【技术实现步骤摘要】
一种工业控制网络入侵检测方法和系统
[0001]本专利技术涉及工业网络安全
,特别是涉及一种工业控制网络入侵检测方法和系统。
技术介绍
[0002]据过去数十年的统计结果显示,危害工业系统安全的网络攻击事件数量以及影响因素均在不断地增加。近几年影响范围较广的大型工控安全事故有Davis
‑
Besse核电站钟大安全事故、澳大利亚Maroochy入侵事故、Flame病毒网络入侵事故等。近十年来,世界工业控制领域安全事故总量不断上升,同时有众多系统安全事故并没有被广泛关注。根据国家信息安全局研究所研究表明,中国每年发生工业系统网络安全事故超300起,相较于2016年以前,工业网络安全漏洞逐渐呈指数级增长趋势,而这些漏洞为不法分子提供了诸多攻击工控平台的机会。
[0003]针对工业控制系统的高频攻击的预测一直是网络安全领域的一个具有挑战性的问题,因为工业控制系统的攻击是动态的、高度敏感的、非线性的和混乱的,数据挖掘、统计方法和非深度神经网络模型等传统方法不适合预测和广义预测针对工业控制系统的高频攻击。...
【技术保护点】
【技术特征摘要】
1.一种工业控制网络入侵检测方法,其特征在于,包括:获取工业控制网络入侵检测模型;所述工业控制网络入侵检测模型为训练好的LSTM
‑
ARFIMA混合循环网络模型;获取当前时刻的工业流量数据;将所述工业流量数据输入至所述工业控制网络入侵检测模型得到检测结果;所述检测结果包括:对正常流量数据和恶意流量数据的分类情况。2.根据权利要求1所述的工业控制网络入侵检测方法,其特征在于,所述LSTM
‑
ARFIMA混合循环网络模型的构建过程包括:采用注意力机制对预设数据集中的数据进行特征提取,得到各特征的注意力分布向量;以所述注意力分布向量为输入,拟合ARFIMA模型的分数阶高斯噪声强度得到拟合后的ARFIMA模型;获取拟合后的ARFIMA模型的残差;将所述拟合后的ARFIMA模型的残差输入至长短期记忆网络,得到LSTM
‑
ARFIMA混合循环网络模型。3.根据权利要求2所述的工业控制网络入侵检测方法,其特征在于,所述以所述注意力分布向量为输入,拟合ARFIMA模型的分数阶高斯噪声强度得到拟合后的ARFIMA模型,具体包括:将所述注意力分布向量输入至所述ARFIMA模型,采用Huist斜率确定所述ARFIMA模型的分数阶高斯噪声强度;当所述分数阶高斯噪声强度满足预设条件时得到所述拟合后的ARFIMA模型。4.根据权利要求3所述的工业控制网络入侵检测方法,其特征在于,所述预设条件为:0<d<1且d≠0.5,其中d为分数阶高斯噪声强度。5.根据权利要求1所述的工业控制网络入侵检测方法,其特征在于,所述LSTM
‑
ARFIMA混合循环网络模型为H(t):H(t)=f(ε
t
)其中,ε
t
为拟合后的ARFIMA模型的残差,f(ε
t
)为非线性建模函数。6.根据权利要求2所述的工业控制网络入侵检测方法,其特征在于,所述LSTM
‑
ARFIMA混合循环网络模型的训练过程为:获取训练集;以RELU激活函数为LSTM
‑
ARFIMA混合循环网络模型的激活函数、以交叉熵损失函数为LSTM
‑
ARFIMA混合循环网络模型的损失函数以及以Adam优化算法为LST...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。