CN115086070B - 工业互联网入侵检测方法及系统 - Google Patents

工业互联网入侵检测方法及系统 Download PDF

Info

Publication number
CN115086070B
CN115086070B CN202210849921.XA CN202210849921A CN115086070B CN 115086070 B CN115086070 B CN 115086070B CN 202210849921 A CN202210849921 A CN 202210849921A CN 115086070 B CN115086070 B CN 115086070B
Authority
CN
China
Prior art keywords
data
sphere
training
network data
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210849921.XA
Other languages
English (en)
Other versions
CN115086070A (zh
Inventor
吴晓明
张锋
刘祥志
张建强
汪付强
张鹏
郝秋赟
马晓凤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qilu University of Technology
Shandong Computer Science Center National Super Computing Center in Jinan
Original Assignee
Qilu University of Technology
Shandong Computer Science Center National Super Computing Center in Jinan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qilu University of Technology, Shandong Computer Science Center National Super Computing Center in Jinan filed Critical Qilu University of Technology
Priority to CN202210849921.XA priority Critical patent/CN115086070B/zh
Publication of CN115086070A publication Critical patent/CN115086070A/zh
Application granted granted Critical
Publication of CN115086070B publication Critical patent/CN115086070B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及基于特定计算模型的计算机系统技术领域,本发明公开了工业互联网入侵检测方法及系统,包括:获取工业互联网中各个设备之间传输的网络数据;将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。提高了工业互联网入侵检测的准确率。

Description

工业互联网入侵检测方法及系统
技术领域
本发明涉及基于特定计算模型的计算机系统技术领域,特别是涉及工业互联网入侵检测方法及系统。
背景技术
本部分的陈述仅仅是提到了与本发明相关的背景技术,并不必然构成现有技术。
工业互联网推动了全球企业加速数字化转型,同时也为工业网络带来了更高的网络安全风险,针对政府、企业、医疗产业等“底层支柱”行业的攻击更加频繁。工业互联网相关系统被成功攻击的概率为12%,远高于电子政务系统的1%和通信行业的5%。
工业控制系统安全事件频繁发生,为有效应对来自外部的网络攻击,工业互联网需要不断提升技术能力来进行防御。目前工业互联网中入侵检测分为两类,分别是误用入侵检测和异常入侵检测。
误用入侵检测又称基于特征的入侵检测,这种检测的前提是假设入侵者的活动可以被某一模式表示,检测的目标就是检测主体活动是否符合这种模式。误用入侵检测的关键是准确描述攻击行为的特征,不需要训练。误用入侵检测检测主体活动不符合攻击行为的特征,则认为该行为为正常行为,因此,它只能检测已知的可描述的攻击行为,不能处理未知攻击。
异常入侵检测技术能够建立用户或系统的正常行为轮廓,在早期的异常检测系统中通常用统计模型,通过统计模型计算出随机变量的观察值落在一定区间内的概率,并且根据经验规定一个阈值,超过阈值则认为发生了入侵。
目前研究均采用传统的入侵检测方法,由于从工控系统提取的网络数据大部分都是正常数据,异常数据较少,样本数据不平衡,导致入侵检测准确率低。
1999年,Tax等首次提出SVDD。2004年,Tax等又对SVDD进行了拓展和更完整的研究。SVDD旨在高维特征空间中确定一个最小超球体,使得该超球体尽可能的包含目标样本,位于超球体外的点为离群点。Cha等提出DW-SVDD,该方法引入了密度权重的概念,即基于目标数据的密度分布,利用k-最近邻(k-NN)方法得到每个数据点的相对密度。该方法在SVDD算法的基础上加入新的权值,对高密度区域的数据点进行优先排序,最终得到最优描述。
尽管 SVDD 提供了适合数据集的灵活描述边界,DW-SVDD加入密度权重,使密度分布对寻找最优SVDD时产生作用,但在特征空间中搜索描述边界存在一些固有的缺陷。例如,样本的各个特征存在差异,对寻找最优SVDD的重要性不同。换句话说,样本的各个特征对寻找最优SVDD的影响默认相同,但是一些特征对寻找最优SVDD更有效,也有一部分效果较低。因此,如果不考虑样本各个特征的重要性的情况下设置描述边界,解决方案会忽略样本特征间的重要性,从而无法对数据集进行最佳描述。
发明内容
为了解决现有技术的不足,本发明提供了工业互联网入侵检测方法及系统;提高了工业互联网入侵检测的准确率。
第一方面,本发明提供了工业互联网入侵检测方法;
工业互联网入侵检测方法,包括:
获取工业互联网中各个设备之间传输的网络数据;
将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
第二方面,本发明提供了工业互联网入侵检测系统;
工业互联网入侵检测系统,包括:
获取模块,其被配置为:获取工业互联网中各个设备之间传输的网络数据;
入侵检测模块,其被配置为:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
与现有技术相比,本发明的有益效果是:
与现有SVDD相比,提高了该模型在网络入侵检测方面的准确率,性能提高,通过准确率表和ROC曲线对比;在未知入侵数据方面,性能提高,通过缺少两类攻击样本的第二训练集训练模型,通过测试集比较,准确率明显提高。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为实施例一的方法流程图。
具体实施方式
实施例一
本实施例提供了工业互联网入侵检测方法;
如图1所示,工业互联网入侵检测方法,包括:
S101:获取工业互联网中各个设备之间传输的网络数据;
S102:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
进一步地,所述S101:获取工业互联网中各个设备之间传输的网络数据;其中网络数据,具体包括:针对Modbus TCP协议的网络数据,除了Modbus协议之外,还有CommonIndustrial Protocol(CIP)、EtherNet/IP(Open DeviceNet Vendor Association)、Controller Area Network(CAN)等。
进一步地,所述训练后的入侵检测模型,其网络结构包括:最小超球体,其中最小超球体的球心和半径通过训练得到。
进一步地,所述训练后的入侵检测模型,其训练过程包括:
构建第一训练集、第二训练集、第一测试集和第二测试集;第二训练集是在第一训练集的基础上删除了两类攻击数据;
将第一训练集输入到入侵检测模型中,对模型进行训练,得到初步训练模型;
采用第一测试集和第二测试集对初步训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;
再将第二训练集输入到初步训练模型中,对模型进行训练,得到二次训练模型;
再采用第一测试集和第二测试集对二次训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;将二次训练模型作为最终的入侵检测模型。
进一步地,所述构建第一训练集、第二训练集、第一测试集和第二测试集,具体包括:
捕获工业互联网中各设备之间流经的网络数据,并进行数据化处理;数据集记为
Figure 100002_DEST_PATH_IMAGE001
,其中
Figure 478410DEST_PATH_IMAGE002
代表数据化处理后的网络数据,
Figure 100002_DEST_PATH_IMAGE003
代表网络数据对应的类别标签,0代表正常数据,1代表攻击数据,攻击数据包含七个攻击组数据。
数据集划分,将数据集划分成两组训练集和两组测试集进行实验。
首先从数据集中随机抽取10%数据作为第一训练集,剔除第一训练集中的两个攻击组数据,将剔除后剩余的第一训练集作为第二训练集,从数据集中随机抽取3%的数据作为第一测试集,从数据集中随机抽取20%的数据作为第二测试集。
利用第一训练集训练模型,通过第一测试集和第二测试集验证模型的性能。利用缺少两个攻击组的第二训练集训练模型;将缺少的两个攻击组数据模拟为未知攻击类型数据,通过第一测试集和第二测试集验证其应对未知攻击类型的性能。通过两个训练集,训练模型,优化模型
Figure 102289DEST_PATH_IMAGE004
Figure 100002_DEST_PATH_IMAGE005
参数,寻找最优可行点。
进一步地,所述最小超球体的球心和半径通过训练得到,具体包括:
通过对主观赋权和客观赋权进行线性加权求和,得到特征权重;
基于特征权重,构建加权的高斯核函数;
构建最小超球体的优化问题;
基于拉格朗日乘子法和加权的高斯核函数,将优化问题改为对偶问题;
求解对偶问题后,获取所有样本对应的拉格朗日系数;
根据拉格朗日系数,确定支持向量;
根据支持向量样本集合,确定最小超球体的球心和半径。
进一步地,所述主观赋权,将训练集输入到粒子群优化算法中,得到若干组样本特征;将所有的样本特征输入到K最邻近(KNN,K-NearestNeighbor)分类算法中,选择出分类准确率最高的样本特征;设置被选择的样本特征对应的权重为第一权重值,未被选择的样本特征对应的权重为第二权重值。
示例性地,所述第一权重值为1,第二权重值为0.5。
进一步地,所述客观赋权通过标准差描述数据之间的波动大小,数据的标准差越大则权重越高。
客观赋权法,包括:CRITIC分析法、熵权法和标准差法等,这里用的是标准差法,每个特征的权重是每个特征的标准差占所有特征的标准差之和的比例。
Figure 106017DEST_PATH_IMAGE006
进一步地,所述通过对主观赋权和客观赋权进行线性加权求和,得到特征权重,具体包括:
构建特征权重
Figure 100002_DEST_PATH_IMAGE007
,采用组合赋权法,通过主观赋权
Figure 609680DEST_PATH_IMAGE008
和客观赋权
Figure 100002_DEST_PATH_IMAGE009
线性加权合成:
Figure 66069DEST_PATH_IMAGE010
其中,
Figure 100002_DEST_PATH_IMAGE011
Figure 696901DEST_PATH_IMAGE012
为主观赋权和客观赋权的权重。
主观赋权
Figure 100002_DEST_PATH_IMAGE013
利用粒子群优化算法多次选择特征,得到多个特征组,通过KNN算法确定选择的特征组,然后设置选择的样本特征对应的权重为1,未被选择的样本特征对应的权重为0.5。
客观赋权
Figure 712393DEST_PATH_IMAGE014
通过标准差方法,描述数据之间的波动性大小,数据的标准差越大说明波动越大,权重应该越高。
进一步地,所述基于特征权重,构建加权的高斯核函数,具体包括:
Figure DEST_PATH_IMAGE015
其中,
Figure 527902DEST_PATH_IMAGE016
是两个样本,
Figure DEST_PATH_IMAGE017
表示向量
Figure 81374DEST_PATH_IMAGE018
到向量
Figure DEST_PATH_IMAGE019
的距离,
Figure 640532DEST_PATH_IMAGE020
表示通过向量乘以权重
Figure DEST_PATH_IMAGE021
来计算向量
Figure 477907DEST_PATH_IMAGE022
到向量
Figure DEST_PATH_IMAGE023
的距离,e是常数,
Figure 870842DEST_PATH_IMAGE024
控制核函数的作用范围,是一个提前给定的数。
基于高斯核函数的改进,具体改进是样本向量在求与核函数中心距离时乘以
Figure DEST_PATH_IMAGE025
进一步地,所述构建最小超球体的优化问题,具体包括:
构建基于特征权重的支持向量描述(FW-SVDD,Feature Weight Support VectorData Description):
首先,构建一个最小超球体,SVDD要解决以下优化问题:
Figure 36244DEST_PATH_IMAGE026
Figure DEST_PATH_IMAGE027
Figure 759612DEST_PATH_IMAGE028
其中,
Figure DEST_PATH_IMAGE029
是超球体半径,
Figure 592438DEST_PATH_IMAGE030
是超球体的球心,
Figure DEST_PATH_IMAGE031
是松弛因子,
Figure 156275DEST_PATH_IMAGE032
是一个权衡超球体体积和误分率的惩罚参数,N是样本数量,非线性映射函数
Figure DEST_PATH_IMAGE033
Figure 199186DEST_PATH_IMAGE034
是样本,
Figure DEST_PATH_IMAGE035
代表约束条件。
进一步地,所述基于拉格朗日乘子法和加权的高斯核函数,将优化问题改为对偶问题,具体包括:
结合拉格朗日乘子法,并引入加权的高斯核函数
Figure 100146DEST_PATH_IMAGE036
,在正常数据训练集中加入少数的攻击数据来防止过拟合情况;
假设训练集中正常数据和攻击数据的标签分别为
Figure DEST_PATH_IMAGE037
Figure 131687DEST_PATH_IMAGE038
,原优化问题的对偶问题为:
Figure DEST_PATH_IMAGE039
Figure 459900DEST_PATH_IMAGE040
Figure DEST_PATH_IMAGE041
Figure 846950DEST_PATH_IMAGE042
其中,
Figure DEST_PATH_IMAGE043
是样本
Figure 426967DEST_PATH_IMAGE044
对应的拉格朗日系数,
Figure DEST_PATH_IMAGE045
是对应样本的标签,
Figure 968806DEST_PATH_IMAGE046
是加权的高斯核函数,
Figure DEST_PATH_IMAGE047
是样本对应的拉格朗日系数,n是样本数量。
进一步地,所述求解对偶问题后,获取所有样本对应的拉格朗日系数,具体包括:
求解该对偶问题后,获取所有样本对应的拉格朗日系数。
进一步地,所述根据拉格朗日系数,确定支持向量;根据支持向量样本集合,确定最小超球体的球心和半径,具体包括:
在所有训练样本中,把拉格朗日系数满足
Figure 326975DEST_PATH_IMAGE048
的样本称为支持向量,假设训练数据集中属于支持向量的样本集合为
Figure DEST_PATH_IMAGE049
,那么超球体的球心和半径的计算公式分别为:
Figure 954266DEST_PATH_IMAGE050
Figure DEST_PATH_IMAGE051
其中,
Figure 869132DEST_PATH_IMAGE052
Figure DEST_PATH_IMAGE053
是对应样本的标签,
Figure 891577DEST_PATH_IMAGE054
是加权的高斯核函数,
Figure DEST_PATH_IMAGE055
是样本对应的拉格朗日系数,n是样本数量,
Figure 561593DEST_PATH_IMAGE056
是球心,
Figure DEST_PATH_IMAGE057
是超球体半径,非线性映射函数
Figure 285966DEST_PATH_IMAGE058
测试样本
Figure DEST_PATH_IMAGE059
到超球体球心的距离为:
Figure 988212DEST_PATH_IMAGE060
Figure DEST_PATH_IMAGE061
,说明测试样本在超球体上或者内部,属于正常数据;反之则属于攻击数据。
本发明构建了FW-SVDD,有效解决网络数据不平衡这一问题;并且考虑了不同特征对算法的影响,提高了异常检测准确率。
相较于现有的SVDD,FW-SVDD性能更好,准确率更高,且在应对未知攻击数据方面表现更为突出。
如表1和表2,比较了四种算法在两个测试集上的准确率。
表1
Figure 504644DEST_PATH_IMAGE062
表2
Figure DEST_PATH_IMAGE063
根据现有机器学习算法在该方面研究结果表明,支持向量机(SVM) 达到了94.20%的准确率,朴素贝叶斯达到了94.15%的准确率。DW-SVDD和FW-SVDD两个算法准确率均高于前两种机器学习算法;通过第一训练集训练,FW-SVDD的准确率比DW-SVDD有所提升,通过第二训练集训练,准确率有明显提升,因此FW-SVDD的性能较现有的SVDD算法有所提升,在应对未知攻击类型方面有显著效果。
比较三个算法在两个训练集的ROC曲线,FW-SVDD的AUC值都明显高于前两种,FW-SVDD的检测正确率更高,因此FW-SVDD的性能更好。
实施例二
本实施例提供了工业互联网入侵检测系统;
工业互联网入侵检测系统,包括:
获取模块,其被配置为:获取工业互联网中各个设备之间传输的网络数据;
入侵检测模块,其被配置为:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。

Claims (9)

1.工业互联网入侵检测方法,其特征是,包括:
获取工业互联网中各个设备之间传输的网络数据;
将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据;
所述训练后的入侵检测模型,其训练过程包括:
构建第一训练集、第二训练集、第一测试集和第二测试集;第二训练集是在第一训练集的基础上删除了两类攻击数据;
将第一训练集输入到入侵检测模型中,对模型进行训练,得到初步训练模型;
采用第一测试集和第二测试集对初步训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;
再将第二训练集输入到初步训练模型中,对模型进行训练,得到二次训练模型;
再采用第一测试集和第二测试集对二次训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;将二次训练模型作为最终的入侵检测模型。
2.如权利要求1所述的工业互联网入侵检测方法,其特征是,所述训练后的入侵检测模型,其网络结构包括:最小超球体,其中最小超球体的球心和半径通过训练得到。
3.如权利要求2所述的工业互联网入侵检测方法,其特征是,所述最小超球体的球心和半径通过训练得到,具体过程包括:
通过对主观赋权和客观赋权进行线性加权求和,得到特征权重;
基于特征权重,构建加权的高斯核函数;
构建最小超球体的优化问题;
基于拉格朗日乘子法和加权的高斯核函数,将优化问题改为对偶问题;
求解对偶问题后,获取所有样本对应的拉格朗日系数;
根据拉格朗日系数,确定支持向量;根据支持向量样本集合,确定最小超球体的球心和半径。
4.如权利要求3所述的工业互联网入侵检测方法,其特征是,所述基于特征权重,构建加权的高斯核函数,具体包括:
Figure DEST_PATH_IMAGE001
其中,
Figure 365776DEST_PATH_IMAGE002
是两个样本,
Figure DEST_PATH_IMAGE003
表示向量
Figure 348775DEST_PATH_IMAGE004
到向量
Figure DEST_PATH_IMAGE005
的距离,
Figure 947247DEST_PATH_IMAGE006
表示通过向量乘以权重
Figure DEST_PATH_IMAGE007
来计算向量
Figure 197837DEST_PATH_IMAGE008
到向量
Figure 754721DEST_PATH_IMAGE005
的距离,
Figure DEST_PATH_IMAGE009
是常数,
Figure 225016DEST_PATH_IMAGE010
控制核函数的作用范围,是一个提前给定的数。
5.如权利要求3所述的工业互联网入侵检测方法,其特征是,所述构建最小超球体的优化问题,具体包括:
首先,构建一个最小超球体,基于特征权重的支持向量描述要解决以下优化问题:
Figure DEST_PATH_IMAGE011
Figure 627179DEST_PATH_IMAGE012
Figure DEST_PATH_IMAGE013
其中,
Figure 499320DEST_PATH_IMAGE014
是超球体半径,
Figure 227104DEST_PATH_IMAGE015
是超球体的球心,
Figure DEST_PATH_IMAGE016
是松弛因子,
Figure 683231DEST_PATH_IMAGE017
是一个权衡超球体体积和误分率的惩罚参数,N是样本数量,非线性映射函数
Figure DEST_PATH_IMAGE018
Figure 623505DEST_PATH_IMAGE019
是样本,
Figure DEST_PATH_IMAGE020
代表约束条件。
6.如权利要求3所述的工业互联网入侵检测方法,其特征是,所述基于拉格朗日乘子法和加权的高斯核函数,将优化问题改为对偶问题,具体包括:
结合拉格朗日乘子法,并引入加权的高斯核函数
Figure 84574DEST_PATH_IMAGE021
,在正常数据训练集中加入少数的攻击数据来防止过拟合情况;
假设训练集中正常数据和攻击数据的标签分别为
Figure DEST_PATH_IMAGE022
Figure 983260DEST_PATH_IMAGE023
,原优化问题的对偶问题为:
Figure DEST_PATH_IMAGE024
Figure 428147DEST_PATH_IMAGE025
Figure DEST_PATH_IMAGE026
Figure 906533DEST_PATH_IMAGE027
其中,
Figure DEST_PATH_IMAGE028
是样本
Figure 251802DEST_PATH_IMAGE029
对应的拉格朗日系数,
Figure DEST_PATH_IMAGE030
是对应样本的标签,
Figure 790230DEST_PATH_IMAGE031
是加权的高斯核函数,
Figure DEST_PATH_IMAGE032
是样本对应的拉格朗日系数,
Figure 722414DEST_PATH_IMAGE033
是样本数量。
7.如权利要求3所述的工业互联网入侵检测方法,其特征是,所述根据拉格朗日系数,确定支持向量;根据支持向量样本集合,确定最小超球体的球心和半径,具体包括:
在所有训练样本中,把拉格朗日系数满足
Figure DEST_PATH_IMAGE034
的样本称为支持向量,假设训练数据集中属于支持向量的样本集合为
Figure 4491DEST_PATH_IMAGE035
,那么超球体的球心和半径的计算公式分别为:
Figure DEST_PATH_IMAGE036
Figure 971310DEST_PATH_IMAGE037
其中,
Figure DEST_PATH_IMAGE038
Figure 444754DEST_PATH_IMAGE039
是对应样本的标签,
Figure DEST_PATH_IMAGE040
是加权的高斯核函数,
Figure 598655DEST_PATH_IMAGE041
是样本对应的拉格朗日系数,
Figure DEST_PATH_IMAGE042
是样本数量,
Figure 684423DEST_PATH_IMAGE043
是球心,
Figure DEST_PATH_IMAGE044
是超球体半径,非线性映射函数
Figure 505748DEST_PATH_IMAGE045
8.如权利要求1所述的工业互联网入侵检测方法,其特征是,所述构建第一训练集、第二训练集、第一测试集和第二测试集,具体包括:
捕获工业互联网中各设备之间流经的网络数据,并进行数据化处理;数据集记为
Figure DEST_PATH_IMAGE046
,其中
Figure 385980DEST_PATH_IMAGE047
代表数据化处理后的网络数据,
Figure DEST_PATH_IMAGE048
代表网络数据对应的类别标签,0代表正常数据,1代表攻击数据,攻击数据包含七个攻击组数据;
数据集划分,将数据集划分成两组训练集和两组测试集进行实验;
首先从数据集中随机抽取10%数据作为第一训练集,剔除第一训练集中的两个攻击组数据,将剔除后剩余的第一训练集作为第二训练集,从数据集中随机抽取3%的数据作为第一测试集,从数据集中随机抽取20%的数据作为第二测试集。
9.采用如权利要求1所述的工业互联网入侵检测方法的工业互联网入侵检测系统,其特征是,包括:
获取模块,其被配置为:获取工业互联网中各个设备之间传输的网络数据;
入侵检测模块,其被配置为:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
CN202210849921.XA 2022-07-20 2022-07-20 工业互联网入侵检测方法及系统 Active CN115086070B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210849921.XA CN115086070B (zh) 2022-07-20 2022-07-20 工业互联网入侵检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210849921.XA CN115086070B (zh) 2022-07-20 2022-07-20 工业互联网入侵检测方法及系统

Publications (2)

Publication Number Publication Date
CN115086070A CN115086070A (zh) 2022-09-20
CN115086070B true CN115086070B (zh) 2022-11-15

Family

ID=83259809

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210849921.XA Active CN115086070B (zh) 2022-07-20 2022-07-20 工业互联网入侵检测方法及系统

Country Status (1)

Country Link
CN (1) CN115086070B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116611746B (zh) * 2023-07-20 2024-01-09 深圳华龙讯达信息技术股份有限公司 一种基于工业互联网的产品质量管理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110868414A (zh) * 2019-11-14 2020-03-06 北京理工大学 一种基于多投票技术的工控网络入侵检测方法及系统
WO2022012144A1 (zh) * 2020-07-17 2022-01-20 湖南大学 基于不平衡数据深度信念网络的并行入侵检测方法和系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101980480B (zh) * 2010-11-04 2012-12-05 西安电子科技大学 半监督异常入侵检测方法
KR20160095856A (ko) * 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
CN110719250B (zh) * 2018-07-13 2021-07-06 中国科学院沈阳自动化研究所 基于PSO-SVDD的Powerlink工控协议异常检测方法
CN110837872B (zh) * 2019-11-14 2022-05-27 北京理工大学 一种工控网络入侵检测方法及系统
CN113114673A (zh) * 2021-04-12 2021-07-13 西北工业大学 一种基于生成对抗网络的网络入侵检测方法及系统
CN113382003B (zh) * 2021-06-10 2022-04-29 东南大学 一种基于两级过滤器的rtsp混合入侵检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110868414A (zh) * 2019-11-14 2020-03-06 北京理工大学 一种基于多投票技术的工控网络入侵检测方法及系统
WO2022012144A1 (zh) * 2020-07-17 2022-01-20 湖南大学 基于不平衡数据深度信念网络的并行入侵检测方法和系统

Also Published As

Publication number Publication date
CN115086070A (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN108023876B (zh) 基于可持续性集成学习的入侵检测方法及入侵检测系统
Alghanam et al. An improved PIO feature selection algorithm for IoT network intrusion detection system based on ensemble learning
CN104601565B (zh) 一种智能优化规则的网络入侵检测分类方法
CN111092862A (zh) 一种用于对电网终端通信流量异常进行检测的方法及系统
CN112348080A (zh) 基于工控异常检测的rbf改进方法、装置和设备
Jaszcz et al. AIMM: Artificial intelligence merged methods for flood DDoS attacks detection
CN115086070B (zh) 工业互联网入侵检测方法及系统
CN111767538A (zh) 一种基于相关信息熵的工控入侵检测系统特征选择方法
CN116318928A (zh) 一种基于数据增强和特征融合的恶意流量识别方法及系统
CN116527346A (zh) 基于深度学习图神经网络理论的威胁节点感知方法
Zhang et al. An improved LSTM network intrusion detection method
Aziz et al. Cluster Analysis-Based Approach Features Selection on Machine Learning for Detecting Intrusion.
de Araujo et al. Impact of feature selection methods on the classification of DDoS attacks using XGBoost
CN115842636A (zh) 一种基于时序特征的网络异常行为监测方法以及装置
Singh et al. Lightweight convolutional neural network architecture design for music genre classification using evolutionary stochastic hyperparameter selection
CN114124437B (zh) 基于原型卷积网络的加密流量识别方法
Li et al. A supervised clustering algorithm for computer intrusion detection
CN112613231A (zh) 一种机器学习中隐私可用均衡的轨迹训练数据扰动机制
Zhao et al. Unbalanced Data Oversampling Method for Traffic Multi-classification in Convergence Network
Vrachimis et al. Resilient edge machine learning in smart city environments
Li et al. Intrusion detection based on PCA and fuzzy clustering optimized by CS
CN114615026B (zh) 异常流量检测方法、装置及电子设备
US20220405632A1 (en) Machine learning replacements for legacy cyber security
Shi et al. Enhancing IoT Flow Anomaly Detection with Differential Optimal Feature Subspace
Wang et al. Application of Deep Neural Network with Frequency Domain Filtering in the Field of Intrusion Detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 250014 No. 19, ASTRI Road, Lixia District, Shandong, Ji'nan

Patentee after: SHANDONG COMPUTER SCIENCE CENTER(NATIONAL SUPERCOMPUTER CENTER IN JINAN)

Country or region after: China

Patentee after: Qilu University of Technology (Shandong Academy of Sciences)

Address before: 250014 No. 19, ASTRI Road, Lixia District, Shandong, Ji'nan

Patentee before: SHANDONG COMPUTER SCIENCE CENTER(NATIONAL SUPERCOMPUTER CENTER IN JINAN)

Country or region before: China

Patentee before: Qilu University of Technology