一种工控网络入侵检测方法技术

本发明专利技术属于工控网络安全领域，公开了一种工控网络入侵检测方法。通过TPFSM模型从宏观角度通过异常状态、异常状态跳转、异常状态持续时间、异常状态跳转间隔以及异常跳转概率五个维度进行异常检测，将TPFSM模型与CNN‑LSTM‑ATTENTION时序入侵检测模型结合，综合考虑工业控制系统的业务逻辑与时序性、周期性、稳定性特点，进行微观的关键传感器设备连续值预测，以此构建双重入侵检测机制，提高入侵检测算法的准确率，对WOA算法进行了改进，将其应用于对CNN‑LSTM‑ATTENTION网络的参数和结构进行训练以得到最优的网络模型，避免了主观经验设置的影响，有效提高了准确率与检测速度。

【技术实现步骤摘要】

本专利技术涉及工控网络安全领域，尤其涉及一种工控网络入侵检测方法。

技术介绍

1、由于工业控制网络已经从相对封闭的局域性质网络发展为工业互联网，而传统的工控系统未充分考虑与外网通信后所产生的诸多安全问题，工控网络对外部的攻击防御相对薄弱，同时工业网络具有高价值性以及其受到攻击后的高危害性，导致工业互联网已成为当下不法分子的攻击首选目标，由此给工业网络环境安全带来了严重威胁，极大阻碍了各个国家的工业发展。

2、入侵检测技术是网络安全监测的关键技术，入侵检测系统(ids)采用一定的安全配置策略，监控网络并获取系统当前状态，同时探测是否存在恶意行为的流量，分析并展示当前网络的安全状况，从而监测整个工控网络的安全态势。

3、近年来针对工控系统的基于监督学习的方法由于工控系统数据庞大，异常数据难以全面收集，因此在实际应用中难以取得研究中的理想效果。而无监督方法通过对正常数据进行学习，建立工控系统运行的正常基线模型，在实际应用中可对不符合正常模型的异常数据进行有效检测，因此对于工控入侵检测的无监督学习是未来重要的研究方向。而在无监督学习方面，针本文档来自技高网...

【技术保护点】

1.一种工控网络入侵检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述离散数值序列构建如下：

3.根据权利要求1或2所述的工控网络入侵检测方法，其特征在于，所述TPFSM模型定义为一个四元组G，具体表示为：

4.根据权利要求3所述的工控网络入侵检测方法，其特征在于，所述TPFSM模型构建的具体步骤为：

5.根据权利要求4所述的工控网络入侵检测方法，其特征在于，所述TPFSM模型认为出现异常攻击的情况如下：

6.根据权利要求5所述的工控网络入侵检测方法，其特征在于，所述改进的鲸鱼优...

【技术特征摘要】

1.一种工控网络入侵检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述离散数值序列构建如下：

3.根据权利要求1或2所述的工控网络入侵检测方法，其特征在于，所述tpfsm模型定义为一个四元组g，具体表示为：

4.根据权利要求3所述的工控网络入侵检测方法，其特征在于，所述tpfsm模型构建的具体步骤为：

5....

【专利技术属性】
技术研发人员：姚羽，何淼，王锐，吴云峰，杨巍，
申请(专利权)人：东北大学，
类型：发明
国别省市：