【技术实现步骤摘要】
本专利技术属于工业互联网安全,尤其涉及一种工控网络入侵检测方法及装置。
技术介绍
1、随着计算机技术的发展,网络成为了生产生活中不可缺少的工具,及时有效地检测和防御网络攻击是网络安全领域的重要课题。异常行为检测作为一种有效的攻击防护手段,能够检测本地异常,进而防护网络攻击行为,正在受到越来越多的关注。
2、工业控制系统是指用于自动化工业过程的设备、网络与控制系统,常用于电力、水、石油、天然气与多种制造业场景。由于工业控制系统在生产生活中的重要性,其安全性直接关系到基础工业设施生产的正常运行。
3、近年来,人工智能技术取得了突破性的进展,尤其是深度学习和大规模模型的出现,为各个领域带来了革命性的变化。在网络安全领域,人工智能也展现出了强大的潜力,可以帮助分析海量的网络数据,提取有用的特征,识别异常流量和攻击行为。
4、入侵检测系统(intrusion detection system,ids)是一种通过监测计算机系统状态,分析其异常行为或特征,发现并阻止潜在的入侵行为的技术工具。网络入侵检测系统(network-based intrusion detection system,nids)是实现网络入侵检测的软硬件设备或系统,通常部署在网络的关键节点或边缘,如路由器、交换机、防火墙等。主机入侵检测系统(host-based intrusion detection system,hids)是一种基于主机的入侵检测系统,通过监视主机上的系统日志、文件和进程等活动来检测潜在的入侵行为,旨在检测单个计算机
5、目前的入侵检测系统多为基于异常的流量检测,异常检测(anomaly detection)是一种数据挖掘技术,用于识别数据集中与正常模式不符合的数据点,也称为异常值或离群值。异常检测的目的是发现数据中的潜在问题或错误,或者提取有价值的信息。异常检测的方法可以分为基于统计的方法、基于距离的方法和基于密度的方法等。如:
6、(1)《anomaly detection in network traffic using robust principalcomponent analysis》:这篇文章提出了一种基于稳健主成分分析(rpca)的异常流量检测方法,它可以将网络流量分解为正常部分和异常部分,并利用异常部分的稀疏性来检测异常。该方法的缺点是它需要预先设定一个阈值来判断异常,而这个阈值可能难以确定或不适用于不同的场景。
7、(2)《anomaly detection in network traffic using graph neuralnetworks》:这篇文章提出了一种基于图神经网络(gnn)的网络异常检测方法,它可以利用图结构来表示网络流量中的复杂关系,并使用gnn来提取图特征和进行分类。该方法的缺点是它需要构建合适的图结构来表示网络流量,而这个过程可能需要人工干预或依赖于特定的协议或场景。
8、(3)《anomaly detection in network traffic using self-supervised andmulti-task learning》:这篇文章提出了一种基于自监督和多任务学习的网络异常检测方法,它可以使用正常数据来训练一个3d卷积神经网络,通过联合学习多个代理任务来产生有区别的异常特定信息。该方法的缺点是它需要预先设定一个阈值来判断异常,而且它只适用于视频格式的网络流量。
技术实现思路
1、针对现有技术存在的问题,本申请实施例的目的是提供一种工控网络入侵检测方法及装置,利用关键设备识别方法识别出面对网络入侵风险最大的设备,再利用mobilevit的优势将系统日志数据转换为图像,并进行自注意力机制的学习,从而提高检测精度和效率,降低工控网络整体安全风险。
2、根据本申请实施例的第一方面,提供一种工控网络入侵检测方法,包括:
3、扫描工控网络中的设备连接情况,利用介数中心性对工控网络进行关键设备分析;
4、获取带有标签的系统日志数据,将所述系统日志数据编码为灰度图像,从而构建训练集,其中所述标签为“正常”或“异常”;
5、利用所述训练集对入侵检测网络进行训练,其中所述入侵检测网络采用mobilevit;
6、获取关键设备的系统日志数据并转化为待测灰度图像;
7、利用训练后的入侵检测网络对所述待测灰度图像进行分类,从而判断所述关键设备是否被入侵。
8、进一步地,扫描网络设备连接情况,利用介数中心性对网络进行关键设备分析,包括:
9、使用主动扫描或被动扫描的方式获取工控网络中的设备连接情况,得到网络拓扑图;
10、使用介数中心性算法来计算网络拓扑图中每个节点的权重,从而根据权重确定关键设备。
11、进一步地,使用介数中心性算法来计算网络拓扑图中每个节点的权重,具体为:
12、计算网络拓扑图中每个节点的介数中心性,将得到的介数中心性值作为节点的权重,其中介数中心性用于表示一个顶点出现在其他任意两个顶点对之间最短路径上的次数。
13、进一步地,节点的介数中心性的计算公式为
14、,
15、其中代表节点集合,代表经过节点的到的最短路径条数,代表节点到的所有最短路径条数。
16、进一步地,将所述系统日志数据编码为灰度图像,包括:
17、获取带标签的系统日志数据,对所述系统日志数据进行切割,保留前1024个字节,不足1024字节的在后面补充0x00;
18、将截取后的数据按二进制形式转化为灰度图像。
19、进一步地,对于系统日志数据转换得到的灰度图片,mobilevit做以下处理:
20、(i)对输入的灰度图像做3×3标准卷积;
21、(ii)通过3次mobilenetv2 block,并做2倍下采样;
22、(iii)间隔通过mobilenetv2 block与mobilevit block,共重复三次,并做2倍下采样;
23、(iv)使用1×1卷积进行通道压缩;
24、(v)进行全局平均池化。
25、根据本申请实施例的第二方面,提供一种工控网络入侵检测装置,包括:
26、关键设备分析模块,用于扫描工控网络中的设备连接情况,利用介数中心性对工控网络进行关键设备分析;
27、训练集构建模块,用于获取带有标签的系统日志数据,将所述系统日志数据编码为灰度图像,从而构建训练集;
28、网络训练模块,用于利用所述训本文档来自技高网...
【技术保护点】
1.一种工控网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,扫描网络设备连接情况,利用介数中心性对网络进行关键设备分析,包括:
3.根据权利要求2所述的方法,其特征在于,使用介数中心性算法来计算网络拓扑图中每个节点的权重,具体为:
4.根据权利要求3所述的方法,其特征在于,节点的介数中心性的计算公式为
5.根据权利要求1所述的方法,其特征在于,将所述系统日志数据编码为灰度图像,包括:
6.根据权利要求1所述的方法,其特征在于,对于系统日志数据转换得到的灰度图片,MobileViT做以下处理:
7.一种工控网络入侵检测装置,其特征在于,包括:
8.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现如权利要求1-6任一项所述的方法。
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-6中任一项所述方法的步骤。
【技术特征摘要】
1.一种工控网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,扫描网络设备连接情况,利用介数中心性对网络进行关键设备分析,包括:
3.根据权利要求2所述的方法,其特征在于,使用介数中心性算法来计算网络拓扑图中每个节点的权重,具体为:
4.根据权利要求3所述的方法,其特征在于,节点的介数中心性的计算公式为
5.根据权利要求1所述的方法,其特征在于,将所述系统日志数据编码为灰度图像,包括:
6.根据权利...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。