本发明专利技术公开了基于神经网络的工控异常流量监测方法和系统,方法包括:S1数据预处理,提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成多维向量;S2构建特征提取器进行特征提取,得到特征向量;S3构建多层感知机分类器进行分类,初始化模型参数;S4根据预测类别和实际类别,调整模型参数,继续进行模型训练;S5重复步骤S4直到工控异常流量监测模型收敛;S6将实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。本发明专利技术利用Transformer中的多头机制,有效提取工控系统中流量之间的多维关系和特征,并使用MLP对输入流量进行分类,对异常流量进行有效监测。进行有效监测。进行有效监测。
【技术实现步骤摘要】
一种基于神经网络的工控异常流量监测方法和系统
[0001]本专利技术属于工控
,尤其涉及一种基于神经网络的工控异常流量监测方法和系统。
技术介绍
[0002]工业控制系统作为国家关键基础设施的核心,被广泛应用于电力、通信等多个行业中。工控异常检测方法变得尤为重要。在当前已部署纵向加密装置、网络安全监测装置的现状下,攻击者更倾向于采用高级定制化攻击,即利用正常业务通道开展攻击。这种攻击手段极其隐蔽,更易造成严重影响。针对工控系统的攻击越来越专业化/复杂化,因此,现有大量研究探索了工控异常流量的检测方法,主要有基于规则的检测方法、基于统计分析的检测方法和基于机器学习的检测方法。
[0003]随着大数据技术和人工智能技术的快速发展,网络异常流量监测方法开始向机器学习方面拓展。有许多研究探索了机器学习在网络异常流量监测中的应用,比如利用卷积神经网络的流量异常检测方法通过构建卷积神经网络预测网络流量,获得网络流量预测值,确定基于阈值的异常检测机制,实现网络流量的异常检测。
[0004]目前,有许多研究探索了机器学习在网络异常流量监测中的应用,这些研究对正常行为和攻击行为进行分类,基于机器学习方法构建模型,具有一定的检测效果。然而,与传统异常流量检测相比,工业网络环境复杂,各种类型的控制设备的通信协议、交互方式也有较为明显的特点,由于网络协议的异构性以及交互的多样性,传统异常检测算法在工业控制系统中不适用。对于网络中的一些异常行为检测,流量数据包的到达时间顺序往往也可以作为一个重要特性。基于卷积神经网络的方法无法利用时序数据的数据的时序特性,不能充分挖掘数据的特点。通过对工业控制网络协议通信机制和流量数据包动态特性的分析,可以发现工控网络流量检测与自然语言文本处理具有相似性,因为流量包的时序性特征,可以考虑用RNN模型,然而,RNN本身的序列依赖结构对于大规模并行计算来说并不友好,很难具备高效的并行计算能力。
技术实现思路
[0005]基于以上提到的技术问题,本专利技术提出一种基于transformer的工控异常流量监测方法和系统,这种方法能够充分考虑工控流量的特点,对异常流量进行有效监测。本专利技术的目的是提出一种基于transformer的工控异常流量监测方法。解决现有机器学习异常流量监测方法无法有效提取工控流量特有特征的问题。
[0006]为了实现上述目的,本专利技术第一方面公开的基于神经网络的工控异常流量监测方法,包括以下步骤:S1、数据预处理,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;S2、构建特征提取器进行特征提取,得到特征向量;
S3、构建多层感知机分类器进行分类,初始化模型参数;S4、根据预测类别和实际类别,调整模型参数,继续进行模型训练;S5、重复步骤S4直到工控异常流量监测模型收敛;S6、将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。
[0007]进一步的,所述元信息至少为时间戳、包头长度、载荷字节数、源IP地址、目的IP地址、源端口、目的端口、传输协议、数据包FIN、SYN、PSH、RST、ACK、CWR、URG、ECE配置标识、初始化窗口大小之一。
[0008]进一步的,步骤S2中构建的特征提取器为Transformer网络,Transformer的编码器由若干个Transformer Block堆叠成的,单个Transformer Block包括多头注意力机制和前馈神经网络。
[0009]进一步的,步骤S2特征提取的步骤如下:S21.由输入层将输入的时间序列数据映射到高维的向量,然后将输入的向量与时序编码向量逐元素相加,对其进行时序编码,得到结果embed向量;时序编码计算公式如下:;;其中,接收流量包的过程看成是一个时序序列,pos指该时序序列中某个时刻下的特征向量的位置,取值范围为[0, 最大序列长度];是特征维度,i表示在时序编码向量中的索引,取值范围为;上面的函数使得模型学习到特征向量之间的相对位置关系,输入层还在特征向量前面添加了一个[class]向量以区分流量的业务类型;S22.将经过时序编码的embed向量输入transformer网络的编码器中,经过多头注意力机制层得到最终的特征向量;在所述的多头注意力机制层中, 首先通过计算得到注意力权重矩阵,权重是计算比较Q和K的相似度通过训练得到的;在每个注意力头上,流量数据包的embed向量作为输入向量X,对每个输入向量X,创建三个向量:Query向量、Key向量和Value向量,它们通过输入向量分别和3个注意力权重矩阵相乘得到;通过计算向量的Query向量和其余每个向量的Key向量的点积得到注意力分数并进行归一化操作,最后乘以Value向量,输出特征矩阵Z,这个矩阵包含了所有注意力头的信息。
[0010]进一步的,步骤S3中,MLP的结构由一个输入层,若干个隐藏层和一个输出层组成,输入的特征向量连接到隐藏层的神经元,隐藏层的神经元再连接到输入层的神经元,层与层间是全连接的。
[0011]进一步的,步骤S3中分类的步骤如下:S31.由输入层将输入的特征向量与权重w相乘后,与偏置b相加后调用激活函数得到第一层隐藏层的向量,计算公式如下:;
;其中,X由x1,x2,x3输入向量化所得,输入层与第一层隐藏层存在权重w1,第一层隐藏层与第二层隐藏层间存在权重w2,依次类推,将w1,w2,w3权重向量化得到W,b为偏置,将b1,b2,b3偏置向量化得到b;Z为输入值的线性组合,A为Z通过激活函数ReLU得到的值,A也作为下一层的输入;S32.第n层隐藏层对第n
‑
1层隐藏层的输出进行处理,计算公式如下:;;其中,激活函数为ELU函数;S33.输出层对最后一层隐藏层的输出进行处理,计算公式如下:;;其中使用Softmax作为激活函数,将多个神经元的输出映射到(0,1)的区间,表示当前输入为该类的概率,最终选择概率最大的类别作为预测目标,其中类别分为正常/异常/可疑流量。
[0012]本专利技术第二方面公开的基于神经网络的工控异常流量监测系统,包括:数据预处理模块,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;特征提取模块,构建特征提取器进行特征提取,得到特征向量;分类模块,构建多层感知机分类器进行分类,初始化模型参数;训练模块,根据预测类别和实际类别,调整模型参数,继续进行模型训练;迭代模块,重复步骤5直到工控异常流量监测模型收敛;监测模块,将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。
[0013]本专利技术的有益效果是:专利技术基于transformer的encoder结构,利用Transformer中的Multi
‑
Head Attention机制,有效发现和提取工控系统中流量之间的多维关系和特征,并使用MLP对输入流量进行分类,对异常流量进行有效监测本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于神经网络的工控异常流量监测方法,其特征在于,包括以下步骤:S1、数据预处理,获取异常流量样本数据的特征向量:提取包粒度的原始数据中网络层、传输层的元信息,将原始数据向量化,形成一个多维向量;S2、构建特征提取器进行特征提取,得到特征向量;S3、构建多层感知机分类器进行分类,初始化模型参数;S4、根据预测类别和实际类别,调整模型参数,继续进行模型训练;S5、重复步骤S4直到工控异常流量监测模型收敛;S6、将网络中的实时数据包输入工控异常流量监测模型,得到模型输出流量类型,监测异常流量。2.根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,所述元信息至少为时间戳、包头长度、载荷字节数、源IP地址、目的IP地址、源端口、目的端口、传输协议、数据包FIN、SYN、PSH、RST、ACK、CWR、URG、ECE配置标识、初始化窗口大小之一。3. 根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,步骤S2中构建的特征提取器为Transformer网络,Transformer的编码器由若干个Transformer Block堆叠成的,单个Transformer Block包括多头注意力机制和前馈神经网络。4.根据权利要求1所述的基于神经网络的工控异常流量监测方法,其特征在于,步骤S2特征提取的步骤如下:S21.由输入层将输入的时间序列数据映射到高维的向量,然后将输入的向量与时序编码向量逐元素相加,对其特征进行时序编码,得到结果embed向量;时序编码计算公式如下:;;其中,接收流量包的过程看成是一个时序序列,pos指该时序序列中某个时刻下的特征向量的位置,取值范围为[0, 最大序列长度];是特征维度,i表示在时序编码向量中的索引,取值范围为;上面的函数使得模型学习到特征向量之间的相对位置关系,输入层还在特征向量前面添加了一个[class]向量以区分流量的业务类型;S22.将经过时序编码的embed向量输入transformer网络的编码器中,经过多头注意力机制层得到最终的特征向量;在所述的多头注意力机制层中, 首先通过计算得到注意力权重矩阵,权重是计算比较Q和K的相似度通过训练得到的;在每个注意力头上,流量数据包的embed向量作为输入向量X,对每个输入向量X...
【专利技术属性】
技术研发人员:余思洋,肖欣,李肯立,蔡宇辉,杨志邦,杨圣洪,唐伟,段明星,吕婷,
申请(专利权)人:湖南匡安网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。