【技术实现步骤摘要】
本专利技术涉及工业自动化和网络安全,具体涉及一种基于多模型数据增强的工控流量异常检测方法及系统。
技术介绍
1、在工业自动化和网络安全领域,工控系统的安全性和可靠性对于保护生产过程和数据资产至关重要。然而,工控系统面临着越来越多的安全威胁,包括网络攻击、恶意代码和异常流量等。因此,开发一种高效的工控流量异常检测系统对于及时发现和应对这些安全威胁至关重要。
2、传统的工控流量异常检测方法往往依赖于手动配置规则或使用基于统计的方法来检测异常流量。然而,这些方法具有局限性,无法适应不断变化的网络攻击技术和复杂的工控系统环境。此外,由于工控系统的特殊性,传统的机器学习和深度学习方法在工控流量异常检测中也面临一些挑战,如数据稀缺、数据分布不平衡和模型的解释性等问题。
技术实现思路
1、本专利技术的目的在于,提出一种基于多模型数据增强的工控流量异常检测方法及系统,其对实时的工控流量数据进行快速分析和处理,准确地识别出可能存在的异常流量,将异常信息和应对策略以区块链智能合约方式进行存储和发布。
2、为实现上述目的,本申请提出的一种基于多模型数据增强的工控流量异常检测方法,包括:
3、获取实际工控场景中来自上位交换机镜像而出的网络层流量即pcap包;
4、将所述pcap包输入至数据增强模块,对数据进行清洗降噪、升维,生成平衡数据;
5、所述平衡数据传输至多模型异常检测模块;
6、将多模型异常检测模块识别出的异常结果交给判定规则
7、通过判定规则得到的判定结果输入至区块链智能合约模块,将判定为异常的信息存储到区块链的分布式数据库中;
8、根据本地物理ip信息进行资产识别,生成网络拓扑图,将异常信息中包含的ip及端口反射在网络拓扑图中;
9、通过异常信息生成访问智能合约、应对策略,如,进行防火墙等级调整、流量限制断开连接等操作。
10、进一步地,对数据进行清洗降噪、升维,生成平衡数据,具体为:
11、对数据进行清洗降噪后输入至pb神经网络进行升维处理;
12、将升维后的数据传输至生成式对抗网络cgan的判别器和生成器,得到伪样本。
13、进一步地,所述多模型异常检测模块包括1dcae-svdd模型、cae+ocsvm模型、hybrid lstm with 1d-cnn模型、saae-dnn模型,其中1dcae-svdd模型、cae+ocsvm模型作为二分类判别依据,hybrid lstm with 1d-cnn模型、saae-dnn模型作为多分类的判别依据。
14、进一步地,使用三阶段训练方式训练1dcae-svdd模型,具体为:
15、将平衡数据输入到一维自动编码器1dcae结构进行预训练;在预训练阶段,接收训练样本,并将其通过网络层逐步传递,直至形成瓶颈层的特征向量;该特征向量并不进入svdd,而是进入解码网络进行输入的重构;根据重构误差进行反向传播,调整1dcae结构的网络参数;
16、将一维自动编码器1dcae与svdd相连接,接收训练样本,当样本进入瓶颈层后形成特征向量,该特征向量直接进入svdd;根据超球体损失进行反向传播再次训练一维自动编码器1dcae和svdd;
17、将一维自动编码器1dcae与svdd、解码网络进行连接,接收训练样本,通过一维自动编码器得到特征向量,该特征向量同时传递给解码网络和svdd;根据联合损失进行反向传播来训练一维自动编码器1dcae、解码网络和svdd结构。
18、进一步地,所述解码网络以n维特征向量hn=h1,h2,…,hn输入,重构初始输入向量,具体为:
19、
20、其中φde为解码网络,wde和bde为解码网络参数。
21、更进一步地,所述联合损失为:
22、
23、其中φae是一维自动编码器1dcae,wen是联合训练后的一维自动编码器1dcae的所有参数;wae是联合训练后的一维自动编码器1dcae的所有参数;β和η负责均衡重构误差和映射点到超球体球心的距离损失;c是超球体的球心;xi是样本;n为样本总数。
24、更进一步地,所述判定规则为:采用排列组合方式对四个模型得到的异常结果进行判别,划分为错误识别,疑似异常、类型未知,疑似异常、类型已知,异常、疑似确定异常类型,异常、确定类型,异常、未知类型,异常、类型疑似确定两个类型异常,并划分对应的风险级别,方便后续模块处理。
25、更进一步地,根据pcap包中的ip信息、物理地址、端口号信息通过知识图谱方式绘制网络拓扑图。
26、更进一步地,所述访问智能合约、应对策略存储到区块链的分布式数据库中,存储确保数据安全。
27、本专利技术还提供一种基于多模型数据增强的工控流量异常检测系统,包括:
28、数据增强模块,对pcap包的数据进行清洗降噪、升维,生成平衡数据;
29、多模型异常检测模块,用于接受数据增强模块输出的数据,并将识别出的异常结果交给判定规则;
30、区块链智能合约模块,将判定为异常的信息存储到区块链的分布式数据库中;并将异常信息中包含的ip及端口反射在网络拓扑图中;通过异常信息生成访问智能合约、应对策略。
31、本专利技术采用的以上技术方案,与现有技术相比,具有的优点是:
32、1、在数据处理阶段引入双神经网络对原始数据进行数据增强。pb神经网络解决了从传统pcap包中提取为csv导致数据降维的问题,使得模型可以获得更多特征,能够提高异常检测的准确性和鲁棒性,同时引入生成式对抗网络,使系统可以扩充有限的训练数据集,提高模型的泛化能力和适应性、解决实际工控场景下数据集分布不均、数据不平衡等问题。数据增强技术可以通过对原始数据进行变换、扩展或合成,生成更多样化的数据样本。这样可以减少模型对大量标记数据的依赖,提高模型对未知流量的适应能力和鲁棒性。
33、2、在异常检测阶段选择多模型异常检测方式并设计异常判定规则,通过使用多个模型的集成,能够综合不同模型的优势,并提高异常检测的准确性和鲁棒性。这种集成方式可以充分发挥每个模型的潜力,并减少单一模型的局限性、减轻系统误报带来的影响,增强系统可信度及检测性能。
34、3、选择二分类模型和多分类模型混合构建异常检测模块,增强对未知、新型异常的检测能力。构建异常判定规则,判定异常类型,根据部署环境可对模型数量进行扩充。
35、4、使用三阶段训练方式来训练二分类模型,与传统先降维后分类方式不同,所设计的多目标联合优化方案解决自编码器和支持向量数据描述在流量特征提取以及超球体拟合存在的固有问题。为实现模型最优检测精度并解决收敛缓慢问题。同时三阶段训练优化算法整体训练过程只需要收集正常行为流量,通过刻画常规流量空间检测网络异常行为,降低对多类别攻击流量数据集依赖。
36、5本文档来自技高网...
【技术保护点】
1.一种基于多模型数据增强的工控流量异常检测方法,其特征在于,包括:
2.根据权利要求1所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,对数据进行清洗降噪、升维,生成平衡数据,具体为:
3.根据权利要求1所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,所述多模型异常检测模块包括1DCAE-SVDD模型、CAE+OCSVM模型、Hybrid LSTM with1D-CNN模型、SAAE-DNN模型,其中1DCAE-SVDD模型、CAE+OCSVM模型作为二分类判别依据,Hybrid LSTM with 1D-CNN模型、SAAE-DNN模型作为多分类的判别依据。
4.根据权利要求3所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,使用三阶段训练方式训练1DCAE-SVDD模型,具体为:
5.根据权利要求4所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,所述解码网络以n维特征向量Hn=h1,h2,…,hn输入,重构初始输入向量,具体为:
6.根据权利要求1所述一种基于多模
7.根据权利要求1所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,所述判定规则为:采用排列组合方式对四个模型得到的异常结果进行判别,划分为错误识别,疑似异常、类型未知,疑似异常、类型已知,异常、疑似确定异常类型,异常、确定类型,异常、未知类型,异常、类型疑似确定两个类型异常,并划分对应的风险级别。
8.根据权利要求1所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,根据PCAP包中的IP信息、物理地址、端口号信息通过知识图谱方式绘制网络拓扑图。
9.根据权利要求1所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,所述访问智能合约、应对策略存储到区块链的分布式数据库中。
10.一种基于多模型数据增强的工控流量异常检测系统,用于实现权利要求1-9任一项所述方法,其特征在于,包括:
...【技术特征摘要】
1.一种基于多模型数据增强的工控流量异常检测方法,其特征在于,包括:
2.根据权利要求1所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,对数据进行清洗降噪、升维,生成平衡数据,具体为:
3.根据权利要求1所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,所述多模型异常检测模块包括1dcae-svdd模型、cae+ocsvm模型、hybrid lstm with1d-cnn模型、saae-dnn模型,其中1dcae-svdd模型、cae+ocsvm模型作为二分类判别依据,hybrid lstm with 1d-cnn模型、saae-dnn模型作为多分类的判别依据。
4.根据权利要求3所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,使用三阶段训练方式训练1dcae-svdd模型,具体为:
5.根据权利要求4所述一种基于多模型数据增强的工控流量异常检测方法,其特征在于,所述解码网络以n维特征向量hn=h1,h2,…,hn...
【专利技术属性】
技术研发人员:王洁,范搏栋,黄文博,孔维强,侯刚,
申请(专利权)人:大连理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。