System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种基于深度学习的工业控制网络入侵检测方法和系统技术方案_技高网

一种基于深度学习的工业控制网络入侵检测方法和系统技术方案

技术编号:40084183 阅读:5 留言:0更新日期:2024-01-23 15:11
本申请提供的一种基于深度学习的工业控制网络入侵检测方法和系统,具有如下技术效果:其通过获取工业互联网中各个设备之间传输的网络数据,并对所述的网络数据预处理,通过自编码器对预处理后的网络数据进行流量数据特征的提取,基于CNN提取数据的空间特征,在对空间特征进行时间排列后,使用Bi‑LSTM来挖掘网络流量数据的时间特征,即在入侵检测模型的特征提取中,同时在空间层面和时间层面考虑特征之间的关系,提高了分类的准确性;同时,通过结合注意力机制对每个时间步长的输出进行加权和求和,以保留重要信息,将提取得到的特征向量输入到全连接层的分类模块中,输出检测结果,具有较高的分类精度和较低的误报率。

【技术实现步骤摘要】

本专利技术涉及工业互联网网络安全领域,具体涉及一种基于深度学习的工业控制网络入侵检测方法和系统


技术介绍

1、工业互联网(industrial internet)是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径。但是,伴随人工智能、量子计算等数字技术的持续发展和创新应用,新型的网络攻击技术不断衍生,,如何加强工业互联网网络安全是一个亟待研究的关键问题。

2、入侵检测技术利用主动防御来保护网络。它是一种广泛应用于网络安全的技术和管理手段。入侵检测技术使用相应的算法来建立模型,并使用该模型来训练和测试网络流量数据,以检测攻击的存在。传统的入侵检测方法只能在较浅的层面上学习网络流量数据,而不能学习其深层含义,因此无法准确地学习网络流量的特征。

3、然而,通过对现有入侵检测方法的分析发现,现有的入侵检测模型训练效率低,检测能力不足,结构单一,准确率低。此外,现有的模型没有充分考虑特征之间的关系,导致误报率很高。


技术实现思路

1、本专利技术要解决的技术问题是针对上述技术方案的不足,提供一种基于深度学习的工业控制网络入侵检测方法和系统,其不仅提高了分类的准确性,同时还具有较低的误报率。

2、为了实现上述目的,根据本专利技术的一个方面,提供一种基于深度学习的工业控制网络入侵检测方法,其包括以下步骤:

3、步骤(1):获取工业互联网中各个设备之间传输的网络数据,并对所述的网络数据预处理;

4、步骤(2):通过自编码器对预处理后的网络数据进行流量数据特征的提取,并降低数据的维数;

5、步骤(3):基于cnn提取数据的空间特征,在对空间特征进行时间排列后,使用bi-lstm来挖掘网络流量数据的时间特征;

6、步骤(4):通过结合注意力机制对每个时间步长的输出进行加权和求和,以保留重要信息;

7、步骤(5):将提取得到的特征向量输入到全连接层的分类模块中,输出检测结果。

8、优选地,所述步骤(1)中对所述的网络数据预处理包括对字符类型特征进行数值化处理和数据的归一化处理。

9、容易理解的,深度学习模型不能处理字符类型特征,它只能处理数值类型特征,因此,需要将是指将字符类型特征转换为数值类型特征。因此,可以使用one-hot编码对数据集进行编码,并在字符特征向量和相应的数值特征之间建立一对一的映射,得到其对应的数值数据集。

10、容易理解的,由于网络流量数据的特征值存在较大差异,导致学习的过程中速度较慢,会影响了模型的训练效果。因此,在数据预处理阶段,有必要进行数据的归一化处理。具体的归一化处理公式如下:

11、

12、其中,x'是归一化后的数据,x是当前待处理数据,xmin是特征属性中的最小值,xmax是特征特性中的最大值。

13、优选地,所述步骤(2)中通过自编码器对预处理后的网络数据进行流量数据特征的提取,并降低数据的维数具体为:

14、处理的过程分为编码和解码,编码过程从原始输入数据中提取特征,解码过程是根据学习到的特征重构输入数据;其中,编码和解码的公式分别为:

15、h=f(x)=s(w1x+p)

16、xout=g(h)=s(w2h+q)

17、其中,x为编码器输入向量,h为编码后的数值,xout为输出向量,f(x)为编码函数,g(h)为解码函数,s(x)为激活函数,w1为从输入层到隐藏层的权重矩阵,w2为从隐藏层到输出层的权重阵,p和q均为偏置矢量。

18、优选地,为了使cnn更好地识别网络流量数据,所述步骤(3)中基于cnn提取数据的空间特征具体包括通过组合多个大小的卷积核来形成cnn,卷积核s(i,j)的定义公式如下所示:

19、s(i,j)=(x,w)(i,j)=∑m∑nx(i+m,j+n)w(m,n)

20、其中,x是输入矩阵,w是相应的卷积核矩阵,m、n为阶数,i、j为序数。

21、激活函数采用relu激活函数,其公式如下所示:

22、

23、其中,x为激活函数输入值。

24、cnn神经网络的定义如下。

25、

26、其中,s表示神经元的保留概率,b(s)表示二项分布函数,mn表示满足二项分布的随机向量,xn表示神经网络第n层中神经元的输出值向量,表示随机阻塞后神经网络第n层中神经元输出值向量,是在第n+1层的第i个神经元的神经元向量,是在第n+1层的第i个神经元的偏置,表示在第n+1层的第i个神经元的激活函数的输入值,表示在第n+1层的第i个神经元的激活函数的输出值。

27、优选的,所述步骤(3)中使用bi-lstm来挖掘网络流量数据的时间特征具体为:bi-lstm网络结构有四层:输入层、正向lstm层、反向lstm层和输出层;输入层负责对输入数据进行编码,以满足网络的输入要求,前向lstm层负责提取从输入序列向前发送的序列信息,后向lstm层负责提取从输入序列向后发送的序列信息,输出层集成来自前向lstm和后向lstm的输出信息。对于给定输入序列,bi-lstm的前向传输和后向传输过程计算如下方程所示。

28、

29、其中,wt是权重矩阵,bt是偏置向量,ft表示遗忘门的输出,σ表示sigmoid激活函数,wf表示忘记门的权重。ht-1表示前一个单元格的隐含状态,xt表示当前输入,bf表示遗忘门的偏差值;表示更新后的向量;ot表示输出门的输出,wo表示输出门重,bo表示输出门偏差值,ht表示当前神经单元的隐含状态。

30、和分别表示在时间t-1的前后方向上的lstm输出,并且两者连接到同一输出,bi-lstm的输出向量ht可以由以下等式表示。

31、

32、其中,以五种方式表示bi-lstm输出的组合:sum、mul、ave、concat和none。

33、在bi-lstm网络中,lstm网络结构中的输入门、遗忘门和输出门都被sigmoid函数激活,如下公式所示:

34、

35、其中,x为激活函数输入值。

36、当在lstm网络的隐藏层中生成候选值向量时,tanh激活函数用于非线性映射变换,如下方程所示:

37、

38、sigmoid函数可以将输出值设置在0和1之间,并实现非线性变换;0和1之间的输出值使三个门控单元能够实现打开或关闭状态,从而实现它们的控制功能。tanh激活函数通过仅对数据进行一次线性变换和非线性映射来增强非线性模型的容量。用tanh函数映射得到的结果分布在[-1,1]的区间内。优点是函数关于原点是完全对称的,并且函数在原点的梯度最大,这可以使模型更快地收敛。

...

【技术保护点】

1.一种基于深度学习的工业控制网络入侵检测方法,其特征在于,包括以下步骤:

2.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(1)中对所述的网络数据预处理包括对字符类型特征进行数值化处理和数据的归一化处理。

3.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(2)中通过自编码器对预处理后的网络数据进行流量数据特征的提取,并降低数据的维数具体为:所述流量数据特征的提取过程分为编码和解码,编码和解码的公式分别为:

4.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(3)中基于CNN提取数据的空间特征具体包括通过组合多个大小的卷积核来形成CNN,卷积核s(i,j)的定义公式如下所示:

5.根据权利要求4所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,CNN神经网络的定义如下:

6.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(3)中使用Bi-LSTM来挖掘网络流量数据的时间特征具体为:Bi-LSTM网络结构有四层:输入层、正向LSTM层、反向LSTM层和输出层;输入层负责对输入数据进行编码,以满足网络的输入要求,前向LSTM层负责提取从输入序列向前发送的序列信息,后向LSTM层负责提取从输入序列向后发送的序列信息,输出层集成来自前向LSTM和后向LSTM的输出信息,对于给定输入序列,Bi-LSTM的前向传输和后向传输过程计算如下方程所示:

7.根据权利要求6所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,在Bi-LSTM网络中,LSTM网络结构中的输入门、遗忘门和输出门均采用sigmoid函数激活,如下公式所示:

8.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(4)中通过结合注意力机制对每个时间步长的输出进行加权和求和,以保留重要信息具体为:

9.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(5)中将提取得到的特征向量输入到全连接层的分类模块中,输出检测结果具体为:所述分类模块采用Softmax函数,其将每个单元的输出值转换为范围从0到1的概率分布,其表达式如下:

10.一种基于深度学习的工业控制网络入侵检测系统,其特征在于,其包括:

...

【技术特征摘要】

1.一种基于深度学习的工业控制网络入侵检测方法,其特征在于,包括以下步骤:

2.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(1)中对所述的网络数据预处理包括对字符类型特征进行数值化处理和数据的归一化处理。

3.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(2)中通过自编码器对预处理后的网络数据进行流量数据特征的提取,并降低数据的维数具体为:所述流量数据特征的提取过程分为编码和解码,编码和解码的公式分别为:

4.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(3)中基于cnn提取数据的空间特征具体包括通过组合多个大小的卷积核来形成cnn,卷积核s(i,j)的定义公式如下所示:

5.根据权利要求4所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,cnn神经网络的定义如下:

6.根据权利要求1所述的一种基于深度学习的工业控制网络入侵检测方法,其特征在于,所述步骤(3)中使用bi-lstm来挖掘网络流量数据的时间特征具体为:bi-lstm网络结构有四层:输入层、正向ls...

【专利技术属性】
技术研发人员:吕明玮杨晓欧柯伟王昌奎王华昌张文霞杨晨曹志强刘铭洋
申请(专利权)人:国网新疆电力有限公司营销服务中心资金集约中心计量中心
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1