CN115834248A - 面向信息物理系统的攻击和异常数据流检测方法及装置 - Google Patents
面向信息物理系统的攻击和异常数据流检测方法及装置 Download PDFInfo
- Publication number
- CN115834248A CN115834248A CN202310063509.XA CN202310063509A CN115834248A CN 115834248 A CN115834248 A CN 115834248A CN 202310063509 A CN202310063509 A CN 202310063509A CN 115834248 A CN115834248 A CN 115834248A
- Authority
- CN
- China
- Prior art keywords
- data
- object set
- attack
- module
- data object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明属于数据处理相关技术领域,提出了面向信息物理系统的攻击和异常数据流检测方法及装置,包括:获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型,对可能存在的威胁进行快速检测。
Description
技术领域
本发明属于数据处理相关技术领域,尤其涉及面向信息物理系统的攻击和异常数据流检测方法及装置。
背景技术
信息物理系统是通过将控制、计算与通信技术结合、并构建物理空间与信息空间中信息、环境、人、机、物等要素的映射、交互、协同系统、实现了计算资源与物理资源的深度耦合、按需响应和快速迭代。信息物理系统常用领域包括电力、石油化工、高炉冶炼以及工业现场等需要实时控制与资源监控的场景。信息物理系统为客户端/服务器体系架构,客户端的主要功能包括对设备数据进行采集、对工业参数进行调整以及和操作员进行现场交互。服务器的主要功能包括对数据进行分析预测和对异常行为进行预警和报警。客户端和服务器的连接方式可以是串口连接也可以是以太网连接。
由于信息物理系统部署范围广、组成复杂,且涉及领域往往较为重要。因此,针对信息物理系统的恶意攻击也层出不穷。另外,信息物理系统检测的设备本身也可能损坏并噪声工业控制系统失控。
现有的攻击检测系统多集成于控制软件中,根据设备的特性或规律来对攻击进行判断,再根据事前制定的规则进行分析比较,并对系统的运行状态进行相应调整。虽然此类检测方式使用简单,但由于与控制系统高度耦合,不易于迁移与调整,检测率也不适合动态修改。
另外,针对现有的攻击方法,如重放攻击、错误数据注入攻击、放大攻击等,现有的攻击检测方法往往只能检测其中的一种。如需检测多种攻击需要通过多种检测机制的叠加。这样的处理不但增加了系统的运行成本,其检测效果也不尽如人意。针对的信息物理系统中所存在的众多数据类型,现有的方法并不适用。
发明内容
为克服上述现有技术的不足,本发明提供了面向信息物理系统的攻击和异常数据流检测方法及装置,通过在信息物理系统的控制端获取实时数据流,将流量转换为特定数据对象组,通过输入至反向传播网络中得到数据对象集对应的数据标签,根据数据标签得到是否出现异常或遭到恶意攻击,对可能存在的威胁进行快速检测。
为实现上述目的,本发明的一个或多个实施例提供了如下技术方案:面向信息物理系统的攻击和异常数据流检测方法,包括:
获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;
对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;
根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
本发明的第二个方面提供面向信息物理系统的攻击和异常数据流检测装置,包括:
Type-c接口模块,用于获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;
可编程逻辑模块,用于对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;
攻击检测模块,用于根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
以上一个或多个技术方案存在以下有益效果:
在本发明中,通过在信息物理系统的控制端获取实时数据流,将流量转换为特定对象组,根据判断特定对象组输入到训练得到数据标签的类型以得到现在系统的运行状态,从而对可能存在的威胁进行快速检测。
在本发明中,所提供的检测装置能够在保持信息物理系统正常运行的前提下,攻击支持隐蔽性攻击、重放攻击、零动态攻击等攻击类型进行检测,而且体积小、便携度高,为信息物理系统的安全问题提供底层保障。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本发明实施例一中面向信息物理系统的攻击和异常数据流检测方法流程图;
图2是本发明实施例一中反向传播网络结构示意图;
图3是本发明实施例二中面向信息物理系统的攻击和异常数据流检测装置整体示意图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
实施例一
如图1所示,本实施例公开了面向信息物理系统的攻击和异常数据流检测方法,包括:
获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;
对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;
根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
在本实施例中,对获取的信息物理系统中实时数据流转换成数据对象集,传输过来的是每个时刻的数据,需要将每个时刻的数据汇总为一个excel表格,其中每一行为一个时刻的数据。这个excel表就是数据对象集。
对数据对象集进行标准化处理,并对数据对象集的缺值项删除,并根据数据的分布对缺值进行填充。缺值填充可以使用这一列即不同时刻数据的中位数或者平均数。
将数据对象集中的离散值使用独热编码。因为机器学习中需要将文字数据和离散化数据转化为连续数据,因此使用独热编码进行转换,这一步的目的是将数据归一化,有利于数据处理的效率与准确性。
之后将填充后数据对象集中的每一行和每一列进行最大最小规范化使其值域统一。
在本实施例中,基于所采用的FGPA芯片计算能力的限制,对标准化后的数据对象集进行降维处理,具体为:
对所有的数据对象集进行中心化处理,即计算得到标准化后的数据对象集的每一列数据的均值,并以均值为原点对其他值进行平移处理。
然后对中心化后的数据对象集采用主成分分析法进行特征提取,具体为:
计算数据对象集的协方差矩阵;
然后计算协方差矩阵的特征向量矩阵,对得到的特征向量矩阵进行最大最小归一化处理;
通过将每个样本即excel中每一行的数据与特征向量矩阵点乘求得新样本替换原始样本得到新的数据对象集。
在本实施例中,可根据具体的应用场景如针对电力应用的电流电压,功率,频率数据或针对冶炼应用的高炉温度、风速、设备状态等与需求如有些大量依赖人工的行业可适当提高误报率以减少故障或对数据完整性要求不高的行业可以适当提高漏检率设计不同的检测方案。这里我们以反向传播网络举例,说明其功能与基本设计流程。
在本实施例中,将智能电网中的异常流量检测问题视为一个时间序列数据分类问题,其中每一个时刻的数据包括电压、电流、功率、余额等连续数据信息以及用户id、失压、失流、缺相等离散化数据信息。需要输出具体的标签类别可根据需求自行标注与选择,如正常数据的标签为0、Dos攻击的标签为1、FDI攻击的标签为2、重放攻击的标签为3、零动态攻击的标签为4等。在此问题中,将现有的分类数据输入到反向传播网络中进行模型训练,之后将实时数据转换得到的数据对象集输入到训练好的模型中完成数据分类。
在本实施例中,如图2所示,反向传播网络中有三层结构:输入层、输出层以及隐藏层。其中,输入层X用于接受训练数据的输入、输出层Y用于输出训练得到的数据标签、隐藏层用于对输入数据的权重进行训练调整以得到准确的训练模型。整个过程可以分为两个阶段:训练阶段和预测阶段。在训练阶段,需要每次数据对象集即excel表中已经带有标签的一行数据输入到输入层中,每一个输入层的神经元将数据加权后发送到全部的隐藏层神经元中,隐藏层神经元对数据经过激活处理后加权发送到全部输出层神经元中。输出层神经元输出的数据在加权聚合后将发送给输出层激活函数处理,转化为数据标签,最后通过多次的训练迭代调整每一层中的权重得到训练好的模型。其中,输入层神经元和隐藏层神经元、隐藏层神经元和输出层神经元都是全连接的。在预测阶段,需要将实时数据流转换成数据对象集后将数据对象集中一行数据输入到输入层中,经过已训练模型的预测得到数据标签。
在本实施例中,上述得到的数据对象集所对应的数据标签将发送给攻击检测模块,由标签判断模块将数据标签转换为对应的正常类型或攻击类型即如前所述的0、1等数字向数据的文字标签的转化进而判断当前时刻的数据是否受到攻击。
实施例二
如图3所示,本实施例提供面向信息物理系统的攻击和异常数据流检测装置,包括:
Type-c接口模块,用于获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;
可编程逻辑模块,用于对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;
攻击检测模块,用于根据数据对象集所对应的数据标签得到具体的攻击类型。
在本实施例中,Type-c接口模块包括USB控制模块、数据转换模块、MUX和USBCHIPSET等,其中,USB控制模块负责提供电流检测、过载保护等功能,并控制Type-c接口向电源模块提供5V/3A电流。
DRP模块负责接口角色的动态转换。当有数据传输时,DRP模块将数据转发至数据转换模块进行处理;当有电流传输时DRP模块将电能传输至电源模块,为设备充电。
DRP模块为双角色端口,负责供电信号与传输信号的判断与切换。
数据转换模块使用RS-485总线控制芯片,实现对模拟信号的检测或远程控制设备检测,其中包括模拟信号输入/输出和数字信号输入/输出。
其中,type-c模块与攻击检测模块通信协议可以使用ASCII码或MODBUS通信协议。
Type-c接口模块负责将接收到的实时数据流发送给攻击检测模块处理。
在本实施例中,可编程逻辑模块由FPGA、CHIPSET即北桥芯片组、CPU、静态随机存取存储器SRAM、SSD和相关接口电路组成,其运行嵌入式arm操作系统,接收Type-c接口模块所输出的数据对象集,并对数据对象集进行处理。这里的FGPA芯片用于对反向传播网络进行动态存储与运算、CHIPSET用于实现可编程逻辑模块中FGPA和CPU的通信、CPU用于非通用型逻辑计算(区别于FPGA)并将训练得到的数据标签编码为ASCII码发送给SRAM、SRAM用于暂存反向传播网络程序栈和计算中间变量以及发送编码后的数据标签给标签判断模块、SSD用于接收并永久性存储训练得到的反向传播网络模型。
在本实施例中,攻击检测模块将获取的数据标签转换为对应的正常类型或攻击类型,进而判断当前时刻的数据是否受到攻击。
攻击检测模块包括标签生成模块和标签判断模块,其中标签生成模块负责根据用户的具体判断需求和具体的信息物理设备特性设计所需的标签。
标签判断模块负责将可编程逻辑模块计算得到数据标签进行转换得到具体的攻击类型。如数据标签为正常,则给显示模块发送系统正常信息并等待下一时刻数据;如数据标签为攻击,则发送给显示模块具体的攻击类型并通过Type-c接口模块发出报警信息。另外其还负责将标签生成模块生成的数据标签以及接收到的实时数据流转化为计算机可以存储和识别的ASCII码发送给SRAM。
在本实施例中,还包括显示驱动模块和液晶触控屏,实现图形界面的显示控制。显示屏采用480×320分辨率的LED背光屏,驱动电路采用12V/3A电路供电,通过LVDS即Low-VoltageDifferential Signaling低压差分信号传输接口与可编程逻辑模块通讯,显示其检测结果和现在的系统运行状态。
在本实施例中,还包括电源模块,电源模块为其他模块进行供电。电源模块充电模块、锂电池和变压器模块组成,充电模块通过micro-c接口对锂电池进行充电,并通过变压器模块进行电压的调整输出12V和5V的电压为整个装置进行供电。
锂电池包括6串锂电池组,通过3A电流进行充电。在检测到充电模块有电流通过时,充电模块为整个装置进行供电,当充电模块无电流接入时,将通过切换至锂电池模块对装置进行供电。电压转换模块使用DC/DC模块,有12V/2A和5V/3A的两组变换模式,整体效率高于79%,其能源转化率较好。
在本实施例中,还包括编程烧录模块,通过type-c接口对编写的程序进行烧录。其组成包括SPI flash芯片一个和烧录指示灯两个,其中指示灯通过12V/2A电源供电。当蓝灯亮起时表示程序烧录正在进行;当红灯亮起时表示程序烧录失败。SPI flash芯片负责实现对编程烧录模块的IO接口保护、过流短路保护与指示状态变换等功能。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (10)
1.面向信息物理系统的攻击和异常数据流检测方法,其特征在于,包括:
获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;
对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;
根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
2.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,对所述数据对象集的预处理包括:
将获取的实时数据流转换成数据对象集;
对所述数据对象集进行标准化处理;
对标准化处理后的数据对象集进行降维处理;
将降维后的数据对象集进行特征提取,构建新的数据对象集。
3.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,将降维后的数据对象集进行特征提取,构建新的数据对象集,具体为:
计算数据对象集的协方差矩阵;
计算所得到的协方差矩阵的特征向量矩阵,对得到的特征向量矩阵进行最大最小归一化处理;
将数据对象集中每一行的数据与最大最小归一化处理后的特征向量矩阵点乘得到新的数据替换原始数据,得到新的数据对象集。
4.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,所述数据对象集中每一行数据为一个时刻所获取的数据。
5.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,所述反向传播网络包括输入层、隐藏层和输出层。
6.如权利要求5所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,利用带有数据标签的数据对象集中的每一行数据输入至反向传播网络中进行训练,所述数据标签包括正常数据为1、FDI攻击的标签为2、重放攻击的标签为3、零动态攻击的标签为4。
7.面向信息物理系统的攻击和异常数据流检测装置,其特征在于,包括:
Type-c接口模块,用于获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;
可编程逻辑模块,用于对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;
攻击检测模块,用于根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
8.如权利要求7所述的面向信息物理系统的攻击和异常数据流检测装置,其特征在于,所述Type-c接口模块包括DRP模块、数据转换模块;所述DRP模块检测到为数据流传输时,则将所述数据流传输给所述数据转换模型进行数据转换;所述DRP模块检测到为电流传输时,则传输至电源模块。
9.如权利要求7所述的面向信息物理系统的攻击和异常数据流检测装置,其特征在于,还包括电源模块,所述电源模块为所述Type-c接口模块、可编辑逻辑处理模块、攻击检测模块进行供电。
10.如权利要求7所述的面向信息物理系统的攻击和异常数据流检测装置,其特征在于,还包括显示驱动模块,所述显示驱动模块与所述可编程逻辑模块电性连接,用于显示可编程逻辑模块的处理结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310063509.XA CN115834248A (zh) | 2023-02-06 | 2023-02-06 | 面向信息物理系统的攻击和异常数据流检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310063509.XA CN115834248A (zh) | 2023-02-06 | 2023-02-06 | 面向信息物理系统的攻击和异常数据流检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115834248A true CN115834248A (zh) | 2023-03-21 |
Family
ID=85520804
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310063509.XA Pending CN115834248A (zh) | 2023-02-06 | 2023-02-06 | 面向信息物理系统的攻击和异常数据流检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115834248A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108924150A (zh) * | 2018-07-20 | 2018-11-30 | 电子科技大学 | 基于反向传播神经网络的边缘侧克隆节点集成检测方法 |
CN111131237A (zh) * | 2019-12-23 | 2020-05-08 | 深圳供电局有限公司 | 基于bp神经网络的微网攻击识别方法及并网接口装置 |
CN111586071A (zh) * | 2020-05-19 | 2020-08-25 | 上海飞旗网络技术股份有限公司 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
CN112491854A (zh) * | 2020-11-19 | 2021-03-12 | 郑州迪维勒普科技有限公司 | 一种基于fcnn的多方位安全入侵检测方法及系统 |
CN115473748A (zh) * | 2022-11-14 | 2022-12-13 | 国际关系学院 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
-
2023
- 2023-02-06 CN CN202310063509.XA patent/CN115834248A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108924150A (zh) * | 2018-07-20 | 2018-11-30 | 电子科技大学 | 基于反向传播神经网络的边缘侧克隆节点集成检测方法 |
CN111131237A (zh) * | 2019-12-23 | 2020-05-08 | 深圳供电局有限公司 | 基于bp神经网络的微网攻击识别方法及并网接口装置 |
CN111586071A (zh) * | 2020-05-19 | 2020-08-25 | 上海飞旗网络技术股份有限公司 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
CN112491854A (zh) * | 2020-11-19 | 2021-03-12 | 郑州迪维勒普科技有限公司 | 一种基于fcnn的多方位安全入侵检测方法及系统 |
CN115473748A (zh) * | 2022-11-14 | 2022-12-13 | 国际关系学院 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
Non-Patent Citations (1)
Title |
---|
孙兆林主编: "《软件加密解密与计算机安全技术》", pages: 279 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101793931B (zh) | 高压变频器测试系统 | |
CN111131237B (zh) | 基于bp神经网络的微网攻击识别方法及并网接口装置 | |
CN110514960B (zh) | 一种电缆故障定位平台 | |
WO2023098372A1 (zh) | 自我诊断方法和无负压叠压供水设备 | |
CN111143835B (zh) | 基于机器学习的电力计量系统业务逻辑非侵入式防护方法 | |
CN116755985A (zh) | 基于大数据和数据分析的平台智能监测管理系统 | |
CN111144549A (zh) | 基于卷积神经网络的微网攻击识别方法及微网协调控制器 | |
CN104570976A (zh) | 监控系统及方法 | |
CN102005743A (zh) | 基于径向基神经网络的自适应继电保护装置 | |
CN102968184A (zh) | 一种kvm远程管理系统 | |
CN115834248A (zh) | 面向信息物理系统的攻击和异常数据流检测方法及装置 | |
CN116015922B (zh) | 一种电力物联网的网络安全态势分析方法、装置及设备 | |
CN111083151B (zh) | 基于深度信念网络的攻击识别方法及风电管理系统 | |
CN111127251A (zh) | 基于lstm神经网络的攻击识别方法及并网接口装置 | |
CN102290864A (zh) | 一种实现虚拟负荷管理终端的方法和装置 | |
CN115503535A (zh) | 安全充电方法、装置、设备及计算机可读存储介质 | |
CN201887446U (zh) | 一种基于径向基神经网络的自适应继电保护装置 | |
CN115877269B (zh) | 基于智慧母线的配电预警方法、装置、设备及存储介质 | |
CN103001215B (zh) | 电网负荷预警管理方法 | |
CN111016720A (zh) | 基于k最近邻算法攻击识别方法及充电装置 | |
CN116414366B (zh) | 中间件接口生成方法、装置、设备及介质 | |
CN107665572A (zh) | 一种告警信息解析方法及装置 | |
CN117607585A (zh) | 电力信息系统检测方法及装置 | |
CN117972757B (zh) | 基于云平台实现矿山数据的安全分析方法及系统 | |
CN114325402A (zh) | 蓄电池管理方法、装置、系统、终端、电子设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |