【技术实现步骤摘要】
本专利技术涉及数据分析,更具体地说,本专利技术涉及一种大规模工控网络异常检测方法。
技术介绍
1、随着新一轮工业革命的到来,传统工业控制系统(i cs)正逐步与信息技术高度融合,工业生产过程智能化已成为主流趋势。近年来,i cs从最初的基于特定操作系统和通信协议逐步扩展为基于通用操作系统和标准通信协议,有效地降低了系统的开发成本、缩短了系统的开发周期,但同时也给系统带来了一定的安全隐患。由于i cs中包含生产过程中的关键信息,一旦信息安全出现问题,不仅会使系统功能丧失还可能会导致人员伤亡、环境污染等重大事故。因此,关于一种大规模工控网络异常检测方法的研究,具有深远意义。
2、通过针对企业信息网络与过程控制网络之间可能存在的异常通信行为,充分挖掘通信链路上数据包的各种相关信息,提出一种利用机器学习预测工业控制网络通信异常的方法。
技术实现思路
1、本专利技术针对现有技术中存在的技术问题,提供一种大规模工控网络异常检测方法,通过机器学习预测工业控制网络通信行为是否异常,以解决上述
技术介绍
中提出的问题。
2、本专利技术解决上述技术问题的技术方案如下:一种大规模工控网络异常检测方法,具体包括以下步骤:
3、步骤101、通过监视器抓取到工控网络中所有的通信数据包,获取通信数据;
4、步骤102、利用主成分分析法对采集的原始通信数据进行降维处理;
5、步骤103、从收集到的原始数据中提取与通信异常相关的特征,使用信息熵方法来构建特征集
6、步骤104、为数据样本打上标签,将正常通信和异常通信进行分类标注;
7、步骤105、通过离线训练的分类器结合神经网络算法,实现对工业控制网络通信在线数据的异常检测;
8、步骤106、根据异常检测的结果,将异常数据点与已知的攻击类型进行匹配和分类。
9、在一个优选地实施方式中,所述步骤101中,在交换机上配置端口镜像,并进行数据包解码,在协议分析器中使用过滤器对捕获到的数据包进行过滤,从工控网络中获取通信数据,具体步骤如下:
10、步骤1、配置端口镜像:在交换机上配置端口镜像,将指定端口的所有进出流量复制到指定的监视服务器,通过监视器抓取到网络中所有的通信数据包;
11、步骤2、数据包解码:完成步骤1配置端口镜像后,在监控端口上,使用协议分析器打开抓取到的数据包文件,在软件中进行数据包解码操作,解析出工控网络所使用的协议;
12、步骤3、过滤数据包:完成步骤2数据包解码后,在协议分析器中使用过滤器对捕获到的数据包进行过滤,通过指定源ip地址、目的ip地址、端口号、协议类型、数据包大小和传输速率,来过滤出工控网络中需要的通信数据。
13、在一个优选地实施方式中,所述步骤102中,通过从采集的原始数据中进行特征提取,并将原始数据转换为能够反映样本特征的向量表示,利用主成分分析法对采集的原始通信数据进行降维处理,保证数据特征值选取的科学性,具体步骤如下:
14、步骤1、数据标准化:将选取的特征,包括源ip地址、目的ip地址、端口号、协议类型、数据包大小和传输速率,分别记为x1,x2,x3,x4,x5,x6,对于采集的m条网络通信数据,将每个数据转换成一个向量x=[x1,x2,x3,x4,x5,x6],第i条数据的向量表示为xi,根据计算每个特征的均值、标准差结果,标准化每个特征,具体步骤如下:
15、步骤a1、计算每个特征的均值,具体计算公式如下:
16、
17、其中,xij表示第i个样本的第j个特征值,m表示样本数量,uj表示每个特征的均值;
18、步骤a2、计算每个特征的标准差,具体计算公式如下:
19、
20、其中,σj表示每个特征的标准差,xij表示第i个样本的第j个特征值,m表示样本数量,uj表示每个特征的均值;
21、步骤a3、标准化每个特征,具体计算公式如下:
22、
23、其中,xij'表示每个特征的标准化,σj表示每个特征的标准差,xij表示第i个样本的第j个特征值,uj表示每个特征的均值;
24、步骤2、计算协方差矩阵:完成步骤1数据标准化后,构建m×n的矩阵x',其中每行代表一个样本,每列代表一个特征,具体计算公式如下:
25、
26、其中,c表示协方差矩阵,m表示,x't表示x'矩阵的逆矩阵;
27、步骤3、特征值分解:完成步骤2计算协方差矩阵后,对协方差矩阵c进行特征值分解,得到特征值λ1,λ2,...,λn和相应的特征向量v1,v2,...,vn;
28、步骤4、特征值排序与选择:完成步骤3特征值分解后,将特征值按从大到小的顺序排序,选择前k个较大的特征值对应的特征向量作为主成分,构成一个k×n的矩阵p;
29、步骤5、降维变换:完成步骤4特征值排序与选择后,将原始数据x'投影到主成分矩阵p上,得到降维后的数据z,维度为m×k,k表示选择的主成分个数,具体计算公式如下:
30、z=x'×pt
31、其中,z表示降维后的数据,x'表示原始数据,pt主成分矩阵p的逆矩阵。
32、在一个优选地实施方式中,所述步骤103中,从收集到的原始数据中提取与通信异常相关的特征,使用信息熵方法来构建特征集,根据量化信号的随机性,计算离散信号的信息熵,将计算得到的信息熵作为特征加入特征集中,具体步骤如下:
33、步骤1、在工业控制网络通信异常预测中,将数据按照时间步进行划分,并将每个时间步的通信流量作为一个离散信号进行处理,具体计算公式如下:
34、
35、其中,h(x)表示信息熵,x={x1,x2,...,xn}表示数据序列,pi是xi出现的概率,满足
36、步骤2、对于一个长度为n的数据序列x,将其划分成m个长度为l的子序列,其中,对于每个子序列xk,代入上述公式中,计算其信息熵h(xk),将所有子序列的信息熵组成特征向量,得到了一个长度为m的特征向量,用于表示原始数据序列的信息熵特征,具体计算公式如下:
37、f(x)=[h(x1),h(x2),...,h(xm)]
38、其中,f(x)表示信息熵组成特征向量,[h(x1),h(x2),...,h(xm)]表示子序列的信息熵。
39、在一个优选地实施方式中,所述步骤104中,使用分类算法对网络通信数据进行分类,为数据样本打上标签,正常通信标记为0,异常通信标记为1,使用已标记的正常和异常样本构建训练集,以便训练模型能够学习区分正常和异常的模式,具体步骤如下:
40、步骤1、分类算法:对于一个输入样本x=(x1,x2,...,xn),其中xi表示第i个特征的取值,逻辑回归模型的输出为:
41、y=sigmoid(w0+w1x1+w2x2+...+wnxn)
本文档来自技高网...【技术保护点】
1.一种大规模工控网络异常检测方法,其特征在于,具体包括以下步骤:
2.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于:所述步骤101中,在交换机上配置端口镜像,并进行数据包解码,在协议分析器中使用过滤器对捕获到的数据包进行过滤,从工控网络中获取通信数据,具体步骤如下:
3.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于,所述步骤102中,通过从采集的原始数据中进行特征提取,并将原始数据转换为能够反映样本特征的向量表示,利用主成分分析法对采集的原始通信数据进行降维处理,通过对数据标准化,计算协方差矩阵,实现降维变换,具体步骤如下:
4.根据权利要求3所述的一种大规模工控网络异常检测方法,其特征在于,所述实现降维变换,将计算得到的协方差矩阵进行特征值分解,并将特征值按从大到小的顺序排序,通过原始数据X'投影到主成分矩阵P上,得到降维后的数据Z,具体步骤如下:
5.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于,所述步骤103中,从收集到的原始数据中提取与通信异常相关的特征,使用信息熵方法
6.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于,所述步骤104中,使用分类算法对网络通信数据进行分类,为数据样本打上标签,正常通信标记为0,异常通信标记为1,使用已标记的正常和异常样本构建训练集,以便训练模型能够学习区分正常和异常的模式,在训练过程中,使用梯度下降优化算法,对模型参数进行更新,具体步骤如下:
7.根据权利要求6所述的一种大规模工控网络异常检测方法,其特征在于,所述使用梯度下降优化算法,对模型参数进行更新,在训练过程中,最小化损失函数,具体步骤如下:
8.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于,所述步骤105中,基于神经网络模型的输出和阈值,定义异常检测计算公式,通过离线训练的分类器结合神经网络算法,实现对工业控制网络通信在线数据的异常检测,具体步骤如下:
9.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于,所述步骤106中,根据异常检测的结果,将异常数据点与已知的攻击类型进行匹配和分类,识别出攻击类型,利用分类模型的决策函数来计算异常数据点属于每个攻击类型的概率,通过分析攻击类型及其特征,加强网络防御,具体步骤如下:
10.根据权利要求9所述的一种大规模工控网络异常检测方法,其特征在于,所述利用分类模型的决策函数来计算异常数据点属于每个攻击类型的概率,通过分析攻击类型及其特征,加强网络防御,具体步骤如下:
...【技术特征摘要】
1.一种大规模工控网络异常检测方法,其特征在于,具体包括以下步骤:
2.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于:所述步骤101中,在交换机上配置端口镜像,并进行数据包解码,在协议分析器中使用过滤器对捕获到的数据包进行过滤,从工控网络中获取通信数据,具体步骤如下:
3.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于,所述步骤102中,通过从采集的原始数据中进行特征提取,并将原始数据转换为能够反映样本特征的向量表示,利用主成分分析法对采集的原始通信数据进行降维处理,通过对数据标准化,计算协方差矩阵,实现降维变换,具体步骤如下:
4.根据权利要求3所述的一种大规模工控网络异常检测方法,其特征在于,所述实现降维变换,将计算得到的协方差矩阵进行特征值分解,并将特征值按从大到小的顺序排序,通过原始数据x'投影到主成分矩阵p上,得到降维后的数据z,具体步骤如下:
5.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在于,所述步骤103中,从收集到的原始数据中提取与通信异常相关的特征,使用信息熵方法来构建特征集,根据量化信号的随机性,计算离散信号的信息熵,将计算得到的信息熵作为特征加入特征集中,具体步骤如下:
6.根据权利要求1所述的一种大规模工控网络异常检测方法,其特征在...
【专利技术属性】
技术研发人员:周显敬,刘虎,汪寒雨,黄银地,徐玉圆,桂顺,王博,罗刘宇,
申请(专利权)人:武汉卓尔信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。