本发明专利技术提供一种工业控制网络行为检测方法以及相关装置,本发明专利技术的工业控制网络行为检测方法,包括:获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;基于所述第一特征集合计算得到扩展特征;利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;基于所述第二特征集合确定网络行为是否异常。该方法能够扩展特征,使得特征能够显式表达,克服了现有技术中特征信息量不足的问题。特征信息量不足的问题。特征信息量不足的问题。
【技术实现步骤摘要】
一种工业控制网络行为检测方法以及相关装置
[0001]本专利技术属于网络安全检测领域,尤其是涉及一种工业控制网络行为检测方法以及相关装置。
技术介绍
[0002]工业控制系统早已在许多工业场景中广泛应用,例如电网系统、水利系统、天然气输送等等。SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)系统是一种成熟的现代工业控制系统架构,近年来,针对SCADA系统的恶意网络攻击逐渐频繁,人们应当提高对SCADA系统网络安全的关注。在SCADA系统中应用入侵检测系统是一种广泛使用且有效的防护措施。入侵检测系统通过收集操作系统、应用程序、网络数据包等信息,发现系统中违背安全策略或危及系统安全的行为。入侵检测系统通常使用签名分析、统计分析、专家系统、机器学习等检测技术,对系统信息与指标进行分析,判断系统异常状态。工业控制系统的入侵检测与传统互联网在许多方面存在差别,例如网络架构、网络协议、终端设备、行为逻辑等。为了在工业控制系统中应用入侵检测系统,需要根据特定的工业控制协议设计深度包检测规则,根据设备行为逻辑设计安全策略。
[0003]针对工业控制系统的入侵检测方法有许多种类,其中利用机器学习手段的研究发展迅速,出现大量应用机器学习算法提高检测性能的研究。机器学习非常类似统计分析,它凭借大量的训练数据和灵活的数学模型,能较为简易地捕获工业控制系统隐含的高维状态,并提供强大的分类、聚类性能。
[0004]现有技术使用了组合FNN(前馈神经网络)与LSTM(长短期记忆网络)的入侵检测系统。FNN作为序列无关联数据包的分类器,这种方式下分类对象是针对每一个数据包的,不论位于流量序列的何处,它都有自己的标记。这一方式只能作为整个入侵检测系统的辅助手段,因为真实攻击通常不是由一个数据包造成的,而是表现为一段数据序列。另一部分为LSTM分类器,其作用是序列有关联数据包的分类器。这种方式下,需要将相邻数据包组合为一个数据块,作为分类基本单元。因为LSTM具有周期记忆性质,可以识别序列有关联数据包,记忆具有周期性特征的攻击模式。为利用FNN的分类性能,方案中将LSTM的输出与FNN的输出组合,再输入最终的FNN中。在网络的最后部分放置FNN,不仅能够灵活的调整数据张量维度,也能为LSTM和FNN提供投票功能,充分利用它们的计算结果。此方案使用了连续滑动窗口。不过,滑动窗口的大小设定并没有给出特别依据,更多是从降低时间开销、降低功耗等方面考虑,从而设计了较小型的输入维度。虽然在其测试用的数据中表现良好,但是特征的表达信息明显不足。
技术实现思路
[0005]本申请提供一种工业控制网络行为检测方法以及相关装置,该方法能够扩展特征,使得特征能够显式表达,克服了现有技术中特征信息量不足的问题。
[0006]第一方面,本申请提供一种工业控制网络行为检测方法,包括:获取SCADA流量数
据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;基于所述第一特征集合计算得到扩展特征;利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;基于所述第二特征集合确定网络行为是否异常。
[0007]其中,所述基于所述第一特征集合计算得到扩展特征的步骤,包括:计算所述初始特征集合中当前特征与上一特征之间的差值,得到第一扩展特征;计算所述当前特征在捕获窗口内的标准差,得到第二扩展特征;基于所述捕获窗口的长度、所述捕获窗口内的特征计算特征均值,得到第三扩展特征;基于所述捕获窗口内的特征计算所述特征和,得到第四扩展特征;计算相邻特征之间的差值窗口内特征的标准差,得到第五扩展特征;计算相邻特征之间的差值窗口内特征的均值,得到第六扩展特征;计算相邻特征之间的差值窗口内特征的和,得到第七扩展特征;基于所述第一扩展特征、所述第二扩展特征、所述第三扩展特征、所述第四扩展特征、所述第五扩展特征、所述第六扩展特征、所述第七扩展特征中至少一种或任意组合得到所述扩展特征。
[0008]其中,每一所述捕获窗口内包括多个特征向量,所述利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合的步骤,包括:将所述扩展特征补入每一所述捕获窗口最后一个特征向量后,进而得到所述第二特征集合。
[0009]其中,所述基于所述第二特征集合确定网络行为是否异常的步骤,包括:对所述第二特征集合进行主成分分析,得到主要特征,形成第三特征集合;对所述第三特征集合进行标准化处理,基于标准化处理后的所述第三特征集合确定网络行为是否异常。
[0010]其中,所述基于标准化处理后的所述第三特征集合确定网络行为是否异常的步骤,包括:利用捕获窗口对标准化处理后的所述第三特征集合进行处理,将标准化处理后的所述第三特征集合分为多个特征块;利用长短期记忆网络对所述特征块进行处理,得到第一处理数据;基于所述第一处理数据确定网络行为是否异常。
[0011]其中,所述基于所述第一处理数据确定网络行为是否异常的步骤,包括:利用前馈神经网络对所述第一处理数据进行处理,得到第二处理数据;基于所述第二处理数据获取每一捕获窗口内的最大值;基于所述最大值确定所述捕获窗口的类别;基于所述捕获窗口的类别确定网络行为是否异常。
[0012]其中,所述SCADA流量数据集包括CIP协议数据。
[0013]第二方面,本申请提供一种网络行为检测装置,特征提取模块,用于获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;计算模块,用于基于所述第一特征集合计算得到扩展特征;特征扩展模块,用于利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;行为判断模块,用于基于所述第二特征集合确定网络行为是否异常。
[0014]第三方面,本申请提供一种电子设备,包括相互藕接的处理器以及存储器,其中,所述存储器用于存储实现上述任一项所述的方法的程序指令;所述处理器用于执行所述存储器存储的所述程序指令。
[0015]第四方面,本申请提供一种计算机可读存储介质,其特征在于,存储有程序文件,所述程序文件能够被执行以实现上述任一项所述的方法。
[0016]本专利技术的有益效果,区别于现有技术的情况,本专利技术的工业控制网络行为检测方法,包括:获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征
集合;基于所述第一特征集合计算得到扩展特征;利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;基于所述第二特征集合确定网络行为是否异常。该方法能够扩展特征,使得特征能够显式表达,克服了现有技术中特征信息量不足的问题。
附图说明
[0017]图1为本专利技术的工业控制网络行为检测方法的第一实施例的流程示意图;
[0018]图2为捕获窗口对标准化处理后的所述第三特征集合进行处理的示意图;
[0019]图3为本专利技术网络行为检测装置的第一实施例的结构示意图;
[0020]图4为本专利技术电子设备的一实施例的结构示意图;...
【技术保护点】
【技术特征摘要】
1.一种工业控制网络行为检测方法,其特征在于,包括:获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;基于所述第一特征集合计算得到扩展特征;利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;基于所述第二特征集合确定网络行为是否异常。2.根据权利要求1所述的方法,其特征在于,所述基于所述第一特征集合计算得到扩展特征的步骤,包括:计算所述初始特征集合中当前特征与上一特征之间的差值,得到第一扩展特征;计算所述当前特征在捕获窗口内的标准差,得到第二扩展特征;基于所述捕获窗口的长度、所述捕获窗口内的特征计算特征均值,得到第三扩展特征;基于所述捕获窗口内的特征计算所述特征和,得到第四扩展特征;计算相邻特征之间的差值窗口内特征的标准差,得到第五扩展特征;计算相邻特征之间的差值窗口内特征的均值,得到第六扩展特征;计算相邻特征之间的差值窗口内特征的和,得到第七扩展特征;基于所述第一扩展特征、所述第二扩展特征、所述第三扩展特征、所述第四扩展特征、所述第五扩展特征、所述第六扩展特征、所述第七扩展特征中至少一种或任意组合得到所述扩展特征。3.根据权利要求2所述的方法,其特征在于,每一所述捕获窗口内包括多个特征向量,所述利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合的步骤,包括:将所述扩展特征补入每一所述捕获窗口最后一个特征向量后,进而得到所述第二特征集合。4.根据权利要求1所述的方法,其特征在于,所述基于所述第二特征集合确定网络行为是否异常的步骤,包括:对所述第二特征集合进行主成分分析,得到主要特征,形成第三特征集合;对所述第三特征集合进行标准化处理,基于标准化处理后的所述第三特征集...
【专利技术属性】
技术研发人员:张跃宇,俞率宾,柴若晨,张开源,李晖,曹进,王勇,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。