CN107070943A

CN107070943A - 基于流量特征图和感知哈希的工业互联网入侵检测方法

Info

Publication number: CN107070943A
Application number: CN201710315200.XA
Authority: CN
Inventors: 董瑞洪; 吴东方; 张秋余; 周亮; 闫厚华; 葛子贤; 李改莉; 冯玉春; 张涛; 王前; 乔思斌
Original assignee: Lanzhou University of Technology
Current assignee: Lanzhou University of Technology
Priority date: 2017-05-05
Filing date: 2017-05-05
Publication date: 2017-08-18
Anticipated expiration: 2037-05-05
Also published as: CN107070943B

Abstract

基于流量特征图和感知哈希的工业互联网入侵检测方法，主要解决现有工业互联网入侵检测方法检测性能不高、自适应性差的问题。本发明借鉴图像处理的方法，首先获取标准测试床实验数据集，采用信息熵方法进行特征选择构建流量特征向量，并对部分属性进行归一化操作；然后使用多元相关性分析方法将流量特征向量转化为三角形面积映射矩阵构建流量特征图；最后利用基于离散余弦变换SVD和奇异值分解SVD的图像感知哈希算法，获取流量特征图哈希摘要，产生二进制字符串形式入侵检测规则集。并采用基于字符串的精准匹配、基于归一化汉明距的相似性度量和基于欧氏距的聚类分析三种方法进行哈希匹配，实现对工业互联网中异常流量和恶意入侵的检测。

Description

基于流量特征图和感知哈希的工业互联网入侵检测方法

技术领域

本发明属于工业互联网入侵检测领域，具体涉及一种基于流量特征图和图像感知哈希的工业互联网入侵检测方法，主要用于对工业互联网中恶意攻击和异常进行入侵检测。

背景技术

传统工业控制系统(Industrial Control Network，ICS)广泛应用于石油化工、电力水利、工业生产、核能源和交通运输等众多国家关键基础设施。据ICS-CERT2015年安全态势报告分析统计，有超过80％的国家关键基础设施依靠ICS实现生产过程自动化。ICS在人们的生产生活中起到非常重要的作用，ICS的安全直接影响到国家安全和经济发展。从2010年“震网”病毒袭击伊朗布什尔核电站到2017年期间，发生的一系列的网络安全事件给人们的生产生活造成了巨大的影响，工业互联网安全问题突出。

传统网络入侵检测方法主要分为四类：a.基于分类的入侵检测，如贝叶斯网络、神经网络、支持向量机和基于规则集等方法；b.基于聚类的入侵检测，如常规聚类和协同聚类等方法；c.基于统计的入侵检测，如基于模型和主成分分析等方法；d.基于信息论的入侵检测，如相关性分析等方法。有学者还将免疫理论、粗糙集等理论引入到网络入侵检测中来。其中，基于聚类的入侵检测和基于信息论的入侵检测比基于分类的入侵检测和基于统计理论的入侵检测性能更好。聚类检测和分类检测的方法复杂度大体一致，针对性检测目标主要是DOS攻击，聚类算法是无监督学习方法比分类算法的监督方法实用性更广。统计理论的入侵检测主要检测目标是R2L和U2R两类攻击类型。基于信息理论的入侵检测的优点在于对四类攻击都可以进行检测。但传统入侵检测方法依然存在算法检测性能问题、流量周期性特征提取问题、传统方法自身局限性和实验数据不符合现有网络入侵测试标准等问题。

工业互联网可以划分为企业网络、监控网络和现场网络三层，对现场网络层的安全问题的研究，主要从流量信息周期性特征入手，分为基于模型、基于Fuzzing检测和基于Snort规则三类方法。

现场网络中基于模型的现场网络入侵检测方法具有自适应性，可以检测出未知入侵攻击。国内外学者在基于现场网络流量周期性特征的入侵检测模型方面做出大量工作。如：

Zheng等(Zheng,L.M.,Zou,P.,Jia,Y.,Hang,W.H.:‘How to Extract and Train theClassifier in Traffic Anomaly Detection Sytem’,Chinese journal of computer,2012,25,(4),pp.719-729)把网络数据投影到不同维度的hash直方图上构建检测向量，选取支持向量数据描述机(Support Vector Data Description，SVDD)进行入侵检测，并对网络入侵检测中几种主流分类器性能进行对比分析。Shang等(Shang,W.L.,Zhang,S.S.,Wan,M.:‘Modbus/TCP Communication Anomaly Detection Based on PSO-SVM’,AppliedMechanics and Materials,(Trans Tech Publications,2014),490,pp.1745-1753)采用PSO-SVM算法对Modbus协议报文中功能码序列频率特征进行研究。Zhao等(Zhao,Y.,Wang,Q.,Huang,Y.Z.,et al.:‘Collaborative visual analytics for network traffictime-series data with multiple views’,Journal of Software,2016,27,(5),pp.1118-1198)研究了一个多视图角度的网络流量分析系统对网络流量自顶向下时序特征进行分析。Tan等(Tan,Z.,Jamdagni,A.,He,X.,et al.:‘A system for denial-of-service attack detection based on multivariate correlation analysis’,IEEEtransactions on parallel and distributed systems,2014,25(2),pp.447-456)利用多元相关分析(Multivariate Correlation Analysis，MCA)方法把文本流量信息转换为对应流量图，并采用曼哈顿距离计算流量图之间差异性，实现网络异常的入侵检测。MCA具有保持流量报文特征的特点，能将报文向量映射为方阵即流量图，为入侵检测技术提供新的数据源。Wan等(Wan,M.,Shang,W.L.,Zeng,P.:‘Anomaly Detection Approach based onFunction Code Traffic by Using CUSUM Algorithm’,4th National Conference onElectrical,Electronics and Computer Engineering(NCEECE).Xi‘an,China.Dec.2015,pp.12-13)采用累积和算法(Cumulative Sum，CUSUM)结合对报文的深度分析，实现对Modbus协议的现场网络的异常检测。Qian等(Qian,Y.K.,Chen,M.,Ye,L.X.,et al.:‘Network-Wide anomaly detection method based onmulti-scale principalcomponent analysis’,Journal of Software,2012,23,(2),pp.361-377)采用多尺度主成分分析方法(Multi-scale principal component analysis，MSPCA)研究流量的周期性特征和流量矩阵的时空相关性，并对正常流量行为进行建模。Mu等(Mu,X.K.,Wang,J.S.,Xue,Y.F.,Huang,W.:‘Abnormal network traffic detection approach based on aliveentropy’,Journal of Communication,2013,34,(S2),pp.51-57)采用活跃熵方法对研究网络进出流量统计活跃度并计算活跃熵，构建检测规则集，降低误报率。Jiang等(Jiang,J.,Wang,Z.F.,Chen,T.M.,et al:‘Adaptive AP clustering algorithm and itsapplication on intrusion detection’,Journal of Communication,2015,36,(1),pp.119-126)采用改进的自适应聚类算法(Affinity propagation，AP)，降低聚类数量和时间消耗，保证准确率同时，提高入侵检测性能。Shirazi等(Shirazi,S.N.,Gouglidi,s A.,Syeda,K.N.,et al.:‘Evaluation of Anomaly Detection techniques for SCADAcommunication resilience’,Resilience Week(RWS),2016.IEEE,Austin,China,Jan.2016,pp.140-145)仿真SCADA工业控制系统网络入侵攻击，采用Morris提出的标准测试床数据，评估现有异常检测方法性能。Morris等(Morris,T.H.,Jones,B.A.,Vaughn,R.B.,et al.:‘Deterministic intrusion detection rules for MODBUS protocols’,System Sciences(HICSS),2013 46th Hawaii International Conference on.IEEE,Hawaii,USA,Jan.2013,pp.1773-1781)从Modbus协议结构和流量报文周期性特征中提取规则集，构建入侵检测系统。Erez等(Erez,N.,Wool,A.:‘Control variableclassification,modeling and anomaly detection in Modbus/TCP SCADA systems’,International Journal of Critical Infrastructure Protection,2015,10,pp.59-70)等研究了SCADA工控系统三类寄存器值的变化特征，并建立变量行为模型，对Modbus网络异常流量信息进行检测。

图像感知哈希特征提取有DCT(discrete cosine transform)、SVD(singularvalue decomposition)、小波变换和PCA等方法，发明主要采用的是基于DCT和SVD的图像感知哈希特征提取方法。

Zeng等(Jie,Z.:‘A novel block-DCT and PCA based image perceptualhashing algorithm’,International Journal of Computer Science Issues,2013,10,(3),pp.399-403)把彩色直方图和DCT系数矩阵作为感知特征，利用基于分块DCT和主成分分析方法对图像内容篡改进行定位，实验结果表明研究提出的感知哈希算法具有鲁棒性和区分性。Chen等(Chen,N.,Xiao,H.D.,Zhu,J.,et al.:‘Robust audio hashing schemebased on cochleogram and cross recurrence analysis’,Electronics Letters,2013,49,(1),pp.7-8)从语音耳蜗图中提取快速鲁棒性特征，构建非负矩阵并因式分解产生感知哈希摘要，采用递归定量分析的方法对哈希摘要进行匹配。Nouri等(Nouri,M.,Farhangian,N.,Zeinolabedini,Z.,et al.:‘Conceptual authentication speechhashing base upon hypotrochoid graph’,Telecommunications(IST),2012SixthInternational Symposium on.IEEE,Tehran,Iran,Nov.2012,pp.1136-1141)利用感知哈希函数将语音片段根据感知特征映射到一个哈希摘要上，对语音片段进行检索内容认证，该方法具有鲁棒性和抗碰撞性。

综上所述，针对现有工业互联网入侵检测方法存在的入侵检测性能较低、自适应性差、算法时间复杂度不满足实时性要求等问题，为了挖掘流量数据两两属性间特征，从图像处理方法角度对入侵检测问题进行研究，提供具有实时性和高效性的入侵检测方法。本发明提出一种基于流量特征图和感知哈希的工业互联网入侵检测方法。

发明内容

本发明的目的是提出一种基于流量特征图和感知哈希的工业互联网入侵检测方法。

本发明是基于流量特征图和感知哈希的工业互联网入侵检测方法，其步骤包括正常行为建模和感知哈希入侵检测两个阶段。

(1)正常行为建模阶段；

采用基于多元相关性分析的流量特征图技术，把工业互联网传统文本流量信息转化为流量特征图，将传统属性内关系研究扩展到属性间关系研究，从不同角度挖掘流量特征。具体步骤如下：

(1a)获取工业互联网现场网络的标准测试实验数据集，对实验数据进行预处理操作，剔除残缺流量数据记录；

(1b)计算实验数据各个属性的信息熵，并对各属性的信息熵进行递减排序，根据属性特征选取出重要的具有流量特征的属性特征集合；

(1c)对特征选择后的工业互联网流量数据进行部分属性归一化操作，归一化到[0,255]之间；

(1d)采用多元相关性分析方法，将实验数据中每条流量记录都映射到二维欧氏子空间上，通过三角形面积映射方法，计算实验数据的两两流量属性对应的三角形面积；

(1e)构建完整三角形面积矩阵,输出对应的流量特征图TAMⁱ；

(2)感知哈希入侵检测阶段；

采用图像感知哈希特征提取技术提取流量特征图中特征产生哈希摘要，并产生对应入侵检测规则集,采用改进感知哈希摘要匹配方法，实现对工业互联网恶意入侵检测。图像感知哈希特征提取技术包括感知哈希摘要产生和匹配两个部分。具体步骤如下：

(2a)采用离散余弦变换(DCT)和奇异值分解(SVD)的方法，产生流量特征图的感知哈希码，并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库。感知哈希摘要为固定长度的二进制字符串，即入侵检测规则集；

(2b)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法，产生待检测感知哈希码。采用改进的感知哈希匹配方法进行入侵检测，包括三个步骤：基于字符串的精准匹配，基于归一化汉明距的相似性度量和基于欧式距的聚类匹分析。

(2c)采用基于字符串的精准匹配方法，分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配，并标记匹配结果；

(2d)对未精准匹配的哈希摘要，设定感知哈希相似度匹配阈值，采用归一化的汉明距离进行相似性度量，匹配正常流量特征图哈希摘要库，则待检测流量数据为正常流量；若匹配异常流量特征图哈希摘要库，则待检测流量数据为异常流量；

(2e)针对超出感知哈希匹配阈值的待检测流量数据，采用基于欧氏距离的聚类方法对待检测流量数据进行归类。距离正常流量哈希摘要聚类中心距离近，则为正常流量；否则，为异常流量信息。

本发明的有益之处为：与现有的工业互联网入侵检测方法相比，传统入侵检测方法都是对流量文本信息进行机器学习和数据挖掘，本发明采用流量特征图技术和图像感知哈希特征提取的方法，满足鲁棒性、区分性和实时性，且具有良好的入侵检测性能。主要是因为：

(1)本发明采用流量特征图技术将传统文本流量信息转化为流量特征图，从图像处理分析角度来研究工业互联网入侵检测问题；

(2)本发明采用图像感知哈希特征提取技术处理流量特征图，提取感知哈希摘要，产生对应入侵检测规则集，方法具有鲁棒性和区分性，保证工业互联网入侵检测的良好性能；

(3)本发明是基于流量特征图和图像感知哈希的入侵检测方法，采用图像感知哈希特征提取方法，具有较低的时间复杂度；

(4)本发明采用三种感知哈希摘要匹配方式，对流量特征图的哈希摘要进行不同程度的匹配，完善哈希摘要匹配方法，增强入侵检测系统的自适应性。

实验结果表明，本发明在天然气系统数据集中平均入侵检测率是0.986，虚警率是0.014，水罐系统数据集中平均检测率是0.9925，虚警率是0.015，检测性能良好，且算法时间复杂度满足入侵检测方法的实时性需求。同时，引入流量特征图技术和图像感知哈希特征提取技术到工业互联网入侵检测领域，从图像处理分析的角度解决工业互联网入侵检测问题。

附图说明

图1为本发明中流量特征图技术路线，图2为本发明中基于流量特征图和感知哈希的工业互联网入侵检测方法总流程图，图3、图4、图5为本发明中天然气系统训练数据集的Dos攻击、MPCI攻击、正常流量特征图实例，图6、图7为本发明中水罐系统训练数据集的嗅探攻击、正常流量特征图实例，图8为本发明基于流量特征图和感知哈希的工业互联网入侵检测方法区分性Normplot图，图9为本发明基于流量特征图和感知哈希的工业互联网入侵检测方法区分性直方图，图10为本发明中基于流量特征图和感知哈希的工业互联网入侵检测方法的检测性能ROC曲线。

具体实施方式

(1)正常行为建模阶段；

(1e)构建完整三角形面积矩阵,输出对应的流量特征图TAMⁱ；

(2)感知哈希入侵检测阶段；

以上所述的基于流量特征图和感知哈希的工业互联网入侵检测方法，正常行为建模阶段，具体步骤包括：

(1a)选取Morris等(Morris,T.,Gao,W.:‘Industrial Control System Traffic DataSets for Intrusion Detection Research’,International Conference on CriticalInfrastructure Protection,Berlin,Heidelberg,March 2014,pp.65-78)提出的标准测试床实验数据集作为实验测试数据，数据集包含天然气系统训练测试数据集Data1、Data2和水罐系统训练测试数据集Data3、Data4；

(1b)剔除流量数据中残缺记录，并对实验数据属性的信息熵进行计算，构建重要的流量特征属性集合，信息熵定义如下：

其中，x代表属性，H(x)是属性x的信息熵。在x属性值总数为n的集合中，有s个不重复的元素{a₁,a₂,…,a_s}，各值出现的次数为集合{d₁,d₂,…,d_s}。对计算得到信息熵按照大小排序，结合对实验数据集的研究，取其中重要的属性集合构建流量特征集。天然气系统数据集取出的流量特征属性集合是{1 2 3 4 5 6 12 13 24 25 26 27},利用流量特征图技术，构建11*11像素的流量特征图；水罐系统数据集取出的流量特征属性集合是{1 2 3 4 5 6 1012 13 18 20 21 22 23 24}利用流量特征图技术，构建14*14像素的流量特征图；

(1c)为了将重要属性值的变化映射到灰度值范围上，对流量特征集中的部分属性进行归一化操作，归一化到[0,255]。归一化定义如下：

其中，n和m分别代表某属性的最大值和最小值。f(x)代表归一化后的具有灰度值特征的属性值。

(1d)采用多元相关分析方法(Tan,Z.,Jamdagni,A.,He,X.,et al.:‘A system fordenial-of-service attack detection based on multivariate correlationanalysis’,IEEE transactions on parallel and distributed systems,2014,25(2),pp.447-456)，通过使用三角形面积方法提取正常流量和异常流量特征以及属性间的相关性信息。

给出实验数据集X＝{x₁,x₂,..,x_n}，由提取流量特征属性结合得，代表第i个m维流量记录。我们使用三角面积概念提取变量x_i的第j属性和第k个属性间的几何关系。

将矢量x_i投影到(j-k)二维欧式子空间上，变量ε_j＝[ε_j,1ε_j,2…,ε_j,n]^T,ε_k＝[ε_k,1ε_k,2…,ε_k,n]^T,其中e_j,j＝1,e_k,k＝1,其他元素为0。y_i,j,k是二维列向量，也可看做笛卡尔坐标系(j-k)二维欧式子空间上点然后，在笛卡尔坐标系内，通过连接原点和以及在j,k轴上的映射，构造三角形三角形的面积记为表示为

其中，1≤i≤n，1≤j≤m，1≤k≤m，且j≠k。

(1e)一条流量记录的完整三角形面积映射包含所有两两流量属性变量计算得到的面积。其中，表示第j行第k列未知的三角形面积，当j＝k时，因为研究的是两两不同属性间的几何关系。当j≠k时，满足可以得到的TAM是一个对称矩阵，主对角线上为0，以4维TAM为例：

以上所述的基于流量特征图和感知哈希的工业互联网入侵检测方法，感知哈希入侵检测阶段，具体步骤包括：

(2a)采用离散余弦变换(DCT)和奇异值分解(SVD)方法构建哈希摘要库和工业互联网入侵检测规则集。

(2a1)对于N*N的图像其DCT变化公式如下:

其中，f为N*N的图像像素点，F为N*N的DCT系数矩阵，C为余弦系数矩阵。得到11*11和14*14的变换系数矩阵；

(2a2)提取流量特征图变化部分特征，获得具有区分性的感知哈希摘要，保留全系数矩阵的低频域和高频域，计算矩阵中系数的均值，记为mean；

(2a3)采用奇异值分解方法，对DCT系数矩阵分解重构，提取有用信息，消除数据中的噪声。对DCT系数矩阵执行奇异值分解操作，N＝11,14，本发明使用奇异值λ₃所对应的左奇异值向量u₃和右奇异值v₃。奇异值分解定义如下：

对DCT系数矩阵分解重构得奇异值矩阵如下：

(2a4)根据哈希规则构建哈希摘要。哈希规则定义如下：

其中，x为奇异值分解后构成的哈希向量，h(x)为该元素对应的哈希码。遍历提取哈希码构建流量特征图的哈希摘要，构建正常流量和异常流量哈希摘要库。生成的感知哈希摘要是二进制字符串，进行去交集操作，提取二进制字符串形式的入侵检测规则集；

(2b)对待检测工业互联网流量数据记录进行流量特征图转化操作，并采用图像感知哈希特征提取方法提取流量特征图的感知哈希摘要，构建工业互联网入侵检测规则集；

改进后感知哈希摘要匹配包含三个步骤：基于字符串的精准匹配、基于归一化汉明距的相似性度量和基于欧氏距的聚类分析；

(2c)基于字符串的精准匹配：提取验证流量数据的特征图的哈希摘要H_s1，采取精准匹配的方法，与正常流量哈希摘要库中摘要H_s2和异常流量哈希摘要库中摘要H_s3进行匹配，并标记匹配结果；

(2d)基于归一化汉明距的相似性度量：

其中，H_s1和H_s2是两个长度为L的哈希摘要，天然气系统数据集中L＝22，水罐系统数据集中L＝28；w表示哈希摘要中的一位。设定哈希相似度匹配阈值，超过阈值范围的哈希摘要，判断为不匹配；

(2e)基于欧氏距的聚类匹配：针对验证哈希摘要未精准匹配正常和异常哈希摘要库并且超过哈希摘要相似性匹配阈值的情况，为了是基于感知哈希的入侵检测系统具有对未知入侵的自适应性，利用聚类的概念，采用欧氏距离，计算距离正常类和异常类中心的距离，根据结果进行入侵检测。欧氏距离个数定义：

其中，n代表数值属性个数。对于未精确匹配的测试数据，计算其到各个聚类中心的距离，并根据距离最小的聚类中心数据进行分类，如果对应于正常聚类簇中心，则该数据为正常流量数据；否则，将判断为异常流量数据，并输出检测结果。

1、实验条件与方法

硬件平台为：Inter Core i5-3210M CPU 2.5GHz。

软件平台为：实验环境是Win7操作系统下MATLABR2013a。

实验方法：分别为本发明和现有的基于流量周期特征的工业互联网入侵检测方法，试验中采用Morris依托美国橡树岭实验室提供的标准测试数据为实验数据。包含有天然气系统数据集和水罐系统数据集，如表1所示。

表1.实验数据构成表

2、仿真内容与结果

实验1：流量特征图实验

采用流量特征图技术，如图1所示，提取Modbus流量信息特征，构建流量特征图，如图3、图4、图5、图6、图7所示。

图3、图4、图5是使用MATLAB仿真构建，对天然气系统正常流量数据和异常流量数据特征图进行展示。随机选取三条流量记录的特征图，如图3、图4、图5中所示，可以很容易区分出正常流量信息与异常流量信息，可以区分出Dos攻击和MPCI攻击。

图6、图7中流量特征的区分性更加突出，可以很容易辨别正常和异常流量信息。利用图像感知哈希算法，根据流量特征图的不同位置灰度值，可以得到具有区分性的还行摘要。

实验2：基于流量特征图和感知哈希的入侵检测方法的鲁棒性和区分性证明

设x，y，z∈M为试验数据集，h_x，h_y，h_z∈H_p是从正常和异常流量特征图中提取的感知哈希摘要，h_x＝PH(x)，h_y＝PH(y)，h_z＝PH(z)，其中PH是哈希函数，dis(·,·)为多媒体数据所对应的感知哈希摘要之间的数学距离(也叫误码率)，τ为匹配阈值，disp(·,·)为多媒体数据间的感知距离，T_p为感知阈值。

数学距离的原理是归一化汉明距，匹配阈值为τ∈(0,1]。感知距离描述的是多媒体数据间的差异程度，可以定义为分段函数，用来描述数据是否相同。

初始化感知距离T_p＝1/2，当x和y是相同数据时，disp(x,y)<T_p，当x和y是不同数据时，disp(x,y)>T_p。设x＝y为相同数据记录，x≠z为不同数据记录。

证明1鲁棒性的证明

构建事件A＝{(x,y)：disp(x,y)<T_p且dis(h_x,h_y)<τ}，其中，x和y是相同的数据记录，得disp(x,y)＝0，disp(x,y)<T_p；相同的数据记录经过DCT哈希函数的预处理，保持哈希码遍历操作的一致，可得到相同的哈希序列，即h_x＝h_y,由归一化汉明距dis(h_x,h_y)＝0,dis(h_x,h_y)<τ。则事件A发生的概率可表示为P(A)＝1，入侵检测中的感知哈希算法的鲁棒性可证。将感知哈希引入到工业互联网入侵检测中来，没有内容保持操作。但要确保x和y有相同特征的相同数据产生的哈希码是一致的，才能确保入侵检测规则的准确性。

证明2抗碰撞性(区分性)证明

构建事件B＝{(x,z)：disp(x,z)>T_p且dis(h_x,h_z)<τ}，假设事件B的概率P(B)＝1成立，则dis(h_x,h_z)<τ，根据相似性度量公式可知h_x＝h_z,根据入侵检测感知哈希算法的鲁棒性，即x＝z为同一数据。还有disp(x,z)>T_p，根据定义的感知距离分段函数，可知当disp(x,z)>T_p，表示x和z为不同的数据记录。前后矛盾，由反证法，假设不成立，则P(B)＝0，入侵检测中的感知哈希算法的抗碰撞性可证。该性质确保不同数据不会映射到相同的哈希序列。

实验3：基于流量特征图和感知哈希的入侵检测方法区分性实验

基于流量特征图和感知哈希的工业互联网入侵检测方法应保持算法的鲁棒性和区分性，以此才能保证算法的检测性能。鲁棒性保证了相同的正常或异常流量记录出现时，产生相同的哈希码，积累先验知识；区分性保证了不同的或新的网络异常或正常行为流量特征图的感知哈希摘要不同，能够区分出不同的流量信息，对新的网络入侵具有自适应性。

区分性评价指标可以采用拒识率(False Accept Rate,FAR)，定义如下：

其中，μ为正态分布的期望均值，σ为标准差，τ为匹配阈值。

基于流量特征图和感知哈希的入侵检测方法区分性证明实验一，如图8Normplot图所示，对天然气系统实验数据集产生143条不同的感知哈希码进行两两匹配计算，合计共有10153个比特误码率。图8中所求得的所有比特误码率数据画正太分布曲线，图中的曲线和期望基本重合，但存在一定的波动。均值计算出为0.4991，理论标准差为0.0418，实际标准方差为0.1791。曲线两端存在聚集状态，左下角的聚集状态表明产生的感知哈希码区分性很高，右上角的聚集状态表明实验数据集中有很多相似度高的数据记录，这和现场网络Modbus协议流量数据的强周期性保持一致。

表2.FAR对比表

当τ＝0.0357时，RAF＝0.0048，误识率到达0.0048，也就是说，设置匹配阈值τ＝0.0357时，在1000个流量报文中会有4.8个误判出现，满足网络入侵检测需求。FAR余阈值关系表如表2所示。

基于流量特征图和感知哈希的入侵检测方法区分性证明实验二，如图9哈希算法BER直方图所示。基于归一化汉明距的哈希匹配服从μ＝0.5，的高斯分布，其中N为感知哈希摘要长度。区分性测试BER分布中心非常靠近0.5位0.4991，分布的标准差为0.1791，算法的区分性良好。

实验4：基于流量特征图和感知哈希的入侵检测方法检测性能实验

根据图2中基于流量特征图和感知哈希的入侵检测方法，即本发明方法，提取入侵检测规则集，规则集提取结果如表3所示。

表3.训练数据库Data1和Data3提取出的规则集

采用天然气系统数据集和水罐系统数据集进行实验，基于流量特征图和感知哈希的入侵检测方法检测性能如图10所示。天然气管线系统数据集中平均TP为0.986，平均FP为0.014，水罐系统数据集中平均TP为0.9925，平均FP为0.015。图10ROC曲线中，后者TP较高，说明在学习型算法训练过程中，训练数据充足情况下，规则集构建的越完善。

为了进一步体现本发明更直观的优越性，本发明通过表格形式再与Zheng(Zheng,L.M.,Zou,P.,Jia,Y.,Hang,W.H.:‘How to Extract and Train the Classifier inTraffic Anomaly Detection Sytem’,Chinese journal of computer,2012,25,(4),pp.719-729)、Shang(Shang,W.L.,Zhang,S.S.,Wan,M.:‘Modbus/TCP CommunicationAnomaly Detection Based on PSO-SVM’,Applied Mechanics and Materials,(TransTech Publications,2014),490,pp.1745-1753)、Tan(Tan,Z.,Jamdagni,A.,He,X.,etal.:‘A system for denial-of-service attack detection based on multivariatecorrelation analysis’,IEEE transactions on parallel and distributed systems,2014,25(2),pp.447-456)、Qian(Qian,Y.K.,Chen,M.,Ye,L.X.,et al.:‘Network-Wideanomaly detection method based onmulti-scale principal component analysis’,Journal of Software,2012,23,(2),pp.361-377)、Jiang(Jiang,J.,Wang,Z.F.,Chen,T.M.,et al:‘Adaptive AP clustering algorithm and its application on intrusiondetection’,Journal of Communication,2015,36,(1),pp.119-126)等提出的方法作比较，如表4所示。

表4.基于流量特征图和感知哈希的入侵检测方法性能分析

现场网络标准测试床试验数据中训练数据记录条数为N₁，验证数据记录条数为N₂，流量特征属性个数为M，提取的正常流量哈希规则为n_hash，提取异常流量哈希规则为a_hash。则基于流量特征图和感知哈希的入侵检测方法的时间复杂度为。从表4算法检测性能对比可以看出，基于流量特征图和感知哈希的入侵检测方法的TP只略微低于Tan的方法，其中MCA方法取得TP是0.993，FP在对比文献中最小，具有最小的虚警率。时间复杂度分析，N₁和N₂数据集记录条数是远高于属性个数M的，Tan提出的算法时间复杂度最优为O(M⁴)，Qian提出的算法时间复杂度为O((N₁+N₂)M²)，本发明提出的基于流量特征图和感知哈希的入侵检测方法算法性能较好。

综上所述，基于流量特征图和感知哈希的入侵检测方法在工业互联网入侵检测中应用是可行的，且检测性能良好。并为工业互联网入侵检测和传统网络入侵检测提供从图像角度的解决思路。

Claims

1.基于流量特征图和感知哈希的工业互联网入侵检测方法，其特征在于，其步骤包括正常行为建模和感知哈希入侵检测两个阶段；

(1)正常行为建模阶段：

采用基于多元相关性分析的流量特征图技术，把工业互联网传统文本流量信息转化为流量特征图，将传统属性内关系研究转化到属性间关系，从不同角度挖掘流量特征，具体步骤如下：

(1a)获取工业互联网现场网络的标准测试床实验数据集，对实验数据进行预处理操作，剔除残缺流量数据记录；

(1e)构建完整三角形面积矩阵，输出对应的流量特征图TAMⁱ；

(2)感知哈希入侵检测阶段：

采用图像感知哈希特征提取技术提取流量特征图中特征产生哈希摘要，并产生对应入侵检测规则集，采用改进感知哈希摘要匹配方法，实现对工业互联网恶意入侵检测；图像感知哈希特征提取技术包括感知哈希摘要产生和匹配两个部分，具体步骤如下：

(2a)采用离散余弦变换DCT和奇异值分解SVD的方法，产生流量特征图的感知哈希码，并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库；感知哈希摘要为固定长度的二进制字符串，即入侵检测规则集；

(2b)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法，产生待检测感知哈希码；采用改进的感知哈希匹配方法进行入侵检测，包括三个步骤：基于字符串的精准匹配，基于归一化汉明距的相似性度量和基于欧式距的聚类分析；

(2c)采用基于字符串的精准匹配方法，分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配，并输出检测结果；

(2e)针对超出感知哈希匹配阈值的待检测流量数据，采用基于欧氏距离的聚类方法对待检测流量数据进行归类；距离正常流量哈希摘要聚类中心距离近，则为正常流量；否则，为异常流量信息。

2.根据权利要求1所述基于流量特征图和感知哈希的工业互联网入侵检测方法，其特征在于步骤(1)中正常行为建模的步骤为：

(1)获取工业互联网现场网络的标准测试床实验数据集，对实验数据进行预处理操作，剔除残缺流量数据记录；

(2)计算实验数据各个属性的信息熵，并对各属性的信息熵进行递减排序，根据属性特征选取出重要的具有流量特征的属性特征集合；

<mrow> <mi>H</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <mo>-</mo> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>s</mi> </munderover> <mo>(</mo> <mfrac> <msub> <mi>d</mi> <mi>i</mi> </msub> <mi>T</mi> </mfrac> <mo>)</mo> <mi>l</mi> <mi>o</mi> <mi>g</mi> <mrow> <mo>(</mo> <mfrac> <msub> <mi>d</mi> <mi>i</mi> </msub> <mi>T</mi> </mfrac> <mo>)</mo> </mrow> </mrow>

其中，x代表属性，H(x)是属性x的信息熵；在x属性值总数为n的集合中，有s个不重复的元素{a₁,a₂,…,a_s}，各值出现的次数为集合{d₁,d₂,…,d_s}；对计算得到信息熵按照大小排序，结合对实验数据集的研究，取其中重要的属性集合构建流量特征集；

(3)对特征选择后的工业互联网流量数据进行部分属性归一化操作，归一化到[0,255]之间；

<mrow> <mi>f</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <mn>0</mn> <mo>,</mo> <mi>x</mi> <mo>&Element;</mo> <mo>&lsqb;</mo> <mn>0</mn> <mo>,</mo> <mi>m</mi> <mo>)</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mfrac> <mrow> <mn>255</mn> <mi>x</mi> </mrow> <mrow> <mi>n</mi> <mo>-</mo> <mi>m</mi> </mrow> </mfrac> <mo>,</mo> <mi>x</mi> <mo>&Element;</mo> <mo>&lsqb;</mo> <mi>m</mi> <mo>,</mo> <mi>n</mi> <mo>&rsqb;</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mn>255</mn> <mo>,</mo> <mi>x</mi> <mo>&Element;</mo> <mrow> <mo>(</mo> <mi>n</mi> <mo>,</mo> <mi>&infin;</mi> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>

其中，n和m分别代表某属性的最大值和最小值；f(x)代表归一化后的具有灰度值特征的属性值；

(4)采用多元相关性分析方法，将归一化后的实验数据流量记录映射到二维欧氏子空间上，通过三角形面积映射方法，计算实验数据的两两流量属性对应的三角形面积；给出实验数据集X＝{x₁,x₂,..,x_n}，由提取的实验数据流量特征集合可知，其中，(1≤i≤n)，代表第i个m维流量记录；使用三角形面积概念提取变量x_i的第j个属性和第k个属性间的几何关系；将矢量x_i投影到(j-k)二维欧式子空间上，(1≤i≤n，1≤j≤m，1≤k≤m，j≠k)变量ε_j＝[e_j,1e_j,2…,e_j,n]^T，ε_k＝[e_k,1e_k,2…,e_k,n]^T，其中e_j,j＝1,e_k,k＝1，其他元素为0；y_i,j,k是二维列向量，可看做笛卡尔坐标系(j-k)二维欧式子空间上点然后，在笛卡尔坐标系内，通过连接原点和以及在j和k轴上的映射，构造三角形三角形的面积记为定义如下：

<mrow> <msubsup> <mi>Tr</mi> <mrow> <mi>j</mi> <mo>,</mo> <mi>k</mi> </mrow> <mi>i</mi> </msubsup> <mo>=</mo> <mrow> <mo>(</mo> <mo>|</mo> <mo>|</mo> <mo>(</mo> <mrow> <msubsup> <mi>f</mi> <mi>j</mi> <mi>i</mi> </msubsup> <mo>,</mo> <mn>0</mn> </mrow> <mo>)</mo> <mo>-</mo> <mo>(</mo> <mrow> <mn>0</mn> <mo>,</mo> <mn>0</mn> </mrow> <mo>)</mo> <mo>|</mo> <mo>|</mo> <mo>&times;</mo> <mo>|</mo> <mo>|</mo> <mo>(</mo> <mrow> <mn>0</mn> <mo>,</mo> <msubsup> <mi>f</mi> <mi>k</mi> <mi>i</mi> </msubsup> </mrow> <mo>)</mo> <mo>-</mo> <mo>(</mo> <mrow> <mn>0</mn> <mo>,</mo> <mn>0</mn> </mrow> <mo>)</mo> <mo>|</mo> <mo>|</mo> <mo>)</mo> </mrow> <mo>/</mo> <mn>2</mn> </mrow>

其中，1≤i≤n，1≤j≤m，1≤k≤m，且j≠k；一条流量记录的完整三角形面积映射Triangle Area Map，TAM包含所有两两流量属性变量计算得到的面积；其中，表示第j行的第k列未知的三角形面积，当j＝k时，因为研究的是两两不同属性间的几何关系；当j≠k时，满足

(5)构造的三角形面积映射矩阵就是流量特征图的矩阵表示形式。

3.根据权利要求1所述基于流量特征图和感知哈希的工业互联网入侵检测方法，其特征在于步骤(2)中感知哈希入侵检测的步骤为：

(1)采用DCT和SVD的方法，产生流量特征图的感知哈希码，并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库；感知哈希摘要为固定长度的二进制字符串，即入侵检测规则集；DCT离散余弦变换定义如下:

<mrow> <mi>F</mi> <mrow> <mo>(</mo> <mi>u</mi> <mo>,</mo> <mi>v</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mn>1</mn> <mn>4</mn> </mfrac> <mi>C</mi> <mrow> <mo>(</mo> <mi>u</mi> <mo>)</mo> </mrow> <mi>C</mi> <mrow> <mo>(</mo> <mi>v</mi> <mo>)</mo> </mrow> <msubsup> <mi>&Sigma;</mi> <mrow> <mi>x</mi> <mo>=</mo> <mn>0</mn> </mrow> <mi>N</mi> </msubsup> <msubsup> <mi>&Sigma;</mi> <mrow> <mi>y</mi> <mo>=</mo> <mn>0</mn> </mrow> <mi>N</mi> </msubsup> <mi>f</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <mi>y</mi> <mo>)</mo> </mrow> <mo>&CenterDot;</mo> <mi>c</mi> <mi>o</mi> <mi>s</mi> <mrow> <mo>(</mo> <mfrac> <mrow> <mi>&pi;</mi> <mrow> <mo>(</mo> <mn>2</mn> <mi>x</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> <mi>u</mi> </mrow> <msup> <mi>N</mi> <mn>2</mn> </msup> </mfrac> <mo>)</mo> </mrow> <mi>c</mi> <mi>o</mi> <mi>s</mi> <mrow> <mo>(</mo> <mfrac> <mrow> <mi>&pi;</mi> <mrow> <mo>(</mo> <mn>2</mn> <mi>y</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> <mi>v</mi> </mrow> <msup> <mi>N</mi> <mn>2</mn> </msup> </mfrac> <mo>)</mo> </mrow> </mrow>

SVD奇异值分解定义如下：

产生的系数矩阵为遍历系数矩阵中的哈希码产生哈希序列，哈希规则如下：

<mrow> <mi>h</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <mn>1</mn> <mo>,</mo> <mi>x</mi> <mo>&GreaterEqual;</mo> <mi>m</mi> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mn>0</mn> <mo>,</mo> <mi>x</mi> <mo><</mo> <mi>m</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>

其中，x为奇异值分解后构成的哈希向量，h(x)为该元素对应的哈希码。遍历提取哈希码构建流量特征图的哈希摘要，构建正常流量和异常流量哈希摘要库，并提取入侵检测规则集；

(2)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法，产生待检测感知哈希码；采用改进的感知哈希匹配方法进行入侵检测，包括三个步骤：基于字符串的精准匹配，基于归一化汉明距的相似性度量和基于欧式距的聚类分析；

(3)采用基于字符串的精准匹配方法，分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配，并标记匹配结果；

(4)对未精准匹配的哈希摘要，设定感知哈希相似度匹配阈值，采用归一化的汉明距离进行相似性度量，匹配正常流量特征图哈希摘要库，则待检测流量数据为正常流量；若匹配异常流量特征图哈希摘要库，则待检测流量数据为异常流量；归一化汉明距定义如下：

<mrow> <msub> <mi>D</mi> <mi>H</mi> </msub> <mrow> <mo>(</mo> <msub> <mi>H</mi> <mrow> <mi>S</mi> <mn>1</mn> </mrow> </msub> <mo>,</mo> <msub> <mi>H</mi> <mrow> <mi>S</mi> <mn>2</mn> </mrow> </msub> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mn>1</mn> <mi>L</mi> </mfrac> <munderover> <mo>&Sigma;</mo> <mrow> <mi>w</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>L</mi> </munderover> <mo>|</mo> <msub> <mi>H</mi> <mrow> <mi>S</mi> <mn>1</mn> </mrow> </msub> <mrow> <mo>(</mo> <mi>w</mi> <mo>)</mo> </mrow> <mo>-</mo> <msub> <mi>H</mi> <mrow> <mi>S</mi> <mn>2</mn> </mrow> </msub> <mrow> <mo>(</mo> <mi>w</mi> <mo>)</mo> </mrow> <mo>|</mo> </mrow>

其中，H_s1和H_s2是两个长度为L的哈希摘要，天然气系统数据集中L＝22，水罐系统数据集中L＝28；w表示哈希摘要中的一位；设定哈希相似度匹配阈值，超过阈值范围的哈希摘要，判断为不匹配；

(5)针对超出感知哈希匹配阈值的待检测流量数据，采用基于欧氏距离的聚类方法对待检测流量数据进行归类；距离正常流量哈希摘要聚类中心距离近，则为正常流量；否则，为异常流量信息；采用三种感知哈希摘要匹配方式，对流量的哈希摘要进行不同程度的匹配，完善哈希摘要匹配方法，增强入侵检测系统的自适应性。