据集中的数据为分类完成的会话流统计数据，特征像素关系映射图表示每个特征在图片中的像素对应区域，即像素点与特征之间的对应关系；同时，建立初始的特征权重表，将每个特征的初始特征权值设置为默认值0，并设置准确率和召回率的阈值分别为r_acc和r_recall；S2)每一轮训练时，采用特征像素映射关系图将所述数据集中每一条数据转化为对应的流量灰度图，采用流量灰度图对所述卷积神经网络进行训练，得到训练完成的卷积神经网络模型，第r轮训练的准确率和召回率记为pre_acc
r
和pre_recall
r
；S3)利用训练完成的卷积神经网络模型使用GradCam算法，对每张流量灰度图分别生成对应的热力图，在生成的所有热力图中随机选取一张热力图作为下一轮训练流量灰度图生成的基准，选取的这张热力图被标记为基准图，热力图的图片大小和流量灰度图的图片大小一致；S4)判断pre_acc
r
是否大于或等于r_acc，以及pre_recall
r
是否大于或等于r_recall这两个条件是否成立，如果上述两个条件均成立则进入步骤S5)；如果上述两个条件至少一个不成立，则根据特征像素映射关系图对每张热力图进行统计；在热力图中，如果像素点对于分类结果有贡献，则对应像素点的热力值大于0；如果因为整流函数导致无贡献的像素点，其热力值为0，热力值的高低代表代表了像素点对于分类结果贡献程度的大小；统计每个特征被命中的次数，即特征对应的像素区域中大于热力图像素平均值的热力值的个数，将特征按照特征权值从高到低进行排序，其中特征权值的更新按照预设公式进行计算，权值最高的特征放在步骤S3)所述基准图中热力值最高的位置，权值次高的特征放置在所述基准图中热力值次高的区域，依此逻辑将所有特征的区域规划完毕，得到下一轮训练的特征像素映射关系图，重新初始化特征权重表，并重新执行步骤S2)；S5)保存训练完成的特征像素映射图、训练完成的卷积神经网络模型，并将训练完成的特征像素映射图和训练完成的卷积神经网络模型应用到恶意流量识别系统的使用阶段；恶意流量识别系统采集工控系统中的流量，提取出对应的数据流，利用迭代完成的特征像素映射关系图将该数据流转化为对应的流量灰度图，使用训练完成的卷积神经网络模型对生成的流量灰度图进行一一分类和识别；所述恶意流量识别系统在使用阶段依次包括：流量包预处理模块、特征提取模块、流量灰度图生成模块和流量分类模块，其中，恶意流量识别模型，即训练完成的卷积神经网络模型，归属于流量分类模块中；上述所有模块的工作方式为：工控流量进入所述流量包预处理模块进行会话流的切割，输出切割完成的会话流到所述特征提取模块，在所述特征提取模块中对会话流的统计特征进行提取，将每个会话流的特征输入到所述流量灰度图生成模块，其中特征像素映射关系图，即特征重组机制的结果，作用于所述流量灰度图生成模块，根据特征像素映射关系图将每一条特征数据生成对应的一张流量灰度图；在所述流量分类模块中，由训练完成的卷积神经网络模型对流量灰度图进行判断，得出流量灰度图的分类结果，并转化为对应会话流是否具有恶意行为。2.根据权利要求1所述的适用于工控系统中基于特征热力图的恶意流量识别方法，其
特征在于，所述步骤S1)中初始特征权值的设置过程具体为：将初始特征权值设置为其中，a＝1,2,
…
,N，r＝1,2,
…
,R，W是权重标记，下标a表示特征的序号，上标r表示训练的轮次，N为特...

【专利技术属性】
技术研发人员：丁旭阳，刘子为，谢盈，刘政奇，李世鹏，朱智光，杨旭，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：