CN107370732B - 基于神经网络和最优推荐的工控系统异常行为发现系统 - Google Patents

Abstract

本发明属于信息技术领域，公开了一种基于神经网络和最优推荐的工控系统异常行为发现系统，对工业控制系统流量数据进行分析对工业控制系统中高维数据进行降维，实现无关属性删除和冗余属性去冗余，在遵循真实的输入输出样本内在的联系同时，实现入侵特征的动态选择。系统对不同场景被检测流量数据进行建模，利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距性，发现异常流量。本发明基于最优推荐理论对流量进行场景比对和挖掘分析，建立恶意流量(场景)最优推荐模型，利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意攻击行为发现与检测功能。

Description

基于神经网络和最优推荐的工控系统异常行为发现系统

技术领域

本发明属于信息技术领域，尤其涉及一种基于神经网络和最优推荐的工控系统异常行为发现系统。

背景技术

随着计算机技术、通信技术和控制技术的发展，传统的工业控制领域正经历着一场前所未有的变革，开始向网络化方向发展。工业控制系统的结构从最初的CCS(计算机集中控制系统)，到第二代的DCS(分散控制系统)，发展到现在流行的FCS(现场总线控制系统)；将网络化与现场总线联系在一起。在工业控制领域较有影响的现场总线系统有：FF、LonWorks、Profibus、CAN、HART，以及RS485的总线网络等。现场总线基金会己经制定的统一标准((FF)，其慢速总线标准Hl已得到通过成为国际标准，其高速总线标准H2还在制订中。

神经网络是模拟人类生理上的神经机制的计算模型，具有大规模并行处理、良好的自学习、自适应、极强的非线性逼近和容错能力等特点，避免了复杂的数学推导，在参数漂移与样本缺损情况下，依然能保持稳定的输出。近年来已渗透到各个领域，在智能控制、模式识别、非线性优化、信号处理等方面得到广泛应用。因此，将神经网络运用到工业控制系统中，对提高工业控制系统的安全审计能力，具有重要的价值。

综上所述，现有技术存在的问题是：传统的检测系统在处理高维数据中无关属性和冗余属性问题中存在检测率低、检测速度慢等特点。

发明内容

针对现有技术存在的问题，本发明提供了一种基于神经网络和最优推荐的工控系统异常行为发现系统，

本发明是这样实现的，一种基于神经网络和最优推荐的工控系统异常行为发现系统，所述基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块；

所述数据采集模块：基于Libpcap模块抓取工程师站上的流量数据包，即可采集工业以太网上传输的任何过程控制信息；这种被动采集的方法不会增加网络中的数据流；

所述特征降维模块：基于神经网络的入侵特征选择模型，该模型在传统的神经网络的基础上增加了入侵特征的动态选择层，该层节点与输入节点间设计了连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择；

所述行为分析模块：对网络流量进行分析；在系统初始时，由于行为模型不存在，系统会自动切换到学习模式，行为学习模块开始工作，当学习一段默认的时间后，行为学习模块完成行为模型的初始化工作；此时系统开启异常监控模块，进入到正常工作状态；

所述异常监测模块：异常监测模块首先会对系统数据流进行分类，并和学习到的行为模型进行比较，如果比较结果，判断为正常流量，则进行快速转发；如果判定为异常流量；系统基于最优推荐模型来精确地刻画流量的变化，并以此作为依据来进行异常行为判断；系统对此异常流量发出告警，由管理员进行判断，如果管理员认为此异常流量是正常行为的，则将对应的异常行为添加到行为模型中，否则将学习到的行为转为黑名单。

本发明的另一目的在于提供一种所述的基于神经网络和最优推荐的工控系统异常行为发现系统的数据采集模块与行为分析模块实现方法，所述数据采集模块与行为分析模块实现方法：

步骤一，首先搭建基于工业以太网的实验平台，并采集平台流量作为流量数据集；

步骤二，然后基于该数据集对网络流量的平稳性、周期性、自相似性重要特性进行分析；

步骤三，总结出工业控制网络的流量特性，并分析其流量特性与传统以太网流量特性的差异。

本发明的另一目的在于提供一种所述的基于神经网络和最优推荐的工控系统异常行为发现系统的特征降维模块实现方法，所述特征降维模块实现方法包括：

(1)从工业控制系统场景出发，对工业控制系统原始流量数据进行分析；

(2)根据数据长度、流量周期性、响应时间、控制信息、时序性关键特征，对不同场景被检测流量数据进行建模；

(3)最后利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量；

(4)系统采用基于神经网络的特征选择模型；该模型在传统的神经网络的基础上增加了特征的动态选择层，该层节点与输入节点间设计了连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择。

本发明的另一目的在于提供一种所述的基于神经网络和最优推荐的工控系统异常行为发现系统的异常监测模块实现方法，所述异常监测模块实现方法包括：

第一步，系统通过采用漏洞扫描、动态测试、静态测试技术，对初始数据的挖掘、整理得出数据内部的规律特点；分析系统“已知部分的信息”、“部分信息未知”的“少数据”、“贫信息”的不确定性，基于灰色决策理论，建立控制网络设备库，恶意行为库和工业控制协议套件库；

第二步，然后，基于最优搜索理论，建立最优推荐模型；

第三步，利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意行为检测与发现模型。

本发明的优点及积极效果为：本系统对工业控制系统流量数据进行分析，基于神经网络的特征选择模型对工业控制系统中高维数据进行降维，实现无关属性删除和冗余属性去冗余，在遵循真实的输入输出样本内在的联系同时，实现入侵特征的动态选择。系统对不同场景被检测流量数据进行建模，利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距性，发现异常流量。基于最优推荐理论对流量进行场景比对和挖掘分析，建立恶意流量(场景)最优推荐模型，利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意攻击行为发现与检测功能。

附图说明

图1是本发明实施提供的基于神经网络和最优推荐的工控系统异常行为发现系统框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图及具体实施例对本发明的应用原理作进一步描述。

如图1所示，本发明实施例提供的基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块。

所述数据采集模块：基于Libpcap技术抓取工程师站上的流量数据包，即可采集工业以太网上传输的任何过程控制信息。这种被动采集的方法不会增加网络中的数据流，对原来的网络环境也没有任何影响。

所述特征降维模块：基于神经网络的入侵特征选择模型，该模型在传统的神经网络的基础上增加了入侵特征的动态选择层，该层节点与输入节点间设计了连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择。

所述行为分析模块：对网络流量进行分析。在系统初始时，由于行为模型不存在，系统会自动切换到学习模式，行为学习模块开始工作，当学习一段默认的时间后，行为学习模块完成行为模型的初始化工作。此时系统开启异常监控模块，进入到正常工作状态。

所述异常监测模块：异常监测模块首先会对系统数据流进行分类，并和学习到的行为模型进行比较，如果比较结果，判断为正常流量，则进行快速转发；如果判定为异常流量。系统基于最优推荐模型来精确地刻画流量的变化，并以此作为依据来进行异常行为判断。系统对此异常流量发出告警，由管理员进行判断，如果管理员认为此异常流量是正常行为的，则将对应的异常行为添加到行为模型中，否则将学习到的行为转为黑名单。

所述数据采集模块与行为分析模块实现方法：

A)首先搭建基于工业以太网的实验平台，并采集平台流量作为流量数据集。

B)然后基于该数据集对网络流量的平稳性、周期性、自相似性等重要特性进行分析。

C)总结出工业控制网络的流量特性，并分析其流量特性与传统以太网流量特性的差异。

D)工业控制系统与传统基于IT的网络比较，在流量特征上主要有以下不同：

(1)数据包长度不同。一般情况下在工业控制系统中数据长度比普通IT网络数据长度小。普通IT网络传输数据的频率相对低，但是瞬间传输的数据量较大，相反工业控制系统传输数据的频率相对较高，并且数据长度较小，这是两者数据流量最显著的区别。

(2)数据包出现周期性不同。在工业控制系统中满足周期特性的信息占据主要组成部分，非周期性信息只占很少一部分，因此往往工业控制系统流量会呈现出周期性。而普通IT网络与工业控制系统正好相反，因为普通IT网络的多元性和不确定性，造成周期性信息在总数据量中只占很少一部分，数据流量难以发现周期性。

(3)响应时间不同。工业控制系统由于对实时性要求很高，因此响应时间很小。普通IT网络的响应时间相对要长一些。

(4)数据包流向不同。在工业控制系统中，由于控制信息较多，因此数据包流向一般是固定的，存在着方向性。而普通IT网络由于有着自由性、突发性的特点，所以在普通IT网络中数据流向是不具备方向性的。

(5)时序性不同。工业控制系统中主要以控制信息为主，控制信息本身具有时序性，例如设备测量一个值后在网络中向控制器发送测量信息，之后控制器将对此测量信息进行数据处理，然后再把产生的控制命令发送给设备，整个过程控制信息发生顺序是固定的，这个性质难以在普通IT网络中被发现。

(6)通信方式不同。工业控制系统主要以广播多播的形式出现，而普通IT网络中最为常见的通信方式是点对点传输。

E)为获取有效数据，系统使用真实的工业控制系统搭建实验平台。

该实验平台包括现场控制站、工程师站、操作员站、过程控制网络、组态软件包、实时监控软件等组成。工程师站主要对应用软件组态进行控制，并进行系统监视和系统维护。过程控制网络采用IEEE 802.3标准，符合TCP/IP传输协议，连接了系统的工程师站、控制站、通信接口单元等，它是ICS中传送过程控制实时信息的通道。控制站实现现场设备信号的输入输出，同时完成过程控制中的数据采集、回路控制、时序控制以及包括优化控制等各种控制算法，完成整个工业过程的实时监控功能。在实验平台，通过抓取工程师站上的流量数据包，即可采集工业以太网上传输的任何过程控制信息。这种被动采集的方法不会增加网络中的数据流，对原来的网络环境也没有任何影响。

本系统基于该平台，模拟各种工业控制系统场景，获得不同场景的工业控制网络流量数据。然后，重点研究数据长度、流量周期性、响应时间、控制信息、时序性等关键特征，对不同场景被检测流量数据进行建模，利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量。

所述特征降维模块实现方法：

1)从工业控制系统场景出发，对工业控制系统原始流量数据进行分析。

2)根据数据长度、流量周期性、响应时间、控制信息、时序性等关键特征，对不同场景被检测流量数据进行建模。

3)最后利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量。

4)系统采用基于神经网络的特征选择模型。神经网络的拓扑结构从连接方式看有两种:一种是前馈型网络，每个神经元只接受前一层神经元的输入，并输出给下一层神经元，没有反馈。另一种是反馈型网络:所有结点都是计算单元，每个神经元既接受输入，同时也可向外界输出。本模型采用前馈型网络。在传统的神经网络的基础上增加了工控设备特征的动态选择层。采集设备与工控设备间设计了连接开关，当连接开关合上时，表示工控设备特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择。

系统基于工业控制系统的环境，分别采用基于信号处理、业务量、机器学习的方法，建立平稳性、周期性、自相似性等重要特性的正常流量序列，在分析时，从所有的输入特征中挑选出部分有效的特征，从而降低特征空间的特征数，冗余的、误用的以及很少使用的特征将被删除。因此，检测过程可以看作是在一定的约束条件下，找到一组入侵特征集合，使检测率最高，同时误报率低。系统将工控系统的流量按时间序列进行分维。时间序列划分为单时间序列和多时间序列。单时间序列是将流量看做一维信号，采用基于统计的分析方法，或采用时频域的分析方法，如小波分析法，对流量进行异常检测；多时间序列分析方法是将多个流量信号看做二维信号，采用二维信号的分析方法对流量进行异常检测，如主成分分析法。系统基于自相似模型、多分型模型、层叠模型等的流量异常检测方法等方法来精确地刻画流量的变化并以此作为依据来进行异常检测。

所述异常监测模块实现方法：

a)系统通过采用漏洞扫描、动态测试、静态测试等技术，对初始数据的挖掘、整理得出数据内部的规律特点；分析系统“已知部分的信息”、“部分信息未知”的“少数据”、“贫信息”的不确定性，基于灰色决策理论，建立控制网络设备库，恶意行为库和工业控制协议套件库。

b)然后，基于最优搜索理论，建立最优推荐模型。

c)利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意行为检测与发现模型。

最优搜索理论是关于如何以一种最佳方式寻找某个事先已确定的对象的理论。最优搜索问题的解，即找到一种对于搜索资源最佳分配方案，使其能成功探测到搜索目标的概率最大或成本最小。通常最优搜索问题都由目标位置和移动路径的概率分布函数、探测函数和对可用资源的约束3个基本要素构成。按最优搜索对象是构成最优推荐路径的各个节点，由于这些节点可以依次事先确定，因此满足最优搜索理论的前提条件。

基于最优推荐方法的待搜索节点的分布概率估计公式：

设H(S_i)＝＜μ(S_i),γ(S_i)＞表示某信任类别S_i的固有信任，可以通过对该信任向量库中所有节点求μ_i分量的平均值和γ_i分量的平均值得到。则节点Y位于各信任向量库的先验分布概率为：

D(Y,H(S_i))表示YY和H(S_i)之间的欧式距离。

最优推荐模型的建立过程主要步骤是：

(1)将待检节点和搜索时间限制T作为初始查询请求创建搜索Agent。

(2)根据设备种类信息计算待检节点在各漏洞向量库中的先验分布概率P。

(3)根据先验分布概率P和总搜索资源确定各向量库上的最优时间分配，生成搜索策略。

(4)搜索Agent根据搜索策略，在第i个漏洞向量库中检索，当分配给i的资源耗尽就停止在i上工作。

(5)Agent依据策略迁移至下一个信任向量库，转(4)，直至遍历所有漏洞向量库。如果在信任向量库中找到待检节点，转(6)。

(6)从待检节点的相邻节点中，选取固有信任度最高的k个节点作为可信推荐者，以该可信推荐者作为新的待检节点，并和新的搜索时间限制i作为查询请求创建搜索Agent，转(3)。

(7)重复(6)直到到达目的节点。

至此得到若干条源节点到目的节点的最优推荐路径，依据该最优推荐路径计算源节点对目的节点的推荐信任度。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于神经网络和最优推荐的工控系统异常行为发现系统，其特征在于，所述基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块；

所述数据采集模块：基于Libpcap模块抓取工程师站上的流量数据包，即可采集工业以太网上传输的任何过程控制信息；这种被动采集的方法不会增加网络中的数据流；

所述特征降维模块：基于神经网络的入侵特征选择模型，该模型在传统的神经网络的基础上增加了入侵特征的动态选择层，该层节点与输入节点间设计了连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择；

所述行为分析模块：对网络流量进行分析；在系统初始时，由于行为模型不存在，系统会自动切换到学习模式，行为学习模块开始工作，当学习一段默认的时间后，行为学习模块完成行为模型的初始化工作；此时系统开启异常监控模块，进入到正常工作状态；

所述异常监测模块：异常监测模块首先会对系统数据流进行分类，并和学习到的行为模型进行比较，如果比较结果，判断为正常流量，则进行快速转发；如果判定为异常流量；系统基于最优推荐模型来精确地刻画流量的变化，并以此作为依据来进行异常行为判断；系统对此异常流量发出告警，由管理员进行判断，如果管理员认为此异常流量是正常行为的，则将对应的异常行为添加到行为模型中，否则将学习到的行为转为黑名单；

所述基于神经网络和最优推荐的工控系统异常行为发现系统的数据采集模块与行为分析模块实现方法：

步骤一，首先搭建基于工业以太网的实验平台，并采集平台流量作为流量数据集；

步骤二，然后基于该数据集对网络流量的平稳性、周期性、自相似性重要特性进行分析；

步骤三，总结出工业控制网络的流量特性，并分析其流量特性与传统以太网流量特性的差异；

所述特征降维模块实现方法包括：

(1)从工业控制系统场景出发，对工业控制系统原始流量数据进行分析；

(2)根据数据长度、流量周期性、响应时间、控制信息、时序性关键特征，对不同场景被检测流量数据进行建模；

(3)最后利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量；

(4)系统采用基于神经网络的特征选择模型；该模型在传统的神经网络的基础上增加特征的动态选择层；所述动态选择层层节点与输入节点间设计连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择；

所述的基于神经网络和最优推荐的工控系统异常行为发现系统的异常监测模块实现方法，包括：

第一步，系统通过采用漏洞扫描、动态测试、静态测试技术，对初始数据的挖掘、整理得出数据内部的规律特点；分析系统已知部分的信息、部分信息未知的少数据、贫信息的不确定性，基于灰色决策理论，建立控制网络设备库，恶意行为库和工业控制协议套件库；

第二步，然后，基于最优搜索理论，建立最优推荐模型；

第三步，利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意行为检测与发现模型。

Images