CN114553606B

CN114553606B - 一种工业控制网络入侵检测方法和系统

Info

Publication number: CN114553606B
Application number: CN202210441381.1A
Authority: CN
Inventors: 万亚东; 张超; 张波
Original assignee: University of Science and Technology Beijing USTB; Innotitan Intelligent Equipment Technology Tianjin Co Ltd
Current assignee: University of Science and Technology Beijing USTB; Innotitan Intelligent Equipment Technology Tianjin Co Ltd
Priority date: 2022-04-26
Filing date: 2022-04-26
Publication date: 2022-08-26
Anticipated expiration: 2042-04-26
Also published as: CN114553606A

Abstract

本发明涉及一种工业控制网络入侵检测方法和系统，属于工业网络安全技术领域。本发明提供的工业控制网络入侵检测方法，通过将训练好的LSTM‑ARFIMA混合循环网络模型作为工业控制网络入侵检测模型，对获取的工业流量数据进行入侵检测，能够精确得到检测结果。并且，LSTM‑ARFIMA混合循环网络模型的采用能够在最大限度地减少波动性问题的同时，克服神经网络的过拟合问题。

Description

一种工业控制网络入侵检测方法和系统

技术领域

本发明涉及工业网络安全技术领域，特别是涉及一种工业控制网络入侵检测方法和系统。

背景技术

据过去数十年的统计结果显示，危害工业系统安全的网络攻击事件数量以及影响因素均在不断地增加。近几年影响范围较广的大型工控安全事故有Davis-Besse核电站钟大安全事故、澳大利亚Maroochy入侵事故、Flame病毒网络入侵事故等。近十年来，世界工业控制领域安全事故总量不断上升，同时有众多系统安全事故并没有被广泛关注。根据国家信息安全局研究所研究表明，中国每年发生工业系统网络安全事故超300起，相较于2016年以前，工业网络安全漏洞逐渐呈指数级增长趋势，而这些漏洞为不法分子提供了诸多攻击工控平台的机会。

针对工业控制系统的高频攻击的预测一直是网络安全领域的一个具有挑战性的问题，因为工业控制系统的攻击是动态的、高度敏感的、非线性的和混乱的，数据挖掘、统计方法和非深度神经网络模型等传统方法不适合预测和广义预测针对工业控制系统的高频攻击。

发明内容

为解决现有技术存在的上述问题，本发明提供了一种工业控制网络入侵检测方法和系统。

为实现上述目的，本发明提供了如下方案：

一种工业控制网络入侵检测方法，包括：

获取工业控制网络入侵检测模型；所述工业控制网络入侵检测模型为训练好的LSTM-ARFIMA混合循环网络模型；

获取当前时刻的工业流量数据；

将所述工业流量数据输入至所述工业控制网络入侵检测模型得到检测结果；所述检测结果包括：对正常流量数据和恶意流量数据的分类情况。

优选地，所述LSTM-ARFIMA混合循环网络模型的构建过程包括：

采用注意力机制对预设数据集中的数据进行特征提取，得到各特征的注意力分布向量；

以所述注意力分布向量为输入，拟合ARFIMA模型的分数阶高斯噪声强度得到拟合后的ARFIMA模型；

获取拟合后的ARFIMA模型的残差；

将所述拟合后的ARFIMA模型的残差输入至长短期记忆网络，得到LSTM-ARFIMA混合循环网络模型。

优选地，所述以所述注意力分布向量为输入，拟合ARFIMA模型的分数阶高斯噪声强度得到拟合后的ARFIMA模型，具体包括：

将所述注意力分布向量输入至所述ARFIMA模型，采用Huist斜率确定所述ARFIMA模型的分数阶高斯噪声强度；

当所述分数阶高斯噪声强度满足预设条件时得到所述拟合后的ARFIMA模型。

优选地，所述预设条件为：0<d<1且d≠0.5，其中d为分数阶高斯噪声强度。

优选地，所述LSTM-ARFIMA混合循环网络模型为H(t)：

H(t)=f(ε_t)

其中，ε_t为拟合后的ARFIMA模型的残差，f(ε_t)为非线性建模函数。

优选地，所述LSTM-ARFIMA混合循环网络模型的训练过程为：

获取训练集；

以RELU激活函数为LSTM-ARFIMA混合循环网络模型的激活函数、以交叉熵损失函数为LSTM-ARFIMA混合循环网络模型的损失函数以及以Adam优化算法为LSTM-ARFIMA混合循环网络模型的优化器后，采用所述训练集对LSTM-ARFIMA混合循环网络模型进行训练得到训练好的LSTM-ARFIMA混合循环网络模型。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提供的工业控制网络入侵检测方法，通过将训练好的LSTM-ARFIMA混合循环网络模型作为工业控制网络入侵检测模型，对获取的工业流量数据进行入侵检测，能够精确得到检测结果。并且，LSTM-ARFIMA混合循环网络模型的采用能够在最大限度地减少波动性问题的同时，克服神经网络的过拟合问题。

此外，对应于上述提供的工业控制网络入侵检测方法，本发明还提供了一种工业控制网络入侵检测系统，该系统包括：

模型获取模块，用于获取工业控制网络入侵检测模型；所述工业控制网络入侵检测模型为训练好的LSTM-ARFIMA混合循环网络模型；

数据获取模块，用于获取当前时刻的工业流量数据；

结果检测模块，用于将所述工业流量数据输入至所述工业控制网络入侵检测模型得到检测结果；所述检测结果包括：对正常流量数据和恶意流量数据的分类情况。

优选地，还包括：

特征提取模块，用于采用注意力机制对预设数据集中的数据进行特征提取，得到各特征的注意力分布向量；

拟合处理模块，用于以所述注意力分布向量为输入，拟合ARFIMA模型的分数阶高斯噪声强度得到拟合后的ARFIMA模型；

残差获取模块，用于获取拟合后的ARFIMA模型的残差；

模型构建模块，用于将所述拟合后的ARFIMA模型的残差输入至长短期记忆网络，得到LSTM-ARFIMA混合循环网络模型。

优选地，所述拟合处理模块包括：

噪声强度确定单元，用于将所述注意力分布向量输入至所述ARFIMA模型，采用Huist斜率确定所述ARFIMA模型的分数阶高斯噪声强度；

拟合模型确定单元，用于当所述分数阶高斯噪声强度满足预设条件时得到所述拟合后的ARFIMA模型。

优选地，还包括：

训练集获取模块，用于获取训练集；

模型训练模块，用于以RELU激活函数为LSTM-ARFIMA混合循环网络模型的激活函数、以交叉熵损失函数为LSTM-ARFIMA混合循环网络模型的损失函数以及以Adam优化算法为LSTM-ARFIMA混合循环网络模型的优化器后，采用所述训练集对LSTM-ARFIMA混合循环网络模型进行训练得到训练好的LSTM-ARFIMA混合循环网络模型。

应本发明提供的工业控制网络入侵检测系统实现的技术效果与上述提供的工业控制网络入侵检测方法实现的技术效果相同，故在此不再进行赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的工业控制网络入侵检测方法的流程图；

图2为本发明实施工业控制网络入侵检测方法的流程图；

图3为本发明提供的工业控制网络入侵检测系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种适合预测和广义预测工业控制系统高频攻击的工业控制网络入侵检测方法和系统，以能够在最大限度地减少波动性问题的同时，克服神经网络的过拟合问题。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，本发明提供的工业控制网络入侵检测方法，包括：

步骤100：获取工业控制网络入侵检测模型。工业控制网络入侵检测模型为训练好的LSTM-ARFIMA混合循环网络模型。

步骤101：获取当前时刻的工业流量数据。

步骤102：将工业流量数据输入至工业控制网络入侵检测模型得到检测结果。检测结果包括：对正常流量数据和恶意流量数据的分类情况。

其中，上述采用的LSTM-ARFIMA混合循环网络模型的构建过程包括：

采用注意力机制对预设数据集中的数据进行特征提取，得到各特征的注意力分布向量。

以注意力分布向量为输入，拟合ARFIMA模型的分数阶高斯噪声强度得到拟合后的ARFIMA模型。例如，将注意力分布向量输入至ARFIMA模型，采用Huist斜率确定ARFIMA模型的分数阶高斯噪声强度。当分数阶高斯噪声强度满足预设条件时，得到拟合后的ARFIMA模型。预设条件优选为：0<d<1且d≠0.5，其中d为分数阶高斯噪声强度。

获取拟合后的ARFIMA模型的残差。

将拟合后的ARFIMA模型的残差输入至长短期记忆网络，得到LSTM-ARFIMA混合循环网络模型。LSTM-ARFIMA混合循环网络模型为H(t)：H(t)=f(ε_t)=f(x _t-L_t)。

其中，ε_t为拟合后的ARFIMA模型的残差，ε_t=x _t-L_t，f(ε_t)为利用混合LSTM神经网络对时间序列ARFIMA的残差和因变量的周期进行非线性建模，x _t=L_t+N_t，L_t表示用ARFIMA模型对数据进行线性建模，N_t表示非线性分量。

基于上述构建得到的LSTM-ARFIMA混合循环网络模型，其训练过程为：

获取训练集。

以RELU激活函数为LSTM-ARFIMA混合循环网络模型的激活函数、以交叉熵损失函数为LSTM-ARFIMA混合循环网络模型的损失函数以及以Adam优化算法为LSTM-ARFIMA混合循环网络模型的优化器后，采用训练集对LSTM-ARFIMA混合循环网络模型进行训练得到训练好的LSTM-ARFIMA混合循环网络模型。

下面基于如图2所示的框架，采用密西西比州立大学实验室公开的智能天然气管道控制系统Modbus流量数据集对上述提供的工业控制网络入侵检测方法的具体实施过程进行说明，在实际应用时，具体实施过程不限于此。

如图2所示，上述提供的工业控制网络入侵检测方法的实施过程包括：

步骤1、对密西西比州立大学实验室公开的智能天然气管道控制系统Modbus流量数据集进行预处理，具体步骤为：

步骤1.1、对密西西比州立大学实验室公开的智能天然气管道控制系统Modbus流量数据集进行压缩。例如，将正常流量的数量压缩至原数据量的1%，将其他恶意流量压缩至原数据量的10%。

步骤1.2、对智能天然气管道控制系统Modbus流量数据集进行数据清洗，剔除不相关项和重复项。

步骤1.3、对智能天然气管道控制系统Modbus流量数据集进行数值化和归一化处理。例如，采用One-hot的方法对智能天然气管道控制系统流量数据进行数值化处理。采用min-max方法对智能天然气管道控制系统流量数据进行归一化处理。其中，定义为归一化后的数据x’，

，式中，

表示数据的平均值，σ表示数据的标准差。

步骤1.4、对智能天然气管道控制系统Modbus流量数据集按照滑动窗口进行时序重组。例如，设置窗口大小，经多次对照实验，将窗口数值设置为8时，模型性能最好。其中，将第i条待检测工业控制系统流量与其在窗口内的第i+1条流量数据一同作为LSTM（长短时记忆网络）的输入。其中i为任意一条工业控制系统流量数据的序号。

经上述处理之后，将预处理后的数据按照8:2的比例分配训练集和测试集。

步骤2、构建基于LSTM-ARFIMA混合循环网络模型的工业控制网络入侵检测检测模型，并在工业控制网络入侵检测检测模型中加入注意力机制的具体步骤为：

步骤2.1、采用注意力机制对数据集进行特征提取。例如，计算天然气管道控制系统流量数据的注意力分布向量，表达式为

，其中

表示注意力分布向量，e_i表示天然气管道控制系统流量数据的各特征注意力得分，k _i表示经注意力层训练后得到的第i个关键词的特征向量。

步骤2.2、将各特征的注意力分布向量输入到ARFIMA模型中作为网络的输入。

步骤2.3、初始化ARFIMA模型的参数——分数阶高斯噪声强度d。具体地，在ARFIMA模型中，用Hurst参数的最大似然估计ARFIMA模型的分数阶高斯噪声强度d，表达式为：d=(h-1)/2，其中h为Hurst斜率。例如，定义d=0时，该过程不包含长期记忆，是静止的。0<d<1且d≠0.5时，该过程对于长期记忆来说是持续的。d=0.5时，该过程是随机且不可预测的过程。那么，当0<d<1且d≠0.5时，得到拟合的ARFIMA模型。否则，继续估计移动平均参数θ直到级数收敛。

步骤2.4、得到拟合的ARFIMA模型后，将拟合的ARFIMA模型的残差（带有高斯噪声）输入到LSTM模型（(Long Short-Term Memory，长短期记忆网络）中，噪声通过LSTM神经网络对剩余信号进行处理。具体地，基于时间序列的流量数据分解为线性和非线性分量表达式为：x _t=L_t+N_t，L_t表示用ARFIMA模型对数据进行线性建模，N_t表示非线性分量。定义ε_t为ARFIMA模型的残差，ε_t=x _t-L_t。

应用模型参数计算ARFIMA序列，应用模型参数计算LSTM序列后，在ARFIMA模型前层加入SENet注意力模块，基于此，LSTM-ARFIMA混合循环网络模型可表示为H(t)=f(ε_t)=f(x _t-L_t)。

步骤3、使用步骤1中构建的训练集对步骤2中的LSTM-ARFIMA混合循环网络模型进行训练和优化，得到初始模型的具体步骤为：

步骤3.1、采用RELU函数作为激活函数，采用交叉熵损失函数作为训练网络的损失函数，采用Adam优化算法作为模型优化器。

步骤3.2、设置训练轮数为25。设置批处理大小为64。设置dropout丢弃率为0.5。设置学习率为0.05。

步骤4、使用步骤1中的测试集对步骤3中得到的初始模型进行测试，并将模型部署到工业控制系统入侵检测系统中，具体步骤为：

步骤4.1、将步骤1中的测试集输入到步骤3中的初始终模型中，输出对七种恶意流量和正常流量的分类情况，并输出模型的评价指标。其中，恶意流量可以设置为简单恶意响应注入攻击、复杂恶意响应注入攻击、恶意状态命令注入攻击、恶意参数命令注入攻击、恶意功能命令注入攻击、拒绝服务攻击、侦查攻击。

步骤4.2、将测试后评价指标优秀的模型部署到智能电网入侵检测系统中，实现自动对电网流量进行安全性检测，并将数据传回至工作人员。

下面基于上述数据给出本发明上述提供的工业控制网络入侵检测方法和现有检测方法的对比结果，如表1所示。

其中，ACC表示检测准确率，Precision表示精确率，Recall表示召回率，F1表示精确率和召回率的加权调和平均值。

基于上述结果能够得到，本发明提供的工业控制网络入侵检测方法，能够最大限度地减少波动性问题，同时，能够克服神经网络的过拟合问题。

此外，对应于上述提供的工业控制网络入侵检测方法，本发明还提供了一种工业控制网络入侵检测系统，如图3所示，该系统包括：

模型获取模块300，用于获取工业控制网络入侵检测模型。工业控制网络入侵检测模型为训练好的LSTM-ARFIMA混合循环网络模型。

数据获取模块301，用于获取当前时刻的工业流量数据。

结果检测模块302，用于将工业流量数据输入至工业控制网络入侵检测模型得到检测结果。检测结果包括：对正常流量数据和恶意流量数据的分类情况。

为了进一步提高模型检测的准确性，作为本发明的一优选实施例，上述提供的工业控制网络入侵检测系统，还包括：

特征提取模块，用于采用注意力机制对预设数据集中的数据进行特征提取，得到各特征的注意力分布向量。

拟合处理模块，用于以注意力分布向量为输入，拟合ARFIMA模型的分数阶高斯噪声强度得到拟合后的ARFIMA模型。

残差获取模块，用于获取拟合后的ARFIMA模型的残差。

模型构建模块，用于将拟合后的ARFIMA模型的残差输入至长短期记忆网络，得到LSTM-ARFIMA混合循环网络模型。

其中，上述拟合处理模块可以进一步包括：

噪声强度确定单元，用于将注意力分布向量输入至ARFIMA模型，采用Huist斜率确定ARFIMA模型的分数阶高斯噪声强度。

拟合模型确定单元，用于当分数阶高斯噪声强度满足预设条件时得到拟合后的ARFIMA模型。

同样为了提高检测准确性，作为本发明的另一优选实施例，上述提供的工业控制网络入侵检测系统，还可以包括：

训练集获取模块，用于获取训练集。

模型训练模块，用于以RELU激活函数为LSTM-ARFIMA混合循环网络模型的激活函数、以交叉熵损失函数为LSTM-ARFIMA混合循环网络模型的损失函数以及以Adam优化算法为LSTM-ARFIMA混合循环网络模型的优化器后，采用训练集对LSTM-ARFIMA混合循环网络模型进行训练得到训练好的LSTM-ARFIMA混合循环网络模型。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。