CN113067798A - Ics入侵检测方法、装置、电子设备和存储介质 - Google Patents

Ics入侵检测方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN113067798A
CN113067798A CN202110199828.4A CN202110199828A CN113067798A CN 113067798 A CN113067798 A CN 113067798A CN 202110199828 A CN202110199828 A CN 202110199828A CN 113067798 A CN113067798 A CN 113067798A
Authority
CN
China
Prior art keywords
intrusion detection
network
control system
training
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110199828.4A
Other languages
English (en)
Other versions
CN113067798B (zh
Inventor
孙利民
陈新
刘凯祥
谢永芳
吕世超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202110199828.4A priority Critical patent/CN113067798B/zh
Publication of CN113067798A publication Critical patent/CN113067798A/zh
Application granted granted Critical
Publication of CN113067798B publication Critical patent/CN113067798B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Optimization (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Molecular Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种ICS入侵检测方法、装置、电子设备和存储介质,其中方法包括:确定待检测的工业控制系统的网络数据集;将待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。本发明实现了工业控制系统网络攻击时异常检测的自动化、通用化和灵活化的提升。

Description

ICS入侵检测方法、装置、电子设备和存储介质
技术领域
本发明涉及工业控制系统信息安全技术领域,尤其涉及一种ICS入侵检测方法、装置、电子设备和存储介质。
背景技术
工业控制系统(Industrial Control Systems,ICS)是一类用于工业生产控制系统的统称,包括监测控制和数据采集(Supervisory Control And Data Acquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)以及其他小型控制系统等。它是国家传统关键基础设施的核心,涉及冶金、化工、电力、水利等。传统ICS采用专用通信协议等,使得整个系统隔离于互联网之外。随着IT技术发展、业务需求增加等因素,ICS开始引入工业以太网、TCP/IP协议等。导致ICS从信息“孤岛”开始趋于开放化、标准化,与外部网络连接更为紧密与频繁,但也导致ICS遭受越来越多的网络攻击,如伊朗核电站遭受“震网病毒”攻击和乌克兰电网遭受“黑暗能量”攻击,这些攻击给国家带来巨大的经济损失,因此保护ICS免遭网络攻击变得越来越重要。
1986年Denning曾设计并介绍了专门检测攻击事件等安全威胁的“入侵检测模型”。相较于传统IT网络,工业控制系统存在实时性要求高、资源受限、更新困难,使用专有协议等特点,导致针对传统IT网络的入侵检测算法难以直接应用在工业控制系统中。早期阶段大多数研究成果过于依赖预定义的模型或行为进行异常检测,且需要大量人工参与;一些特征或模型的构建来源于已知攻击,导致难以检测0day攻击或未知攻击;部分研究成果针对特定的ICS,通用性与灵活性较差。
发明内容
本发明实施例提供一种ICS入侵检测方法、装置、电子设备和存储介质,用以解决目前ICS遭受越来越多的网络攻击时异常检测存在的上述部分或全部问题。
第一方面,本发明实施例提供一种ICS入侵检测方法,包括:
确定待检测的工业控制系统的网络数据集;
将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;
所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
优选地,所述入侵检测模型包括异常检测模型和异常分类模型;所述异常检测模型是基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练得到的;所述异常分类模型是基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
优选地,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果,包括:
将所述待检测的工业控制系统的网络数据集输入至所述异常检测模型,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;
将所述正常样本特征输入至所述异常分类模型,输出异常分类结果:若为异常则报警,否则正常放行。
优选地,基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,包括以下步骤:
加载双向长短周期记忆BiLSTM网络的初始权重文件;
将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
根据最小损失值调整或更新相应的所述BiLSTM网络参数。
优选地,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:
将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
优选地,所述全连接层的概率计算函数如下:
Figure BDA0002947721800000031
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
优选地,所述交叉熵损失函数如下:
Figure BDA0002947721800000032
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
第二方面,本发明实施例提供一种ICS入侵检测装置,包括:
数据确定单元,用于确定待检测的工业控制系统的网络数据集;
入侵检测单元,用于将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据训练得到的;
所述入侵检测模型用于基于所述样本数据对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所提供的任一项所述ICS入侵检测方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的任一项所述ICS入侵检测方法的步骤。
本发明实施例提供的一种ICS入侵检测方法、装置、电子设备和存储介质,通过基于特定工业场景网络数据集的样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后得到的入侵检测模型对工业控制系统的网络数据集进行异常检测,以提高目前工业控制系统遭受越来越多的网络攻击时异常检测的自动化、通用化和灵活化。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的ICS入侵检测方法的流程示意图;
图2是本发明提供的入侵检测模型框图;
图3是本发明提供的异常检测模型训练示意图;
图4是本发明提供的ICS入侵检测装置的结构示意图;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图5描述本发明提供的一种ICS入侵检测方法、装置、电子设备和存储介质。
本发明实施例提供了一种ICS入侵检测方法。图1为本发明实施例提供的ICS入侵检测方法的流程示意图,如图1所示,该方法包括:
步骤110,确定待检测的工业控制系统的网络数据集;
具体地,待检测的网络数据集与训练入侵检测模型时所采用的特定工业场景网络数据集特征保持一致,在实际应用中可选择采集与密西西比工业控制系统入侵检测标准数据集或者其他特定工业场景网络数据集特征相一致的工业控制系统的网络数据集作为待检测的网络数据集。
步骤120,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;
具体地,特定工业场景网络数据集的样本数据可选取密西西比天然气管道数据集,数据源为天然气管道控制系统的网络层数据。数据经过数值化处理可以分为8类,包含7种不同类别的攻击数据和正常数据。数据集中有完整数据共97018条数据,其中正常数据为61155条,攻击数据为35863条,每一条数据的维数为26维,为26种特征属性值。选取完整数据,按6:2:2分成3组,60%的训练数据,20%的验证数据,20%测试数据。对所选取的上述数据集进行过采样处理之后进行标准归一化处理。该数据集所包含的具体特征见表1,攻击类型见表2。
表1:数据集特征列表
Figure BDA0002947721800000061
Figure BDA0002947721800000071
表2:攻击类型列表
Figure BDA0002947721800000072
特定工业场景网络数据集的样本数据还可选取其他网络数据集,例如,可使用密西西比储水池数据集。该数据集经过数值化处理也可分为8类,包含7种不同类别的攻击数据和正常数据。数据集中有完整数据共236179条数据,其中正常数据为172415条,攻击数据为63764条,每一条数据的维数为23维,为23种特征属性值。包含:地址、功能码、长度、设定点、警报设定点、控制模式、控制方案、水压等。
所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
本发明实施例提供的方法,采用基于特定工业场景网络数据集的样本数据训练得到的入侵检测模型对工业控制系统的网络数据集进行异常检测,即,基于深度学习中双向长短周期记忆网络BiLSTM完成了工控网络流量数据第一级检测;之后结合单类支持向量机,通过BiLSTM提取的正常数据特征进行训练作为第二级检测,使入侵检测模型具有更好的检测精度以及对未知类别的检测能力。本发明能够有效解决目前工业控制系统网络攻击时存在的异常检测的自动化程度、通用性和灵活性不高的问题。
需要说明的是,所述特定工业场景网络数据集的样本数据通过smote算法生成,由于攻击流量难以获取,使得数据较少,而选择的数据集存在样本不均衡现象,影响模型学习效果,因此为了获得均衡的流量数据集,利用smote算法扩充用于训练和测试的流量样本数据,smote算法采样均可使用python的imblearn.over_sampling库中smote函数实现,之后再对每条数据进行标准归一化处理,从而弥补攻击样本数据量少影响学习效果等问题,加强了训练后模型的泛化能力。所述样本数据生成方法过程如下:
提取所述特定工业场景网络数据集中少数类的每个样本x,根据欧氏距离最小化原则从少数类样本数据集中找出少数类的每个样本的k个近邻样本;
根据样本不均衡比例设置采样比例以确定采样倍率N,并对所述少数类的每个样本相应地从k个近邻样本随机选择N个样本;
对于随机选择N个样本中的每个随机选出的近邻样本n,按照如下公式构建出新的样本数据xnew:
xnew=x+rand(0,1)*|x-n|;
其中,x为特定工业场景网络数据集中少数类的每个样本,n为每个随机选出的近邻样本。
基于上述任一实施例,如图2所示,所述入侵检测模型包括异常检测模型210和异常分类模型220;所述异常检测模型210是基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练得到的;所述异常分类模型220是基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
基于上述任一实施例,如图2所示,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果,包括:
将所述待检测的工业控制系统的网络数据集输入至所述异常检测模型210,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;
将所述正常样本特征输入至所述异常分类模型220,输出异常分类结果:若为异常则报警,否则正常放行。具体地,入侵检测模型分为二级检测,将待检测流量数据归一化处理后,送入已训练好的BiLSTM模型进行检测。若检测结果为异常,则报警/告警处理;若检测结果为正常,则提取正常数据特征,再将提取的特征送入训练好的OCSVM模型进行检测。若检测结果为正常,则放行;若检测结果为异常,则报警/告警处理
基于上述任一实施例,基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,如图3所示,包括以下步骤:
步骤310,加载双向长短周期记忆BiLSTM网络的初始权重文件;
具体地,首先搭建BiLSTM与OCSVM模型运行环境:利用Keras框架搭建BiLSTM模型;BiLSTM模型设计为2个双向LSTM层,1个dropout层,1个全连接层,激活函数使用softmax函数。
步骤320,将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
步骤330,根据最小损失值调整或更新相应的所述BiLSTM网络参数。
需要说明的是,将所述样本数据按照6:2:2划分为训练集、验证集和测试集,首先利用训练集训练BiLSTM网络,再利用训练后的网络模型对测试集和验证集进行测试;重复训练过程,获取最优BiLSTM网络模型,对于获得的最优BiLSTM网络模型对训练集的正常样本进行特征提取,使用提取的特征训练OCSVM模型。
基于上述任一实施例,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:
将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
具体地,根据标签的种类个数及训练集流量样本调整网络参数,先经过全连接层得到相应的概率,再经由损失函数输出损失值,网络参数随着最小损失值进行调整或更新。
基于上述任一实施例,所述全连接层的概率计算函数如下:
Figure BDA0002947721800000101
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
具体地,全连接层为1*T的向量,其中,aj表示全连接层输入标签向量中第j个值,Pj为对应值的概率,标签向量的T个值,其真实标签对应位置的值为1,其他值均为0。需要说明的是,样本数据对应的标签的种类是通过标签向量进行分类别的,这里是0-7种类别,0代表正常,其他值代表对应的攻击类别,之后可以处理成独立编码类型,是个T维的二进制向量,对应类别的位置为1,如7可表示为:[0,0,0,0,0,0,0,1]这样的形式。
基于上述任一实施例,所述交叉熵损失函数如下:
Figure BDA0002947721800000111
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
本发明采用工控入侵检测方法相比之前的入侵检测方法,具有自动提取时序特征、识别未知攻击,检测精度高等优点。同时实验结果表明,利用本方法对ICS网络攻击的识别率达到了98%以上。由表3和表4可知本方法对于ICS入侵检测准确率有较大提升。
表3
Figure BDA0002947721800000112
表3为本发明与Feng等的算法、Khan等的算法,RF算法、BF算法及SVD算法比较的总体实验结果。
表4
Figure BDA0002947721800000121
表4为本发明与Feng等的算法、Khan等的算法,RF算法、BF算法及SVD算法比较的对各种攻击检测的实验结果。
下面对本发明提供的一种ICS入侵检测装置进行描述,下文描述的与上文描述的一种ICS入侵检测方法可相互对应参照。
图4为本发明实施例提供的ICS入侵检测装置的结构示意图,如图4所示,该装置包括数据确定单元410和入侵检测单元420:
数据确定单元410,用于确定待检测的工业控制系统的网络数据集;
入侵检测单元420,用于将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据训练得到的;
所述入侵检测模型用于基于所述样本数据对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测。
本发明实施例提供的装置,采用基于特定工业场景网络数据集的样本数据训练得到的入侵检测模型对工业控制系统的网络数据集进行异常检测,即,基于深度学习中双向长短周期记忆网络BiLSTM完成了工控网络流量数据第一级检测;之后结合单类支持向量机,通过BiLSTM提取的正常数据特征进行训练作为第二级检测,使入侵检测模型具有更好的检测精度以及对未知类别的检测能力。本发明能够有效解决目前工业控制系统网络攻击时存在的异常检测的自动化程度、通用性和灵活性不高的问题。
基于上述任一实施例,所述入侵检测单元420包括异常检测模块和异常分类模块构成的入侵检测模型;所述异常检测模块是基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练得到的;所述异常分类模块是基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
基于上述任一实施例,所述异常检测模块,用于输入所述待检测的工业控制系统的网络数据集,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;所述异常分类模块,用于输入所述正常样本特征,输出异常分类结果:若为异常则报警,否则正常放行。
基于上述任一实施例,所述异常检测模块包括文件加载模块、损失确定模块和参数调整模块;
所述文件加载模块,用于加载双向长短周期记忆BiLSTM网络的初始权重文件;
所述损失确定模块,用于将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
所述参数调整模块,用于根据最小损失值调整或更新相应的所述BiLSTM网络参数。
基于上述任一实施例,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:
将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
基于上述任一实施例,所述全连接层的概率计算函数如下:
Figure BDA0002947721800000141
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
基于上述任一实施例,所述交叉熵损失函数如下:
Figure BDA0002947721800000142
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
图5为本发明实施例提供的电子设备的结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行ICS入侵检测方法,该方法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的ICS入侵检测方法,该方法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的ICS入侵检测方法,该方法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种ICS入侵检测方法,其特征在于,包括:
确定待检测的工业控制系统的网络数据集;
将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;
所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
2.根据权利要求1所述的ICS入侵检测方法,其特征在于,所述入侵检测模型包括异常检测模型和异常分类模型;
所述异常检测模型是基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练得到的;所述异常分类模型是基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
3.根据权利要求2所述的ICS入侵检测方法,其特征在于,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果,包括:
将所述待检测的工业控制系统的网络数据集输入至所述异常检测模型,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;
将所述正常样本特征输入至所述异常分类模型,输出异常分类结果:若为异常则报警,否则正常放行。
4.根据权利要求2所述的ICS入侵检测方法,其特征在于,基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,包括以下步骤:
加载双向长短周期记忆BiLSTM网络的初始权重文件;
将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
根据最小损失值调整或更新相应的所述BiLSTM网络参数。
5.根据权利要求4所述的ICS入侵检测方法,其特征在于,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:
将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
6.根据权利要求5所述的ICS入侵检测方法,其特征在于,所述全连接层的概率计算函数如下:
Figure FDA0002947721790000021
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
7.根据权利要求5所述的ICS入侵检测方法,其特征在于,所述交叉熵损失函数如下:
Figure FDA0002947721790000022
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
8.一种ICS入侵检测装置,其特征在于,包括:
数据确定单元,用于确定待检测的工业控制系统的网络数据集;
入侵检测单元,用于将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据训练得到的;
所述入侵检测模型用于基于所述样本数据对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述ICS入侵检测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述ICS入侵检测方法的步骤。
CN202110199828.4A 2021-02-22 2021-02-22 Ics入侵检测方法、装置、电子设备和存储介质 Active CN113067798B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110199828.4A CN113067798B (zh) 2021-02-22 2021-02-22 Ics入侵检测方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110199828.4A CN113067798B (zh) 2021-02-22 2021-02-22 Ics入侵检测方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN113067798A true CN113067798A (zh) 2021-07-02
CN113067798B CN113067798B (zh) 2022-04-12

Family

ID=76558995

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110199828.4A Active CN113067798B (zh) 2021-02-22 2021-02-22 Ics入侵检测方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN113067798B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113643239A (zh) * 2021-07-15 2021-11-12 上海交通大学 一种基于记存机制的异常检测方法、装置和介质
CN115996133A (zh) * 2022-06-27 2023-04-21 西安电子科技大学 一种工业控制网络行为检测方法以及相关装置
CN116170241A (zh) * 2023-04-26 2023-05-26 国家工业信息安全发展研究中心 一种工业控制系统的入侵检测方法、系统及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180260699A1 (en) * 2017-03-13 2018-09-13 Intel IP Corporation Technologies for deep machine learning with convolutional neural networks and reduced set support vector machines
CN109617706A (zh) * 2018-10-18 2019-04-12 北京鼎力信安技术有限公司 工业控制系统防护方法及工业控制系统防护装置
CN109753049A (zh) * 2018-12-21 2019-05-14 国网江苏省电力有限公司南京供电分公司 一种源网荷互动工控系统的异常指令检测方法
CN110875912A (zh) * 2018-09-03 2020-03-10 中移(杭州)信息技术有限公司 一种基于深度学习的网络入侵检测方法、装置和存储介质
CN111241744A (zh) * 2020-01-07 2020-06-05 浙江大学 一种基于双向lstm的低压铸造机时间序列数据异常检测方法
US20200366712A1 (en) * 2019-05-14 2020-11-19 International Business Machines Corporation Detection of Phishing Campaigns Based on Deep Learning Network Detection of Phishing Exfiltration Communications
CN112261656A (zh) * 2020-09-25 2021-01-22 桂林理工大学 一种基于序列模型的无线传感网入侵检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180260699A1 (en) * 2017-03-13 2018-09-13 Intel IP Corporation Technologies for deep machine learning with convolutional neural networks and reduced set support vector machines
CN110875912A (zh) * 2018-09-03 2020-03-10 中移(杭州)信息技术有限公司 一种基于深度学习的网络入侵检测方法、装置和存储介质
CN109617706A (zh) * 2018-10-18 2019-04-12 北京鼎力信安技术有限公司 工业控制系统防护方法及工业控制系统防护装置
CN109753049A (zh) * 2018-12-21 2019-05-14 国网江苏省电力有限公司南京供电分公司 一种源网荷互动工控系统的异常指令检测方法
US20200366712A1 (en) * 2019-05-14 2020-11-19 International Business Machines Corporation Detection of Phishing Campaigns Based on Deep Learning Network Detection of Phishing Exfiltration Communications
CN111241744A (zh) * 2020-01-07 2020-06-05 浙江大学 一种基于双向lstm的低压铸造机时间序列数据异常检测方法
CN112261656A (zh) * 2020-09-25 2021-01-22 桂林理工大学 一种基于序列模型的无线传感网入侵检测方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
MINDI LAN: ""A Novel Industrial Intrusion Detection Method based on Threshold-optimized CNN-BiLSTM-Attention using ROC Curve"", 《CHINESE CONTROL CONFERENCE》 *
YAO JIAHAO: ""SVM-BiLSTM A Fault Detection Method for the Gas Station IoT System Based on Deep Learning"", 《IEEE》 *
丁亚雷: ""基于长短期记忆模型的入侵检测系统的设计与实现"", 《万方》 *
周航: ""改进的基于BiLSTM的网络入侵检测方法"", 《万方》 *
沈潇军: ""一种基于LSTM 自动编码机的工业系统异常检测方法"", 《电信科学》 *
牛彪: ""基于神经网络的应用异常数据流检测系统"", 《万方》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113643239A (zh) * 2021-07-15 2021-11-12 上海交通大学 一种基于记存机制的异常检测方法、装置和介质
CN113643239B (zh) * 2021-07-15 2023-10-27 上海交通大学 一种基于记存机制的异常检测方法、装置和介质
CN115996133A (zh) * 2022-06-27 2023-04-21 西安电子科技大学 一种工业控制网络行为检测方法以及相关装置
CN115996133B (zh) * 2022-06-27 2024-04-09 西安电子科技大学 一种工业控制网络行为检测方法以及相关装置
CN116170241A (zh) * 2023-04-26 2023-05-26 国家工业信息安全发展研究中心 一种工业控制系统的入侵检测方法、系统及设备

Also Published As

Publication number Publication date
CN113067798B (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN113067798B (zh) Ics入侵检测方法、装置、电子设备和存储介质
CN110909811B (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN109685647B (zh) 信贷欺诈检测方法及其模型的训练方法、装置和服务器
CN108737406B (zh) 一种异常流量数据的检测方法及系统
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN111901340B (zh) 一种面向能源互联网的入侵检测系统及其方法
CN108737410B (zh) 一种基于特征关联的有限知工业通信协议异常行为检测方法
CN111585948B (zh) 一种基于电网大数据的网络安全态势智能预测方法
CN112910859B (zh) 基于c5.0决策树和时序分析的物联网设备监测预警方法
CN113162893B (zh) 基于注意力机制的工业控制系统网络流量异常检测方法
Liu et al. A novel intrusion detection algorithm for industrial control systems based on CNN and process state transition
Lai et al. Industrial anomaly detection and attack classification method based on convolutional neural network
CN112804123B (zh) 一种用于调度数据网的网络协议识别方法及系统
Chang et al. Anomaly detection for industrial control systems using k-means and convolutional autoencoder
CN110868312A (zh) 一种基于遗传算法优化的工业行为异常检测方法
CN111881159B (zh) 一种基于代价敏感极端随机森林的故障检测方法及装置
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
CN116136897A (zh) 信息处理方法以及装置
CN115514581A (zh) 一种用于工业互联网数据安全平台的数据分析方法及设备
Tan et al. Using hidden markov models to evaluate the real-time risks of network
CN113852612A (zh) 一种基于随机森林的网络入侵检测方法
CN114553468A (zh) 一种基于特征交叉与集成学习的三级网络入侵检测方法
CN113705624A (zh) 一种用于工控系统的入侵检测方法和系统
CN113114664A (zh) 基于混合卷积神经网络的异常流量检测系统及方法
CN113347021B (zh) 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant