CN112565200B - 基于边缘智能的工控网络误用入侵检测预警系统 - Google Patents

Abstract

本发明公开了一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，由网络数据获取设备、边缘智能计算设备、中央服务器、网络监控终端显示器、入侵警报器组成。网络连接数据由网络数据获取设备收集并传送至边缘智能计算设备。边缘智能计算设备包括数据预处理模块、边缘智能计算模块，用以进行工控网络误用入侵检测，并将检测结果发送至中央服务器、网络监控终端显示器和入侵警报器，进行显示、报警。本发明提供一种检测精度高、误报率低、快捷的利用边缘智能的轻量级工控网络误用入侵检测预警系统。

Description

基于边缘智能的工控网络误用入侵检测预警系统

技术领域

本发明涉及一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，属于工控安全入侵检测技术领域。

背景技术

传统的工业控制系统相对独立，并且往往与外部的互联网相分离。但是，如今的工业控制系统，朝着信息化、网络化的大趋势发展。外网的加入打破了原先的封闭性，这是一把双刃剑，一方面可以加速工控网络的发展，另一方面工控网络将面临着一系列的网络安全问题，导致近几年工控安全事件频发，例如，2015年发生在乌克兰电力厂控制网络遭受攻击的事件等。如何在互联网+的环境下有效地应对网络攻击成为工控安全急迫需要解决的问题。

传统工控网络安全使用防火墙技术，然而防火墙是一种被动防御技术，高级的网络攻击可以针对防火墙的漏洞，绕过防火墙进行攻击，并且防火墙设置在外网和内网之间，目的是拦截外部攻击，但对于内网的攻击不会做出回应。入侵检测技术是通过进行安全监控和异常警报的方式来保障系统安全，它主动检测网络中的存在的攻击，因此对于内网攻击也同样有效，从而弥补了防火墙的不足，能够为工控网络系统提供第二道安全防线。目前，工业控制系统入侵检测方法，已经有基于模式匹配、基于时域、频域分析以及基于设备指纹等手段，但仍然存在着检测精度不高、误报率不低的问题。特别是控制现场往往离中央服务器距离较远，容易导致处理数据上的时延，并且在数据传输的过程中，也存在较高的数据泄露风险。

发明内容

为了克服目前已有的工控网络入侵检测过程的检测误报率高、速度慢、难以充分利用本地计算资源的不足，本发明的目的在于提供一种检测精度高、误报率低、响应速度快能利用边缘计算资源的工控网络入侵检测方法，旨在提供一种有效的基于边缘智能工控网络误用入侵检测预警系统。

本发明解决其技术问题所采用的技术方案是：一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，包括以下步骤：

1)获取网络请求数据，以2秒为采样间隔记录流量特征；

1.1)一时间段内的网络请求数据发送至最近的边缘智能计算设备；

1.2)在边缘智能计算设备中完成步骤2-3)；

2)检测网络入侵并判断该时间段内入侵类别，分别为拒绝服务攻击，未经授权的远程机器访问，未经授权访问本地超级用户权限，监视和其他探测，并将正常状态也设置为一类，共有五类；

3)显示网络状况，若检测到入侵行为，输出入侵类别信息，若没有则显示网络状态安全。该预警系统的数据传输过程：边缘智能计算设备将入侵警报信息发送至中央服务器，中央服务器将接收到的入侵警报信息发送至警报显示器，同时在网络监控终端发出类别消息框提示。进一步地，预警系统所述过程包括：将引起警报信息的网络请求数据进行存储，定期更新边缘智能计算模块。

该警报系统由边缘智能计算设备，中央服务器，终端显示设备，入侵警报器组成。

边缘智能计算设备中的边缘智能计算模块，用以进行工控网络误用入侵检测，采用如下过程完成：

数据预处理模块，采用以下步骤来实现数据预处理：

1)符号编码：部分特征包含字符信息，这里利用独热编码机制进行编码。

例如属性协议类型protocol_type，可能的协议类型有tcp，udp，icmp，采用独热编码机制，即tcp用[1,0,0]表示，udp用[0,1,0]表示，icmp用[0,0,1]表示。其他符号属性还包括，服务类型service_type和标志类型flag_typey，均使用该编码机制进行编码处理，将原先41个特征扩展为122个特征。

2)标准化处理：

其中，mean表示各变量的算术平均值，std表示各变量的标准差，

表示输入变量的值，下标i表示第i次检测、j分别表示第j维变量，x_ij表示标准化后的输入变量，S表示模型输入变量；

3)数据二维化处理：

为了便于后续的处理，将输入的流量信息通过删去第122个特征后，将数据转换为大小11×11的二维形式x⁰。

边缘智能计算模块，采用以下步骤来实现入侵检测：

1)建立基础学习机f₁模型。

为3×3的权值矩阵算子，其中，l表示层数，m表示通道数，

i＝1,2,3，j＝1,2,3表示算子

在第i行，第j列的元素值。针对二维输入数据，利用算子

进行如下操作：

1.1)输入预处理后的数据x⁰进行算子相乘操作。选择输入数据中相邻的与算子相同大小的区域，按照步长s＝1的滑动窗口的方式进行相乘操作，即将输入数据划分为a×a个的大小3×3的区域，a表示在二维数据的一个维度方向上以3×3、步长s＝1的滑动窗口可以滑动的次数，公式如下：

其中，

表示在第l层，第m通道的进行一次算子操作后，输出矩阵第i行，第j列的元素值，

表示l-1层的输出矩阵被3×3滑动窗口所划分区域内的第r行，第t列的元素值，

表示第l层，第m通道的权值矩阵算子上第r行，第t列的元素值。max表示取最大值，这里与零进行比较，即将矩阵中的负值设置为零。

最后由公式(2)获得的元素值组合成新的二维数据矩阵

如下所示：

重复上述操作4次，一次为一层，每层各有8、16、32和64个算子，若一层有8个算子，则表示输出数据有8个通道，且每层中a的值分别为9、7、5、5。这里特别说明，在第4层算子计算中，输入数据进行补零操作，该操作通过每行每列的首端和尾端添加零，并在新增的零行零列首端和尾端也添加零，使得该层输入由原先的5×5大小扩充为7×7，因此该层a值并未减小。通过以上操作最终获得在高维空间映射的数据信息

1.2)将步骤1.1)中最后输出的多通道二维数据x^l，通过在每一通道的矩阵元素求取平均值z_m，获得一维数组z＝[z₁,z₂,…,z_m]^T，然后进行以下操作：

y＝Wz (4)

其中，y为C×1的向量，表示分类类别，W是c×a的权值矩阵。公式(3)将高维度特征信息通过映射函数映射回分类类别空间y＝[y₁,y₂,…,y_c]^T。

1.3)输出分类概率分布：

其中，c表示类别，C表示类别总个数，y_c表示预测类别值，p(y_c)表示输出预测值属于c类的占所有类别预测值之和的概率。

计算模型f₁的误差，公式如下：

其中，H表示模型的误差，K表示样本大小，C表示类别数，将第i样本预测为第j类别的概率为p_i,j，y_i,j表示第i样本预测为第j类别期望概率。

2)构建提升模型。将模型拟合成为函数空间中的最优函数。

其中，f_n(x)表示第n个学习机，L表示损失函数，F_n-1(x)表示前n-1个学习机的加权和。

从而构建出新的学习机f_n提升模型，达到减小检测误差、提高预警精度的作用，即使用新的学习机提升模型来拟合误差。采用如下公式，得到入侵检测最终模型：

其中，F_n(x)表示最终的模型，a_n为各个学习机的系数，f_n(x)表示第n个学习机，N表示学习机总数，即最终的模型输出是由各个学习机权值相加所得。

3)设定智能边缘计算模块的参数。历史数据的类别会有样本不均衡的状况，对此，先对样本量大的类别数据样本进行随机抽样，然后对样本量小的类别数据样本进行重采样。将进行样本均衡化的历史数据分训练集和测试集，在训练过程中，将数据样本按照损失梯度大小从大到小排列，选取前s×100％(0<s<1)的样本，并设定为未训练完全数据样本，将该部分数据作为下一次训练集的一部分，另一部分下一次训练集是由随机抽取样本总数的t×100％(0<t<(1-s))，设置训练最大次数num_max,当迭代完成后，利用测试集选取误报率最小的最优模型，完成模型参数配置。

本发明的有益效果在于：提高了工控网络入侵检测的精度、降低误报以及缩短用时，有利于实时保证工控网络安全，保障工厂安全生产。

附图说明

图1是所述的入侵检测预警系统结构图；

图2是所述的边缘智能计算设备结构图。

具体实施方式

下面根据附图以及实例具体说明本发明：

图1所示本发明提供一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统结构示意图，详述如下：

针对工业控制网络1，通过网络数据获取设备2获得网络连接数据，将网络连接数据输入边缘智能计算设备4将入侵警报信息发送至中央服务器3，中央服务器3将接收到的入侵警报信息发送至入侵警报器5，同时在网络监控终端显示器7发出类别消息框提示显示网络状态，并根据警报信息将新的控制信息传输到控制站6，对工业控制网络1进行保护。

1)获取网络连接数据；使用Linux系统，获取网络连接数据。

获取节点包括目标局域网的交换机以及工业控制模块间的连接节点上，并通过并行的方式接入。其中，网络连接数据特征包含41个，其名称如下：duration，protocol_type，service，flag，src_bytes，dst_bytes，land，wrong_fragment，urgent，hot，num_failed_logins，logged_in，num_compromised，root_shell，su_attempted，num_root，num_file_creations，num_shells，num_access_files，num_outbound_cmds，is_host_login，is_guest_login，count，srv_count，serror_rate，srv_serror_rate，rerror_rate，srv_rerror_rate，same_srv_rate，diff_srv_rate，srv_diff_host_rate，dst_host_count，dst_host_srv_count，dst_host_same_srv_rate，dst_host_diff_srv_rate，dst_host_same_src_port_rate，dst_host_srv_diff_host_rate，dst_host_serror_rate，dst_host_srv_serror_rate，dst_host_rerror_rate，dst_host_srv_rerror_rate，class。其含义见表1-表4。

表1：TCP连接的基本特征

表2：TCP连接的内容特征

特征名称	描述	类型
			hot	“hot”指标的数量	连续
num_failed_logins	登陆尝试失败的次数	连续
			logged_in	如果成功登录则为1；否则为0	离散
num_compromised	“compromised”条件的数量	连续
			root_shell	如果获得root shell则为1；否则为0	离散
su_attempted	如果尝试“su root”命令为1；否则为0	离散
			num_root	root用户访问次数	连续
num_file_creations	文件创建操作的次数	连续
			num_shells	使用shell命令的次数	连续
num_access_files	访问控制文件的次数	连续
			num_outbound_cmds	一个FTP会话中出站连接的次数	连续
is_hot_login	登录是否属于“hot”列表，是1否0	离散
			is_guest_login	若guest登录则为1，否则为0	离散

表3：使用两秒时间窗口计算的网络流量特征

表4：基于主机的网络流量特征

2)根据预先训练好的智能模型，对入侵行为进行分类，分类类别为拒绝服务攻击DOS、未经授权远程机器访问R2L、未经授权访问本地超级用户U2R、监视和其他探测probing、正常normal，共五类。

3)根据接收到的信息，在网络监控终端显示网络状态。如果接收到入侵警告，则在网络监控终端显示警报信息，入侵类别，统计入侵次数；如果没有接收到入侵警告，则在网络监控终端显示网络状况安全。

图2是一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统中边缘智能计算模型结构示意图。

边缘智能计算设备4中包含数据预处理模块8、边缘智能计算模块9和模型更新模块10。

数据预处理模块，采用以下步骤来实现数据预处理：

1)符号编码：部分特征包含字符信息，这里利用独热编码机制进行编码。

例如属性协议类型protocol_type，可能的协议类型有tcp，udp，icmp，采用独热编码机制，即tcp用[1,0,0]表示，udp用[0,1,0]表示，icmp用[0,0,1]表示。其他符号属性还包括，服务类型service_type和标志类型flag_typey，均使用该编码机制进行编码处理，将原先41个特征扩展为122个特征。

2)标准化处理：

其中，mean表示各变量的算术平均值，std表示各变量的标准差，

表示输入变量的值，下标i表示第i次检测、j分别表示第j维变量，x_ij表示标准化后的输入变量，S表示模型输入变量；

3)数据二维化处理：

为了便于后续的处理，将输入的流量信息通过删去第122个特征后，将数据转换为大小11×11的二维形式x⁰。

边缘智能计算模块，采用以下步骤来实现入侵检测：

1)建立基础学习机f₁模型。

为3×3的权值矩阵算子，其中，l表示层数，m表示通道数，

i＝1,2,3，j＝1,2,3表示算子

在第i行，第j列的元素值。针对二维输入数据，利用算子

进行如下操作：

1.1)输入预处理后的数据x⁰进行算子相乘操作。选择输入数据中相邻的与算子相同大小的区域，按照步长s＝1的滑动窗口的方式进行相乘操作，即将输入数据划分为a×a个的大小3×3的区域，a表示在二维数据的一个维度方向上以3×3、步长s＝1的滑动窗口可以滑动的次数，公式如下：

其中，

表示在第l层，第m通道的进行一次算子操作后，输出矩阵第i行，第j列的元素值，

表示l-1层的输出矩阵被3×3滑动窗口所划分区域内的第r行，第t列的元素值，

表示第l层，第m通道的权值矩阵算子上第r行，第t列的元素值。max表示取最大值，这里与零进行比较，即将矩阵中的负值设置为零。

最后由公式(2)获得的元素值组合成新的二维数据矩阵

如下所示：

重复上述操作4次，一次为一层，每层各有8、16、32和64个算子，若一层有8个算子，则表示输出数据有8个通道，且每层中a的值分别为9、7、5、5。这里特别说明，在第4层算子计算中，输入数据进行补零操作，该操作通过每行每列的首端和尾端添加零，并在新增的零行零列首端和尾端也添加零，使得该层输入由原先的5×5大小扩充为7×7，因此该层a值并未减小。通过以上操作最终获得在高维空间映射的数据信息

1.2)将步骤1.1)中最后输出的多通道二维数据x^l，通过在每一通道的矩阵元素求取平均值z_m，获得一维数组z＝[z₁,z₂,…,z_m]^T，然后进行以下操作：

y＝Wz (4)

其中，y为C×1的向量，表示分类类别，W是c×a的权值矩阵。公式(3)将高维度特征信息通过映射函数映射回分类类别空间y＝[y₁,y₂,…,y_c]^T。

1.3)输出分类概率分布：

其中，c表示类别，C表示类别总个数，y_c表示预测类别值，p(y_c)表示输出预测值属于c类的占所有类别预测值之和的概率。

计算模型f₁的误差，公式如下：

其中，H表示模型的误差，K表示样本大小，C表示类别数，将第i样本预测为第j类别的概率为p_i,j，y_i,j表示第i样本预测为第j类别期望概率。

2)构建提升模型。将模型拟合成为函数空间中的最优函数。

其中，f_n(x)表示第n个学习机，L表示损失函数，F_n-1(x)表示前n-1个学习机的加权和。

从而构建出新的学习机f_n提升模型，达到减小检测误差、提高预警精度的作用，即使用新的学习机提升模型来拟合误差。采用如下公式，得到入侵检测最终模型：

其中，F_n(x)表示最终的模型，a_n为各个学习机的系数，f_n(x)表示第n个学习机，N表示学习机总数，即最终的模型输出是由各个学习机权值相加所得。

3)设定智能边缘计算模块的参数。历史数据的类别会有样本不均衡的状况，对此，先对样本量大的类别数据样本进行随机抽样，然后对样本量小的类别数据样本进行重采样。将进行样本均衡化的历史数据分训练集和测试集，在训练过程中，将数据样本按照损失梯度大小从大到小排列，选取前s×100％(0<s<1)的样本，并设定为未训练完全数据样本，将该部分数据作为下一次训练集的一部分，另一部分下一次训练集是由随机抽取样本总数的t×100％(0<t<(1-s))，设置训练最大次数num_max,当迭代完成后，利用测试集选取误报率最小的最优模型，完成模型参数配置。

模型更新模块10，用于模型的更新，定期将新收集的数据输入到训练集中，更新边缘智能计算模块。

本发明实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明做出的任何修改和改变，都落入本发明的保护范围。

Claims (4)

1.一种准确快捷的基于边缘智能的工控网络误用入侵检测预警系统，由网络数据获取设备、边缘智能计算设备、中央服务器、网络监控终端显示器、入侵警报器组成；网络连接数据由网络数据获取设备收集并传送至边缘智能计算设备；边缘智能计算设备包括数据预处理模块、边缘智能计算模块，用以进行工控网络误用入侵检测，并将检测结果发送至中央服务器，再由中央服务器发送给网络监控终端显示器、入侵警报器，进行显示、报警；其特征在于，所述系统采用以下步骤来实现预警功能：

(1)获取网络请求数据，以2秒为采样间隔记录流量特征；一时间段内的网络请求数据发送至最近的边缘智能计算设备，在边缘智能计算设备中完成步骤(2)-(3)；

(2)检测网络入侵并判断该时间段内入侵类别，分别为拒绝服务攻击，未经授权的远程机器访问，未经授权访问本地超级用户权限，监视和其他探测，并将正常状态也设置为一类，共有五类；

(3)显示网络状况，若检测到入侵行为，输出入侵类别信息，若没有则显示网络状态安全。

2.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统，其特征在于，边缘智能计算设备将入侵警报信息发送至中央服务器，中央服务器将接收到的入侵警报信息发送至入侵警报器，同时在网络监控终端显示器发出类别消息框提示；将引起警报信息的网络请求数据添加至中央服务器的网络请求数据库，并进行类别标注，更新历史网络请求数据库，并对警报次数进行统计。

3.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统，其特征在于，所述数据预处理模块采用以下步骤来实现数据预处理：

(3.1)符号编码：部分特征包含字符信息，这里利用独热编码机制进行编码；属性协议类型protocol_type包括tcp，udp，icmp协议类型，采用独热编码机制，即tcp用[1,0,0]表示，udp用[0,1,0]表示，icmp用[0,0,1]表示；其他符号属性还包括，服务类型service_type和标志类型flag_typey，均使用该编码机制进行编码处理，将原先41个特征扩展为122个特征；

(3.2)标准化处理：

其中，mean表示各变量的算术平均值，std表示各变量的标准差，

表示输入变量的值，下标i表示第i次检测、j分别表示第j维变量，x_ij表示标准化后的输入变量，S表示模型输入变量；

(3.3)数据二维化处理：为了便于后续的处理，将输入的流量信息通过删去第122个特征后，将数据转换为大小11×11的二维形式x⁰。

4.根据权利要求1所述基于边缘智能的工控网络误用入侵检测预警系统，其特征在于，所述边缘智能计算模块，采用以下步骤来实现入侵检测：

(4.1)建立基础学习机f₁模型；

为3×3的权值矩阵算子，其中，l表示层数，m表示通道数，

表示算子

在第i行，第j列的元素值；针对二维输入数据，利用算子

进行如下操作：

(4.1.1)输入预处理后的数据x⁰进行算子相乘操作；选择输入数据中相邻的与算子相同大小的区域，按照步长s＝1的滑动窗口的方式进行相乘操作，即将输入数据划分为a×a个的大小3×3的区域，a表示在二维数据的一个维度方向上以3×3、步长s＝1的滑动窗口可以滑动的次数，公式如下：

其中，

表示在第l层，第m通道的进行一次算子操作后，输出矩阵第i行，第j列的元素值，

表示l-1层的输出矩阵被3×3滑动窗口所划分区域内的第r行，第t列的元素值，

表示第l层，第m通道的权值矩阵算子上第r行，第t列的元素值；max表示取最大值，这里与零进行比较，即将矩阵中的负值设置为零；

最后由公式(2)获得的元素值组合成新的二维数据矩阵

如下所示：

重复上述操作4次，一次为一层，每层各有8、16、32和64个算子，若一层有8个算子，则表示输出数据有8个通道，且每层中a的值分别为9、7、5、5；这里特别说明，在第4层算子计算中，输入数据进行补零操作，该操作通过每行每列的首端和尾端添加零，并在新增的零行零列首端和尾端也添加零，使得该层输入由原先的5×5大小扩充为7×7，因此该层a值并未减小；通过以上操作最终获得在高维空间映射的数据信息

(4.1.2)将步骤(4.1.1)中最后输出的多通道二维数据x^l，通过在每一通道的矩阵元素求取平均值z_m，获得一维数组z＝[z₁,z₂,…,z_m]^T，然后进行以下操作：

y＝Wz (4)

其中，y为C×1的向量，表示分类类别，W是c×a的权值矩阵；公式(3)将高维度特征信息通过映射函数映射回分类类别空间y＝[y₁,y₂,…,y_c]^T；

(4.1.3)输出分类概率分布：

其中，c表示类别，C表示类别总个数，y_c表示预测类别值，p(y_c)表示输出预测值属于c类的占所有类别预测值之和的概率；

计算模型f₁的误差，公式如下：

其中，H表示模型的误差，K表示样本大小，C表示类别数，将第i样本预测为第j类别的概率为p_i,j，y_i,j表示第i样本预测为第j类别期望概率；

(4.2)构建提升模型；将模型拟合成为函数空间中的最优函数；

其中，f_n(x)表示第n个学习机，L表示损失函数，F_n-1(x)表示前n-1个学习机的加权和；

从而构建出新的学习机f_n提升模型，达到减小检测误差、提高预警精度的作用，即使用新的学习机提升模型来拟合误差；采用如下公式，得到入侵检测最终模型：

其中，F_n(x)表示最终的模型，a_n为各个学习机的系数，f_n(x)表示第n个学习机，N表示学习机总数，即最终的模型输出是由各个学习机权值相加所得；

(4.3)设定智能边缘计算模块的参数；历史数据的类别会有样本不均衡的状况，对此，先对样本量大的类别数据样本进行随机抽样，然后对样本量小的类别数据样本进行重采样；将进行样本均衡化的历史数据分训练集和测试集，在训练过程中，将数据样本按照损失梯度大小从大到小排列，选取前s×100％(0<s<1)的样本，并设定为未训练完全数据样本，将该部分数据作为下一次训练集的一部分，另一部分下一次训练集是由随机抽取样本总数的t×100％(0<t<(1-s))，设置训练最大次数num_max,当迭代完成后，利用测试集选取误报率最小的最优模型，完成模型参数配置。

Images