CN114283306A - 一种工业控制网络异常检测方法及系统 - Google Patents
一种工业控制网络异常检测方法及系统 Download PDFInfo
- Publication number
- CN114283306A CN114283306A CN202111591012.2A CN202111591012A CN114283306A CN 114283306 A CN114283306 A CN 114283306A CN 202111591012 A CN202111591012 A CN 202111591012A CN 114283306 A CN114283306 A CN 114283306A
- Authority
- CN
- China
- Prior art keywords
- data
- samples
- network
- sample
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 22
- 230000002159 abnormal effect Effects 0.000 claims abstract description 50
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000012549 training Methods 0.000 claims abstract description 31
- 238000012360 testing method Methods 0.000 claims abstract description 22
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 16
- 230000008569 process Effects 0.000 claims abstract description 11
- 238000005070 sampling Methods 0.000 claims abstract description 10
- 230000003042 antagnostic effect Effects 0.000 claims abstract description 8
- 230000003190 augmentative effect Effects 0.000 claims abstract description 8
- 238000009826 distribution Methods 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 239000013598 vector Substances 0.000 claims description 12
- 238000003066 decision tree Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 6
- 238000010200 validation analysis Methods 0.000 claims description 6
- 230000009467 reduction Effects 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 4
- 238000005457 optimization Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 238000002759 z-score normalization Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000012935 Averaging Methods 0.000 description 1
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种工业控制网络异常检测方法及系统,该方法包括以下步骤:步骤S1、采用条件生成对抗网络CGAN学习少量异常数据样本的概率分布,再由生成器模型生成异常数据的补充样本,从而实现异常数据集增广;步骤S2、增广数据集通过XGBoost生成新的特征组合,再通过Friedman’s test特征选择算法得到最优的特征子集;步骤S3、在模型训练过程中,引入基于梯度的样本选择策略,保留有较大梯度的样本,对小梯度的数据样本进行随机丢弃,通过生成新的采样权重数据集训练得到最终模型;步骤S4、通过得到的最终模型进行工业控制网络异常检测。该方法及系统有利于提高工控网络异常检测的识别率和泛化性。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种工业控制网络异常检测方法及系统。
背景技术
机器人操作系统ROS,诞生于实验室环境,对于安全性的研究并未受到重视,导致ROS存在着诸多安全上的问题,随着开源和ROS的大热,安全问题也日益突出。
机器人系统ROS依靠不同坐标系下的相互转换,以完成特定的动作,此过程依赖于TF包。TF包是一个可以调用的库,其作用是持续收集和更新不同节点间的位置信息,也就是不同坐标系之间的转换的信息。
TF tree的建立和维护基于话题通信机制,必须同时由node发布和订阅才会存在。维护TF tree就是收集和更新不同坐标系一个过程,一旦中断,整个ROS就会出错。目前,由于ROS存在许多安全上的问题,容易遭受网络异常流量的干扰,导致维护TF tree过程中断,以至于机械人不能正常完成特定动作,更甚者会产生一些严重事故。
正因为如此,维护TF tree的正常运行显得尤为重要。虽然ROS支持消息加密以提高安全性,但这个安全强度是远远不够的。传统防范工业控制网络遭受网络攻击的措施主要是对通用的互联网协议的异常通讯行为进行解析和识别,并根据预设的规则和特征值进行匹配,从而实现简单的安全过滤。上述异常行为检测的方法存在着不可忽略的缺陷:其主要依赖于特征匹配来识别危险网络行为,不仅对工控网络异常的识别率低,而且泛化性也弱。泛化性是评估模型的学习能力,泛化性越高,学习能力越强,越能精确分类。以BP神经网络对流量检测为例,对各种异常流量的识别率在80%左右,需要改进算法提高泛化性。
传统XGBoost算法得到的模型需要处理大量数据,每轮迭代时,都需要遍历整个训练数据多次。如果把整个训练数据装进内存则会限制训练数据的大小;如果不装进内存,反复地读写训练数据又会消耗非常大的时间。虽然可以找到精确的划分条件,但是计算量巨大,内存占用巨大,易产生过拟合,效率低下,可能产生不必要的叶节点。
发明内容
本发明的目的在于提供一种工业控制网络异常检测方法及系统,该方法及系统有利于提高工控网络异常检测的识别率和泛化性。
为实现上述目的,本发明采用的技术方案是:一种工业控制网络异常检测方法,包括以下步骤:
步骤S1、采用条件生成对抗网络CGAN学习少量异常数据样本的概率分布,再由生成器模型生成异常数据的补充样本,从而实现异常数据集增广;
步骤S2、增广数据集通过XGBoost生成新的特征组合,再通过Friedman’s test特征选择算法得到最优的特征子集;
步骤S3、在模型训练过程中,引入基于梯度的样本选择策略,保留有较大梯度的样本,对小梯度的数据样本进行随机丢弃,通过生成新的采样权重数据集训练得到最终模型;
步骤S4、通过得到的最终模型进行工业控制网络异常检测。
进一步地,所述步骤S1具体包括以下步骤:
步骤S101、在工业控制系统ROS中,使用维护TF tree的topic:/tf;截取protocol_type为TCP的网络流量,将网络流量预先保存在本地;
步骤S102、将TCP数据包解析,通过目的地址、源地址、端口匹配得到TCPROS数据包,将TCPROS数据包解析获得IP数据;
步骤S103、从IP数据中选取异常数据,对异常数据进行预处理,然后进行分割,分为训练集和测试集;
步骤S104、将话题为/tf的数据作为条件,对GAN网络进行训练,得到增广数据;采用条件生成对抗网络CGAN学习少量异常数据样本的概率分布,再由生成器模型生成异常数据的补充样本,从而实现异常数据集增广。
进一步地,所述步骤S103中,所述预处理包括去均值、归一化和降维。
进一步地,所述步骤S103中,去均值的具体方法为:获取网络数据,并根据网络数据构建数据集X,X∈Rn,其中R表示实数集,n表示数据集中的样本总数;
归一化的具体方法为:采用Z-score归一化方法对得到的数据集进行归一化处理,在n的数据集中,对归一化处理后的n份数据集按n-1:1的比例划分为新数据集Xnew和验证集XValidation,再将新数据集Xnew按照比例5:1划分为训练集Xtrain∈Rn×m和测试集Xtest∈Rn×m;
降维的具体方法为:采用PCA方法对得到的训练集Xtrain进行特征提取,以得到降维后的新特征向量集合;将归一化后的网络数据中每个样本的一个特征作为一个数据维度,从而将样本转换成特征向量,所有样本对应的特征向量组成样本集合。
进一步地,所述条件生成对抗网络CGAN的优化函数定义如下:
式中,G为生成网络,D为判决网络,x为样本数据,z为随机输入噪声,y为辅助条件;
对CGAN的生成网络和判决网络进行单独交替迭代训练,二元极大极小化;
先将异常的IP数据样本放入判决网络中训练,学习少量异常数据样本的概率,得到判决网络的参数;
生成网络的目的是输入随机噪声以及输出噪声样本,噪声样本通过判决网络,达到以噪声样本扩充原样本的目的;将噪声样本送入生成网络中训练生成新的样本,将生成样本放入判决网络中得到预测结果,一开始判决网络判决噪声样本不是异常数据,修改生成网络参数使得判决网络判决噪声样本预测结果尽可能增大;然后再放入生成网络中生成新的样本,直到判决网络认为样本是异常数据。
进一步地,所述步骤S2具体包括以下步骤:
步骤S201、采用XGBoost算法进行特征筛选,通过数据异常与否条件生成新的特征组合;
步骤S202、新的特征组合通过Friedman’s test特征选择算法进行打分排名,排名最高的为最优特征子集。
进一步地,所述步骤S3具体包括以下步骤:
步骤S301、将扩展样本数据集输入到基于XGBoost算法构造的决策树之中,得到预测值;在IP数据包首部中得到特征集之后构造目标函数:
obj(θ)=TL(θ)+R(θ)
其中,θ是由样本特征构成的一组向量;TL表示损失函数,R表示正则化项;前者用于衡量模型的预测能力,后者用于将模型的复杂性保持在所需限制,消除不太精确的模型;
构建第一颗XGBoost树之后,将特征集的样本集样本输入第一棵决策树中得到样本的预测值;根据样本集里样本的特征集进行打分,特征作为打分的节点,样本通过节点构成的二叉树分类,获得对应的预测值;
步骤S302、由预测值与真实值得到的残差来构建第二棵树,以此类推,当迭代次数达到上限或是残差不再减小甚至停止时,得到一个拥有多个决策树的强分类器,将测试集数据集输入此模型中,测试该模型的检测能力;
步骤S303、在训练模型中引入梯度选择策略,对于小梯度样本随机丢弃,保留大梯度样本,产生新的数据权重,达到快速处理样本目的;排除大部分小梯度的样本,仅用剩下的样本计算信息增益;在下采样时,尽量保留梯度大的样本,随机去掉梯度小的样本。
本发明还提供了一种工业控制网络异常检测系统,包括存储器、处理器以及存储于存储器上并能够被处理器运行的计算机程序指令,当处理器运行该计算机程序指令时,能够实现上述的方法步骤。
与现有技术相比,本发明具有以下有益效果:提供了一种基于改进型XGBoost的工业控制网络异常检测方法及系统,该方法及系统可以解决现有工业网络流量异常检测中存在的样本数据稀缺和异常样本不均衡问题,提高了工控网络异常检测的识别率,泛化性强,具有很强的实用性和广阔的应用前景。
附图说明
图1是本发明实施例的方法实现流程图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
如图1所示,本实施例提供了一种工业控制网络异常检测方法,包括以下步骤:
步骤S1、采用条件生成对抗网络CGAN学习少量异常数据样本的概率分布,再由生成器模型生成异常数据的补充样本,从而实现异常数据集增广。
所述步骤S1具体包括以下步骤:
步骤S101、在工业控制系统ROS中,使用维护TF tree的topic:/tf。截取protocol_type为TCP的网络流量,将网络流量预先保存在本地。
在工业控制系统ROS中,话题发布不同节点获得不同数据。话题是ROS节点间的总线,进行数据交换,单向通信,作为中间枢纽。在机械臂手眼标定正常运作时,需依赖于大量不同坐标系转化,而ROS是通过维护TF tree的话题:/tf获取坐标系转换信息。
步骤S102、将TCP数据包解析,通过目的地址、源地址、端口匹配得到TCPROS数据包,将TCPROS数据包解析获得IP数据。
通过步骤S101-102获取ROS的原始异常数据,为后面提供异常样本,来获得增广异常数据样本集。得到IP数据后,才可以对数据进行预处理进而数据增广。
步骤S103、从IP数据中选取异常数据,对异常数据进行预处理,然后进行分割,分为训练集和测试集。
预处理包括去均值、归一化和降维。
去均值的具体方法为:获取网络数据,并根据网络数据构建数据集X,X∈Rn,其中R表示实数集,n表示数据集中的样本总数。
归一化的具体方法为:采用Z-score归一化方法对得到的数据集进行归一化处理,在n的数据集中,对归一化处理后的n份数据集按n-1:1的比例划分为新数据集Xnew和验证集XValidation,再将新数据集Xnew按照比例5:1划分为训练集Xtrain∈Rn×m和测试集Xtest∈Rn×m。
降维的具体方法为:采用PCA方法对得到的训练集Xtrain进行特征提取,以得到降维后的新特征向量集合。将归一化后的网络数据中每个样本的一个特征作为一个数据维度,从而将样本转换成特征向量,所有样本对应的特征向量组成样本集合。
步骤S104、将话题为/tf的数据作为条件,对GAN网络进行训练,得到增广数据。采用条件生成对抗网络CGAN学习设定数量的异常数据样本的概率分布,再由生成器模型生成异常数据的补充样本,从而实现异常数据集增广。
为了解决手眼标定中可能会出现异常的话题攻击,而使机械臂异常工作。必须保证话题的安全性,针对这一情形,以这一话题作为一个条件判断。
所述条件生成对抗网络CGAN的优化函数定义如下:
式中,G为生成网络,D为判决网络,x为样本数据,z为随机输入噪声,y为辅助条件。
对CGAN的生成网络和判决网络进行单独交替迭代训练,二元极大极小化。
先将异常的IP数据样本放入判决网络中训练,学习少量异常数据样本的概率,得到判决网络的参数。优化D的公式的第一项,使得真样本x输入的时候,得到的结果接近于1,跟第二项关联,也就是D(G(z))越小越好,因为它的标签为0,为了统一写成1-D(G(z|y))。
生成网络的目的是输入随机噪声以及输出噪声样本,噪声样本通过判决网络,达到以噪声样本扩充原样本的目的。将噪声样本送入生成网络中训练生成新的样本,将生成样本放入判决网络中得到预测结果,一开始判决网络判决噪声样本不是异常数据,修改生成网络参数使得判决网络判决噪声样本预测结果尽可能增大。然后再放入生成网络中生成新的样本,直到判决网络认为样本是异常数据。
步骤S2、增广数据集通过XGBoost生成新的特征组合,再通过Friedman’s test特征选择算法得到最优的特征子集。
所述步骤S2具体包括以下步骤:
步骤S201、采用XGBoost算法进行特征筛选,通过数据异常与否等条件生成新的特征组合。
步骤S202、新的特征组合通过Friedman’s test特征选择算法进行打分排名,排名最高的为最优特征子集。
步骤S3、在模型训练过程中,引入基于梯度的样本选择策略,保留有较大梯度的样本,对小梯度的数据样本进行随机丢弃,通过生成新的采样权重数据集训练得到最终模型。
所述步骤S3具体包括以下步骤:
步骤S301、将扩展样本数据集输入到基于XGBoost算法构造的决策树之中,得到预测值。在IP数据包首部中得到特征集之后构造目标函数:
obj(θ)=TL(θ)+R(θ)
其中,θ是由样本特征构成的一组向量。TL表示损失函数,R表示正则化项。前者用于衡量模型的预测能力,后者用于将模型的复杂性保持在所需限制,消除不太精确的模型。
构建第一颗XGBoost树之后,将特征集的样本集样本输入第一棵决策树中得到样本的预测值。根据样本集里样本的特征集进行打分,特征比如:dst_bytes、src_bytes、wrong_fragment、urgent、land、service、flag、num_failed_logins。这些特征可以作为打分的节点,样本通过节点构成的二叉树分类,获得对应的预测值。
步骤S302、由预测值与真实值得到的残差来构建第二棵树,以此类推,当迭代次数达到上限或是残差不再减小甚至停止时,得到一个拥有多个决策树的强分类器,将测试集数据集输入此模型中,测试该模型的检测能力。
步骤S303、在训练模型中引入梯度选择策略,对于小梯度样本随机丢弃,保留大梯度样本,产生新的数据权重,达到快速处理样本目的。排除大部分小梯度的样本,仅用剩下的样本计算信息增益。根据计算信息增益的定义,梯度大的实例对信息增益有更大的影响,因此在下采样时,尽量保留梯度大的样本(预先设定阈值,或者最高百分位间),随机去掉梯度小(小于设定阈值)的样本。此措施在相同的采样率下比随机采样获得更准确的结果,尤其是在信息增益范围较大时。决策树是利用加模型与前向分布算法实现学习的优化过程。XGBoost利用二阶导数,计算信息增益需要扫描所有样本,从而找到最优划分点。在面对大量数据或者特征维度很高时,它的效率和扩展性很难使人满意。解决这个问题的直接方法就是减少特征量和数据量而且不影响精确度,有部分工作根据数据权重采样来加速booisting的过程。
步骤S4、通过得到的最终模型进行工业控制网络异常检测。
本实施例还提供了一种工业控制网络异常检测系统,包括存储器、处理器以及存储于存储器上并能够被处理器运行的计算机程序指令,当处理器运行该计算机程序指令时,能够实现上述的方法步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅是本发明的较佳实施例而已,并非是对本发明作其它形式的限制,任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型,仍属于本发明技术方案的保护范围。
Claims (8)
1.一种工业控制网络异常检测方法,其特征在于,包括以下步骤:
步骤S1、采用条件生成对抗网络CGAN学习少量异常数据样本的概率分布,再由生成器模型生成异常数据的补充样本,从而实现异常数据集增广;
步骤S2、增广数据集通过XGBoost生成新的特征组合,再通过Friedman’s test特征选择算法得到最优的特征子集;
步骤S3、在模型训练过程中,引入基于梯度的样本选择策略,保留有较大梯度的样本,对小梯度的数据样本进行随机丢弃,通过生成新的采样权重数据集训练得到最终模型;
步骤S4、通过得到的最终模型进行工业控制网络异常检测。
2.根据权利要求1所述的一种工业控制网络异常检测方法,其特征在于,所述步骤S1具体包括以下步骤:
步骤S101、在工业控制系统ROS中,使用维护TF tree的topic:/tf;截取protocol_type为TCP的网络流量,将网络流量预先保存在本地;
步骤S102、将TCP数据包解析,通过目的地址、源地址、端口匹配得到TCPROS数据包,将TCPROS数据包解析获得IP数据;
步骤S103、从IP数据中选取异常数据,对异常数据进行预处理,然后进行分割,分为训练集和测试集;
步骤S104、将话题为/tf的数据作为条件,对GAN网络进行训练,得到增广数据;采用条件生成对抗网络CGAN学习少量异常数据样本的概率分布,再由生成器模型生成异常数据的补充样本,从而实现异常数据集增广。
3.根据权利要求2所述的一种工业控制网络异常检测方法,其特征在于,所述步骤S103中,所述预处理包括去均值、归一化和降维。
4.根据权利要求3所述的一种工业控制网络异常检测方法,其特征在于,所述步骤S103中,去均值的具体方法为:获取网络数据,并根据网络数据构建数据集X,X∈Rn,其中R表示实数集,n表示数据集中的样本总数;
归一化的具体方法为:采用Z-score归一化方法对得到的数据集进行归一化处理,在n的数据集中,对归一化处理后的n份数据集按n-1:1的比例划分为新数据集Xnew和验证集XValidation,再将新数据集Xnew按照比例5:1划分为训练集Xtrain∈Rn×m和测试集Xtest∈Rn×m;
降维的具体方法为:采用PCA方法对得到的训练集Xtrain进行特征提取,以得到降维后的新特征向量集合;将归一化后的网络数据中每个样本的一个特征作为一个数据维度,从而将样本转换成特征向量,所有样本对应的特征向量组成样本集合。
5.根据权利要求2所述的一种工业控制网络异常检测方法,其特征在于,所述条件生成对抗网络CGAN的优化函数定义如下:
式中,G为生成网络,D为判决网络,x为样本数据,z为随机输入噪声,y为辅助条件;
对CGAN的生成网络和判决网络进行单独交替迭代训练,二元极大极小化;
先将异常的IP数据样本放入判决网络中训练,学习少量异常数据样本的概率,得到判决网络的参数;
生成网络的目的是输入随机噪声以及输出噪声样本,噪声样本通过判决网络,达到以噪声样本扩充原样本的目的;将噪声样本送入生成网络中训练生成新的样本,将生成样本放入判决网络中得到预测结果,一开始判决网络判决噪声样本不是异常数据,修改生成网络参数使得判决网络判决噪声样本预测结果尽可能增大;然后再放入生成网络中生成新的样本,直到判决网络认为样本是异常数据。
6.根据权利要求2所述的一种工业控制网络异常检测方法,其特征在于,所述步骤S2具体包括以下步骤:
步骤S201、采用XGBoost算法进行特征筛选,通过数据异常与否条件生成新的特征组合;
步骤S202、新的特征组合通过Friedman’s test特征选择算法进行打分排名,排名最高的为最优特征子集。
7.根据权利要求6所述的一种工业控制网络异常检测方法,其特征在于,所述步骤S3具体包括以下步骤:
步骤S301、将扩展样本数据集输入到基于XGBoost算法构造的决策树之中,得到预测值;在IP数据包首部中得到特征集之后构造目标函数:
obj(θ)=TL(θ)+R(θ)
其中,θ是由样本特征构成的一组向量;TL表示损失函数,R表示正则化项;前者用于衡量模型的预测能力,后者用于将模型的复杂性保持在所需限制,消除不太精确的模型;
构建第一颗XGBoost树之后,将特征集的样本集样本输入第一棵决策树中得到样本的预测值;根据样本集里样本的特征集进行打分,特征作为打分的节点,样本通过节点构成的二叉树分类,获得对应的预测值;
步骤S302、由预测值与真实值得到的残差来构建第二棵树,以此类推,当迭代次数达到上限或是残差不再减小甚至停止时,得到一个拥有多个决策树的强分类器,将测试集数据集输入此模型中,测试该模型的检测能力;
步骤S303、在训练模型中引入梯度选择策略,对于小梯度样本随机丢弃,保留大梯度样本,产生新的数据权重,达到快速处理样本目的;排除大部分小梯度的样本,仅用剩下的样本计算信息增益;在下采样时,尽量保留梯度大的样本,随机去掉梯度小的样本。
8.一种工业控制网络异常检测系统,其特征在于,包括存储器、处理器以及存储于存储器上并能够被处理器运行的计算机程序指令,当处理器运行该计算机程序指令时,能够实现如权利要求1-7任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111591012.2A CN114283306A (zh) | 2021-12-23 | 2021-12-23 | 一种工业控制网络异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111591012.2A CN114283306A (zh) | 2021-12-23 | 2021-12-23 | 一种工业控制网络异常检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114283306A true CN114283306A (zh) | 2022-04-05 |
Family
ID=80874621
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111591012.2A Pending CN114283306A (zh) | 2021-12-23 | 2021-12-23 | 一种工业控制网络异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114283306A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996133A (zh) * | 2022-06-27 | 2023-04-21 | 西安电子科技大学 | 一种工业控制网络行为检测方法以及相关装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200389476A1 (en) * | 2019-06-04 | 2020-12-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for detecting anomalies in network data traffic |
| CN113162893A (zh) * | 2020-09-29 | 2021-07-23 | 国网河南省电力公司电力科学研究院 | 基于注意力机制的工业控制系统网络流量异常检测方法 |
| CN113242259A (zh) * | 2021-05-27 | 2021-08-10 | 苏州联电能源发展有限公司 | 网络异常流量检测方法及装置 |
| WO2021218828A1 (zh) * | 2020-04-27 | 2021-11-04 | 支付宝(杭州)信息技术有限公司 | 基于差分隐私的异常检测模型的训练 |
-
2021
- 2021-12-23 CN CN202111591012.2A patent/CN114283306A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200389476A1 (en) * | 2019-06-04 | 2020-12-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for detecting anomalies in network data traffic |
| WO2021218828A1 (zh) * | 2020-04-27 | 2021-11-04 | 支付宝(杭州)信息技术有限公司 | 基于差分隐私的异常检测模型的训练 |
| CN113162893A (zh) * | 2020-09-29 | 2021-07-23 | 国网河南省电力公司电力科学研究院 | 基于注意力机制的工业控制系统网络流量异常检测方法 |
| CN113242259A (zh) * | 2021-05-27 | 2021-08-10 | 苏州联电能源发展有限公司 | 网络异常流量检测方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996133A (zh) * | 2022-06-27 | 2023-04-21 | 西安电子科技大学 | 一种工业控制网络行为检测方法以及相关装置 |
| CN115996133B (zh) * | 2022-06-27 | 2024-04-09 | 西安电子科技大学 | 一种工业控制网络行为检测方法以及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108647520B (zh) | 一种基于脆弱性学习的智能模糊测试方法与系统 | |
| CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
| KR102281819B1 (ko) | 오토인코더 앙상블 기반 이상행위 탐지 방법 및 시스템 | |
| CN112738014A (zh) | 一种基于卷积时序网络的工控流量异常检测方法及系统 | |
| CN112836735B (zh) | 一种优化的随机森林处理不平衡数据集的方法 | |
| CN114692156B (zh) | 内存片段恶意代码入侵检测方法、系统、存储介质及设备 | |
| CN112926642A (zh) | 一种多源域自适应智能机械故障诊断方法及系统 | |
| CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
| Sokolov et al. | Applying methods of machine learning in the task of intrusion detection based on the analysis of industrial process state and ICS networking | |
| CN114283306A (zh) | 一种工业控制网络异常检测方法及系统 | |
| Yuan et al. | A data balancing approach based on generative adversarial network | |
| CN110162472A (zh) | 一种基于fuzzing测试的测试用例生成方法 | |
| CN111859625A (zh) | 基于大数据的节能控制方法、装置及存储介质 | |
| Hashemi et al. | Runtime monitoring for out-of-distribution detection in object detection neural networks | |
| CN115174170B (zh) | 一种基于集成学习的vpn加密流量识别方法 | |
| CN113705624B (zh) | 一种用于工控系统的入侵检测方法和系统 | |
| CN115659135A (zh) | 一种面向多源异构工业传感器数据的异常检测方法 | |
| CN114091021A (zh) | 一种用于电力企业安全防护的恶意代码检测方法 | |
| CN115118482A (zh) | 工业控制系统入侵检测线索分析溯源方法、系统及终端 | |
| CN112884069A (zh) | 一种对抗网络样本检测的方法 | |
| Binhao et al. | Improve the Application of XGBDT in Network Abnormal Traffic Detection | |
| CN114548271A (zh) | 网络异常检测方法及装置 | |
| CN113904801B (zh) | 一种网络入侵检测方法及系统 | |
| EP3916496A1 (en) | An industrial process model generation system | |
| CN117201058A (zh) | 一种基于条件变分自编码器的工业物联网入侵检测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |