CN109766992B - 基于深度学习的工控异常检测及攻击分类方法 - Google Patents
基于深度学习的工控异常检测及攻击分类方法 Download PDFInfo
- Publication number
- CN109766992B CN109766992B CN201811490356.2A CN201811490356A CN109766992B CN 109766992 B CN109766992 B CN 109766992B CN 201811490356 A CN201811490356 A CN 201811490356A CN 109766992 B CN109766992 B CN 109766992B
- Authority
- CN
- China
- Prior art keywords
- matrix
- industrial control
- neural network
- convolutional neural
- dimensional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了基于深度学习的工控异常检测及攻击分类方法,基于马氏距离的工控流量特征映射方法;该方法考虑到工业控制系统的实际情况,利用特征之间的马氏距离进行相关性度量,将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵;通过分析现有异常检测方法的不足,使用卷积神经网络模型进行检测及分类。同时,考虑到工业控制系统各种特征之间关系的特点,提出了一种基于马氏距离的特征映射方法,将一维流数据转换为用作CNN输入的二维矩阵。该方法在2分类问题和多分类问题上均表现出优异的性能,满足SCADA异常检测和攻击分类的预期要求,为维护工业控制系统的安全提供了帮助。
Description
技术领域
本发明涉及工业控制网络技术领域,特别涉及一种基于深度学习的工控异常检测及攻击分类方法。
背景技术
工业控制系统(Industrial Control Systems,ICS)是由计算机设备与工业过程控制部件组成的自动控制系统,在铁路,石化和电力等关键基础设施领域发挥着重要作用。随着工业信息化进程的不断进行,工业控制系统的封闭性逐渐被打破,越来越多的信息和计算机技术被广泛应用于工业控制领域。这使得工业控制系统被恶意程序或者网络攻击破坏的风险大大增加,可能对国家基础设施造成破坏并带来重大经济损失。
由于资源条件受限和环境相对封闭等原因,工业控制系统在最初设计时并没有充分考虑到可能存在网络安全隐患。随着现代ICS和信息技术的发展,潜在的安全问题逐渐暴露出来。为了使工业过程稳定可靠地运行,ICS需要在必要时加以保护。为解决工控网络的信息安全问题,学术界和工业界都在积极的寻找合适的解决方案。传统的信息系统解决方案已作为早期防御方法应用于工业控制系统。然而,这些措施无法在高实时性和资源约束条件下充分预测和控制。近年来,工业控制系统的异常检测和安全保护在世界范围内得到了广泛的研究。工控异常检测方法的原理主要是通过测量当前行为与正常行为之间的偏差来识别恶意模式。目前常用的方法为:基于知识的异常检测方法,基于统计的异常检测方法和基于机器学习的异常检测方法。基于知识的异常检测方法在正常运行情况下分析系统状态,行为模式或协议规范,并建立检测规则,以便它可以检测不符合规范的攻击,其不足在于无法检测符合正常行为规范的潜在攻击;基于统计的异常检测方法通常使用分析和统计相关方法来分析工业控制系统的参数并建立系统的正常行为轮廓,但该方法无法精确利用数据的内部关系,同时,入侵者可以训练检测系统将入侵视为正常行为;基于机器学习算法的异常检测方法在一定程度上可以提高工业控制环境中异常行为检测的准确性,对建立智能高效的入侵检测模型具有重要意义,但是随着工业大数据时代的来临,工控网络数据集的规模不断增大,传统的机器学习方法的检测性能逐渐降低,计算成本也在不断上升。除了上述所述的不足之处以外,将异常行为检测简单认为二元分类问题也是远远不够的。为了实现在发生网络攻击时快速定位攻击来源,并及时进行对控制系统状态的缓解和恢复,从而尽可能的减少各类损失,有必要对工控网络的异常模式进行更加详细的划分。因此,在以上研究目标的推动下,本发明提出了将深度学习技术应用于工控网络异常检测和攻击分类的方法。
发明内容
为了解决上述问题,本发明提出了基于深度学习的工控异常检测及分类方法。首先使用基于马氏距离(Mahalanobis)的特征映射方法,将深度学习中的经典方法——卷积神经网络方法应用在对SCADA系统的异常检测及攻击分类中。本发明能够有效实现对工业控制系统网络异常流量的检测以及对不同种类攻击的精确分类。
本发明提出了一种基于深度学习的工控异常检测及分类方法,所使用的模型是卷积神经网络模型。同时,考虑到工业控制系统网络流量的各种特征之间具有较强相关性的特点,提出了一种基于马氏距离的特征映射方法。本发明提出的特征映射方法可将一维流数据转换为可用作卷积神经网络模型输入的二维矩阵。本发明在2分类问题和多分类问题上均表现出优异的性能,能够满足SCADA异常检测和攻击分类的预期要求,可以为工业控制系统的安全提供帮助。
附图说明
图1是本发明的总体结构示意图。
图2是本发明所使用卷积神经网络模型的结构示意图。
图3是本发明所使用的模型训练及异常检测流程示意图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。
本发明基于深度学习的异常检测及分类方法的整体结构示意图如图1所示,包括:
基于马氏距离的工控流量特征映射方法。该方法考虑到工业控制系统的实际情况,利用特征之间的马氏距离进行相关性度量,可以将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵。
步骤1.将第i个工控网络数据流xi表示为
其中m是每个数据流中包含的特征变量数目。并且
表示第i个工控数据流中的第l个特征的值。
步骤2.为了充分利用第i个网络流特征向量中不同特征之间的相关性,将xi转换为m行m列的矩阵。矩阵的具体的转换方法为:
其中Im是m阶对角矩阵,
是xi的转置矩阵,
表示第i个工控数据流中的第l个特征的值。显然,矩阵Xi的各对角线元素是m维特征的值。
步骤3.利用m维向量
表示矩阵Xi的每一列:
其中,
在这里,
代表矩阵Xi中第j行第p列的取值。
因此,矩阵Xi可以用m个m维向量表示为:
其中,
代表矩阵的第j个向量。
步骤4.计算矩阵Xi的协方差矩阵并获得其逆矩阵:
∑-1与Coh(Xi)-1均表示Xi的协方差矩阵的逆矩阵。
表示第m个向量与第k个向量求协方差。
步骤5.将流特征向量的不同特征之间的相关性由马氏距离定义如下:
其中,
表示第j个和第k个特征之间的马氏距离。
最终,第i个工业数据流可以表示为对称矩阵MHDxi,该对称矩阵第m行m列的元素全部为零:
通过上述所提出的特征映射方法,本发明实现了原始一维工业数据流到二维矩阵的映射。经过映射的矩阵可用作卷积神经网络的输入,作为后续离线训练和在线检测的基础。
本发明所使用模型的结构示意图如图2所示,包括:
本发明基于所生成的流量数据灰度图的特征,改进了经典卷积神经网络——LeNet-5的架构。改进主要考虑到两个方面:首先,根据通过特征映射获得的灰度图像大小,将网络的输入层设计为26×26像素。其次,考虑到多分类的输出要求,对输出层中的节点数进行修改。
本发明所使用的CNN将原始的26×26×1大小的图像作为输入,并且卷积层C1利用大小为3×3的六个内核执行卷积操作以获得六个24×24大小的特征映射。子采样层S2将C1层的输出作为输入,并使用2×2大小的窗口对6个图像进行池化,以获得6个12×12的特征映射。卷积层C3的内核大小与C1的大小相同,但使用预先训练的16个通道进行卷积运算,因此结果是16个大小为10×10的特征映射。子采样层S4仍然使用2×2大小的窗口汇集16个输入,并且结果是16个5×5大小的特征映射。该架构的最后两层是全连接层,用于把网络前面部分提取到的高级特征综合起来。全连接层所设置的节点数量以LeNet-5为参考,分别为120和84,最终输出节点的数量为8。本发明所使用的卷积神经网络架构使用Softmax函数实现多分类,使用dropout函数用于防止模型的过拟合,使用非线性激活函数ReLU将稀疏性引入神经网络,降低其他复杂激活函数中诸如指数函数的影响;同时活跃度的分散性使得神经网络整体计算成本下降。
本发明模型训练及异常检测流程示意图如图3所示,包括以下步骤:
步骤1.收集原始工业控制系统的过程数据流并进行处理。将SCADA数据集划分为训练数据集和测试数据集,并执行特征映射操作。
步骤2.初始化卷积神经网络。依据图2所示的体系结构搭建卷积神经网络模型,并进行网络相关参数的初始化操作。
步骤3.离线训练卷积神经网络模型。将训练数据输入到检测模型中,并通过训练自动确定卷积神经网络的每一层的权重系数。
步骤4.测试卷积神经网络模型。训练完成后,将测试数据输入到训练好的卷积神经网络中以对SCADA流量进行分类并确定每个度量是否高于阈值。如果结果高于下限,则微调参数并寻求最佳结果;否则,直接调整参数并重复步骤3。
应当理解,虽然本说明书根据实施方式加以描述,但是并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为了清楚起见,本领域的技术人员应当将说明书作为一个整体,各个实施方式中的技术方案也可以适当组合,按照本领域技术人员的理解来实施。
上述所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用于限制本发明的保护范围,凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (1)
1.基于深度学习的工控异常检测及攻击分类方法,其特征在于:包括,
基于马氏距离的工控流量特征映射方法;该方法考虑到工业控制系统的实际情况,利用特征之间的马氏距离进行相关性度量,将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵;
步骤1.将第i个工控网络数据流xi表示为
其中m是每个数据流中包含的特征变量数目;并且
表示第i个工控数据流中的第l个特征的值;
步骤2.为了充分利用第i个网络流特征向量中不同特征之间的相关性,将xi转换为m行m列的矩阵;矩阵的具体的转换方法为:
其中Im是m阶对角矩阵,
是xi的转置矩阵,
表示第i个工控数据流中的第l个特征的值;显然,矩阵Xi的各对角线元素是m维特征的值;
步骤3.利用m维向量
表示矩阵Xi的每一列:
其中,
在这里,
代表矩阵Xi中第j行第p列的取值;
因此,矩阵Xi可以用m个m维向量表示为:
其中,
代表矩阵的第j个向量;
步骤4.计算矩阵Xi的协方差矩阵并获得其逆矩阵:
∑-1与Cov(Xi)-1均表示Xi的协方差矩阵的逆矩阵;
表示第m个向量与第k个向量求协方差;
步骤5.将流特征向量的不同特征之间的相关性由马氏距离定义如下:
其中,
表示第j个和第k个特征之间的马氏距离;
最终,第i个工业数据流表示为对称矩阵MHDxi,该对称矩阵第m行m列的元素全部为零:
通过特征映射方法,实现了原始一维工业数据流到二维矩阵的映射;经过映射的矩阵用作卷积神经网络的输入,作为后续离线训练和在线检测的基础;
所使用模型的结构包括基于所生成的流量数据灰度图的特征,改进了经典卷积神经网络——LeNet-5的架构;改进主要考虑到两个方面:首先,根据通过特征映射获得的灰度图像大小,将网络的输入层设计为26×26像素;其次,考虑到多分类的输出要求,对输出层中的节点数进行修改;
所使用的CNN将原始的26×26×1大小的图像作为输入,并且卷积层C1利用大小为3×3的六个内核执行卷积操作以获得六个24×24大小的特征映射;子采样层S2将C1层的输出作为输入,并使用2×2大小的窗口对6个图像进行池化,以获得6个12×12的特征映射;卷积层C3的内核大小与C1的大小相同,但使用预先训练的16个通道进行卷积运算,因此结果是16个大小为10×10的特征映射;子采样层S4仍然使用2×2大小的窗口汇集16个输入,并且结果是16个5×5大小的特征映射;该架构的最后两层是全连接层,用于把网络前面部分提取到的高级特征综合起来;全连接层所设置的节点数量以LeNet-5为参考,分别为120和84,最终输出节点的数量为8;所使用的卷积神经网络架构使用Softmax函数实现多分类,使用dropout函数用于防止模型的过拟合,使用非线性激活函数ReLU将稀疏性引入神经网络,降低其他复杂激活函数中指数函数的影响;同时活跃度的分散性使得神经网络整体计算成本下降;
模型训练及异常检测流程,包括以下步骤:
步骤1.收集原始工业控制系统的过程数据流并进行处理;将SCADA数据集划分为训练数据集和测试数据集,并执行特征映射操作;
步骤2.初始化卷积神经网络;体系结构搭建卷积神经网络模型,并进行网络相关参数的初始化操作;
步骤3.离线训练卷积神经网络模型;将训练数据输入到检测模型中,并通过训练自动确定卷积神经网络的每一层的权重系数;
步骤4.测试卷积神经网络模型;训练完成后,将测试数据输入到训练好的卷积神经网络中以对SCADA流量进行分类并确定每个度量是否高于阈值;如果结果高于下限,则微调参数并寻求最佳结果;否则,直接调整参数并重复步骤3。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811490356.2A CN109766992B (zh) | 2018-12-06 | 2018-12-06 | 基于深度学习的工控异常检测及攻击分类方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811490356.2A CN109766992B (zh) | 2018-12-06 | 2018-12-06 | 基于深度学习的工控异常检测及攻击分类方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109766992A CN109766992A (zh) | 2019-05-17 |
| CN109766992B true CN109766992B (zh) | 2020-12-04 |
Family
ID=66451207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811490356.2A Active CN109766992B (zh) | 2018-12-06 | 2018-12-06 | 基于深度学习的工控异常检测及攻击分类方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109766992B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912867B (zh) * | 2019-09-29 | 2022-05-17 | 惠州蓄能发电有限公司 | 工业控制系统的入侵检测方法、装置、设备和存储介质 |
| US11100221B2 (en) * | 2019-10-08 | 2021-08-24 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
| CN111310801B (zh) * | 2020-01-20 | 2024-02-02 | 桂林航天工业学院 | 一种基于卷积神经网络的混合维度流量分类方法及其系统 |
| CN111556018B (zh) * | 2020-03-25 | 2021-07-27 | 中国科学院信息工程研究所 | 一种基于cnn的网络入侵检测方法及电子装置 |
| CN111447117B (zh) * | 2020-03-25 | 2022-02-25 | 浙江大学 | 基于大数据的工控网络交换机灰度检测方法 |
| CN112202736B (zh) * | 2020-09-15 | 2021-07-06 | 浙江大学 | 基于统计学习和深度学习的通信网络异常分类方法 |
| CN112738014B (zh) * | 2020-10-28 | 2023-05-16 | 北京工业大学 | 一种基于卷积时序网络的工控流量异常检测方法及系统 |
| CN112953924B (zh) * | 2021-02-04 | 2022-10-21 | 西安电子科技大学 | 网络异常流量检测方法、系统、存储介质、终端及应用 |
| CN113065606B (zh) * | 2021-04-19 | 2023-11-17 | 北京石油化工学院 | 一种基于轻量级深度学习的异常点位检测方法及系统 |
| CN114595448B (zh) * | 2022-03-14 | 2022-09-27 | 山东省计算中心(国家超级计算济南中心) | 一种基于相关性分析和三维卷积的工控异常检测方法、系统、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567812A (zh) * | 2012-01-09 | 2012-07-11 | 红云红河烟草(集团)有限责任公司 | 一种烟草加工工序中用加工参数预测控制指标的方法 |
| CN105807631A (zh) * | 2016-03-08 | 2016-07-27 | 北京工业大学 | 基于plc仿真的工控入侵检测方法和入侵检测系统 |
| CN106408001A (zh) * | 2016-08-26 | 2017-02-15 | 西安电子科技大学 | 基于深度核哈希的感兴趣区域快速检测方法 |
| CN108510079A (zh) * | 2017-02-27 | 2018-09-07 | 顾泽苍 | 一种用于机器学习的多概率尺度的构成方法 |
| CN108846323A (zh) * | 2018-05-28 | 2018-11-20 | 哈尔滨工程大学 | 一种面向水下目标识别的卷积神经网络优化方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103472732A (zh) * | 2013-09-27 | 2013-12-25 | 上海交通大学 | 一种改进的基于马氏距离的多变量控制器性能监控方法 |
| US20150248556A1 (en) * | 2014-02-28 | 2015-09-03 | Government Of The United States, As Represented By The Secretary Of The Air Force | Firmware Disassembly System |
| CN106254316B (zh) * | 2016-07-20 | 2019-07-05 | 北京工业大学 | 一种基于数据依赖的工控行为异常检测系统 |
| CN108509964A (zh) * | 2017-02-27 | 2018-09-07 | 顾泽苍 | 一种穿越欧几里德空间与概率空间的距离的获得方法 |
| CN106992880A (zh) * | 2017-03-20 | 2017-07-28 | 北京匡恩网络科技有限责任公司 | 用于工业以太网的流量预测方法及装置 |
| CN107222491B (zh) * | 2017-06-22 | 2021-01-05 | 北京工业大学 | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 |
| CN107370732B (zh) * | 2017-07-14 | 2021-08-17 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
| CN107884706B (zh) * | 2017-11-09 | 2020-04-07 | 合肥工业大学 | 基于向量值正则核函数逼近的模拟电路故障诊断方法 |
| CN107992893B (zh) * | 2017-12-08 | 2022-01-04 | 北京小米移动软件有限公司 | 压缩图像特征空间的方法及装置 |
| CN108737410B (zh) * | 2018-05-14 | 2021-04-13 | 辽宁大学 | 一种基于特征关联的有限知工业通信协议异常行为检测方法 |
-
2018
- 2018-12-06 CN CN201811490356.2A patent/CN109766992B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567812A (zh) * | 2012-01-09 | 2012-07-11 | 红云红河烟草(集团)有限责任公司 | 一种烟草加工工序中用加工参数预测控制指标的方法 |
| CN105807631A (zh) * | 2016-03-08 | 2016-07-27 | 北京工业大学 | 基于plc仿真的工控入侵检测方法和入侵检测系统 |
| CN106408001A (zh) * | 2016-08-26 | 2017-02-15 | 西安电子科技大学 | 基于深度核哈希的感兴趣区域快速检测方法 |
| CN108510079A (zh) * | 2017-02-27 | 2018-09-07 | 顾泽苍 | 一种用于机器学习的多概率尺度的构成方法 |
| CN108846323A (zh) * | 2018-05-28 | 2018-11-20 | 哈尔滨工程大学 | 一种面向水下目标识别的卷积神经网络优化方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109766992A (zh) | 2019-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766992B (zh) | 基于深度学习的工控异常检测及攻击分类方法 | |
| CN110232319B (zh) | 一种基于深度学习的船舶行为识别方法 | |
| CN111585948B (zh) | 一种基于电网大数据的网络安全态势智能预测方法 | |
| CN111352977B (zh) | 基于自注意力双向长短期记忆网络的时序数据监测方法 | |
| CN112087442B (zh) | 基于注意力机制的时序相关网络入侵检测方法 | |
| CN104063719A (zh) | 基于深度卷积网络的行人检测方法及装置 | |
| CN110768971B (zh) | 适用于人工智能系统的对抗样本快速预警方法及系统 | |
| CN112019529B (zh) | 新能源电力网络入侵检测系统 | |
| CN111447217A (zh) | 一种稀疏编码下的基于htm的流数据异常检测方法及系统 | |
| CN117421684B (zh) | 基于数据挖掘和神经网络的异常数据监测与分析方法 | |
| Sathiyabhama et al. | Tracing of vehicle region and number plate detection using deep learning | |
| Yan et al. | TL-CNN-IDS: transfer learning-based intrusion detection system using convolutional neural network | |
| CN116501444B (zh) | 智能网联汽车域控制器虚拟机异常云边协同监测和恢复系统及方法 | |
| CN114972871A (zh) | 基于图像配准的少样本图像异常检测方法及系统 | |
| CN113328986A (zh) | 基于卷积神经网络与lstm结合的网络流量异常检测方法 | |
| CN117274903B (zh) | 基于智能ai芯片的电力巡检智能预警设备及其方法 | |
| CN111291624B (zh) | 一种挖掘机目标识别方法及系统 | |
| CN115348074B (zh) | 深度时空混合的云数据中心网络流量实时检测方法 | |
| CN116232761B (zh) | 基于shapelet的网络异常流量检测方法及系统 | |
| Yuan et al. | A constructing vehicle intrusion detection algorithm based on BOW presentation model | |
| Huang et al. | Transmission equipment image recognition based on Ensemble Learning | |
| Wang et al. | Feature Extraction and Attack Correlation Detection in Power Communication Networks Based on Convolutional Neural Networks | |
| Nandurdikar et al. | A Survey on Intelligent and Effective Intrusion Detection system using Machine Learning Algorithm | |
| Mo et al. | Network traffic outlier detection based on full convolutional network | |
| CN117951646A (zh) | 一种基于边缘云的数据融合方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |