CN115996133B - 一种工业控制网络行为检测方法以及相关装置 - Google Patents
一种工业控制网络行为检测方法以及相关装置 Download PDFInfo
- Publication number
- CN115996133B CN115996133B CN202210737011.2A CN202210737011A CN115996133B CN 115996133 B CN115996133 B CN 115996133B CN 202210737011 A CN202210737011 A CN 202210737011A CN 115996133 B CN115996133 B CN 115996133B
- Authority
- CN
- China
- Prior art keywords
- feature
- expansion
- features
- calculating
- window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 25
- 230000002159 abnormal effect Effects 0.000 claims abstract description 27
- 238000000034 method Methods 0.000 claims abstract description 26
- 238000000605 extraction Methods 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 46
- 238000012545 processing Methods 0.000 claims description 41
- 230000015654 memory Effects 0.000 claims description 29
- 239000013598 vector Substances 0.000 claims description 13
- 238000000513 principal component analysis Methods 0.000 claims description 10
- 238000010606 normalization Methods 0.000 claims description 6
- 238000013528 artificial neural network Methods 0.000 claims description 5
- 230000001502 supplementing effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000007787 long-term memory Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 238000000638 solvent extraction Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 210000004205 output neuron Anatomy 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 238000012847 principal component analysis method Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种工业控制网络行为检测方法以及相关装置,本发明的工业控制网络行为检测方法,包括:获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;基于所述第一特征集合计算得到扩展特征;利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;基于所述第二特征集合确定网络行为是否异常。该方法能够扩展特征,使得特征能够显式表达,克服了现有技术中特征信息量不足的问题。
Description
技术领域
本发明属于网络安全检测领域,尤其是涉及一种工业控制网络行为检测方法以及相关装置。
背景技术
工业控制系统早已在许多工业场景中广泛应用,例如电网系统、水利系统、天然气输送等等。SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)系统是一种成熟的现代工业控制系统架构,近年来,针对SCADA系统的恶意网络攻击逐渐频繁,人们应当提高对SCADA系统网络安全的关注。在SCADA系统中应用入侵检测系统是一种广泛使用且有效的防护措施。入侵检测系统通过收集操作系统、应用程序、网络数据包等信息,发现系统中违背安全策略或危及系统安全的行为。入侵检测系统通常使用签名分析、统计分析、专家系统、机器学习等检测技术,对系统信息与指标进行分析,判断系统异常状态。工业控制系统的入侵检测与传统互联网在许多方面存在差别,例如网络架构、网络协议、终端设备、行为逻辑等。为了在工业控制系统中应用入侵检测系统,需要根据特定的工业控制协议设计深度包检测规则,根据设备行为逻辑设计安全策略。
针对工业控制系统的入侵检测方法有许多种类,其中利用机器学习手段的研究发展迅速,出现大量应用机器学习算法提高检测性能的研究。机器学习非常类似统计分析,它凭借大量的训练数据和灵活的数学模型,能较为简易地捕获工业控制系统隐含的高维状态,并提供强大的分类、聚类性能。
现有技术使用了组合FNN(前馈神经网络)与LSTM(长短期记忆网络)的入侵检测系统。FNN作为序列无关联数据包的分类器,这种方式下分类对象是针对每一个数据包的,不论位于流量序列的何处,它都有自己的标记。这一方式只能作为整个入侵检测系统的辅助手段,因为真实攻击通常不是由一个数据包造成的,而是表现为一段数据序列。另一部分为LSTM分类器,其作用是序列有关联数据包的分类器。这种方式下,需要将相邻数据包组合为一个数据块,作为分类基本单元。因为LSTM具有周期记忆性质,可以识别序列有关联数据包,记忆具有周期性特征的攻击模式。为利用FNN的分类性能,方案中将LSTM的输出与FNN的输出组合,再输入最终的FNN中。在网络的最后部分放置FNN,不仅能够灵活的调整数据张量维度,也能为LSTM和FNN提供投票功能,充分利用它们的计算结果。此方案使用了连续滑动窗口。不过,滑动窗口的大小设定并没有给出特别依据,更多是从降低时间开销、降低功耗等方面考虑,从而设计了较小型的输入维度。虽然在其测试用的数据中表现良好,但是特征的表达信息明显不足。
发明内容
本申请提供一种工业控制网络行为检测方法以及相关装置,该方法能够扩展特征,使得特征能够显式表达,克服了现有技术中特征信息量不足的问题。
第一方面,本申请提供一种工业控制网络行为检测方法,包括:获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;基于所述第一特征集合计算得到扩展特征;利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;基于所述第二特征集合确定网络行为是否异常。
其中,所述基于所述第一特征集合计算得到扩展特征的步骤,包括:计算所述初始特征集合中当前特征与上一特征之间的差值,得到第一扩展特征;计算所述当前特征在捕获窗口内的标准差,得到第二扩展特征;基于所述捕获窗口的长度、所述捕获窗口内的特征计算特征均值,得到第三扩展特征;基于所述捕获窗口内的特征计算所述特征和,得到第四扩展特征;计算相邻特征之间的差值窗口内特征的标准差,得到第五扩展特征;计算相邻特征之间的差值窗口内特征的均值,得到第六扩展特征;计算相邻特征之间的差值窗口内特征的和,得到第七扩展特征;基于所述第一扩展特征、所述第二扩展特征、所述第三扩展特征、所述第四扩展特征、所述第五扩展特征、所述第六扩展特征、所述第七扩展特征中至少一种或任意组合得到所述扩展特征。
其中,每一所述捕获窗口内包括多个特征向量,所述利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合的步骤,包括:将所述扩展特征补入每一所述捕获窗口最后一个特征向量后,进而得到所述第二特征集合。
其中,所述基于所述第二特征集合确定网络行为是否异常的步骤,包括:对所述第二特征集合进行主成分分析,得到主要特征,形成第三特征集合;对所述第三特征集合进行标准化处理,基于标准化处理后的所述第三特征集合确定网络行为是否异常。
其中,所述基于标准化处理后的所述第三特征集合确定网络行为是否异常的步骤,包括:利用捕获窗口对标准化处理后的所述第三特征集合进行处理,将标准化处理后的所述第三特征集合分为多个特征块;利用长短期记忆网络对所述特征块进行处理,得到第一处理数据;基于所述第一处理数据确定网络行为是否异常。
其中,所述基于所述第一处理数据确定网络行为是否异常的步骤,包括:利用前馈神经网络对所述第一处理数据进行处理,得到第二处理数据;基于所述第二处理数据获取每一捕获窗口内的最大值;基于所述最大值确定所述捕获窗口的类别;基于所述捕获窗口的类别确定网络行为是否异常。
其中,所述SCADA流量数据集包括CIP协议数据。
第二方面,本申请提供一种网络行为检测装置,特征提取模块,用于获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;计算模块,用于基于所述第一特征集合计算得到扩展特征;特征扩展模块,用于利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;行为判断模块,用于基于所述第二特征集合确定网络行为是否异常。
第三方面,本申请提供一种电子设备,包括相互藕接的处理器以及存储器,其中,所述存储器用于存储实现上述任一项所述的方法的程序指令;所述处理器用于执行所述存储器存储的所述程序指令。
第四方面,本申请提供一种计算机可读存储介质,其特征在于,存储有程序文件,所述程序文件能够被执行以实现上述任一项所述的方法。
本发明的有益效果,区别于现有技术的情况,本发明的工业控制网络行为检测方法,包括:获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;基于所述第一特征集合计算得到扩展特征;利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;基于所述第二特征集合确定网络行为是否异常。该方法能够扩展特征,使得特征能够显式表达,克服了现有技术中特征信息量不足的问题。
附图说明
图1为本发明的工业控制网络行为检测方法的第一实施例的流程示意图;
图2为捕获窗口对标准化处理后的所述第三特征集合进行处理的示意图;
图3为本发明网络行为检测装置的第一实施例的结构示意图;
图4为本发明电子设备的一实施例的结构示意图;
图5为本发明计算机可读存储介质的一实施例的结构示意图。
具体实施方式
为了进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及具体实施方式,对本发明进行详细说明。有关本发明的前述及其他技术内容、特点及功效,在以下配合附图的具体实施方式详细说明中即可清楚地呈现。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。所附附图仅是提供参考与说明之用,并非用来对本发明的技术方案加以限制。
请参见图1,为本发明的工业控制网络行为检测方法的第一实施例的流程示意图,具体包括:
步骤S11:获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合。
具体的,选取包含多种流量模式的SCADA流量数据集,并且标记完毕数据集,根据所包含的协议设计特征集。将原始的二进制流量数据转化为二维矩阵。每一个数据包对应二维矩阵中的一行,每一行的元素对应特征集中的特征。在一实施例中,SCADA流量数据集可以为CIP协议数据,对CIP协议数据进行特征提取,得到第一特征集合。
步骤S12:基于所述第一特征集合计算得到扩展特征。
具体的,计算所述初始特征集合中当前特征与上一特征之间的差值,得到第一扩展特征。例如通过如下公式(1)计算得到第一扩展特征:
diff(Fx)=Fx-Fx-1 (1);
其中,diff(Fx)表示当前特征Fx与上一特征Fx-1的差值。
计算所述当前特征在捕获窗口内的标准差,得到第二扩展特征。例如通过如下公式(2)计算得到第二扩展特征:
std(Fx)=σ(Fi),i∈{x-t+1,…,x} (2);
其中,std(Fx)当前特征在捕获窗口内的标准差,Fi表示捕获窗口内的特征,i表示捕获窗口内特征的数量,σ表示标准差。
基于所述捕获窗口的长度、所述捕获窗口内的特征计算特征均值,得到第三扩展特征。例如通过如下公式(3)计算得到第三扩展特征:
其中,mean(Fx)表示特征均值,t表示捕获窗口的长度。
基于所述捕获窗口内的特征计算所述特征和,得到第四扩展特征。例如利用如下公式(4)计算得到第四扩展特征:
其中,sum(Fx)表示特征和。
计算相邻特征之间的差值窗口内特征的标准差,得到第五扩展特征。例如通过如下公式(5)计算得到第五扩展特征:
diffstd(Fx)=std(DiffWindow(Fx)) (5);
其中,DiffWindow(Fx)表示相邻特征插值形成的窗口,diffstd表示差值窗口的标准差。
计算相邻特征之间的差值窗口内特征的均值,得到第六扩展特征。利用如下公式(6)计算得到第六扩展特征:
diffmean(Fx)=mean(DiffWindow(Fx)) (6);
diffmean表示差值窗口内特征的均值。
计算相邻特征之间的差值窗口内特征的和,得到第七扩展特征。例如通过如下公式(7)计算得到第七扩展特征:
diffsum(Fx)=sum(DiffWindow(Fx)) (7);
其中,diffsum为差值窗口内特征的和。
基于所述第一扩展特征、所述第二扩展特征、所述第三扩展特征、所述第四扩展特征、所述第五扩展特征、所述第六扩展特征、所述第七扩展特征中至少一种或任意组合得到所述扩展特征。
步骤S13:利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合。
在一实施例中,每一所述捕获窗口内包括多个特征向量,将所述扩展特征补入每一所述捕获窗口最后一个特征向量后,进而得到所述第二特征集合。可以理解的,形成的第二特征集合中,新的特征向量规模是原来的特征向量的7倍。
步骤S14:基于所述第二特征集合确定网络行为是否异常。
具体的,基于第二特征集合确定网络行为是否异常。在一实施例中,对所述第二特征集合进行主成分分析,得到主要特征,形成第三特征集合;对所述第三特征集合进行标准化处理,基于标准化处理后的所述第三特征集合确定网络行为是否异常。
具体的,使用主成分分析方法(PCA)对第二特征集合进行降维。第一特征集合经过扩展后,数据维度过大,因此需要使用主成分分析方法(PCA)对第二特征集合进行主成分分析,得到主要特征,形成第三特征集合。具体的,通过PCA后,将第二特征集合的特征向量的维度降至[20,30]范围内。
进一步的,使用数据标准化技术对第三特征集合进行标准化处理。具体的,利用Robust Scale将第三特征集合中较小的25%至75%部分收缩至[-1,1]范围内,其余部分为离群值。假设X为某一样本特征对应的变量,Robust Scale公式如下:
进一步的,基于标准化处理后的所述第三特征集合确定网络行为是否异常。在一实施例中,利用捕获窗口对标准化处理后的所述第三特征集合进行处理,将标准化处理后的所述第三特征集合分为多个特征块;利用长短期记忆网络对所述特征块进行处理,得到第一处理数据;基于所述第一处理数据确定网络行为是否异常。
具体的,使用滑动且连续的捕获窗口,从逻辑上将流量序列切分成连续、等长的特征块。如图2所示。捕获窗口中的数据在记录时并非整个拷贝,而通过记录捕获窗口在序列中的位置,从而将数据变为一系列逻辑上连续的切片。
将特征块输入到长短期记忆网络对所述特征块进行处理,得到第一处理数据。具体的,特征块的数据维度为(N,L,f)。长短期记忆网络的输入维度为(B,L,f),输出维度为(B,L,n),其中,N表示样本数量,B表示Batch size,L表示序列长度,即捕获窗口的长度,f表示隐藏层输入维度,经过PCA降维后的特征数量;n表示隐藏层LSTM模块数量。
经过长短期记忆网络对所述特征块进行处理,得到第一处理数据,后,进一步利用前馈神经网络对所述第一处理数据进行处理,得到第二处理数据;基于所述第二处理数据获取每一捕获窗口内的最大值;基于所述最大值确定所述捕获窗口的类别;基于所述捕获窗口的类别确定网络行为是否异常。
具体的,长短期记忆网络包含三部分。第一部分是Flatten层。Flatten层将输入维度变换以适合FNN输入,具体操作为将LSTM输出部分的第2、3个维度向量依次拼接,压缩为1维,使数据维度变为(B,L×n)。第二部分是隐藏层,其输出神经元的数量是对应数据类别的数量,若数据中包含3中流量模式,则隐藏层输出神经元个数为3个。第三部分是LogSoftmax,将输出映射至(-∞,0),公式如下:
利用前馈神经网络对所述第一处理数据进行处理,得到第二处理数据后,根据每一个捕获窗口切片对应的输出向量应当是长度为类别数的一维向量。从向量找出最大值,其所对应的类别即为此捕获窗口的类别。具体的,基于所述捕获窗口的类别确定网络行为是否异常,例如类别是连网使用的方式,则可以根据连网使用的方式确定其是否是合格的方式。
本发明设计的工业控制网络行为检测方法,通过特征引擎将原始流量序列的特征扩展,使得特征信息更加显式的表现出来。现有方案的特征信息量太小,而且通常无法让一些具有序列特性的特征表达出来,造成训练过程困难,而序列特征构造算法解决了这一问题。另外,本发明设计了滑动捕获窗口技术,该技术能够更加平滑的从原始流量序列中提取流量模式,而无需担心网络协议细节与流量行为逻辑的影响。现有方案中一般将流量切分为不重叠的数据块,造成一些具有连接特性的流量被打断,导致流量模式无法较好的提取出来,而连续的窗口则无需担心这一问题。
请参见图3,为本发明网络行为检测装置的一实施例的结构示意图,具体包括:特征提取模块31、计算模块32、特征扩展模块33以及行为判断模块34。
其中,特征提取模块31用于获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;计算模块32用于基于所述第一特征集合计算得到扩展特征;特征扩展模块33用于利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;行为判断模块34用于基于所述第二特征集合确定网络行为是否异常。
请参见图5,为本发明电子设备的一实施例的结构示意图。电子设备包括相互连接的存储器82和处理器81。
存储器82用于存储实现上述任意一项的方法的程序指令。
处理器81用于执行存储器82存储的程序指令。
其中,处理器81还可以称为CPU(Central Processing Unit,中央处理单元)。处理器81可能是一种集成电路芯片,具有信号的处理能力。处理器81还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器82可以为内存条、TF卡等,可以存储电子设备中全部信息,包括输入的原始数据、计算机程序、中间运行结果和最终运行结果都保存在存储器中。它根据控制器指定的位置存入和取出信息。有了存储器,电子设备才有记忆功能,才能保证正常工作。电子设备的存储器按用途存储器可分为主存储器(内存)和辅助存储器(外存),也有分为外部存储器和内部存储器的分类方法。外存通常是磁性介质或光盘等,能长期保存信息。内存指主板上的存储部件,用来存放当前正在执行的数据和程序,但仅用于暂时存放程序和数据,关闭电源或断电,数据会丢失。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和装置,可以通过其它的方法实现。例如,以上所描述的装置实施方法仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方法,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方法方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,系统服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方法的全部或部分步骤。
请参阅图5,为本发明计算机可读存储介质的结构示意图。本申请的存储介质存储有能够实现上述所有方法的程序文件91,其中,该程序文件91可以以软件产品的形式存储在上述存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方法的全部或部分步骤。而前述的存储装置包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,或者是计算机、服务器、手机、平板等终端设备。
以上仅为本发明的实施方法,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种工业控制网络行为检测方法,其特征在于,包括:
获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;
基于所述第一特征集合计算得到扩展特征;
利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;
基于所述第二特征集合确定网络行为是否异常;
所述基于所述第一特征集合计算得到扩展特征的步骤,包括:
计算初始特征集合中当前特征与上一特征之间的差值,得到第一扩展特征;
计算所述当前特征在捕获窗口内的标准差,得到第二扩展特征;
基于所述捕获窗口的长度、所述捕获窗口内的特征计算特征均值,得到第三扩展特征;
基于所述捕获窗口内的特征计算所述特征和,得到第四扩展特征;
计算相邻特征之间的差值窗口内特征的标准差,得到第五扩展特征;
计算相邻特征之间的差值窗口内特征的均值,得到第六扩展特征;
计算相邻特征之间的差值窗口内特征的和,得到第七扩展特征;
基于所述第一扩展特征、所述第二扩展特征、所述第三扩展特征、所述第四扩展特征、所述第五扩展特征、所述第六扩展特征、所述第七扩展特征中至少一种或任意组合得到所述扩展特征。
2.根据权利要求1所述的方法,其特征在于,每一所述捕获窗口内包括多个特征向量,
所述利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合的步骤,包括:
将所述扩展特征补入每一所述捕获窗口最后一个特征向量后,进而得到所述第二特征集合。
3.根据权利要求1所述的方法,其特征在于,所述基于所述第二特征集合确定网络行为是否异常的步骤,包括:
对所述第二特征集合进行主成分分析,得到主要特征,形成第三特征集合;
对所述第三特征集合进行标准化处理,基于标准化处理后的所述第三特征集合确定网络行为是否异常。
4.根据权利要求3所述的方法,其特征在于,所述基于标准化处理后的所述第三特征集合确定网络行为是否异常的步骤,包括:
利用捕获窗口对标准化处理后的所述第三特征集合进行处理,将标准化处理后的所述第三特征集合分为多个特征块;
利用长短期记忆网络对所述特征块进行处理,得到第一处理数据;
基于所述第一处理数据确定网络行为是否异常。
5.根据权利要求4所述的方法,其特征在于,所述基于所述第一处理数据确定网络行为是否异常的步骤,包括:
利用前馈神经网络对所述第一处理数据进行处理,得到第二处理数据;
基于所述第二处理数据获取每一捕获窗口内的最大值;
基于所述最大值确定所述捕获窗口的类别;
基于所述捕获窗口的类别确定网络行为是否异常。
6.根据权利要求5所述的方法,其特征在于,所述SCADA流量数据集包括CIP协议数据。
7.一种网络行为检测装置,其特征在于,包括:
特征提取模块,用于获取SCADA流量数据集,并对所述SCADA流量数据集进行特征提取,得到第一特征集合;
计算模块,用于基于所述第一特征集合计算得到扩展特征;
特征扩展模块,用于利用所述扩展特征对所述第一特征集合进行扩展,得到第二特征集合;
行为判断模块,用于基于所述第二特征集合确定网络行为是否异常;
所述基于所述第一特征集合计算得到扩展特征,包括:
计算初始特征集合中当前特征与上一特征之间的差值,得到第一扩展特征;
计算所述当前特征在捕获窗口内的标准差,得到第二扩展特征;
基于所述捕获窗口的长度、所述捕获窗口内的特征计算特征均值,得到第三扩展特征;
基于所述捕获窗口内的特征计算所述特征和,得到第四扩展特征;
计算相邻特征之间的差值窗口内特征的标准差,得到第五扩展特征;
计算相邻特征之间的差值窗口内特征的均值,得到第六扩展特征;
计算相邻特征之间的差值窗口内特征的和,得到第七扩展特征;
基于所述第一扩展特征、所述第二扩展特征、所述第三扩展特征、所述第四扩展特征、所述第五扩展特征、所述第六扩展特征、所述第七扩展特征中至少一种或任意组合得到所述扩展特征。
8.一种电子设备,其特征在于,包括相互藕接的处理器以及存储器,其中,
所述存储器用于存储实现如权利要求1-6任一项所述的方法的程序指令;
所述处理器用于执行所述存储器存储的所述程序指令。
9.一种计算机可读存储介质,其特征在于,存储有程序文件,所述程序文件能够被执行以实现如权利要求1-6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210737011.2A CN115996133B (zh) | 2022-06-27 | 2022-06-27 | 一种工业控制网络行为检测方法以及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210737011.2A CN115996133B (zh) | 2022-06-27 | 2022-06-27 | 一种工业控制网络行为检测方法以及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115996133A CN115996133A (zh) | 2023-04-21 |
CN115996133B true CN115996133B (zh) | 2024-04-09 |
Family
ID=85993073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210737011.2A Active CN115996133B (zh) | 2022-06-27 | 2022-06-27 | 一种工业控制网络行为检测方法以及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115996133B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
CN110460458A (zh) * | 2019-04-15 | 2019-11-15 | 清华大学深圳研究生院 | 基于多阶马尔科夫链的流量异常检测方法 |
CN110825068A (zh) * | 2019-09-29 | 2020-02-21 | 惠州蓄能发电有限公司 | 一种基于pca-cnn的工业控制系统异常检测方法 |
CN111181971A (zh) * | 2019-12-31 | 2020-05-19 | 南京联成科技发展股份有限公司 | 一种自动检测工业网络攻击的系统 |
CN111553381A (zh) * | 2020-03-23 | 2020-08-18 | 北京邮电大学 | 基于多网络模型的网络入侵检测方法、装置及电子设备 |
CN112101400A (zh) * | 2019-12-19 | 2020-12-18 | 国网江西省电力有限公司电力科学研究院 | 工业控制系统异常检测方法、设备和服务器、存储介质 |
CN112600792A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN112688946A (zh) * | 2020-12-24 | 2021-04-20 | 工业信息安全(四川)创新中心有限公司 | 异常检测特征的构造方法、模块、存储介质、设备及系统 |
CN113067798A (zh) * | 2021-02-22 | 2021-07-02 | 中国科学院信息工程研究所 | Ics入侵检测方法、装置、电子设备和存储介质 |
CN113570000A (zh) * | 2021-09-08 | 2021-10-29 | 南开大学 | 一种基于多模型融合的海洋单要素观测质量控制方法 |
CN114165392A (zh) * | 2021-11-03 | 2022-03-11 | 华能射阳新能源发电有限公司 | 一种风电机组功率异常诊断方法、装置及存储介质 |
CN114283306A (zh) * | 2021-12-23 | 2022-04-05 | 福州大学 | 一种工业控制网络异常检测方法及系统 |
CN114430361A (zh) * | 2021-12-30 | 2022-05-03 | 天翼云科技有限公司 | 一种异常带宽检测方法、装置、电子设备及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10367841B2 (en) * | 2016-12-16 | 2019-07-30 | Patternex, Inc. | Method and system for learning representations for log data in cybersecurity |
US10956632B2 (en) * | 2018-12-27 | 2021-03-23 | Utopus Insights, Inc. | Scalable system and engine for forecasting wind turbine failure |
-
2022
- 2022-06-27 CN CN202210737011.2A patent/CN115996133B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
CN110460458A (zh) * | 2019-04-15 | 2019-11-15 | 清华大学深圳研究生院 | 基于多阶马尔科夫链的流量异常检测方法 |
CN110825068A (zh) * | 2019-09-29 | 2020-02-21 | 惠州蓄能发电有限公司 | 一种基于pca-cnn的工业控制系统异常检测方法 |
CN112101400A (zh) * | 2019-12-19 | 2020-12-18 | 国网江西省电力有限公司电力科学研究院 | 工业控制系统异常检测方法、设备和服务器、存储介质 |
CN111181971A (zh) * | 2019-12-31 | 2020-05-19 | 南京联成科技发展股份有限公司 | 一种自动检测工业网络攻击的系统 |
CN111553381A (zh) * | 2020-03-23 | 2020-08-18 | 北京邮电大学 | 基于多网络模型的网络入侵检测方法、装置及电子设备 |
CN112600792A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN112688946A (zh) * | 2020-12-24 | 2021-04-20 | 工业信息安全(四川)创新中心有限公司 | 异常检测特征的构造方法、模块、存储介质、设备及系统 |
CN113067798A (zh) * | 2021-02-22 | 2021-07-02 | 中国科学院信息工程研究所 | Ics入侵检测方法、装置、电子设备和存储介质 |
CN113570000A (zh) * | 2021-09-08 | 2021-10-29 | 南开大学 | 一种基于多模型融合的海洋单要素观测质量控制方法 |
CN114165392A (zh) * | 2021-11-03 | 2022-03-11 | 华能射阳新能源发电有限公司 | 一种风电机组功率异常诊断方法、装置及存储介质 |
CN114283306A (zh) * | 2021-12-23 | 2022-04-05 | 福州大学 | 一种工业控制网络异常检测方法及系统 |
CN114430361A (zh) * | 2021-12-30 | 2022-05-03 | 天翼云科技有限公司 | 一种异常带宽检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (5)
Title |
---|
Gao. J, Gan. LY ,Buschendorf. F , Zhang. L * |
Liu. H ; Li. PX ; Dong. XD ; Lu. T .LSTM for SCADA Intrusion Detection.《IEEE》.2019,全文. * |
基于LSTM的SCADA网络入侵检测系统实现;俞率宾;《中国优秀硕士论文全文数据库》;20230715;全文 * |
基于改进非广延熵特征提取的双随机森林实时入侵检测方法;姚东;罗军勇;陈武平;尹美娟;;计算机科学;20131215(12);全文 * |
面向关键业务网络的流量异常检测系统的设计与实现;张雨姗;《中国优秀硕士学位论文全文数据库》;20220115;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115996133A (zh) | 2023-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111738244B (zh) | 图像检测方法、装置、计算机设备和存储介质 | |
CN109726195B (zh) | 一种数据增强方法及装置 | |
CN111259397B (zh) | 一种基于马尔科夫图和深度学习的恶意软件分类方法 | |
Lubenko et al. | Going from small to large data in steganalysis | |
CN110602120A (zh) | 一种面向网络的入侵数据检测方法 | |
Rangkuti et al. | A novel reliable approach for image batik classification that invariant with scale and rotation using MU2ECS-LBP algorithm | |
CN117155706B (zh) | 网络异常行为检测方法及其系统 | |
Özkan et al. | Evaluation of convolutional neural network features for malware detection | |
Zhang et al. | Image splicing localization using noise distribution characteristic | |
Zhang et al. | PRNU-based image forgery localization with deep multi-scale fusion | |
Oraibi et al. | Enhancement digital forensic approach for inter-frame video forgery detection using a deep learning technique | |
CN113468527A (zh) | 一种基于特征表达增强的恶意代码家族分类方法 | |
CN115996133B (zh) | 一种工业控制网络行为检测方法以及相关装置 | |
CN117527295A (zh) | 基于人工智能的自适应网络威胁检测系统 | |
CN110770753B (zh) | 高维数据实时分析的装置和方法 | |
CN115865486B (zh) | 基于多层感知卷积神经网络的网络入侵检测方法及系统 | |
CN117014210A (zh) | 基于ChebNet图卷积神经网络的邮件蠕虫检测系统 | |
CN108537762B (zh) | 基于深度多尺度网络的二次jpeg压缩图像取证方法 | |
CN113887633B (zh) | 基于il的闭源电力工控系统恶意行为识别方法及系统 | |
CN115567224A (zh) | 一种用于检测区块链交易异常的方法及相关产品 | |
CN112860648A (zh) | 一种基于日志平台的智能分析方法 | |
CN112651422A (zh) | 一种时空感知的网络流量异常行为检测方法及电子装置 | |
CN114884704B (zh) | 一种基于对合和投票的网络流量异常行为检测方法和系统 | |
Liu et al. | Research on abnormal traffic detection of Internet of Things based on feature selection | |
CN117614742B (zh) | 一种蜜点感知增强的恶意流量检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |