CN112804247B - 基于三元概念分析的工业控制系统网络入侵检测方法及系统 - Google Patents

基于三元概念分析的工业控制系统网络入侵检测方法及系统 Download PDF

Info

Publication number
CN112804247B
CN112804247B CN202110113510.XA CN202110113510A CN112804247B CN 112804247 B CN112804247 B CN 112804247B CN 202110113510 A CN202110113510 A CN 202110113510A CN 112804247 B CN112804247 B CN 112804247B
Authority
CN
China
Prior art keywords
ternary
network connection
concept
data
fuzzy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110113510.XA
Other languages
English (en)
Other versions
CN112804247A (zh
Inventor
王红敏
魏强
谢耀滨
武泽慧
黄辉辉
尹中旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202110113510.XA priority Critical patent/CN112804247B/zh
Publication of CN112804247A publication Critical patent/CN112804247A/zh
Application granted granted Critical
Publication of CN112804247B publication Critical patent/CN112804247B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及工业控制系统安全领域,特别涉及一种基于三元概念分析的工业控制系统网络入侵检测方法及系统,通过收集网络数据包来获取用于模型训练的网络连接数据集,结合三元概念分析与模糊集理论,构建入侵检测模型,其中,利用属性类三元向量将网络连接数据表示为三维数据结构的模糊三元概念向量,并对入侵检测模型进行训练;利用已训练的入侵检测模型对待检测的网络连接数据进行入侵检测,确定网络连接数据入侵类型。本发明将三元概念分析和模糊集理论引入ICS入侵检测,基于三元概念分析和模糊集理论理论思想实现ICS入侵检测,帮助ICS系统更好防御网络入侵,提升工业控制系统ICS安全稳定性。

Description

基于三元概念分析的工业控制系统网络入侵检测方法及系统
技术领域
本发明涉及工业控制系统安全领域,特别涉及一种基于三元概念分析的工业控制系统网络入侵检测方法及系统。
背景技术
随着信息流与物理流的高度融合,工业控制系统(ICS,Industrial ControlSystem)与互联网的交互日益增强,决策单元与物理设备在网络空间中的复杂集成提升了系统的性能,同时也给网络安全与防御带来巨大的挑战。在网络安全防御体系中,基于安全策略对网络行为进行风险分析,扫描漏洞为系统做出预警,通过防火墙、加密和认证等技术防御黑客对网络的攻击行为,根据已知入侵检测模型对入侵行为对比分析,检测网络连接是否属于非法入侵。入侵检测系统(Intrusion Detection System,IDS)积极主动地监控网络传输,检查是否有可疑的活动或者违反企业政策,分为基于网络的N-IDS和基于主机的H-IDS,后来又出现分布式D-IDS。一方面,入侵检测系统结合防火墙、加密和认证等防御手段对非法入侵进行防御;另一方面,入侵检测系统对于入侵到系统的网络行为进行诱捕和反击等,同时使系统恢复正常运行状态。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
随着网络越来越多的被使用到各个行业,尤其是工业控制系统变得开放化,ICS遭受到入侵检测,ICS网络入侵日益频繁,而现有检测模型的准确率和入侵检测率普遍不够高,且误判率较高,入侵检测方式实现较为复杂,入侵检测的性能较差。现有入侵检测方法的缺点和不足之处如下:基于网络的入侵检测需要分析网络上的数据包,即分析网络连接数据,而现有入侵检测技术对于网络连接均是作为二维数据进行处理,单纯地将网络连接数据划分出多个特征,没有考虑网络连接、连接特征和入侵类型这三者之间的内在联系;目前,数据预处理技术普遍采用的是数值连续化的方法,把同一特征或属性下的文本类型数据转化成离散型数值数据,然后将每个属性下的数值按照比例转化成0至1之间的连续性数值。但是,这种数据预处理方法太过主观,尤其是人为对文本型属性值进行数值化处理。在多个属性情况下,数据预处理后的不同属性拥有相同的属性值,完全失去了原来文本所代表的含义,而且多个属性,具有相同值不能很好地体现属性对于该条数据的表征作用;现有入侵检测系统和检测模型的检测速度大多小于网络传输速度,导致误报和漏报,一方面使得入侵检测的效率低下,另一方面无法表现出较好的入侵检测效果。一些入侵检测方法运行效率可观,但误判率较高;一些方法虽然具有较高的准确率,但是检测过程非常复杂,操作极为不便,且需要专业人士才能进行操作,更难实现智能化入侵检测。
发明内容
为此,本发明提供一种基于三元概念分析的工业控制系统网络入侵检测方法及系统,将三元概念分析和模糊集理论引入到ICS入侵检测中,基于三元概念分析和模糊集理论思想实现ICS的入侵检测,帮助ICS系统更好地防御网络入侵,提升工业控制系统ICS安全稳定性。
按照本发明所提供的设计方案,一种基于三元概念分析的工业控制系统网络入侵检测方法,包含:
收集网络数据包,通过特征分析来获取用于模型训练的网络连接数据集;
将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景;根据网络连接数据构建的模糊三元背景,通过诱导算子构造模糊三元概念,然后从模糊三元概念的属性(即网络连接数据的连接特征)角度出发,将模糊三元概念转化成为属性类三元概念向量,利用网络连接数据集训练和构建检测模型;
利用已训练的检测模型对待检测的网络连接数据进行入侵检测,确定网络连接数据是正常访问数据还是网络攻击数据,若是网络攻击数据则通过入侵检测模型来识别攻击类型。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步的,将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景,模糊三元背景表示为四元组(D,T,C,R),D表示对象集,T表示属性集,C表示条件集,R表示由对象集D、属性集T和条件集C三者之间三元关系组成的集合,并在R中,基于模糊集理论隶属度类比提出网络连接特征权重,利用对象在条件下具有相应属性的网络连接特征权重来表征属性与对象的隶属关系及属性在对象中的重要程度。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,针对网络连接数据,假设每一个网络连接为一条记录,每个记录中拥有多个网络连接特征,对象在条件下具有相应属性的连接特征权重通过数据归一化和标准化处理得到,用来表征属性与对象的隶属度。并利用词频-逆向文件频率将网络连接数据、网络连接特征及网络连接特征权重归一化和标准化到0至1之间的数值。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,针对收集到的网络数据包,利用数据挖掘技术进行特征分析处理来获取用于模型训练的网络连接数据集;利用已知入侵类型的网络连接数据集进行模型训练。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,利用诱导算子获取用于表征网络连接、网络连接特征、入侵类型之间三元关系的模糊三元概念,从网络连接特征角度,转化为属性类三元概念向量。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,三元概念分析中,将含有网络连接、网络连接特征、入侵类型之间三元关系的模糊三元概念转化为基于网络连接特征的属性类三元概念向量,即网络连接特征、攻击类型所构成的形式概念。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,模型训练中利用网络连接数据集中样本将网络入侵进行分类;入侵检测中,引入计算相似度度量的余弦夹角,利用待检测网络连接数据的属性类三元概念向量与每个入侵类型下属性类三元概念向量之间的相似度大小对待检测网络连接数据进行分类识别。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,每个入侵类型下包含多个属性类三元概念向量,对同一入侵类型下通过对相似度取平均值获取待检测网络连接数据与当前入侵类型的相似度。
作为本发明基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,相似度计算公式表示为:
Figure GDA0002980480080000031
其中,Sim(C,VD)表示待分类的网络连接数据转化的属性类三元概念向量C与属性类三元概念向量模型中向量VD的相似度,CWi表示待分类网络连接三元概念向量网络连接特征i的权重向量值,VDWi表示属性类三元概念向量模型中向量网络连接特征i的权重向量值,n表示网络连接特征的个数。
进一步地,本发明还提供一种基于三元概念分析的工业控制系统网络入侵检测系统,包含:数据收集模块、模型构建模块及入侵检测模块,其中,
数据收集模块,用于收集网络数据包,通过特征分析来获取用于模型训练的网络连接数据集;
模型构建模块,用于将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景;并根据网络连接数据构建的模糊三元背景,通过诱导算子构造模糊三元概念,然后从模糊三元概念的属性(即网络连接数据的连接特征)角度出发,将模糊三元概念转化成为属性类三元概念向量,利用网络连接数据集训练和构建检测模型;
入侵检测模块,用于利用已训练的检测模型对待检测的网络连接数据进行入侵检测,确定网络连接数据是正常访问数据还是网络攻击数据,若是网络攻击数据则通过入侵检测模型来识别攻击类型。
本发明的有益效果:
本发明使用网络连接数据训练并构建属性类模糊三元概念向量模型,基于模型对未知网络连接进行研判,确定网络连接是正常访问还是网络攻击,若为网络攻击,通过模型判断其攻击类型;将网络数据集处理成三维结构的模糊三元背景,构造模糊三元概念,借鉴并优化自然语言处理领域中计算特征值的公式,进而简化数据预处理过程,并根据训练和构建的模型,采用准确高效的分类方式对网络连接进行入侵检测,具有较好的应用前景。并进一步经试验验证,即使在数据集规模很大的情况下,该模型的准确率、入侵检测率和误判率也能达到很好的效果;而且,从测试数据维度分析,随着测试数据增加准确率和入侵检测率明显增加,尤其当测试数据条数大于等于20万条时,入侵检测的准确率和入侵检测率均稳定在99%左右。
附图说明:
图1为实施例中基于三元概念分析的工业控制系统网络入侵检测流程示意;
图2为实施例中网络安全防御体系示意;
图3为实施例中网络入侵检测框架示意;
图4为实施例中网络入侵检测算法流程示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
本发明实施例,参见图1所示,提供一种基于三元概念分析的工业控制系统网络入侵检测方法,包含:
S101、收集网络数据包,通过特征分析来获取用于模型训练的网络连接数据集;
S102、将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景并根据网络连接数据构建的模糊三元背景,通过诱导算子构造模糊三元概念,然后从模糊三元概念的属性(即网络连接数据的连接特征)角度出发,将模糊三元概念转化成为属性类三元概念向量,利用网络连接数据集训练和构建检测模型;
S103、利用已训练的检测模型对待检测的网络连接数据进行入侵检测,确定网络连接数据是正常访问数据还是网络攻击数据,若是网络攻击数据则通过入侵检测模型来识别攻击类型。
ICS网络安全防御架构体系如图2所示,通过防火墙、加密和认证等技术防御黑客对网络的攻击行为,根据已知入侵检测模型对入侵行为对比分析,检测网络连接是否属于非法入侵。入侵检测框架如图3所示,事件分析器通过事件发生器从数据源中提取的特征值,将其与事件数据库的数据进行比较,判定数据源是异常数据还是正常数据,通过响应单元响应给系统进行处理。入侵检测在ICS网络安全防御中占据着核心地位,尤其近年来伴随着大数据、人工智能、5G和区块链等技术飞速发展,物理系统与信息系统逐渐实现高度融合,信息进程与物理进程能够实时交换信息,ICS迎来了巨大的发展契机,但与此同时带来了潜在的安全隐患。因此,人们对于ICS网络入侵检测研究逐渐兴起,国内外研究人员提出了很多种网络入侵检测方法,例如针对现场总线协议的入侵检测模型、基于蚁群聚类算法和无监督特征提取的多代理的分布式控制检测机制和多分类SVM(Support VectorMachines)入侵检测模型。三元概念分析作为一个新的研究领域,随着三维数据在网络中越来越多的涌现,对三元概念的分析及相关理论研究逐渐受到关注,而且具有较好的发发展前景。三元概念分析作为形式概念分析的高度扩展,它能够准确挖掘复杂级联数据中蕴含的有效信息,描述对象与特征间的映射关系,运用算子的数值逻辑算数运算关系构建三元概念,并将理论拓扑应用在推荐、分类等领域中。本案实施例中,将三元概念分析和模糊集理论引入到ICS入侵检测中,基于三元概念分析和模糊集理论思想实现ICS入侵检测,帮助ICS系统更好地防御网络入侵,简单、高效,便于实现。
作为本发明实施例中基于三元概念分析的工业控制系统网络入侵检测方法,进一步的,将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景,其中,模糊三元背景表示为四元组(D,T,C,R),D表示对象集,T表示属性集,C表示条件集,R表示由对象集D、属性集T和条件集C三者之间三元关系组成的集合,并在R中,基于模糊集理论隶属度类比提出网络连接特征权重,利用对象在条件下具有相应属性的网络连接特征权重来表征属性与对象的隶属关系及属性在对象中的重要程度。
作为本发明实施例中基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,针对网络连接数据,假设每一个网络连接为一条记录,每个记录中拥有多个网络连接特征,对象在条件下具有相应属性的连接特征权重通过数据归一化和标准化处理得到,用来表征属性与对象的隶属度。利用TF-IDF改进公式计算网络连接特征的权重,并归一化和标准化为0至1之间的数值。
将每一个网络连接作为一条记录,每个记录拥有多个网络连接特征,因而训练数据较为混杂,有数值型、字符型和汉字等多种形式,且数值型数据取值范围不同,缺乏合理性、规范性,因此将这些数据归一化、标准化处理为统一样式,使检测模型能够准确的分析、计算,以提高入侵检测的效率。在处理原始网络连接数据的过程中,将所有形式的数据均先作为字符串型数据类型对待,借鉴自然语言处理领域中计算特征值的思想,采用词频-逆向文件频率(TF-IDF,Term Frequency-Inverse Document Frequency)算法的改进公式将原始数据归一化、标准化为0到1之间数值。每一个网络连接作为一条记录,每个记录拥有多个网络连接特征,采用TF-IDF算法的改进公式将原始数据归一化、标准化为0到1之间数值。计算公式如下:
Figure GDA0002980480080000051
其中,wi表示第i个网络连接特征的权重值,fi表示网络连接特征i的值在记录中出现的频率,n为原始数据中的数据量,ni为含有网络连接特征i的值的数据量,t为网络连接特征的个数。一个网络连接特征表征了网络连接数据的某一特性,单纯的0或1可以表示该网络连接数据是否具有该特征。而对于属性类三元概念向量表示的网络连接数据,采用权重值表示网络连接特征在网络连接数据中的重要程度。另外,相比于传统TF-IDF计算公式,本案实施例中公式全面衡量网络连接数据集横向和纵向的作用,计算权重值的同时将结果归一化处理,使得网络连接的每个特征在表征网络连接数据时都能起到相应的表征作用。
作为本发明实施例中基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,针对收集到的网络数据包,利用数据挖掘技术进行特征分析处理来获取用于模型训练的网络连接数据集;利用已知入侵类型的网络连接数据集进行模型训练。进一步地,利用诱导算子获取用于表征网络连接、网络连接特征、入侵类型之间三元关系的模糊三元概念,从网络连接特征角度,转化为属性类三元概念向量,对待分类网络连接数据进行分类。
网络上的数据包经过领域专家采用数据挖掘等技术进行特征分析及处理得到网络连接数据集,通过分析网络连接、网络连接特征、入侵类型的内在关联形成模糊三元背景。即,定义模糊三元背景为一个四元组(G,M,B,Y),其中G是网络连接对象集合,M是网络连接特征集合,B是网络连接所属分类集合,Y是G、M和B之间的三元关系,(g,m,b)∈Y表示网络连接对象g在属于分类b时具有网络连接特征m。针对该模糊三元背景,当X包含于G,Z包含于M×B时,运用(i)-诱导算子构造模糊三元概念。其中(i)-诱导算子为:
Figure GDA0002980480080000052
Figure GDA0002980480080000053
将网络连接数据集处理成模糊三元背景,构造模糊三元概念,实现网络连接数据的三维表示,充分考虑了网络连接、网络连接特征和入侵类型(正常访问和网络攻击)之间的关联关系。
在构造模糊三元概念时,可使用(i)-诱导算子,或使用(i,j,Ak)-诱导算子同样可以构建模糊三元概念。具体过程可设计为:设三元背景K=(K1,K2,K3,Y),{i,j,k}={1,2,3},
Figure GDA0002980480080000065
Figure GDA0002980480080000066
(i,j,Ak)-诱导算子被定义为:
Figure GDA0002980480080000061
Figure GDA0002980480080000062
此诱导算子对应的形式背景为:在(1,2,3)=(i,j,k)的情况下,
Figure GDA0002980480080000063
表示a1在所有的条件a3下具有属性a2,其中a3∈A3
进一步地,三元概念分析中,将含有网络连接、网络连接特征、入侵类型之间三元关系的模糊三元概念转化为基于网络连接特征的属性类三元概念向量,即网络连接特征、攻击类型所构成的形式概念。
用于训练模型的数据由网络连接数据集组成,将网络连接数据包等价为模糊三元背景中的对象,网络连接的特征对应为属性,攻击类型转化为条件。选取过程监控层的拒绝服务攻击、远程登录攻击、超级用户权限攻击、嗅探与欺骗攻击四种主要的入侵类型作为条件。于是,入侵检测模型抽象出的模糊三元背景可描述为一个四元组(D,T,C,R=w(D×T×C))。四元组中D表示对象集,C表示条件集,T表示属性集,R是由对象集D、条件集C和属性集T三者之间关系组成的模糊关系集合。当d∈D,t∈T,c∈C时,模糊三元关系(d,c,t)∈R,此模糊三元关系可表示为网络连接特征的权重w(d,c,t),即对象d在条件c下具有属性t的网络连接特征权重,其取值范围为[0,1]。网络连接特征的权重既可以表征属性与对象的隶属关系,又可以代表属性在对象中的重要程度。结合三元形式背景下构造概念的原理与方法,在模糊三元背景(K1,K2,K3,Y)下,构建的模糊三元概念,模糊三元概念定义为三元组(A1,A2,A3),其中,LK1,LK2,LK3分别是K1,K2,K3上的所有模糊集,对于任意的A1∈LK1,A2∈LK2,A3∈LK3
Figure GDA0002980480080000064
{i,j,k}={1,2,3}。模糊三元背景经过(i)-诱导算子或者(i,j,Ak)诱导算子计算最终得到模糊三元概念,表征为网络连接、网络连接特征、入侵类型之间的三元关系。从属性角度,使用网络连接特征表示一条网络连接数据,转化为属性类三元概念向量,对待分类网络连接数据进行分类。
ICS入侵检测实际是在确定网络连接所属攻击类型,为便于网络连接的分类,把从对象角度考虑的模糊三元概念转化为以属性维度为出发点的属性类三元概念向量。将含有网络连接、网络连接特征、入侵类型之间三元关系的模糊三元概念转化为基于网络连接特征的属性类三元概念向量,即网络连接特征、攻击类型所构成的形式概念。通过网络连接的训练集的层层迭代最终得到入侵检测分类模型。
作为本发明实施例中基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,模型训练中利用网络连接数据集中样本将网络入侵进行分类;入侵检测中,引入计算相似度度量的余弦夹角,利用待检测网络连接数据的属性类三元概念向量与每个入侵类型下属性类三元概念向量之间的相似度大小对待检测网络连接数据进行分类识别。进一步地,每个入侵类型下包含多个属性类三元概念向量,对同一入侵类型下通过对相似度取平均值获取待检测网络连接数据与当前入侵类型的相似度。
基于训练得到的属性类三元概念向量模型,对新的网络连接进行分类,分类过程即为ICS入侵检测过程,分类结果作为ICS入侵检测的结果。将待分类的网络连接转化为属性类三元概念向量,通过计算向量之间相似度大小来对网络连接进行分类,属性之间距离越近说明新的网络连接与该类别越相近等价于向量之间相似度越大越表明网络连接与该类别越接近。为了提高准确率,引入余弦夹角计算待分类的网络连接转化的属性类三元概念向量与属性类三元概念向量模型中的向量的相似度,判定新网络连接的类别。在训练得到的属性类三元概念向量模型中,划分出多个分类,每个类型均包括多个模糊三元概念转化的属性类三元概念向量。依次计算各类型下属性类三元概念向量与待分类网络连接属性类三元概念向量的相似度,同一类型下,对计算得到的相似度值取平均值作为待分类网络连接属性类三元概念向量与当前类型的相似度。待分类网络连接与所有类型的平均相似度计算完成之后,通过比较相似度大小,将待分类网络连接归类于相似度最大的类型中,完成待分类网络连接的分类,实现对ICS网络的入侵检测。
作为本发明实施例中基于三元概念分析的工业控制系统网络入侵检测方法,进一步地,相似度计算公式表示为:
Figure GDA0002980480080000071
其中,Sim(C,VD)表示待分类的网络连接数据转化的属性类三元概念向量C与属性类三元概念向量模型中向量VD的相似度,CWi表示待分类网络连接属性类三元概念向量网络连接特征i的权重向量值,VDWi表示属性类三元概念向量模型中向量网络连接特征i的权重向量值,n表示网络连接特征的个数。
在网络中,分析网络访问的数据包,作为新的网络连接,构造模糊三元概念,转化为属性类三元概念向量,根据得到的属性类三元概念向量模型,按照待分类的网络连接转化的属性类三元概念向量与属性类三元概念向量模型中的向量的相似度计算公式计算向量相似度,计算同一入侵类型中得到的相似度值的平均值作为待分类网络连接三元概念向量与当前类型的相似度,比较相似度大小确定网络连接分类,实现入侵检测。基于模型和相似度计算公式,可以方便快捷地对网络连接进行研判,确定其是否是正常的网络访问,抑或是网络入侵。尤其是在超多量的网络连接数据中,该方法能够快速给出判定结果。另外,对于已知类型的网络连接,可以用于训练得到的模型,使其自学习,进一步提高模型判定结果的准确率。
进一步地,基于上述的方法,本发明实施例还提供一种基于三元概念分析的工业控制系统网络入侵检测系统,包含:数据收集模块、模型构建模块及入侵检测模块,其中,
数据收集模块,用于收集网络数据包,通过特征分析来获取用于模型训练的网络连接数据集;
模型构建模块,用于将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景;并根据网络连接数据构建的模糊三元背景,通过诱导算子构造模糊三元概念,然后从模糊三元概念的属性(即网络连接数据的连接特征)角度出发,将模糊三元概念转化成为属性类三元概念向量,利用网络连接数据集训练和构建检测模型;
入侵检测模块,用于利用已训练的检测模型对待检测的网络连接数据进行入侵检测,确定网络连接数据是正常访问数据还是网络攻击数据,若是网络攻击数据则通过入侵检测模型来识别攻击类型。
参见图4所示,为验证本案方案有效性,结合算法和实验数据做进一步解释说明,其实现算法部分内容可描述如下:
算法1.数据预处理的算法
输入:原始数据文件
输出:模糊三元背景数据TriadicDataSet
Figure GDA0002980480080000081
算法说明:步骤1是定义一个入侵记录检测结果与数值类型关系,在读取原始数据转换成字符串数组时,将结果转化成数字字符串;步骤2~6是读取原始文件数据,转化为二维字符串数组;步骤7初始化模糊三元背景数组,用0填充数组;步骤8~16是根据改进的TF-IDF公式的分子计算公式计算网络连接特征的TF-IDF值,此处先计算公式中分子的值,方便后面计算平方和;步骤17~29是将上述得到的结果进行归一化、标准化,其中步骤19~21为计算网络连接特征的平方和,当平方和不为0时,执行步骤23~26,计算TF-IDF值与平方和的比值,作为最终归一化、标准化的结果。
算法2.构建属性类三元概念向量模型算法。
输入:模糊三元概念数据TriadicDataSet
输出:属性类三元概念向量集TriadicConceptVectorSet
Figure GDA0002980480080000091
算法说明:步骤1定义一个初始为空的分类形式概念集合,用于存放生成的外延和内涵组成的分类形式概念。步骤2定义一个初始为空的模糊三元概念集合triConceptSet,用于存放生成的模糊三元概念。步骤3~13是对模糊三元概念中的每个条件进行模糊三元概念的构建,步骤4~5是将第i个条件的模糊三元背景数据(即外延和内涵的二维数组)数组列表对象,步骤6~11对数组列表对象中每个数组循环构建模糊三元概念triCon,若构建的模糊三元概念集合triConceptSet中不包含triCon,则将triCon加入triConceptSet;若分类形式概念SUP的内涵不包含数组列表j中值大于0的属性列表转化的内涵集合attrSet,则对于triConceptSet中内涵不等于attrSet的三元概念的内涵与attrSet去交集,外延取并集,构建新的模糊三元概念存入triConceptSet。步骤10过滤掉triConceptSet中外延和内涵同时为空模糊三元概念。步骤14调用triConBuild,取第一和第二个条件各自生成的模糊三元概念构建新的模糊三元概念,然后从第三个条件生成的模糊三元概念集合开始依次和最新构建的模糊三元概念集合调用triConBuild再次构建模糊三元概念集合。步骤15~20是将新构建的模糊三元概念集合转化为属性类三元概念向量集合,取一个属性在某个模糊三元概念中的所有外延的权重值平均值作为该模糊三元概念此属性的权重值。步骤21~23是将每个属性类三元概念向量进行单位化处理,采用公式
Figure GDA0002980480080000101
计算模糊三元概念向量每个属性的权重,最后得到单位化的属性类三元概念向量集合。
算法 构建新合成模糊三元概念函数triConBuild(triConceptSet1,triConceptSet2)
输入:两个待合成新模糊三元概念集合的三元概念集合triConceptSet1和triConceptSet2
输出:新合成模糊三元概念集合triConceptSetNew
Figure GDA0002980480080000102
算法说明:在算法2中调用构建新合成模糊三元概念函数triConBuild,传入两个模糊三元概念集合triConceptSet1和triConceptSet2。步骤3~5是第一种情况,即triConceptSet1中模糊三元概念m和triConceptSet2中n的外延和内涵都相等,则模糊三元概念m和n的条件取并集与m的外延和内涵合成新的模糊三元概念存入新合成模糊三元概念集合triConceptSetNew中。步骤6~8是第二种情况,即triConceptSet1中模糊三元概念m和triConceptSet2中n的外延不相等但内涵相等,步骤7是对m和n的外延取交集,记为C,交集不为空则应生成新的模糊三元概念,根据m和n的外延集合的关系再分三种情况:一为m的外延集合包含n的外延集合的情况,二为n的外延集合包含m的外延集合的情况,以上两种情况只需向triConceptSetNew添加两个新的模糊三元概念,三为m和n的外延互不包含关系的情况,若外延交集C不为空则应多增加一个以C、m的内涵intend和m与n条件并集的模糊三元概念。步骤9~11为第三种情况,模糊三元概念m和n的外延相等但内涵不相等,与第二种情况类似,只是变为对内涵取交集,根据内涵交集的包含情况分为三种情况合成新的模糊三元概念集合。步骤12~15为第四种情况,即模糊三元概念m和n的外延、内涵都不相等,此时分别对m和n的外延、内涵取交集,若两个交集都不为空则与m和n的条件取的并集一起组成新的模糊三元概念,存入triConceptSetNew,然后将模糊三元概念m和n也存入triConceptSetNew。最后将新合成的模糊三元概念集合triConceptSetNew返回。
算法3.待分类网络连接分类算法。根据相似度对网络连接分类的算法伪代码如下:
输入:待分类的网络连接d和属性类三元概念向量集合TriConVectorSet
输出:网络连接d的分类
Figure GDA0002980480080000111
算法说明:步骤1根据从原始数据文件转化得到的strDataSet,采用TF-IDF计算公式
Figure GDA0002980480080000112
对待分类网络连接进行处理,得到模糊三元概念背景数据。步骤2~3是为网络连接构建模糊三元概念,并按照算法2将其转化为属性类三元概念向量,然后根据公式
Figure GDA0002980480080000113
进行向量单位处理。步骤4~7计算VC与属性类三元概念向量集合中所有模糊三元概念的相似度,计算公式采用
Figure GDA0002980480080000114
同时按照不同条件汇总相似度并记录已经累计的模糊三元概念的个数。步骤8定义变量maxSim记录最大相似度值,定义变量k存放与VC相似度最大的条件,即网络连接所属的分类。步骤9~15计算VC与每个条件的平均相似度,记录最大相似度和其对应的条件下标值,拥有最大相似度的条件即为网络连接d的最终分类结果。
以上三个算法组成了属性类三元概念入侵检测模型(即ACTC模型),其总体时间复杂度和空间复杂度与选取的网络连接个数、网络连接特征个数及攻击种类个数密切相关。假设网络连接的个数是n,攻击种类个数m,网络连接特征有k个。在算法1对文本数据初始化时,算法时间复杂度为O(n*k)+O(n*m)+O(n*m*k),由此算来算法1总体时间复杂度为O(n*m*k);算法2中根据模糊三元概念背景数据构造模糊三元概念,假设模糊三元概念的个数是t,则算法2的时间复杂度为O(n*m*t);与算法1和算法2相同,根据算法3的伪代码可以计算出其时间复杂度为O(t)。因为模糊三元概念的个数一定大于等于攻击种类的个数,所以网络连接分类算法的空间复杂度为O(n*m*t)。由于算法1中定义了模糊三元概念背景的三维数据组,其空间复杂度为O(n*m*k),而算法2和算法3中定义的变量最大所需空间为O(k*t),根据模糊三元概念构造的原理可知外延和条件的笛卡尔积大于模糊三元概念的个数,因此网络连接分类算法的空间复杂度为O(n*m*k)。即使在数据集规模很大的情况下,该模型的准确率、入侵检测率和误判率也能达到很好的效果;而且,从测试数据维度分析,随着测试数据增加准确率和入侵检测率明显增加,尤其当测试数据条数大于等于20万条时,入侵检测的准确率和入侵检测率均稳定在99%左右。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述系统实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (7)

1.一种基于三元概念分析的工业控制系统网络入侵检测方法,其特征在于,包含如下内容:收集网络数据包,通过特征分析来获取用于模型训练的网络连接数据集;
将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景;并根据构建的模糊三元背景,通过诱导算子构造模糊三元概念,从模糊三元概念的属性角度出发,将模糊三元概念转化成为属性类三元概念向量,利用网络连接数据集构建并训练检测模型;
利用已训练的检测模型对待检测的网络连接数据进行入侵检测,确定网络连接数据是正常访问数据还是网络攻击数据,若是网络攻击数据则通过入侵检测模型来识别攻击类型;
将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景,其中,模糊三元背景表示为四元组(D,T,C,R),D表示对象集,T表示属性集,C表示条件集,R表示由对象集D、属性集T和条件集C三者之间三元关系组成的集合,并在R中,基于模糊集理论隶属度类比利用对象在条件下具有相应属性的网络连接特征权重来表征属性与对象的隶属关系及属性在对象中的重要程度;
针对网络连接数据,设定每一个网络连接为一条记录,每个记录中拥有多个网络连接特征,对象在条件下具有相应属性的网络连接特征权重通过数据归一化和标准化处理得到,用来表征属性与对象的隶属度;归一化和标准化处理,利用词频-逆向文件频率将网络连接特征权重归一化和标准化为0至1之间的数值,归一化和标准化公式表示为:
Figure FDA0004051107920000011
其中,wi表示第i个网络连接特征的权重值,fi表示网络连接特征i的值在记录中出现的频率,n为原始数据中的数据量,ni为含有网络连接特征i的值的数据量,t为网络连接特征的个数;当X包含于D,Z包含于T×C时,运用(i)-诱导算子构造模糊三元概念,其中,(i)-诱导算子表示为:
Figure FDA0004051107920000012
Figure FDA0004051107920000013
2.根据权利要求1所述的基于三元概念分析的工业控制系统网络入侵检测方法,其特征在于,针对收集到的网络数据包,利用数据挖掘技术进行特征分析处理来获取用于模型训练的网络连接数据集;利用已知入侵类型的网络连接数据集进行模型训练。
3.根据权利要求1~2中任一项所述的基于三元概念分析的工业控制系统网络入侵检测方法,其特征在于,根据模糊三元背景利用诱导算子获得含有网络连接、网络连接特征、入侵类型之间三元关系的模糊三元概念,从网络连接特征角度,转化为属性类三元概念向量。
4.根据权利要求1所述的基于三元概念分析的工业控制系统网络入侵检测方法,其特征在于,模型训练中利用网络连接数据集中样本进行入侵检测中,利用相似度度量的余弦夹角计算待检测网络连接数据的属性类三元概念向量与每个入侵类型下属性类三元概念向量之间的相似度,依据相似度大小对待检测网络连接数据进行分类识别。
5.根据权利要求4所述的基于三元概念分析的工业控制系统网络入侵检测方法,其特征在于,每个入侵类型下包含多个属性类三元概念向量,对同一入侵类型下通过对相似度取平均值获取待检测网络连接数据与当前入侵类型的相似度。
6.根据权利要求4或5所述的基于三元概念分析的工业控制系统网络入侵检测方法,其特征在于,相似度计算公式表示为:
Figure FDA0004051107920000021
其中,Sim(C,VD)表示待分类的网络连接数据转化的属性类三元概念向量C与属性类三元概念向量模型中向量VD的相似度,CWi表示待分类网络连接属性类三元概念向量网络连接特征i的权重向量值,VDWi表示属性类三元概念向量模型中向量网络连接特征i的权重向量值,n表示网络连接特征的个数。
7.一种基于三元概念分析的工业控制系统网络入侵检测系统,其特征在于,基于权利要求1所述的方法实现,包含:数据收集模块、模型构建模块及入侵检测模块,其中,
数据收集模块,用于收集网络数据包,通过特征分析来获取用于模型训练的网络连接数据集;
模型构建模块,将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件,构建模糊三元背景;并根据构建的模糊三元背景,通过诱导算子构造模糊三元概念,从模糊三元概念的属性角度出发,将模糊三元概念转化成为属性类三元概念向量,利用网络连接数据集构建并训练检测模型;
入侵检测模块,用于利用已训练的检测模型对待检测的网络连接数据进行入侵检测,确定网络连接数据是正常访问数据还是网络攻击数据,若是网络攻击数据则通过入侵检测模型来识别攻击类型。
CN202110113510.XA 2021-01-27 2021-01-27 基于三元概念分析的工业控制系统网络入侵检测方法及系统 Active CN112804247B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110113510.XA CN112804247B (zh) 2021-01-27 2021-01-27 基于三元概念分析的工业控制系统网络入侵检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110113510.XA CN112804247B (zh) 2021-01-27 2021-01-27 基于三元概念分析的工业控制系统网络入侵检测方法及系统

Publications (2)

Publication Number Publication Date
CN112804247A CN112804247A (zh) 2021-05-14
CN112804247B true CN112804247B (zh) 2023-04-07

Family

ID=75812292

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110113510.XA Active CN112804247B (zh) 2021-01-27 2021-01-27 基于三元概念分析的工业控制系统网络入侵检测方法及系统

Country Status (1)

Country Link
CN (1) CN112804247B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785589B (zh) * 2022-04-20 2023-11-14 浙江大学 基于控制不变量建模的入侵检测与定位方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL2002694C2 (en) * 2009-04-01 2010-10-04 Univ Twente Method and system for alert classification in a computer network.
US11743271B2 (en) * 2019-05-22 2023-08-29 Computed Future, Inc Systems and methods for detecting and mitigating cyber security threats

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种基于模糊理论的自适应入侵检测方法;令狐大智等;《微电子学与计算机》;20070905(第09期);全文 *
概念格在入侵检测中的应用研究;谢丽明等;《计算机工程与设计》;20100316(第05期);全文 *

Also Published As

Publication number Publication date
CN112804247A (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
CN110958220B (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
CN108566364B (zh) 一种基于神经网络的入侵检测方法
Kumar et al. Research trends in network-based intrusion detection systems: A review
CN111641634B (zh) 一种基于蜜网的工业控制网络主动防御系统及其方法
CN109117641A (zh) 一种基于i-hmm的网络安全风险评估方法
US11533373B2 (en) Global iterative clustering algorithm to model entities' behaviors and detect anomalies
Liu et al. A distance-based method for building an encrypted malware traffic identification framework
CN115277189B (zh) 基于生成式对抗网络的无监督式入侵流量检测识别方法
CN110674498B (zh) 一种基于多维度文件活动的内部威胁检测方法及系统
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
CN112804247B (zh) 基于三元概念分析的工业控制系统网络入侵检测方法及系统
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN111784404B (zh) 一种基于行为变量预测的异常资产识别方法
CN113542252A (zh) Web攻击的检测方法、检测模型和检测装置
CN116599743A (zh) 4a异常绕行检测方法、装置、电子设备及存储介质
Shin et al. Unknown Attack Detection: Combining Relabeling and Hybrid Intrusion Detection.
Thanh et al. An approach to reduce data dimension in building effective network intrusion detection systems
Uzun et al. Performance evaluation of machine learning algorithms for detecting abnormal data traffic in computer networks
CN115085948A (zh) 基于改进d-s证据理论的网络安全态势评估方法
Guo et al. Learning Representations Using RNN Encoder-Decoder for Edge Security Control
Qu et al. The comparison network model for cyber anomaly detection
CN117579324B (zh) 基于门控时间卷积网络与图的入侵检测方法
Wu Networked Test System Attack Detection Based on Deep Generative Models
Mishra et al. Intrusion detection using convolutional neural networks with feature reduction
Jia et al. Cluster Detection Method of Endogenous Security Abnormal Attack Behavior in Air Traffic Control Network.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant