CN108270779B - 一种入侵检测系统安全规则的自动生成方法 - Google Patents

一种入侵检测系统安全规则的自动生成方法 Download PDF

Info

Publication number
CN108270779B
CN108270779B CN201711482270.0A CN201711482270A CN108270779B CN 108270779 B CN108270779 B CN 108270779B CN 201711482270 A CN201711482270 A CN 201711482270A CN 108270779 B CN108270779 B CN 108270779B
Authority
CN
China
Prior art keywords
data
layer
encoder
sparse self
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711482270.0A
Other languages
English (en)
Other versions
CN108270779A (zh
Inventor
赖俊
詹俊
段斌
李兰
申超
汪雅果
尹乔宣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Youlitaike Automatic System Co ltd
Xiangtan University
Original Assignee
Hunan Youlitaike Automatic System Co ltd
Xiangtan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Youlitaike Automatic System Co ltd, Xiangtan University filed Critical Hunan Youlitaike Automatic System Co ltd
Priority to CN201711482270.0A priority Critical patent/CN108270779B/zh
Publication of CN108270779A publication Critical patent/CN108270779A/zh
Application granted granted Critical
Publication of CN108270779B publication Critical patent/CN108270779B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及工业控制系统信息安全领域,具体涉及一种入侵检测系统安全规则的自动生成方法,包括如下步骤:(1)检测点的部署;(2)网络数据的抓取与保存;(3)正常数据样本以及变异数据样本的构造;(4)正常数据样本的特征点的提取;(5)安全规则的生成。本发明能自动化地提取工业控制网络的安全规则,解决目前严重依赖专家知识制定安全规则的问题,可有效弥补现有工业入侵检测方法的短板,降低工业入侵检测系统的漏报率,提高检测的准确性、高效性和通用性,可以实现不同生产领域的入侵检测。

Description

一种入侵检测系统安全规则的自动生成方法
技术领域
本发明涉及工业控制系统信息安全领域,具体涉及一种入侵检测系统安全规则的自动生成方法。
背景技术
随着工业4.0时代的到来以及中国制造2025的提出,原本相对封闭的工业控制网络逐渐暴露在互联网中。无论是2017年发生的勒索病毒事件还是近几年发生的黑暗能量、震网病毒等事件都对工业控制系统造成了巨大影响,对工业控制系统进行必要的安全防护显得尤为迫切。
目前,一些关系到国家利益的重要基础设施和企业如电力、石化、城市供水、烟草以及市政等行业已经在其生产和控制网络采取部分安全措施。例如,在生产大区和办公网络区之间布置硬件隔离装置,阻断不同分区之间网络流量的传输。但是这种方式一方面不能阻断摆渡攻击以及PLC蠕虫等攻击方式,另一方面,过于封闭的控制网络给日常生产和智能制造的发展也带来了一定的阻碍。再如,在控制网络的关键节点上部署工业防火墙或者在工控主机上安装病毒查杀软件,这也在一定程度对工业控制网络进行了防护,但是防护效果也及其有限。首先,多数工业防火墙和病毒查杀软件都是由应用在传统IT网络的产品发展而来,虽然它们对主流工业协议进行了兼容性的升级,但是,不一定能兼容某些私有协议。而且,不同领域工业系统的网络拓扑结构和现场设备都不同,限制了这些产品的使用效果。其次,由于攻击手段的千变万化以及产品自身的更新换代,需要对安全产品进行频繁升级和更新。但是,更新过程中带来的短暂停产以及严格的管理制度都会使得安全产品在事实上处于长期未更新状态,达不到应有的防护效果。综上,工业控制系统需要一款既能达到良好防护水平,又在运行维护需求方面不大的安全产品。
工业入侵检测系统可以实时监控工业系统的控制网络,对可疑行为发出警报、阻断和记录等。现有工业入侵检测系统的安全规则生成方式主要依赖专家知识和各漏洞共享平台公布的设备、系统等漏洞特征,前者对实施者的先验知识和技术水平要求很高,后者不能发现新型攻击和变种攻击方式,降低了入侵检测系统的防护水平。所以,工业入侵检测领域急需一种能通过学习网络数据包特点,自动生成安全规则的方法。
发明内容
本发明的目的是提供一种可弥补现有工业入侵检测方法的短板,降低工业入侵检测系统的漏报率,提高检测的准确性、高效性和通用性,可以实现不同生产领域的入侵检测的入侵检测系统安全规则的自动生成方法。
上述目的是通过如下技术方案实现:一种入侵检测系统安全规则的自动生成方法,包括如下步骤:
(1)检测点的部署:结合工业控制系统网络拓扑,分析造成所述工业控制系统脆弱性的关键节点,并将所述入侵检测系统的检测点部署于所述的关键节点;
(2)网络数据的抓取与保存:利用步骤(1)中部署的检测点对所述关键节点的网络流量进行抓取并进行保存;
(3)正常数据样本以及变异数据样本的构造:将步骤(2)中保存的数据包进行解析处理,并进行协议分析和数据格式的转换,构造正常数据样本;利用测试工具对预定的通信协议的数据进行变异,构造变异数据样本;
(4)正常数据样本的特征点的提取:利用栈式稀疏自编码器对步骤(3)中的数据样本以及变异数据进行深度学习,提取出正常数据样本的特征点;
(5)安全规则的生成:将步骤(4)中提取的正常数据样本的特征点转换为所述入侵检测系统可以识别的安全规则文件,并将所述的安全规则写入规则库中。
作为优选,进一步的技术方案是:所述步骤(3)中数据样本的构造过程中先构建筛选器,将步骤(2)中保存的数据包依据通信协议类型通过筛选器进行分类筛选,留下与检测相关的数据包。
作为优选,进一步的技术方案是:所述步骤(3)中将筛选后的数据包进行包解析,选取数据包结构中易遭受攻击和影响系统安全的特征点,以所述的特征点为键,每个键设置相对应的值构建翻译矩阵,利用所述的翻译矩阵将各数据包转换为相对应的正常数据样本。
作为优选,进一步的技术方案是:所述步骤(4)的具体步骤如下:
(4.1)训练第一层稀疏自编码器以及其对应一阶特征的输出:先将网络参数进行初始化,再将步骤(3)中的正常数据样本和变异数据样本组合并构成数据样本集{x},从数据样本集{x}中选取部分数据作为第一层训练数据x(1),以第一层训练数据x(1)作为第一层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第一层稀疏自编码器最佳网络参数θ(1),然后将所述数据样本集{x}作为已训练好的第一层稀疏自编码器的输入,得到并输出其对应的一阶特征h(1)(x);
(4.2)训练第二至N层稀疏自编码器以及其分别对应的二至N阶特征的输出:从一阶特征h(1)(x)中选取部分数据作为第二层训练数据x(2),以第二层训练数据x(2)作为第二层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第二层稀疏自编码器最佳网络参数θ(2),然后将第一层稀疏自编码器的输出的一阶特征h(1)(x)作为已训练好的第二层稀疏自编码器的输入,得到并输出其对应的二阶特征h(2)(x);以此类推,从(N-1)阶特征h(N-1)(x)中选取部分数据作为第N层训练数据x(N),以第N层训练数据x(N)作为第N层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第N层稀疏自编码器最佳网络参数θ(N),然后将第(N-1)层稀疏自编码器的输出的(N-1)阶特征h(N-1)(x)作为已训练好的第N层稀疏自编码器的输入,得到并输出其对应的N阶特征h(N)(x);
(4.3)将第N层的稀疏自编码器输出h(N)(x)作为softmax分类器的输入,通过训练得到一个能将输入数据特征映射到数字标签的模型;
(4.4)微调稀疏自编码器、softmax分类器的系统模型:构造标签数据,将标签数据作为稀疏自编码器的输入,利用反向传播算法,对稀疏自编码器、softmax分类器系统模型内的参数进行有监督地微调,得到具有N个隐含层和一个softmax分类层的数据学习和分类模型,利用上述数据学习和分类模型对正常数据样本进行学习分类,提取出正常数据样本的特征点。
作为优选,进一步的技术方案是:所述步骤(5)的具体步骤如下:
(5.1)利用步骤(3)中构建的翻译矩阵,将步骤(4)提取的正常数据样本特征反翻译为数据包结构表示形式;
(5.2)根据预定的入侵检测系统的规则解析语法,构建预处理器或利用入侵检测系统自带的预处理器,将步骤(5.1)得到的数据包输入所述预处理器,生成标准结构的安全规则文件,并将所述规则文件导入到所述入侵检测系统的规则库中。
作为优选,进一步的技术方案是:所述步骤(4)中,所述栈式稀疏自编码器训练过程中,选择sigmoid函数作为隐含层神经元的激活函数,其中,隐含层的输出为:
Figure GDA0002539994510000041
式中,
Figure GDA0002539994510000042
在解码时,选择线性激活函数,增加稀疏自编码器的鲁棒性,重构层的输出为:
Figure GDA0002539994510000043
式中W表示权重矩阵,b表示偏置项,上标(1)表示稀疏自编码器的第一层,,下标1和2分别表示输入层与隐含层、隐含层与重构层之间的数学关系。
作为优选,进一步的技术方案是:所述步骤(4)中,对于输入向量X,稀疏自编码器的损失函数如下:
Figure GDA0002539994510000044
Figure GDA0002539994510000045
式中,
Figure GDA0002539994510000046
为第一层稀疏自编码器的损失函数,
Figure GDA0002539994510000047
为输入数据与重构数据的方差,
Figure GDA0002539994510000051
为权重衰减项,
Figure GDA0002539994510000052
为惩罚项;λ和β分别为权重衰减项和稀疏惩罚项的系数;
Figure GDA0002539994510000053
为隐含层神经元j在的平均激活度,为近似保持稀疏性约束
Figure GDA0002539994510000054
在损失函数中引入了Kullback-Leibler相对熵,其中ρ为稀疏性参数。
作为优选,进一步的技术方案是:所述步骤(4)中,以最小化损失函数为目的,训练第一层稀疏自编码器网络,得到最优网络参数
Figure GDA0002539994510000055
作为优选,进一步的技术方案是:所述步骤(3)中用于构造变异数据样本的预定的通信协议为所述入侵检测系统的通信控制协议。
作为优选,进一步的技术方案是:所述步骤(3)中正常数据样本的构造过程中,先选取预定通信协议的特征点,所述特征点包括数据包长度、源IP地址、目的IP地址、源端口号、目的端口号、数据包序列号、应答号、报文长度、功能码、线圈以及寄存器地址中的一种或多种,然后依据选取的特征点将步骤(2)中保存的数据包进行数据格式的转换,生成原始样本数据,再将样本数据进行储存。
本发明对工控网络进行脆弱性分析,得到网络的安全脆弱节点,然后抓取各脆弱节点的数据包,利用基于栈式稀疏自编码器的深度学习技术提取特定网络环境下数据包的特征,最后将数据包特征通过预处理器处理成工业入侵检测系统能识别的规则文件;本发明能自动化地提取工业控制网络的安全规则,解决目前严重依赖专家知识制定安全规则的问题,可有效弥补现有工业入侵检测方法的短板,降低工业入侵检测系统的漏报率,提高检测的准确性、高效性和通用性,可以实现不同生产领域的入侵检测。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本发明一种实施方式下的入侵检测系统安全规则的自动生成方法的工作流程图;
图2为本发明一种实施方式下所涉及的栈式稀疏自编码器的深度学习的流程示意图。
具体实施方式
下面结合附图对本发明进行详细描述,本部分的描述仅是示范性和解释性,不应对本发明的保护范围有任何的限制作用。此外,本领域技术人员根据本文件的描述,可以对本文件中实施例中以及不同实施例中的特征进行相应组合。
本发明实施例如下,参照图1和图2,一种入侵检测系统安全规则的自动生成方法,包括如下步骤:
(1)检测点的部署:结合工业控制系统网络拓扑,分析造成所述工业控制系统脆弱性的关键节点,并将所述入侵检测系统的检测点部署于所述的关键节点;
(2)网络数据的抓取与保存:利用步骤(1)中部署的检测点对所述关键节点的网络流量进行抓取并进行保存;
步骤(1)和步骤(2)的具体实践过程可为:依据IEC62443、Achilles认证等工业控制系统信息安全评估规范,对待测工业控制网络进行脆弱性分析。在若干脆弱节点部署网络数据包抓取工具,对流经节点的网络包进行抓取并将原始数据保存至数据库中。
(3)正常数据样本以及变异数据样本的构造:将步骤(2)中保存的数据包进行解析处理,并进行协议分析和数据格式的转换,构造正常数据样本;利用测试工具对预定的通信协议的数据进行变异,构造变异数据样本;
具体实践过程可为:首先结合网络脆弱性评估结果和专家知识,构建筛选器,将保存的数据包依据通信协议类型进行分类筛选,仅留下与检测相关的数据包。并设置好特定通信协议的特征点,如Modbus协议可以设置数据包长度、源IP地址和目的IP地址、源端口号和目的端口号、数据包序列号、应答号、报文长度、功能码、线圈或寄存器地址等。然后依据设置好的协议特征点将数据包进行数据格式的转换,生成原始样本数据,最后将样本数据进行储存。其中,所述步骤(3)中将筛选后的数据包进行包解析的具体过程为:选取数据包结构中易遭受攻击和影响系统安全的特征点,以所述的特征点为键,每个键设置相对应的值构建翻译矩阵,利用所述的翻译矩阵将各数据包转换为相对应的正常数据样本。
变异数据样本的构造过程中,用于构造变异数据样本的预定的通信协议为所述入侵检测系统的通信控制协议,如Peach测试框架通信协议,此时,在具体的实践过程中利用包括但不限于Peach测试框架等对特定通信协议数据进行变异,构造变异数据样本集。
(4)正常数据样本的特征点的提取:利用栈式稀疏自编码器对步骤(3)中的数据样本以及变异数据进行深度学习,提取出正常数据样本的特征点;具体步骤如下:
(4.1)训练第一层稀疏自编码器以及其对应一阶特征的输出:先将网络参数进行初始化,再将步骤(3)中的正常数据样本和变异数据样本组合并构成数据样本集{x},从数据样本集{x}中选取部分数据作为第一层训练数据x(1),以第一层训练数据x(1)作为第一层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第一层稀疏自编码器最佳网络参数θ(1),然后将所述数据样本集{x}作为已训练好的第一层稀疏自编码器的输入,得到并输出其对应的一阶特征h(1)(x);
(4.2)训练第二至N层稀疏自编码器以及其分别对应的二至N阶特征的输出:从一阶特征h(1)(x)中选取部分数据作为第二层训练数据x(2),以第二层训练数据x(2)作为第二层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第二层稀疏自编码器最佳网络参数θ(2),然后将第一层稀疏自编码器的输出的一阶特征h(1)(x)作为已训练好的第二层稀疏自编码器的输入,得到并输出其对应的二阶特征h(2)(x);以此类推,从(N-1)阶特征h(N-1)(x)中选取部分数据作为第N层训练数据x(N),以第N层训练数据x(N)作为第N层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第N层稀疏自编码器最佳网络参数θ(N),然后将第(N-1)层稀疏自编码器的输出的(N-1)阶特征h(N-1)(x)作为已训练好的第N层稀疏自编码器的输入,得到并输出其对应的N阶特征h(N)(x);
(4.3)将第N层的稀疏自编码器输出h(N)(x)作为softmax分类器的输入,通过训练得到一个能将输入数据特征映射到数字标签的模型;
(4.4)微调稀疏自编码器、softmax分类器的系统模型:构造标签数据,将标签数据作为稀疏自编码器的输入,利用反向传播算法,对稀疏自编码器、softmax分类器系统模型内的参数进行有监督地微调,得到具有N个隐含层和一个softmax分类层的数据学习和分类模型,利用上述数据学习和分类模型对正常数据样本进行学习分类,提取出正常数据样本的特征点。
(5)安全规则的生成:将步骤(4)中提取的正常数据样本的特征点转换为所述入侵检测系统可以识别的安全规则文件,并将所述的安全规则写入规则库中,具体步骤如下:
(5.1)利用步骤(3)中构建的翻译矩阵,将步骤(4)提取的正常数据样本特征反翻译为数据包结构表示形式;
(5.2)根据预定的入侵检测系统的规则解析语法,构建预处理器或利用入侵检测系统自带的预处理器,将步骤(5.1)得到的数据包输入所述预处理器,生成标准结构的安全规则文件,并将所述规则文件导入到所述入侵检测系统的规则库中。
如snort等入侵检测系统自带Preprocessors等预处理机制的,可以针对协议特点进行预处理器的改进,将步骤(4)得到的数据包特征作为预处理器的输入,经过处理,输出入侵检测系统可以识别的规则文件。
在上述实施例的基础上,本发明另一实施例中,所述步骤(4)中,所述栈式稀疏自编码器训练过程中,选择sigmoid函数作为隐含层神经元的激活函数,其中,隐含层的输出为:
Figure GDA0002539994510000081
式中,
Figure GDA0002539994510000082
在解码时,选择线性激活函数,增加稀疏自编码器的鲁棒性,重构层的输出为:
Figure GDA0002539994510000091
式中W表示权重矩阵,b表示偏置项,上标(1)表示稀疏自编码器的第一层,,下标1和2分别表示输入层与隐含层、隐含层与重构层之间的数学关系。
在上述实施例的基础上,本发明另一实施例中,所述步骤(4)中,对于输入向量X,稀疏自编码器的损失函数如下:
Figure GDA0002539994510000092
Figure GDA0002539994510000093
式中,
Figure GDA0002539994510000094
为第一层稀疏自编码器的损失函数,
Figure GDA0002539994510000095
为输入数据与重构数据的方差,
Figure GDA0002539994510000096
为权重衰减项,
Figure GDA0002539994510000097
为惩罚项;λ和β分别为权重衰减项和稀疏惩罚项的系数;
Figure GDA0002539994510000098
为隐含层神经元j在的平均激活度,为近似保持稀疏性约束
Figure GDA0002539994510000099
在损失函数中引入了Kullback-Leibler相对熵,其中ρ为稀疏性参数。
在上述实施例的基础上,本发明另一实施例中,所述步骤(4)中,以最小化损失函数为目的,训练第一层稀疏自编码器网络,得到最优网络参数
Figure GDA00025399945100000910
本发明对工控网络进行脆弱性分析,得到网络的安全脆弱节点,然后抓取各脆弱节点的数据包,利用基于栈式稀疏自编码器的深度学习技术提取特定网络环境下数据包的特征,最后将数据包特征通过预处理器处理成工业入侵检测系统能识别的规则文件;本发明能自动化地提取工业控制网络的安全规则,解决目前严重依赖专家知识制定安全规则的问题,可有效弥补现有工业入侵检测方法的短板,降低工业入侵检测系统的漏报率,提高检测的准确性、高效性和通用性,可以实现不同生产领域的入侵检测。
于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (6)

1.一种入侵检测系统安全规则的自动生成方法,其特征在于,包括如下步骤:
(1)检测点的部署:结合工业控制系统网络拓扑,分析造成所述工业控制系统脆弱性的关键节点,并将所述入侵检测系统的检测点部署于所述的关键节点;
(2)网络数据的抓取与保存:利用步骤(1)中部署的检测点对所述关键节点的网络流量进行抓取并进行保存;
(3)正常数据样本以及变异数据样本的构造:先构建筛选器,将步骤(2)中保存的数据包依据通信协议类型通过筛选器进行分类筛选,留下与检测相关的数据包,将筛选后的数据包进行包解析,选取数据包结构中易遭受攻击和影响系统安全的特征点,以所述的特征点为键,每个键设置相对应的值构建翻译矩阵,利用所述的翻译矩阵将各数据包转换为相对应的正常数据样本;利用测试工具对预定的通信协议的数据进行变异,构造变异数据样本;
(4)正常数据样本的特征点的提取:利用栈式稀疏自编码器对步骤(3)中的数据样本以及变异数据进行深度学习,提取出正常数据样本的特征点,具体步骤如下:
(4.1)训练第一层稀疏自编码器以及其对应一阶特征的输出:先将网络参数进行初始化,再将步骤(3)中的正常数据样本和变异数据样本组合并构成数据样本集{x},从数据样本集{x}中选取部分数据作为第一层训练数据x(1),以第一层训练数据x(1)作为第一层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第一层稀疏自编码器最佳网络参数θ(1),然后将所述数据样本集{x}作为已训练好的第一层稀疏自编码器的输入,得到并输出其对应的一阶特征h(1)(x);
(4.2)训练第二至N层稀疏自编码器以及其分别对应的二至N阶特征的输出:从一阶特征h(1)(x)中选取部分数据作为第二层训练数据x(2),以第二层训练数据x(2)作为第二层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第二层稀疏自编码器最佳网络参数θ(2),然后将第一层稀疏自编码器的输出的一阶特征h(1)(x)作为已训练好的第二层稀疏自编码器的输入,得到并输出其对应的二阶特征h(2)(x);以此类推,从(N-1)阶特征h(N-1)(x)中选取部分数据作为第N层训练数据x(N),以第N层训练数据x(N)作为第N层稀疏自编码器的输入,以最小化损失函数为目标,利用优化算法迭代运算训练得到第N层稀疏自编码器最佳网络参数θ(N),然后将第(N-1)层稀疏自编码器的输出的(N-1)阶特征h(N-1)(x)作为已训练好的第N层稀疏自编码器的输入,得到并输出其对应的N阶特征h(N)(x);
(4.3)将第N层的稀疏自编码器输出h(N)(x)作为softmax分类器的输入,通过训练得到一个能将输入数据特征映射到数字标签的模型;
(4.4)微调稀疏自编码器、softmax分类器的系统模型:构造标签数据,将标签数据作为稀疏自编码器的输入,利用反向传播算法,对稀疏自编码器、softmax分类器系统模型内的参数进行有监督地微调,得到具有N个隐含层和一个softmax分类层的数据学习和分类模型,利用上述数据学习和分类模型对正常数据样本进行学习分类,提取出正常数据样本的特征点;
(5)安全规则的生成:将步骤(4)中提取的正常数据样本的特征点转换为所述入侵检测系统可以识别的安全规则文件,并将所述的安全规则写入规则库中;具体步骤如下:
(5.1)利用步骤(3)中构建的翻译矩阵,将步骤(4)提取的正常数据样本特征反翻译为数据包结构表示形式;
(5.2)根据预定的入侵检测系统的规则解析语法,构建预处理器或利用入侵检测系统自带的预处理器,将步骤(5.1)得到的数据包输入所述预处理器,生成标准结构的安全规则文件,并将所述规则文件导入到所述入侵检测系统的规则库中。
2.根据权利要求1所述的入侵检测系统安全规则的自动生成方法,其特征在于,所述步骤(4)中,所述栈式稀疏自编码器训练过程中,选择sigmoid函数作为隐含层神经元的激活函数,其中,隐含层的输出为:a(1)=g(W1 (1)x+b1 (1)),式中,
Figure FDA0002539994500000031
在解码时,选择线性激活函数,增加稀疏自编码器的鲁棒性,重构层的输出为:
Figure FDA0002539994500000032
式中W表示权重矩阵,b表示偏置项,上标(1)表示稀疏自编码器的第一层,下标1和2分别表示输入层与隐含层、隐含层与重构层之间的数学关系。
3.根据权利要求2所述的入侵检测系统安全规则的自动生成方法,其特征在于,所述步骤(4)中,对于输入向量X,稀疏自编码器的损失函数如下:
Figure FDA0002539994500000033
Figure FDA0002539994500000034
式中,
Figure FDA0002539994500000035
为第一层稀疏自编码器的损失函数,
Figure FDA0002539994500000036
为输入数据与重构数据的方差,
Figure FDA0002539994500000037
为权重衰减项,
Figure FDA0002539994500000038
为惩罚项;λ和β分别为权重衰减项和稀疏惩罚项的系数;
Figure FDA0002539994500000039
为隐含层神经元j在的平均激活度,为近似保持稀疏性约束
Figure FDA00025399945000000310
在损失函数中引入了Kullback-Leibler相对熵,其中ρ为稀疏性参数。
4.根据权利要求3所述的入侵检测系统安全规则的自动生成方法,其特征在于,所述步骤(4)中,以最小化损失函数为目的,训练第一层稀疏自编码器网络,得到最优网络参数
Figure FDA00025399945000000311
5.根据权利要求4所述的入侵检测系统安全规则的自动生成方法,其特征在于,所述步骤(3)中用于构造变异数据样本的预定的通信协议为所述入侵检测系统的通信控制协议。
6.根据权利要求5所述的入侵检测系统安全规则的自动生成方法,其特征在于,所述步骤(3)中正常数据样本的构造过程中,先选取预定通信协议的特征点,所述特征点包括数据包长度、源IP地址、目的IP地址、源端口号、目的端口号、数据包序列号、应答号、报文长度、功能码、线圈以及寄存器地址中的一种或多种,然后依据选取的特征点将步骤(2)中保存的数据包进行数据格式的转换,生成原始样本数据,再将样本数据进行储存。
CN201711482270.0A 2017-12-29 2017-12-29 一种入侵检测系统安全规则的自动生成方法 Active CN108270779B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711482270.0A CN108270779B (zh) 2017-12-29 2017-12-29 一种入侵检测系统安全规则的自动生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711482270.0A CN108270779B (zh) 2017-12-29 2017-12-29 一种入侵检测系统安全规则的自动生成方法

Publications (2)

Publication Number Publication Date
CN108270779A CN108270779A (zh) 2018-07-10
CN108270779B true CN108270779B (zh) 2020-08-21

Family

ID=62773169

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711482270.0A Active CN108270779B (zh) 2017-12-29 2017-12-29 一种入侵检测系统安全规则的自动生成方法

Country Status (1)

Country Link
CN (1) CN108270779B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108761250B (zh) * 2018-07-26 2019-12-24 电子科技大学 一种基于工控设备电压电流的入侵检测方法
CN109240274B (zh) * 2018-11-05 2020-04-17 浙江大学 一种基于高阶相关性的工业过程故障诊断方法
CN110096013A (zh) * 2019-05-24 2019-08-06 广东工业大学 一种工业控制系统的入侵检测方法及装置
CN110224990A (zh) * 2019-07-17 2019-09-10 浙江大学 一种基于软件定义安全架构的入侵检测系统
CN110661682B (zh) * 2019-09-19 2021-05-25 上海天旦网络科技发展有限公司 通用互联数据自动分析系统、方法、设备
CN112953971B (zh) * 2021-04-01 2023-05-16 长扬科技(北京)股份有限公司 一种网络安全流量入侵检测方法和系统
CN112804270B (zh) * 2021-04-15 2021-06-18 工业信息安全(四川)创新中心有限公司 一种基于自编码的通用工业协议异常检测模块及方法
CN114900331B (zh) * 2022-04-13 2023-06-09 中山大学 基于can报文特征的车载can总线入侵检测方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656634A (zh) * 2008-12-31 2010-02-24 暨南大学 基于IPv6网络环境的入侵检测系统及方法
WO2012017377A1 (en) * 2010-08-02 2012-02-09 Green Sql Ltd. Reverse proxy database system and method
CN102831050A (zh) * 2011-06-14 2012-12-19 湘潭大学 一种风电机组控制软件异常行为检测与导向安全方法
CN103995906A (zh) * 2014-06-13 2014-08-20 北京京东尚科信息技术有限公司 一种异常处理方法和装置
CN105069400A (zh) * 2015-07-16 2015-11-18 北京工业大学 基于栈式稀疏自编码的人脸图像性别识别系统
CN105389505A (zh) * 2015-10-19 2016-03-09 西安电子科技大学 基于栈式稀疏自编码器的托攻击检测方法
CN105871861A (zh) * 2016-04-19 2016-08-17 中国科学院信息工程研究所 一种自学习协议规则的入侵检测方法
CN106555788A (zh) * 2016-11-11 2017-04-05 河北工业大学 基于模糊处理的深度学习在液压装备故障诊断中的应用

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201216106A (en) * 2010-10-13 2012-04-16 Univ Nat Taiwan Science Tech Intrusion detecting system and method to establish classifying rules thereof

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656634A (zh) * 2008-12-31 2010-02-24 暨南大学 基于IPv6网络环境的入侵检测系统及方法
WO2012017377A1 (en) * 2010-08-02 2012-02-09 Green Sql Ltd. Reverse proxy database system and method
CN102831050A (zh) * 2011-06-14 2012-12-19 湘潭大学 一种风电机组控制软件异常行为检测与导向安全方法
CN103995906A (zh) * 2014-06-13 2014-08-20 北京京东尚科信息技术有限公司 一种异常处理方法和装置
CN105069400A (zh) * 2015-07-16 2015-11-18 北京工业大学 基于栈式稀疏自编码的人脸图像性别识别系统
CN105389505A (zh) * 2015-10-19 2016-03-09 西安电子科技大学 基于栈式稀疏自编码器的托攻击检测方法
CN105871861A (zh) * 2016-04-19 2016-08-17 中国科学院信息工程研究所 一种自学习协议规则的入侵检测方法
CN106555788A (zh) * 2016-11-11 2017-04-05 河北工业大学 基于模糊处理的深度学习在液压装备故障诊断中的应用

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
入侵检测规则动态生成研究;廖年冬,田盛丰;《计算机与信息技术》;20081031;全文 *
工业控制系统入侵检测研究综述;赖英旭,刘增辉;《通信学报》;20170228;全文 *
稀疏自编码和Softmax回归的快速高效特征学习;徐德荣,陈秀宏;《传感与微系统》;20170608;全文 *

Also Published As

Publication number Publication date
CN108270779A (zh) 2018-07-10

Similar Documents

Publication Publication Date Title
CN108270779B (zh) 一种入侵检测系统安全规则的自动生成方法
Ge et al. Deep learning-based intrusion detection for IoT networks
CN112104677B (zh) 一种基于知识图谱的受控主机检测方法和装置
Kozik et al. A new method of hybrid time window embedding with transformer-based traffic data classification in IoT-networked environment
US11595434B2 (en) Method and system for intrusion detection
US11449604B2 (en) Computer security
CN111245848B (zh) 一种分层依赖关系建模的工控入侵检测方法
Chen et al. A novel approach for identifying lateral movement attacks based on network embedding
GB2583892A (en) Adaptive computer security
US11436320B2 (en) Adaptive computer security
US11477225B2 (en) Pre-emptive computer security
CN111367908A (zh) 一种基于安全评估机制的增量式入侵检测方法及系统
CN116662184B (zh) 一种基于Bert的工控协议模糊测试用例筛选方法及系统
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
Yang et al. Cloud-edge coordinated traffic anomaly detection for industrial cyber-physical systems
Bilakanti et al. Anomaly detection in IoT environment using machine learning
Pan et al. Anomaly behavior analysis for building automation systems
Alosefer et al. Predicting client-side attacks via behaviour analysis using honeypot data
CN116032515A (zh) 一种在SDN上基于Transformer的DDoS攻击检测方法
CN114338165A (zh) 基于伪孪生堆栈自编码器的网络入侵检测方法
Day et al. Entropy Analysis for Modbus Traffic over TCP/IP in Industrial Control Systems
Abdullah Designing Deep Learning Based Network Intrusion Detection System for Software Defined Network
CN116170237B (zh) 一种融合gnn和acgan的入侵检测方法
CN113347021B (zh) 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质
CN114553580B (zh) 基于规则泛化和攻击重构网络攻击检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant