CN112565200B - 基于边缘智能的工控网络误用入侵检测预警系统 - Google Patents
基于边缘智能的工控网络误用入侵检测预警系统 Download PDFInfo
- Publication number
- CN112565200B CN112565200B CN202011278919.9A CN202011278919A CN112565200B CN 112565200 B CN112565200 B CN 112565200B CN 202011278919 A CN202011278919 A CN 202011278919A CN 112565200 B CN112565200 B CN 112565200B
- Authority
- CN
- China
- Prior art keywords
- data
- network
- intrusion
- model
- edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Computational Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统,由网络数据获取设备、边缘智能计算设备、中央服务器、网络监控终端显示器、入侵警报器组成。网络连接数据由网络数据获取设备收集并传送至边缘智能计算设备。边缘智能计算设备包括数据预处理模块、边缘智能计算模块,用以进行工控网络误用入侵检测,并将检测结果发送至中央服务器、网络监控终端显示器和入侵警报器,进行显示、报警。本发明提供一种检测精度高、误报率低、快捷的利用边缘智能的轻量级工控网络误用入侵检测预警系统。
Description
技术领域
本发明涉及一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统,属于工控安全入侵检测技术领域。
背景技术
传统的工业控制系统相对独立,并且往往与外部的互联网相分离。但是,如今的工业控制系统,朝着信息化、网络化的大趋势发展。外网的加入打破了原先的封闭性,这是一把双刃剑,一方面可以加速工控网络的发展,另一方面工控网络将面临着一系列的网络安全问题,导致近几年工控安全事件频发,例如,2015年发生在乌克兰电力厂控制网络遭受攻击的事件等。如何在互联网+的环境下有效地应对网络攻击成为工控安全急迫需要解决的问题。
传统工控网络安全使用防火墙技术,然而防火墙是一种被动防御技术,高级的网络攻击可以针对防火墙的漏洞,绕过防火墙进行攻击,并且防火墙设置在外网和内网之间,目的是拦截外部攻击,但对于内网的攻击不会做出回应。入侵检测技术是通过进行安全监控和异常警报的方式来保障系统安全,它主动检测网络中的存在的攻击,因此对于内网攻击也同样有效,从而弥补了防火墙的不足,能够为工控网络系统提供第二道安全防线。目前,工业控制系统入侵检测方法,已经有基于模式匹配、基于时域、频域分析以及基于设备指纹等手段,但仍然存在着检测精度不高、误报率不低的问题。特别是控制现场往往离中央服务器距离较远,容易导致处理数据上的时延,并且在数据传输的过程中,也存在较高的数据泄露风险。
发明内容
为了克服目前已有的工控网络入侵检测过程的检测误报率高、速度慢、难以充分利用本地计算资源的不足,本发明的目的在于提供一种检测精度高、误报率低、响应速度快能利用边缘计算资源的工控网络入侵检测方法,旨在提供一种有效的基于边缘智能工控网络误用入侵检测预警系统。
本发明解决其技术问题所采用的技术方案是:一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统,包括以下步骤:
1)获取网络请求数据,以2秒为采样间隔记录流量特征;
1.1)一时间段内的网络请求数据发送至最近的边缘智能计算设备;
1.2)在边缘智能计算设备中完成步骤2-3);
2)检测网络入侵并判断该时间段内入侵类别,分别为拒绝服务攻击,未经授权的远程机器访问,未经授权访问本地超级用户权限,监视和其他探测,并将正常状态也设置为一类,共有五类;
3)显示网络状况,若检测到入侵行为,输出入侵类别信息,若没有则显示网络状态安全。该预警系统的数据传输过程:边缘智能计算设备将入侵警报信息发送至中央服务器,中央服务器将接收到的入侵警报信息发送至警报显示器,同时在网络监控终端发出类别消息框提示。进一步地,预警系统所述过程包括:将引起警报信息的网络请求数据进行存储,定期更新边缘智能计算模块。
该警报系统由边缘智能计算设备,中央服务器,终端显示设备,入侵警报器组成。
边缘智能计算设备中的边缘智能计算模块,用以进行工控网络误用入侵检测,采用如下过程完成:
数据预处理模块,采用以下步骤来实现数据预处理:
1)符号编码:部分特征包含字符信息,这里利用独热编码机制进行编码。
例如属性协议类型protocol_type,可能的协议类型有tcp,udp,icmp,采用独热编码机制,即tcp用[1,0,0]表示,udp用[0,1,0]表示,icmp用[0,0,1]表示。其他符号属性还包括,服务类型service_type和标志类型flag_typey,均使用该编码机制进行编码处理,将原先41个特征扩展为122个特征。
2)标准化处理:
3)数据二维化处理:
为了便于后续的处理,将输入的流量信息通过删去第122个特征后,将数据转换为大小11×11的二维形式x0。
边缘智能计算模块,采用以下步骤来实现入侵检测:
1.1)输入预处理后的数据x0进行算子相乘操作。选择输入数据中相邻的与算子相同大小的区域,按照步长s=1的滑动窗口的方式进行相乘操作,即将输入数据划分为a×a个的大小3×3的区域,a表示在二维数据的一个维度方向上以3×3、步长s=1的滑动窗口可以滑动的次数,公式如下:
其中,表示在第l层,第m通道的进行一次算子操作后,输出矩阵第i行,第j列的元素值,表示l-1层的输出矩阵被3×3滑动窗口所划分区域内的第r行,第t列的元素值,表示第l层,第m通道的权值矩阵算子上第r行,第t列的元素值。max表示取最大值,这里与零进行比较,即将矩阵中的负值设置为零。
重复上述操作4次,一次为一层,每层各有8、16、32和64个算子,若一层有8个算子,则表示输出数据有8个通道,且每层中a的值分别为9、7、5、5。这里特别说明,在第4层算子计算中,输入数据进行补零操作,该操作通过每行每列的首端和尾端添加零,并在新增的零行零列首端和尾端也添加零,使得该层输入由原先的5×5大小扩充为7×7,因此该层a值并未减小。通过以上操作最终获得在高维空间映射的数据信息
1.2)将步骤1.1)中最后输出的多通道二维数据xl,通过在每一通道的矩阵元素求取平均值zm,获得一维数组z=[z1,z2,…,zm]T,然后进行以下操作:
y=Wz (4)
其中,y为C×1的向量,表示分类类别,W是c×a的权值矩阵。公式(3)将高维度特征信息通过映射函数映射回分类类别空间y=[y1,y2,…,yc]T。
1.3)输出分类概率分布:
其中,c表示类别,C表示类别总个数,yc表示预测类别值,p(yc)表示输出预测值属于c类的占所有类别预测值之和的概率。
计算模型f1的误差,公式如下:
其中,H表示模型的误差,K表示样本大小,C表示类别数,将第i样本预测为第j类别的概率为pi,j,yi,j表示第i样本预测为第j类别期望概率。
2)构建提升模型。将模型拟合成为函数空间中的最优函数。
其中,fn(x)表示第n个学习机,L表示损失函数,Fn-1(x)表示前n-1个学习机的加权和。
从而构建出新的学习机fn提升模型,达到减小检测误差、提高预警精度的作用,即使用新的学习机提升模型来拟合误差。采用如下公式,得到入侵检测最终模型:
其中,Fn(x)表示最终的模型,an为各个学习机的系数,fn(x)表示第n个学习机,N表示学习机总数,即最终的模型输出是由各个学习机权值相加所得。
3)设定智能边缘计算模块的参数。历史数据的类别会有样本不均衡的状况,对此,先对样本量大的类别数据样本进行随机抽样,然后对样本量小的类别数据样本进行重采样。将进行样本均衡化的历史数据分训练集和测试集,在训练过程中,将数据样本按照损失梯度大小从大到小排列,选取前s×100%(0<s<1)的样本,并设定为未训练完全数据样本,将该部分数据作为下一次训练集的一部分,另一部分下一次训练集是由随机抽取样本总数的t×100%(0<t<(1-s)),设置训练最大次数num_max,当迭代完成后,利用测试集选取误报率最小的最优模型,完成模型参数配置。
本发明的有益效果在于:提高了工控网络入侵检测的精度、降低误报以及缩短用时,有利于实时保证工控网络安全,保障工厂安全生产。
附图说明
图1是所述的入侵检测预警系统结构图;
图2是所述的边缘智能计算设备结构图。
具体实施方式
下面根据附图以及实例具体说明本发明:
图1所示本发明提供一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统结构示意图,详述如下:
针对工业控制网络1,通过网络数据获取设备2获得网络连接数据,将网络连接数据输入边缘智能计算设备4将入侵警报信息发送至中央服务器3,中央服务器3将接收到的入侵警报信息发送至入侵警报器5,同时在网络监控终端显示器7发出类别消息框提示显示网络状态,并根据警报信息将新的控制信息传输到控制站6,对工业控制网络1进行保护。
1)获取网络连接数据;使用Linux系统,获取网络连接数据。
获取节点包括目标局域网的交换机以及工业控制模块间的连接节点上,并通过并行的方式接入。其中,网络连接数据特征包含41个,其名称如下:duration,protocol_type,service,flag,src_bytes,dst_bytes,land,wrong_fragment,urgent,hot,num_failed_logins,logged_in,num_compromised,root_shell,su_attempted,num_root,num_file_creations,num_shells,num_access_files,num_outbound_cmds,is_host_login,is_guest_login,count,srv_count,serror_rate,srv_serror_rate,rerror_rate,srv_rerror_rate,same_srv_rate,diff_srv_rate,srv_diff_host_rate,dst_host_count,dst_host_srv_count,dst_host_same_srv_rate,dst_host_diff_srv_rate,dst_host_same_src_port_rate,dst_host_srv_diff_host_rate,dst_host_serror_rate,dst_host_srv_serror_rate,dst_host_rerror_rate,dst_host_srv_rerror_rate,class。其含义见表1-表4。
表1:TCP连接的基本特征
表2:TCP连接的内容特征
特征名称 | 描述 | 类型 |
hot | “hot”指标的数量 | 连续 |
num_failed_logins | 登陆尝试失败的次数 | 连续 |
logged_in | 如果成功登录则为1;否则为0 | 离散 |
num_compromised | “compromised”条件的数量 | 连续 |
root_shell | 如果获得root shell则为1;否则为0 | 离散 |
su_attempted | 如果尝试“su root”命令为1;否则为0 | 离散 |
num_root | root用户访问次数 | 连续 |
num_file_creations | 文件创建操作的次数 | 连续 |
num_shells | 使用shell命令的次数 | 连续 |
num_access_files | 访问控制文件的次数 | 连续 |
num_outbound_cmds | 一个FTP会话中出站连接的次数 | 连续 |
is_hot_login | 登录是否属于“hot”列表,是1否0 | 离散 |
is_guest_login | 若guest登录则为1,否则为0 | 离散 |
表3:使用两秒时间窗口计算的网络流量特征
表4:基于主机的网络流量特征
2)根据预先训练好的智能模型,对入侵行为进行分类,分类类别为拒绝服务攻击DOS、未经授权远程机器访问R2L、未经授权访问本地超级用户U2R、监视和其他探测probing、正常normal,共五类。
3)根据接收到的信息,在网络监控终端显示网络状态。如果接收到入侵警告,则在网络监控终端显示警报信息,入侵类别,统计入侵次数;如果没有接收到入侵警告,则在网络监控终端显示网络状况安全。
图2是一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统中边缘智能计算模型结构示意图。
边缘智能计算设备4中包含数据预处理模块8、边缘智能计算模块9和模型更新模块10。
数据预处理模块,采用以下步骤来实现数据预处理:
1)符号编码:部分特征包含字符信息,这里利用独热编码机制进行编码。
例如属性协议类型protocol_type,可能的协议类型有tcp,udp,icmp,采用独热编码机制,即tcp用[1,0,0]表示,udp用[0,1,0]表示,icmp用[0,0,1]表示。其他符号属性还包括,服务类型service_type和标志类型flag_typey,均使用该编码机制进行编码处理,将原先41个特征扩展为122个特征。
2)标准化处理:
3)数据二维化处理:
为了便于后续的处理,将输入的流量信息通过删去第122个特征后,将数据转换为大小11×11的二维形式x0。
边缘智能计算模块,采用以下步骤来实现入侵检测:
1.1)输入预处理后的数据x0进行算子相乘操作。选择输入数据中相邻的与算子相同大小的区域,按照步长s=1的滑动窗口的方式进行相乘操作,即将输入数据划分为a×a个的大小3×3的区域,a表示在二维数据的一个维度方向上以3×3、步长s=1的滑动窗口可以滑动的次数,公式如下:
其中,表示在第l层,第m通道的进行一次算子操作后,输出矩阵第i行,第j列的元素值,表示l-1层的输出矩阵被3×3滑动窗口所划分区域内的第r行,第t列的元素值,表示第l层,第m通道的权值矩阵算子上第r行,第t列的元素值。max表示取最大值,这里与零进行比较,即将矩阵中的负值设置为零。
重复上述操作4次,一次为一层,每层各有8、16、32和64个算子,若一层有8个算子,则表示输出数据有8个通道,且每层中a的值分别为9、7、5、5。这里特别说明,在第4层算子计算中,输入数据进行补零操作,该操作通过每行每列的首端和尾端添加零,并在新增的零行零列首端和尾端也添加零,使得该层输入由原先的5×5大小扩充为7×7,因此该层a值并未减小。通过以上操作最终获得在高维空间映射的数据信息
1.2)将步骤1.1)中最后输出的多通道二维数据xl,通过在每一通道的矩阵元素求取平均值zm,获得一维数组z=[z1,z2,…,zm]T,然后进行以下操作:
y=Wz (4)
其中,y为C×1的向量,表示分类类别,W是c×a的权值矩阵。公式(3)将高维度特征信息通过映射函数映射回分类类别空间y=[y1,y2,…,yc]T。
1.3)输出分类概率分布:
其中,c表示类别,C表示类别总个数,yc表示预测类别值,p(yc)表示输出预测值属于c类的占所有类别预测值之和的概率。
计算模型f1的误差,公式如下:
其中,H表示模型的误差,K表示样本大小,C表示类别数,将第i样本预测为第j类别的概率为pi,j,yi,j表示第i样本预测为第j类别期望概率。
2)构建提升模型。将模型拟合成为函数空间中的最优函数。
其中,fn(x)表示第n个学习机,L表示损失函数,Fn-1(x)表示前n-1个学习机的加权和。
从而构建出新的学习机fn提升模型,达到减小检测误差、提高预警精度的作用,即使用新的学习机提升模型来拟合误差。采用如下公式,得到入侵检测最终模型:
其中,Fn(x)表示最终的模型,an为各个学习机的系数,fn(x)表示第n个学习机,N表示学习机总数,即最终的模型输出是由各个学习机权值相加所得。
3)设定智能边缘计算模块的参数。历史数据的类别会有样本不均衡的状况,对此,先对样本量大的类别数据样本进行随机抽样,然后对样本量小的类别数据样本进行重采样。将进行样本均衡化的历史数据分训练集和测试集,在训练过程中,将数据样本按照损失梯度大小从大到小排列,选取前s×100%(0<s<1)的样本,并设定为未训练完全数据样本,将该部分数据作为下一次训练集的一部分,另一部分下一次训练集是由随机抽取样本总数的t×100%(0<t<(1-s)),设置训练最大次数num_max,当迭代完成后,利用测试集选取误报率最小的最优模型,完成模型参数配置。
模型更新模块10,用于模型的更新,定期将新收集的数据输入到训练集中,更新边缘智能计算模块。
本发明实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明做出的任何修改和改变,都落入本发明的保护范围。
Claims (4)
1.一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统,由网络数据获取设备、边缘智能计算设备、中央服务器、网络监控终端显示器、入侵警报器组成;网络连接数据由网络数据获取设备收集并传送至边缘智能计算设备;边缘智能计算设备包括数据预处理模块、边缘智能计算模块,用以进行工控网络误用入侵检测,并将检测结果发送至中央服务器,再由中央服务器发送给网络监控终端显示器、入侵警报器,进行显示、报警;其特征在于,所述系统采用以下步骤来实现预警功能:
(1)获取网络请求数据,以2秒为采样间隔记录流量特征;一时间段内的网络请求数据发送至最近的边缘智能计算设备,在边缘智能计算设备中完成步骤(2)-(3);
(2)检测网络入侵并判断该时间段内入侵类别,分别为拒绝服务攻击,未经授权的远程机器访问,未经授权访问本地超级用户权限,监视和其他探测,并将正常状态也设置为一类,共有五类;
(3)显示网络状况,若检测到入侵行为,输出入侵类别信息,若没有则显示网络状态安全。
2.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统,其特征在于,边缘智能计算设备将入侵警报信息发送至中央服务器,中央服务器将接收到的入侵警报信息发送至入侵警报器,同时在网络监控终端显示器发出类别消息框提示;将引起警报信息的网络请求数据添加至中央服务器的网络请求数据库,并进行类别标注,更新历史网络请求数据库,并对警报次数进行统计。
3.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统,其特征在于,所述数据预处理模块采用以下步骤来实现数据预处理:
(3.1)符号编码:部分特征包含字符信息,这里利用独热编码机制进行编码;属性协议类型protocol_type包括tcp,udp,icmp协议类型,采用独热编码机制,即tcp用[1,0,0]表示,udp用[0,1,0]表示,icmp用[0,0,1]表示;其他符号属性还包括,服务类型service_type和标志类型flag_typey,均使用该编码机制进行编码处理,将原先41个特征扩展为122个特征;
(3.2)标准化处理:
(3.3)数据二维化处理:为了便于后续的处理,将输入的流量信息通过删去第122个特征后,将数据转换为大小11×11的二维形式x0。
4.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统,其特征在于,所述边缘智能计算模块,采用以下步骤来实现入侵检测:
(4.1.1)输入预处理后的数据x0进行算子相乘操作;选择输入数据中相邻的与算子相同大小的区域,按照步长s=1的滑动窗口的方式进行相乘操作,即将输入数据划分为a×a个的大小3×3的区域,a表示在二维数据的一个维度方向上以3×3、步长s=1的滑动窗口可以滑动的次数,公式如下:
其中,表示在第l层,第m通道的进行一次算子操作后,输出矩阵第i行,第j列的元素值,表示l-1层的输出矩阵被3×3滑动窗口所划分区域内的第r行,第t列的元素值,表示第l层,第m通道的权值矩阵算子上第r行,第t列的元素值;max表示取最大值,这里与零进行比较,即将矩阵中的负值设置为零;
重复上述操作4次,一次为一层,每层各有8、16、32和64个算子,若一层有8个算子,则表示输出数据有8个通道,且每层中a的值分别为9、7、5、5;这里特别说明,在第4层算子计算中,输入数据进行补零操作,该操作通过每行每列的首端和尾端添加零,并在新增的零行零列首端和尾端也添加零,使得该层输入由原先的5×5大小扩充为7×7,因此该层a值并未减小;通过以上操作最终获得在高维空间映射的数据信息(4.1.2)将步骤(4.1.1)中最后输出的多通道二维数据xl,通过在每一通道的矩阵元素求取平均值zm,获得一维数组z=[z1,z2,…,zm]T,然后进行以下操作:
y=Wz (4)
其中,y为C×1的向量,表示分类类别,W是c×a的权值矩阵;公式(3)将高维度特征信息通过映射函数映射回分类类别空间y=[y1,y2,…,yc]T;
(4.1.3)输出分类概率分布:
其中,c表示类别,C表示类别总个数,yc表示预测类别值,p(yc)表示输出预测值属于c类的占所有类别预测值之和的概率;
计算模型f1的误差,公式如下:
其中,H表示模型的误差,K表示样本大小,C表示类别数,将第i样本预测为第j类别的概率为pi,j,yi,j表示第i样本预测为第j类别期望概率;
(4.2)构建提升模型;将模型拟合成为函数空间中的最优函数;
其中,fn(x)表示第n个学习机,L表示损失函数,Fn-1(x)表示前n-1个学习机的加权和;
从而构建出新的学习机fn提升模型,达到减小检测误差、提高预警精度的作用,即使用新的学习机提升模型来拟合误差;采用如下公式,得到入侵检测最终模型:
其中,Fn(x)表示最终的模型,an为各个学习机的系数,fn(x)表示第n个学习机,N表示学习机总数,即最终的模型输出是由各个学习机权值相加所得;
(4.3)设定智能边缘计算模块的参数;历史数据的类别会有样本不均衡的状况,对此,先对样本量大的类别数据样本进行随机抽样,然后对样本量小的类别数据样本进行重采样;将进行样本均衡化的历史数据分训练集和测试集,在训练过程中,将数据样本按照损失梯度大小从大到小排列,选取前s×100%(0<s<1)的样本,并设定为未训练完全数据样本,将该部分数据作为下一次训练集的一部分,另一部分下一次训练集是由随机抽取样本总数的t×100%(0<t<(1-s)),设置训练最大次数num_max,当迭代完成后,利用测试集选取误报率最小的最优模型,完成模型参数配置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011278919.9A CN112565200B (zh) | 2020-11-16 | 2020-11-16 | 基于边缘智能的工控网络误用入侵检测预警系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011278919.9A CN112565200B (zh) | 2020-11-16 | 2020-11-16 | 基于边缘智能的工控网络误用入侵检测预警系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112565200A CN112565200A (zh) | 2021-03-26 |
CN112565200B true CN112565200B (zh) | 2022-02-11 |
Family
ID=75042499
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011278919.9A Active CN112565200B (zh) | 2020-11-16 | 2020-11-16 | 基于边缘智能的工控网络误用入侵检测预警系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112565200B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9401924B2 (en) * | 2012-12-20 | 2016-07-26 | At&T Intellectual Property I, L.P. | Monitoring operational activities in networks and detecting potential network intrusions and misuses |
CN108182260A (zh) * | 2018-01-03 | 2018-06-19 | 华南理工大学 | 一种基于语义选择的多变量时间序列分类方法 |
CN108874927A (zh) * | 2018-05-31 | 2018-11-23 | 桂林电子科技大学 | 基于超图和随机森林的入侵检测方法 |
CN110602105A (zh) * | 2019-09-17 | 2019-12-20 | 国家电网有限公司 | 一种基于k-means的大规模并行化网络入侵检测方法 |
-
2020
- 2020-11-16 CN CN202011278919.9A patent/CN112565200B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9401924B2 (en) * | 2012-12-20 | 2016-07-26 | At&T Intellectual Property I, L.P. | Monitoring operational activities in networks and detecting potential network intrusions and misuses |
CN108182260A (zh) * | 2018-01-03 | 2018-06-19 | 华南理工大学 | 一种基于语义选择的多变量时间序列分类方法 |
CN108874927A (zh) * | 2018-05-31 | 2018-11-23 | 桂林电子科技大学 | 基于超图和随机森林的入侵检测方法 |
CN110602105A (zh) * | 2019-09-17 | 2019-12-20 | 国家电网有限公司 | 一种基于k-means的大规模并行化网络入侵检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112565200A (zh) | 2021-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111970309B (zh) | 基于Spark车联网组合深度学习入侵检测方法及系统 | |
CN111629006B (zh) | 融合深度神经网络和层级注意力机制的恶意流量更新方法 | |
CN111669384B (zh) | 融合深度神经网络和层级注意力机制的恶意流量检测方法 | |
CN109450842A (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
CN111092862A (zh) | 一种用于对电网终端通信流量异常进行检测的方法及系统 | |
CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
CN114172748A (zh) | 一种加密恶意流量检测方法 | |
CN113269389A (zh) | 基于深度信念网的网络安全态势评估和态势预测建模方法 | |
CN111669385B (zh) | 融合深度神经网络和层级注意力机制的恶意流量监测系统 | |
Sarwar et al. | Design of an advance intrusion detection system for IoT networks | |
CN112418361A (zh) | 一种基于深度学习的工控系统异常检测方法、装置 | |
CN113660196A (zh) | 一种基于深度学习的网络流量入侵检测方法及装置 | |
CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
CN115348080B (zh) | 基于大数据的网络设备脆弱性综合分析系统及方法 | |
CN111209564B (zh) | 一种云平台安全状态预测方法、装置、设备及存储介质 | |
CN113705604A (zh) | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
CN105827611A (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
CN116996286A (zh) | 一种基于大数据分析的网络攻击和安全漏洞治理框架平台 | |
CN116112283A (zh) | 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
Hong et al. | [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
CN113554330A (zh) | 水文信息平台的安全态势感知模型的训练方法及应用方法 | |
CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |