CN110262467B - 基于深度学习的工控系统入侵攻击及线索发现方法 - Google Patents
基于深度学习的工控系统入侵攻击及线索发现方法 Download PDFInfo
- Publication number
- CN110262467B CN110262467B CN201910633314.8A CN201910633314A CN110262467B CN 110262467 B CN110262467 B CN 110262467B CN 201910633314 A CN201910633314 A CN 201910633314A CN 110262467 B CN110262467 B CN 110262467B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- model
- deep learning
- layer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于深度学习的工控系统入侵攻击及线索发现方法。入侵检测是工业控制系统安全系统初始环节的一部分。由于工业控制系统的重要性,安全系统专业人员的决策仍然是最重要的。因此,简单入侵报警在安全系统中的作用非常有限,基于深度学习的入侵检测模型由于其不可解释性的原因而难以提供更多信息,这限制了深度学习方法在工业控制网络入侵检测领域的应用。针对这一局限性,本文从信息的角度分析了各层深度学习模型中分类相关信息和无关信息的分布,发现了深度学习分类模型隐藏层可分析的可能性。最后,分层传播方法可以将相关信息从隐藏层映射到输入层,使难理解的信息转化为可理解的信息,帮助专业人员更快地锁定和处理入侵威胁。
Description
技术领域
本发明涉及工业控制网络技术领域,特别涉及一种基于深度学习的工控异常检测及攻击分类方法。
背景技术
工业控制系统(Industrial Control Systems,ICS)是由计算机设备与工业过程控制部件组成的自动控制系统,在铁路,石化和电力等关键基础设施领域发挥着重要作用。工业控制网络是工业控制系统中消息传递的重要载体。随着工业生产技术的不断提高和信息技术的不断发展,工业发展和信息化发展互相影响,互相融合,越来越多的信息技术被应用到了工业领域。目前,工业控制网络已被普遍应用于石化、水力、电力、医药、交通运输、食品制造、航空航天等工业生产应用的领域。在我国,目前绝大部分的制造业、生产业、服务业包括大量的关键基础设施和机密设施都已经完成了信息化和自动化的改进,工业控制网络已经成为国家关键基础设施的重要组成部分,工业控制网络的安全已经不仅关系到个人、企业的生产和利益,更关系到国家的战略安全。
传统的工业控制网络长期被应用在内部局域网络中,而且运行环境相对单一,所以在协议制定和实际部署上较少考虑安全问题,导致有很多漏洞没有被及时发现和受到重视。与此同时,由于在工业发展中,工业控制网络的设备中开始广泛采用互联网通用的软硬件和网络接口,为了与企业管理信息系统的集成,工业控制网络开始与企业内网,甚至是与互联网产生了数据交换,导致工业控制网络越来越开放。也就是说以前的工业控制网络在物理环境上的相对封闭性以及工业控制网络软、硬件的专用性将会被打破,通过互联网或企业内网将有可能获取相关工业控制网络较为详细的信息,再加上长期以来工作在安全环境下的工业控制网络的运营企业安全意识普遍较差,工业控制网络体系面临着一些传统的互联网安全威胁,例如蠕虫,黑客,网络攻击,病毒等等。而工业控制网络一旦受到安全攻击,将给工业生产甚至国家利益带来巨大的灾难。目前已经有了很多高度自动化、智能化的安全体系,可以自动的检测、阻止入侵,但工业控制网络的重要性与特殊性导致了这些系统无法顺利的被应用于工控网络环境中,因为每一次入侵行为对工业控制系统带来的影响是致命的,同样,每一次误报或错误的应对方案带来的影响也是致命的,而现有的安全体系均无法保证100%的正确检测和正确响应,所以在实际应用中,工控系统的安全体系中的最后一环永远是安全管理专家,通过人的专业判断来确保工控系统可以正常的运行,正确的检测、排除威胁。入侵检测系统作为安全体系中的第一环,担负着发现入侵行为并发出警报的重要责任,但是在实际场景中,入侵检测系统的警报信息往往过于简单,导致专业人士无法快速定位入侵的关键信息,延误了处理入侵的时间,若入侵检测系统可以提供更多的关于入侵的信息,对缩短处理入侵所需的时间会有很大的帮助。
发明内容
为了解决上述问题,本发明提出了基于深度学习的工控系统入侵攻击和线索发现方法。使用深度学习方法作为入侵检测模型,具有精度高,可自动、持续学习及泛化性等优秀的特性。同时,结合工控网络流量的特点,设计了具有针对性的数据拆分归一化方法,使得正常数据不会由于异常数据范围过大而被过度压缩,失去精度。另外,结合针对深度学习模型在信息层面的分析和分类模型的分类原理,提出一种通过聚类分析深度学习隐藏层输出,寻找各类别的最大区分度层,并通过最大区分度层(MDH)的输出确定最佳对比样本,最后参考LRP算法设计新的逐层推算方法将原样本与对比样本的输出差异和隐藏层差异映射到输入层,使得计算结果以人可理解的方式呈现出来,帮助安全专业人士快速定位造成攻击的数据维度。
基于深度学习的工控系统入侵攻击及线索发现方法,由训练阶段和检测阶段构成;
所述的训练阶段包括了数据的预分析、模型的构建和模型的预分析:考虑到工业控制系统数据流量的特点,设计了拆分归一化方法,需要预先分析数据,得到归一化需要的参数;使用数据训练模型,将训练集数据利用上述归一化方法进行归一化处理,再输入至深度学习模型中进行迭代训练,直到其损失函数收敛为止,最后使用聚类分析法,使用聚类模型和分类隐藏层输出组成新的分类模型对比原模型得到各类别的MDH;
所述的检测阶段包括对工控流量进行实时检测,对入侵行为发出警报并进行线索发现分析:对工控网络的流量进行收集并分类检测攻击行为,检测到攻击行为后,通过MDH层的输出寻找对比样本,并通过逐层推广算法计算输入变化与输出变化的关联度。
拆分归一化方法中,分析数据字段的全局极大、极小值,full_max和full_min,正常数据域的极大、极小值,norm_max和norm_min,将该数据字段正常域部分取出拆分为两部分:norm_dim和abnorm_dim,分别进行归一化处理,对输入为x,最大值函数为max(a,b),最小值函数为min(a,b),nmin=norm_min,nmax=norm_max,fmin=full_min,fmax=full_max的情况下,归一化算法描述如下:
norm_dim∶=min(max((x-nmin)/(nmax-nmin),0),1)
abnorm_dim∶=(min(x,nmin)-fmin+max(x-nmax,0))/(fmax–nmax+nmin-fmin)。
所述的聚类分析法,首先对深度学习模型的隐藏层输出进行聚类,得到聚类模型;然后尝试通过各隐藏层输出+聚类模型组成新的分类模型;最后分析每一个类别的数据在每一个新的模型与原模型相比的精确率和召回率,第一个使得精准率和召回率达到最高的隐藏层就是该类别的MDH。
逐层推广算法的实现步骤如下,对于l为模型层数,nl,i为l层第i神经元,al,i为nl,i的激活值,dl,i为原样本与对比样本在nl,i的激活值差值,wl,ij为权重,gl,ij为传递权重参数,Rl,i为nl,i的关联度值,Rl,i←j是从nl+1,j传递到nl,i的关联度值,关联度逐层传递关系如下公式所示;
传递参数值gl,ij确定方法步骤如下,
步骤1.确定神经元激活函数偏导数的最大值m,以及使偏导数取最大值时的输入值xm;
步骤2.若原样本和比较样本输入值在xm同侧,使用两个样本的偏导数值的均值作为传递参数值,若原样本和比较样本输入值在xm异侧,使用m作为传递参数值。
附图说明
图1是本发明的总体架构示意图。
图2和图3是本发明的归一化方法示意图。
图4是本发明所使用的逐层推算方法示意图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。
本发明基于深度学习的工控网络入侵攻击及线索发现方法的总体架构示意图如图1所示,包括:
训练阶段中,来自数据集的工控网络的数据通过拆分归一化方法去量纲化,并使用数据训练深度学习分类模型作为入侵检测模型,模型训练完成后,使用聚类分析方法可以得到每个类别的MDH。
聚类分析方法步骤如下:
步骤1.1对深度学习模型的隐藏层输出进行聚类,得到聚类模型;
步骤1.2尝试通过各隐藏层输出+聚类模型组成新的分类模型;
步骤1.3分析每一个类别的数据在每一个新的模型与原模型相比的精确率和召回率,第一个使得精准率和召回率达到最高的隐藏层就是该类别的MDH。
本发明所使用拆分归一化示意图如图2和图3所示,包括:
本发明针对工控网络的强规律性,发现工控网络流量中的数据字段往往具有很大的理论数据域,但在实际运行中往往只会占用很小的数据域,而在面临入侵时,一些简单攻击往往会产生随机数,覆盖整个理论数据域,导致数据集中的数据域接近理论数据域,而在常规的归一化操作时会造成正常值数据被严重过度缩放导致失去精度。所以,拆分归一化方法步骤如下:
步骤2.1.在训练模型之前,先对数据集中的数据进行预分析,首先寻找数据集中可能会出现过度缩放的字段。
步骤2.2.获得该字段的全局极大、极小值,full_max和full_min,正常数据域的极大、极小值,norm_max和norm_min,如图2所示。
步骤2.3.依照这些参数将该字段拆分为正常域字段(norm_dim)和异常域字段(abnorm_dim),如图3所示,采用如下公式计算数值,就可以同时保证数据全部归一化且不会丢失必要精度。
norm_dim:=min(max((x-nmin)/(nmax-nmin),0),1)
abnorm_dim:=(min(x,nmin)-fmin+max(x-nmax,0))/(fmax-nmax+nmin-fmin)
本发明所使用的逐层推算方法示意图如图4所示,包括:
对于l为模型层数,nl,i为l层第i神经元,al,i为nl,i的激活值,dl,i为原样本与对比样本在nl,i的激活值差值,wl,ij为权重,gl,ij为传递权重参数,Rl,i为nl,i的关联度值,Rl,i←j是从nl+1,j传递到nl,i的关联度值,如图4所示,关联度逐层传递关系如下公式所示。
本发明所使用的传递参数值gl,ij确定方法步骤如下:
步骤3.1确定该神经元激活函数偏导数的最大值中,以及使偏导数取最大值时的输入值xm。
步骤3.2若原样本和比较样本输入值在xm同侧,使用两个样本的偏导数值的均值作为传递参数值,若原样本和比较样本输入值在xm异侧,使用m作为传递参数值
应当理解,虽然本说明书根据实施方式加以描述,但是并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为了清楚起见,本领域的技术人员应当将说明书作为一个整体,各个实施方式中的技术方案也可以适当组合,按照本领域技术人员的理解来实施。
上文所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用于限制本发明的保护范围,凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (3)
1.基于深度学习的工控系统入侵攻击及线索发现方法,其特征在于:训练阶段包括了数据的预分析、模型的构建和模型的预分析:考虑到工业控制系统数据流量的特点,设计了拆分归一化方法,需要预先分析数据,得到归一化需要的参数;使用数据训练模型,将训练集数据利用上述归一化方法进行归一化处理,再输入至深度学习模型中进行迭代训练,直到其损失函数收敛为止,最后使用聚类分析法,使用聚类模型和分类隐藏层输出组成新的分类模型对比原模型得到各类别的MDH;
检测阶段包括对工控流量进行实时检测,对入侵行为发出警报并进行线索发现分析:对工控网络的流量进行收集并分类检测攻击行为,检测到攻击行为后,通过MDH层的输出寻找对比样本,并通过逐层推广算法计算输入变化与输出变化的关联度;
拆分归一化方法中,分析数据字段的全局极大、极小值,full_max和full_min,正常数据域的极大、极小值,norm_max和norm_min,将该数据字段正常域部分取出拆分为两部分,norm_dim和abnorm_dim,分别进行归一化处理,对输入为x,最大值函数为max(a,b),最小值函数为min(a,b),nmin=norm_min,nmax=norm_max,fmin=full_min,fmax=full_max的情况下,归一化算法描述如下:
norm_dim∶=min(max((x-nmin)/(nmax-nmin),0),1)
abnorm_dim∶=(min(x,nmin)-fmin+max(x-nmax,0))/(fmax–nmax+nmin-fmin);
最大区分度隐藏层发现使用聚类分析法,首先对深度学习模型的隐藏层输出进行聚类,得到聚类模型;然后尝试通过各隐藏层输出+聚类模型组成新的分类模型;最后分析每一个类别的数据在每一个新的模型与原模型相比的精确率和召回率,第一个使得精准率和召回率达到最高的隐藏层就是该类别的MDH。
2.根据权利要求1所述的基于深度学习的工控系统入侵攻击及线索发现方法,其特征在于:逐层推广算法的实现步骤如下,对于l为模型层数,nl,i为l层第i神经元,al,i为nl,i的激活值,dl,i为原样本与对比样本在nl,i的激活值差值,wl,ij为权重,gl,ij为传递权重参数,Rl,i为nl,i的关联度值,Rl,i←j是从nl+1,j传递到nl,i的关联度值,关联度逐层传递关系如下公式所示;
3.根据权利要求2所述的基于深度学习的工控系统入侵攻击及线索发现方法,其特征在于:传递参数值gl,ij确定方法步骤如下,
步骤1.确定神经元激活函数偏导数的最大值m,以及使偏导数取最大值时的输入值xm;
步骤2.若原样本和比较样本输入值在xm同侧,使用两个样本的偏导数值的均值作为传递参数值,若原样本和比较样本输入值在xm异侧,使用m作为传递参数值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910633314.8A CN110262467B (zh) | 2019-07-15 | 2019-07-15 | 基于深度学习的工控系统入侵攻击及线索发现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910633314.8A CN110262467B (zh) | 2019-07-15 | 2019-07-15 | 基于深度学习的工控系统入侵攻击及线索发现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110262467A CN110262467A (zh) | 2019-09-20 |
| CN110262467B true CN110262467B (zh) | 2021-06-18 |
Family
ID=67926073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910633314.8A Active CN110262467B (zh) | 2019-07-15 | 2019-07-15 | 基于深度学习的工控系统入侵攻击及线索发现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110262467B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113009817B (zh) * | 2021-02-08 | 2022-07-05 | 浙江大学 | 一种基于控制器输出状态安全熵的工控系统入侵检测方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935600B (zh) * | 2015-06-19 | 2019-03-22 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
| CN106656981B (zh) * | 2016-10-21 | 2020-04-28 | 东软集团股份有限公司 | 网络入侵检测方法和装置 |
| CN107895171A (zh) * | 2017-10-31 | 2018-04-10 | 天津大学 | 一种基于k均值与深度置信网络的入侵检测方法 |
| CN108809974A (zh) * | 2018-06-07 | 2018-11-13 | 深圳先进技术研究院 | 一种网络异常识别检测方法及装置 |
| CN109858245A (zh) * | 2019-02-19 | 2019-06-07 | 上海海事大学 | 一种基于改进深度置信网络的入侵检测方法 |
| CN109829514A (zh) * | 2019-03-07 | 2019-05-31 | 西安电子科技大学 | 一种网络入侵检测方法、装置、计算机设备和存储介质 |
-
2019
- 2019-07-15 CN CN201910633314.8A patent/CN110262467B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110262467A (zh) | 2019-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Meena et al. | A review paper on IDS classification using KDD 99 and NSL KDD dataset in WEKA | |
| Wang et al. | An exhaustive research on the application of intrusion detection technology in computer network security in sensor networks | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| CN113422763B (zh) | 基于攻击场景构建的报警关联分析方法 | |
| CN114301712A (zh) | 一种基于图方法的工业互联网告警日志关联分析方法及系统 | |
| Nikolova et al. | Some similarity coefficients and application of data mining techniques to the anomaly-based IDS | |
| Gamal et al. | Few-shot learning for discovering anomalous behaviors in edge networks | |
| Lin et al. | Machine learning with variational autoencoder for imbalanced datasets in intrusion detection | |
| CN116527362A (zh) | 一种基于LayerCFL入侵检测的数据保护方法 | |
| Liu et al. | Multi-step attack scenarios mining based on neural network and Bayesian network attack graph | |
| Hendry et al. | Intrusion signature creation via clustering anomalies | |
| Zheng et al. | Preprocessing method for encrypted traffic based on semisupervised clustering | |
| CN110262467B (zh) | 基于深度学习的工控系统入侵攻击及线索发现方法 | |
| Xue et al. | Applied research on data mining algorithm in network intrusion detection | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| Fatma et al. | A two-stage process based on data mining and optimization to identify false positives and false negatives generated by Intrusion Detection Systems | |
| CN115859305A (zh) | 一种基于知识图谱的工控安全态势感知方法及系统 | |
| Protic et al. | WK-FNN design for detection of anomalies in the computer network traffic | |
| Liao et al. | Research on network intrusion detection method based on deep learning algorithm | |
| CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
| Najafi et al. | NLP-based Entity Behavior Analytics for Malware Detection | |
| Pandeeswari et al. | Analysis of Intrusion Detection Using Machine Learning Techniques | |
| Yao | Information Security Situation Awareness Based on Big Data and Artificial Intelligence Technology | |
| Swarnalatha | Detect and classify the unpredictable cyber-attacks by using DNN model | |
| Ding et al. | Multi-step attack threat recognition algorithm based on attribute association in internet of things security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |