CN113645231B - 工业控制系统的入侵检测方法、存储器和处理器 - Google Patents

工业控制系统的入侵检测方法、存储器和处理器 Download PDF

Info

Publication number
CN113645231B
CN113645231B CN202110911997.6A CN202110911997A CN113645231B CN 113645231 B CN113645231 B CN 113645231B CN 202110911997 A CN202110911997 A CN 202110911997A CN 113645231 B CN113645231 B CN 113645231B
Authority
CN
China
Prior art keywords
training
data
model
industrial control
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110911997.6A
Other languages
English (en)
Other versions
CN113645231A (zh
Inventor
王艺霖
张如飞
王安平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yilian Communication Technology Co ltd
Original Assignee
Beijing Yilian Communication Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yilian Communication Technology Co ltd filed Critical Beijing Yilian Communication Technology Co ltd
Priority to CN202110911997.6A priority Critical patent/CN113645231B/zh
Publication of CN113645231A publication Critical patent/CN113645231A/zh
Application granted granted Critical
Publication of CN113645231B publication Critical patent/CN113645231B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Image Analysis (AREA)

Abstract

本申请公开了一种工业控制系统的入侵检测方法、存储器和处理器,所述方法包括,利用大数据平台采集监测点数据,并进行实时数据缓冲存储和离线数据存储;将存储的离线数据作为训练集分别参与有监督模型的训练和无监督模型的训练;将存储的实时数据输入训练完成的有监督模型中识别是否为已知入侵行为;若否,则将上述存储的实时数据输入无监督模型中识别是否为该无监督模型中已学习的未知入侵行为;若是,则将上述存储的实时数据作为训练数据参与有监督模型的训练。通过本申请解决了工业控制系统入侵检测准确度和效率有待提高的问题,从而实现了工业控制入侵检测的高准确度和高效率。

Description

工业控制系统的入侵检测方法、存储器和处理器
技术领域
本申请涉及到工业互联网安全领域,具体地涉及一种面向工业控制系统的分布式入侵检测方法。
背景技术
自2010年出现Stuxnet病毒以来,工业控制系统(Industrial Control System,ICS)信息安全防护方法和技术问题引起研究领域的广泛关注。入侵检测已被公认为是检测入侵行为的重要技术。作为一种主动安全防御手段,入侵检测通过快速收集、分析网络通信行为数据,并利用已知模型对其作出判断,以识别工业控制网络中的入侵行为,并在入侵行为发生作用前发出报警信号,启动防御措施。高效的入侵检测系统能够弥补安全机制缺陷,实时监控网络流量,对于有效防范网络攻击、保障工业控制网络安全运行具有重要意义。近年来,随着工业控制网络安全问题的持续增加,国内外学者对其入侵检测技术展开了广泛而深入的研究,提出了很多建设性方法。研究的方法主要包含基于行为、状态和协议,基于模型,基于机器学习检测方法及其他检测方法几个方面。
由于ICS运行中断会造成严重损失,ICS要求设备7/24小时不间断运行,想要进行系统错误修复或软件更新非常困难。并且ICS持续运行产生大量实时数据,如部分传感器采用高速采样(每秒120次),并以较低延迟发往处理单元。这就要求入侵检测算法能够实时处理大量数据。此外,ICS中包含的传感器和执行器存储、计算能力有限,且分布于环境差异较大的集中或分散的物理空间,存在传输时延,很难执行复杂的安全程序,限制了较高复杂度的方法的应用。因此,工业控制系统入侵检测面临准确度和效率有待提高的问题。
发明内容
本申请实施例提供了一种工业控制系统的入侵检测方法、存储器和处理器,以至少解决工业控制系统入侵检测准确度和效率有待提高的问题。
根据本申请的一个方面,提供了一种工业控制系统的入侵检测方法,
利用大数据平台采集监测点数据,并进行实时数据缓冲存储和离线数据存储;
将存储的离线数据作为训练集分别参与有监督模型的训练和无监督模型的训练;
将存储的实时数据输入训练完成的有监督模型中识别是否为已知入侵行为;
若否,则将上述存储的实时数据输入无监督模型中识别是否为该无监督模型中已学习的未知入侵行为;
若是,则将上述存储的实时数据作为训练数据参与有监督模型的训练。
进一步的,在本发明中,该方法中至少采用以下技术之一:所述大数据平台为Hadoop;所述监测点数据通过flume技术采集。
进一步的,在本发明中,该方法中至少采用以下技术之一:所述实时数据缓冲存储在Kafka中;所述离线数据存储在HDFS中。
进一步的,在本发明中,所述有监督模型结合MapRduce算法和LightGBM算法。
进一步的,在本发明中,所述有监督模型训练过程如下:
初始化决策树;
将大数据平台中的每个参与计算的对象当作一个计算实体进行映射;
将每个计算实体的映射结果进行归约;
根据归约结果更新决策树,迭代映射和归约过程直至满足建树停止条件,完成训练。
进一步的,在本发明中,所述无监督模型结合MapRduce算法和OCSVM算法,且所述OCSVM算法经过PSO算法优化。
进一步的,在本发明中,所述无监督模型训练过程如下:
划分样本集;
设定计算实体中的主从节点,利用主节点将样本集独立随机划分为N个子集,所述每个子集互不相交且所有子集的合集为样本集,所述N为计算实体的数量;
将子集分别发送至对应的从节点中;
在每个从节点进行映射,利用POS算法优化向量机参数和函数,并对该从节点内的子集进行训练,得到该子集的支持向量;
主节点收集所有从节点的支持向量,得到支持向量集,完成训练。
进一步的,在本发明中,所述利用POS算法优化向量机参数和函数包括:优化向量机参数和函数的宽度和平衡因子。
本申请的第二个方面,在于提供一种存储器,用于存储软件,所述软件用于执行上述所述的方法。
本申请的第二个方面,在于提供一种处理器,用于执行软件,所述软件用于执行上述所述的方法。
在本申请实施例中,采用了一种工业控制系统的入侵检测方法,利用大数据平台采集监测点数据,并进行实时数据缓冲存储和离线数据存储;将存储的离线数据作为训练集分别参与有监督模型的训练和无监督模型的训练;将存储的实时数据输入训练完成的有监督模型中识别是否为已知入侵行为;若否,则将上述存储的实时数据输入无监督模型中识别是否为该监督模型中已学习的未知入侵行为;若是,则将上述存储的实时数据作为训练数据参与有监督模型的训练。通过本申请解决了工业控制系统入侵检测准确度和效率有待提高的问题,从而实现了工业控制入侵检测的高准确度和高效率。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种工业控制系统的入侵检测方法的流程图;
图2是根据本申请实施例的一种工业控制系统的入侵检测方法的架构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明的实施例提供一种工业控制系统的入侵检测方法,如图1所示为根据本申请实施例的一种工业控制系统的入侵检测方法的流程图,包括:
步骤S102、利用大数据平台采集监测点数据,并进行实时数据缓冲存储和离线数据存储;
步骤S104、将存储的离线数据作为训练集分别参与有监督模型的训练和无监督模型的训练;
步骤S106、将存储的实时数据输入训练完成的有监督模型中识别是否为已知入侵行为;
步骤S108、若否,则将上述存储的实时数据输入无监督模型中识别是否为该无监督模型中已学习的未知入侵行为;
步骤S110、若是,则将上述存储的实时数据作为训练数据参与有监督模型的训练。
上述实施例结合了大数据技术及机器学习技术。在工业互联网中引入大数据技术框架,大数据平台对入侵检测系统提供平台支撑。通过有监督训练模型和无监督训练模型分别对已知和未知的入侵行为进行辨别。采取混合式检测方案,待检测的实时数据首先利用有监督模型进行已知入侵行为检测,若检测异常则立即响应,若正常则利用无监督模型进行未知入侵行为检测,若异常则立即响应并对异常流量进行标注加入训练集中,通过增量学习对有监督模型进行重新训练,不断修正增强模型检测能力。通过本申请解决了工业控制系统入侵检测准确度和效率有待提高的问题,从而实现了工业控制入侵检测的高准确度和高效率。
作为优选的实施例,上述步骤S102中,该方法中至少采用以下技术之一:所述大数据平台为Hadoop;所述监测点数据通过flume技术采集。
作为优选的实施例,上述步骤S102中,该方法中至少采用以下技术之一:所述实时数据缓冲存储在Kafka中;所述离线数据存储在HDFS中。
Flume从诸多分布式监测点收集数据,离线数据存储在HDFS中,预处理后作为模型训练的数据集,实时数据则经过Kafka缓存后输入到训练完成的模型中进行检测。
ICS持续运行产生大量实时数据,如部分传感器采用高速采样(每秒120次),将大数据技术与入侵检测技术相结合并应用于工业控制网络,实现对大量数据的实时处理。具体的,步骤S102包括以下过程:
为保证对整个控制系统进行全方位监测,需要在各网络通道上设置若干分布式监测点,用于对实时流量数据的捕捉,并将捕获的数据流量上传。Flume由一组以分布式拓扑结构相互连接的代理构成,Flume代理是由持续运行的source(数据来源)、sink(数据目标)以及channel(用于连接source和sink通道)构成的Java进程。系统边缘的代理负责采集数据,作为数据source,并把数据转发给负责汇总的代理,然后再将这些数据存储到其最终目的地。作为强大的日志、数据收集技术,Flume可实现分布式数据采集任务,非常适合于分布式环境下数据的收集工作。本发明中分布式监测代理点捕获的数据即为source,Flume将其收集起来,收集到的数据按照时效性可分为离线数据和实时数据,最终目的地sink也有两个:Kafka和HDFS。离线数据的sink为HDFS分布式文件系统,用以离线模型训练,由于工业互联网数据不断产生,因此离线数据也会不断增加,模型训练数据集也是不断丰富的。实时数据的sink为Kafka,Kafka作为一个高吞吐量低延迟的分布式的发布与订阅消息系统,可以实时处理大量消息数据,具有低延迟、高效率的优点,完全符合工业控制系统中入侵检测的实时性要求。Flume收集来的实时待检测数据由Kafka缓冲准备进行后续检测。
具体的,上述步骤S104~S110中,模型训练分为两大部分,有监督模型D-LightGBM的训练,以及无监督模型D-PSO-OCSVM的训练。D-LightGBM负责对已知攻击类型的检测,D-PSO-OCSVM则负责对未知攻击类型的检测。Kafka缓存的实时待检测流量经过预处理后需要进行两个阶段检测:第一阶段:D-LightGBM检测模型在线对流量进行快速识别,做出是否存在攻击行为决策,如果出现模型已知的入侵行为,则直接响应;如果模型识别网络流量为正常,则进行下一阶段的检测。第二阶段:D-PSO-OCSVM检测模型在线对通过D-LightGBM检测的流量进行识别,如果检测结果为异常,则响应并对其流量数据进行处理,标注后加入训练集采用增量学习的方式对D-LightGBM模型进行再训练。如果检测结果为正常,则通过检测。若混合异常检测检测出新型未知攻击类型,则将其标记后保存加入到训练集中,重新训练D-LightGBM模型,丰富D-LightGBM模型可检测的攻击类别。考虑到工业控制网络对准确度要求较高,因此本发明的增量学习保留了所有原始样本和新增样本使得训练模型精确度比较高,而同时分布式模型训练方法也大大降低了设备要求和训练时间,无需担心模型无法完成建立的问题。
因此,本发明实施例的入侵检测的整个流程如下:
第一步,Kafka输入实时数据。
第二步,进行D-LightGBM模型检测。
第三步,判断D-LightGBM模型检测结果。
第四步,若正常,进行下一阶段D-PSO-OCSVM模型检测。
第五步,若异常,立即执行入侵防御响应。
第六步,判断D-PSO-OCSVM模型检测结果
第七步,若正常,则最终判断流量数据为正常。
第八步,若异常,将未知攻击类型流量数据标注后加入数据集。
本发明立足于工业控制网络特性,采用数据驱动思想,结合机器学习技术,以标准工业控制网络数据为基础,针对工业控制网络实时处理数据量大的问题,结合大数据技术,研究出适用于工业控制网络的分布式入侵检测方法,并对检测算法进行针对性改进,提出已知类型攻击检测和未知攻击类型检测相结合的混合检测方法,并且利用增量学习重新训练D-LightGBM检测模型,丰富D-LightGBM模型可检测的攻击类型。最终实现对工业控制网络高准确度、高效率的入侵检测。
进一步的,在上述实施例中,步骤S104中,为了加快已知攻击检测模型的训练速度,所述有监督模型结合MapRduce算法和LightGBM算法。具体的,LightGBM算法通过对模型训练时样本点采样优化和选择分裂点时特征维度的变化对XGBoost模型进行优化,最显著特点和优点有四点:单边梯度采样、互斥特征捆绑、直方图算法、带深度限制的Leaf-wise的叶子生长策略。作为一种监督学习算法,LightGBM算法对已知攻击类型检测准确度极高。D-LightGBM是对LightGBM算法的分布式改进,提升LightGBM算法得运算速度,保证模型更新得高时效性。
具体的,所述有监督模型训练过程如下:
初始化决策树f0(x);
进行D-LightGBM算法Mapper阶段,即将大数据平台中的每个参与计算的对象当作一个计算实体进行映射。具体的,Hadoop平台每个参与计算的机器可看作一个Agent,每个Agent可进行独立计算。由于数据在HDFS存储系统中采用数据拆分模式,因此每个Agent只保留部分流量数据,在每个Agent中,都进行以下操作步骤:采用GOSS算法对本地训练样本集进行优化,采用EFB算法对互斥特征进行捆绑,采取直方图算法对分裂节点进行特征统计,得到<特征类别-<区间-统计数>>键值对。
进行D-LightGBM算法Reducer阶段,将每个计算实体的映射结果进行归约。具体的,对各Agent上传的<特征-<区间-统计数>>键值对中按照特征和区间进行归并,得到最终全局直方图,并进行增益计算;找到所有叶子节点中增益最大的节点按照Leaf-wise策略进行数据分割,并拟合残差树h(x)。
根据归约结果更新决策树,即f(x)=f0(x)+h(x),迭代映射和归约过程直至满足建树停止条件,完成训练。
进一步的,在上述实施例中,步骤S104中,加快未知攻击类型检测模型的训练速度,所述无监督模型结合MapRduce算法和OCSVM算法,且所述OCSVM算法经过PSO算法优化。
具体的,所述无监督模型训练过程如下:
划分样本集;
设定计算实体中的主从节点,利用主节点将样本集独立随机划分为N个子集,所述每个子集互不相交且所有子集的合集为样本集,所述N为计算实体的数量;
具体的,设样本集合为X,Agent的数目为N,其中一个作为主节点(Master Agent),其他为从节点(Slave Agent)。首先由Master Agent将样本集合独立随机划分为N个子集合:
{Xi=1,2...N},使得
将子集分别发送至对应的从节点中;
D-PSO-OCSVM算法Mapper阶段,在每个从节点进行映射,利用POS算法优化向量机参数和函数的宽度和平衡因子,并对该从节点内的子集进行训练,得到该子集的支持向量。具体的,在每个SlaveAgent中,用PSO算法优化向量机参数核函数的宽度γ和平衡因子ν,Slave Agent利用此优化的OCSVM算法对本地样本集Xi进行训练,得到该子数据集的支持向量SVi
D-PSO-OCSVM算法Reducer阶段,Master Agent收集所有Slave Agent在子数据集上计算得出的支持向量SVi,并将其合并得到支持向量集SV,其中SV=SV1∪SV2∪...∪SVN,得到支持向量集,完成训练。
本发明的另一个方面在于提供一种存储器,用于存储软件,所述软件用于执行上述所述的一种工业控制系统的入侵检测方法。
本发明的再一个方面在于提供一种处理器,用于执行软件,所述软件用于执行上述所述的一种工业控制系统的入侵检测方法。
需要说明的是,上述软件执行的数据安全共享方法与前面介绍的一种工业控制系统的入侵检测方法,在此不再赘述。
在本实施例中,提供一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行以上实施例中的方法。
这些计算机程序也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤,对应与不同的步骤可以通过不同的模块来实现。
上述程序可以运行在处理器中,或者也可以存储在存储器中(或称为计算机可读介质),计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (8)

1.一种工业控制系统的入侵检测方法,其特征在于:
利用大数据平台采集监测点数据,并进行实时数据缓冲存储和离线数据存储;
将存储的离线数据作为训练集分别参与有监督模型的训练和无监督模型的训练;
将存储的实时数据输入训练完成的有监督模型中识别是否为已知入侵行为;
若否,则将上述存储的实时数据输入无监督模型中识别是否为该无监督模型中已学习的未知入侵行为;
若是,则将上述存储的实时数据作为训练数据参与有监督模型的训练。
2.根据权利要求1所述的工业控制系统的入侵检测方法,其特征在于:该方法中至少采用以下技术之一:所述大数据平台为Hadoop;所述监测点数据通过flume技术采集。
3.根据权利要求1所述的工业控制系统的入侵检测方法,其特征在于:该方法中至少采用以下技术之一:所述实时数据缓冲存储在Kafka中;所述离线数据存储在HDFS中。
4.根据权利要求1所述的工业控制系统的入侵检测方法,其特征在于:所述有监督模型结合MapRduce算法和LightGBM算法。
5.根据权利要求1所述的工业控制系统的入侵检测方法,其特征在于:所述有监督模型训练过程如下:
初始化决策树;
将大数据平台中的每个参与计算的对象当作一个计算实体进行映射;
将每个计算实体的映射结果进行归约;
根据归约结果更新决策树,迭代映射和归约过程直至满足建树停止条件,完成训练。
6.根据权利要求1所述的工业控制系统的入侵检测方法,其特征在于:所述无监督模型结合MapRduce算法和OCSVM算法,且所述OCSVM算法经过PSO算法优化。
7.根据权利要求6所述的工业控制系统的入侵检测方法,其特征在于:所述无监督模型训练过程如下:
划分样本集;
设定计算实体中的主从节点,利用主节点将样本集独立随机划分为N个子集,每个子集互不相交且所有子集的合集为样本集,所述N为计算实体的数量;
将子集分别发送至对应的从节点中;
在每个从节点进行映射,利用POS算法优化向量机参数和函数,并对该从节点内的子集进行训练,得到该子集的支持向量;
主节点收集所有从节点的支持向量,得到支持向量集,完成训练。
8.根据权利要求7所述的工业控制系统的入侵检测方法,其特征在于:所述利用POS算法优化向量机参数和函数包括:优化向量机参数和函数的宽度和平衡因子。
CN202110911997.6A 2021-08-10 2021-08-10 工业控制系统的入侵检测方法、存储器和处理器 Active CN113645231B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110911997.6A CN113645231B (zh) 2021-08-10 2021-08-10 工业控制系统的入侵检测方法、存储器和处理器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110911997.6A CN113645231B (zh) 2021-08-10 2021-08-10 工业控制系统的入侵检测方法、存储器和处理器

Publications (2)

Publication Number Publication Date
CN113645231A CN113645231A (zh) 2021-11-12
CN113645231B true CN113645231B (zh) 2023-07-21

Family

ID=78420379

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110911997.6A Active CN113645231B (zh) 2021-08-10 2021-08-10 工业控制系统的入侵检测方法、存储器和处理器

Country Status (1)

Country Link
CN (1) CN113645231B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020143226A1 (zh) * 2019-01-07 2020-07-16 浙江大学 一种基于集成学习的工业控制系统入侵检测方法
CN111740991A (zh) * 2020-06-19 2020-10-02 上海仪电(集团)有限公司中央研究院 一种异常检测方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107241358B (zh) * 2017-08-02 2020-04-07 重庆邮电大学 一种基于深度学习的智能家居入侵检测方法
CN109034209B (zh) * 2018-07-03 2021-07-30 创新先进技术有限公司 主动风险实时识别模型的训练方法和装置
CN109032829B (zh) * 2018-07-23 2020-12-08 腾讯科技(深圳)有限公司 数据异常检测方法、装置、计算机设备及存储介质
CN112561383A (zh) * 2020-12-24 2021-03-26 航天科工网络信息发展有限公司 一种基于生成对抗网络的实时异常检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020143226A1 (zh) * 2019-01-07 2020-07-16 浙江大学 一种基于集成学习的工业控制系统入侵检测方法
CN111740991A (zh) * 2020-06-19 2020-10-02 上海仪电(集团)有限公司中央研究院 一种异常检测方法及系统

Also Published As

Publication number Publication date
CN113645231A (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
Ding et al. An anomaly detection approach based on isolation forest algorithm for streaming data using sliding window
US11444876B2 (en) Method and apparatus for detecting abnormal traffic pattern
US8682812B1 (en) Machine learning based botnet detection using real-time extracted traffic features
CN107370732B (zh) 基于神经网络和最优推荐的工控系统异常行为发现系统
Ortet Lopes et al. Towards effective detection of recent DDoS attacks: A deep learning approach
US10050987B1 (en) Real-time anomaly detection in a network using state transitions
Jadidi et al. Automated detection-in-depth in industrial control systems
Sokolov et al. Applying methods of machine learning in the task of intrusion detection based on the analysis of industrial process state and ICS networking
CN116126569A (zh) 智能运维方法及装置
CN111884874B (zh) 一种基于可编程数据平面的舰船网络实时异常检测方法
Hu et al. State-based event-triggered consensus strategy for Takagi–Sugeno fuzzy fractional-order multiagent systems with switching topologies
CN113645231B (zh) 工业控制系统的入侵检测方法、存储器和处理器
Li et al. Distributed state estimation for stochastic discrete-time sensor networks with redundant channels
Lv et al. DRL-based forwarding strategy in named data networking
CN117614738A (zh) 工业入侵监测系统
Ni et al. Predefined-time consensus tracking of high-order multiagent system with deception attack
CN113688385B (zh) 轻量级分布式入侵检测方法
CN115632887A (zh) 一种区块链网络异常数据检测方法、装置及设备
CN113660237B (zh) 一种基于动态滑动窗口的工业互联网数据流异常检测方法、存储器和处理器
Perwira et al. Anomaly-based intrusion detection and prevention using adaptive boosting in software-defined network
CN114283306A (zh) 一种工业控制网络异常检测方法及系统
CN113031644A (zh) 一种面向通信时滞的飞行器编队控制系统事件触发方法、装置及介质
Xiaozhi et al. Fault Diagnosis Based on Sparse Semi-supervised GAN Model
Vieira et al. A Comparative Analysis of Machine Learning Algorithms for Distributed Intrusion Detection in IoT Networks
Roy et al. Decision tree based data classification for marine wireless communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant