CN117579400A - 一种基于神经网络的工控系统网络安全监测方法及系统 - Google Patents

一种基于神经网络的工控系统网络安全监测方法及系统 Download PDF

Info

Publication number
CN117579400A
CN117579400A CN202410065870.0A CN202410065870A CN117579400A CN 117579400 A CN117579400 A CN 117579400A CN 202410065870 A CN202410065870 A CN 202410065870A CN 117579400 A CN117579400 A CN 117579400A
Authority
CN
China
Prior art keywords
data
real
abnormal
control system
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410065870.0A
Other languages
English (en)
Other versions
CN117579400B (zh
Inventor
张菊玲
王胜
甘炜
张凌浩
梁晖辉
赵以兵
庞博
向思屿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd filed Critical Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd
Priority to CN202410065870.0A priority Critical patent/CN117579400B/zh
Publication of CN117579400A publication Critical patent/CN117579400A/zh
Application granted granted Critical
Publication of CN117579400B publication Critical patent/CN117579400B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明涉及工控系统异常监测技术领域,实施例公开了一种基于神经网络的工控系统网络安全监测方法及系统,方法包括:采集工控系统运行过程中的实时运行数据,实时运行数据为时序数据;对实时运行数据进行第一预处理,获取其中的异常数据段;将异常数据段输入到异常检测模型中进行异常分析,获得异常分析结果;其中,异常检测模型由预先建立的神经网络模型训练得到;本方法先对工控系统运行过程中的实时运行数据进行第一预处理,获取其中的异常数据段,排除无效数据的干扰,减少偶然误差,提升抗干扰能力;将异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果,当模型检测到异常情况时,对工控系统的异常状态进行反馈或报警。

Description

一种基于神经网络的工控系统网络安全监测方法及系统
技术领域
本发明涉及工控系统异常监测技术领域,具体涉及一种基于神经网络的工控系统网络安全监测方法及系统。
背景技术
工业控制系统简称工控系统,是数据采集与监视控制系统、分布式控制系统、过程控制系统、可编程逻辑控制器和其他控制系统的总称。工业控制系统通常由共同作用实现某一工业用途的控制部件组合而成,是工业生产基础设施的关键组成部分,广泛应用于电力、水利、化工、交通、能源、冶金、航空航天等国家重要基础设施领域。
近年来,针对工业控制系统的网络攻击行为越来越频繁。入侵检测系统(Intrusion Detection System,IDS)通过对系统行为的实时监测与分析,来检测异常的入侵行为,并在攻击行为产生破坏之前进行报警等。IDS作为保障工业控制系统安全的核心技术之一,受到了广泛关注。然而,由于工业控制系统具有实时性高、资源受限、更新困难等特殊性,用于传统信息系统的IDS技术无法直接应用于工业控制系统。
神经网络是模拟人类生理上的神经机制的计算模型,具有大规模并行处理、良好的自学习、自适应、极强的非线性逼近和容错能力等特点,避免了复杂的数学推导,在参数漂移与样本缺损情况下,依然能保持稳定的输出。近年来已渗透到各个领域,在智能控制、模式识别、非线性优化、信号处理等方面得到广泛应用。因此,将神经网络运用到工业控制系统中,对提高工业控制系统的安全审计能力,具有重要的价值。
发明内容
针对现有技术中的技术缺陷,本发明实施例的目的在于提供一种基于神经网络的工控系统网络安全监测方法及系统,基于神经网络的深度学习模型来监测工控系统的异常,提高检监测准确度和实时性。
为实现上述目的,第一方面,本发明实施例提供了一种基于神经网络的工控系统网络安全监测方法,包括:
采集工控系统运行过程中的实时运行数据,所述实时运行数据为时序数据;
对所述实时运行数据进行第一预处理,获取其中的异常数据段;
将所述异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果;其中,所述异常检测模型由预先建立的神经网络模型训练得到。
进一步,训练所述神经网络模型得到异常检测模型,包括:
采集工控系统的运行数据,建立工控系统异常状态数据集,并将所述异常状态数据集划分为训练集与验证集;
将所述训练集输入所述神经网络模型进行训练,得到训练后的神经网络模型;
利用所述验证集验证所述训练后的神经网络模型,获得所述异常检测模型。
进一步,采集工控系统的运行数据,建立工控系统异常状态数据集,并将所述异常状态数据集划分为训练集与验证集,包括:
步骤1:从工控系统的运行数据中获取原始异常数据;
步骤2:对所述原始异常数据进行第二预处理,得到异常特征分析输入向量X i (i =1,2,…,N);
步骤3:使用经验模态分解将异常特征分析输入向量X i 分解为6个本征模态函数和1个剩余信号R i ,并线性重构为:/>
步骤4:计算各个IMF分量的近似熵,得到异常特征分析输入向量的经验模态分解多尺度近似熵向量,并重复步骤2-步骤3,依次计算各个故障信号X i 的经验模态分解多尺度近似熵值,从而组建神经网络输入矩阵S 0
步骤5:将S 0 按照预设比例以随机抽样的方式划分成训练集S 1 和验证集S 2
进一步,所述第二预处理包括畸变点定位、统一长度截取和数据归一化。
进一步,对所述实时运行数据进行第一预处理,获取其中的异常数据段,包括:
按照时间顺序对所述实时运行数据依次进行检测,获取其中的离群点及所述离群点的分布状态;
根据所述离群点的分布状态,选取所述离群点中呈连续分布的离群点作为异常数据段。
进一步,所述按照时间顺序对所述实时运行数据依次进行检测,获取其中的离群点,包括:
按照时间顺序,依次计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离,根据所述相对离群距离得到带有离群标识的离群数据以作为离群点。
进一步,计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离,包括:
计算每个所述实时运行数据与其余实时运行数据之间的马氏距离,将所述马氏距离作为每个所述实时运行数据与其余实时运行数据之间的相对离群距离。
进一步,根据所述相对离群距离得到带有离群标识的离群数据,包括:
将多个所述实时运行数据的马氏距离分别与预先设定的阈值进行对比,马氏距离超过所述阈值的实时运行数据为离群数据,并对每个所述离群数据标记离群标识。
进一步,所述神经网络模型为SOM神经网络。
第二方面,本发明实施例还提供了一种基于神经网络的工控系统网络安全监测系统,包括:
数据采集模块,用于采集工控系统运行过程中的实时运行数据,所述实时运行数据为时序数据;
数据处理模块,用于对所述实时运行数据进行第一预处理,获取其中的异常数据段;
异常确认模块,用于将所述异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果;其中,所述异常检测模型由预先建立的神经网络模型训练得到。
实施本发明实施例提供的方法,先对工控系统运行过程中的实时运行数据进行第一预处理,获取其中的异常数据段,从而排除无效数据的干扰,减少偶然误差,提升了抗干扰能力;将异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果,当模型检测到异常情况时,对工控系统的异常状态进行反馈或报警,将工控系统异常或故障反馈至工作人员,以便工作人员能够及时采取应对和维护措施。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于神经网络的工控系统网络安全监测方法的流程示意图;
图2是本发明实施例提供的一种基于神经网络的工控系统网络安全监测系统的结构示意图一;
图3是本发明实施例提供的一种基于神经网络的工控系统网络安全监测系统的结构示意图二。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的系统和方法的例子。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素,此外,本申请不同实施例中具有同样命名的部件、特征、要素可能具有相同含义,也可能具有不同含义,其具体含义需以其在该具体实施例中的解释或者进一步结合该具体实施例中上下文进行确定。
应当理解,尽管在本文可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本文范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语"如果"可以被解释成为"在……时"或"当……时"或"响应于确定"。再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在所述的特征、步骤、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。本申请使用的术语“或”、“和/或”、“包括以下至少一个”等可被解释为包括性的,或意味着任一个或任何组合。例如,“包括以下至少一个:A、B、C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A和B和C”,再如,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A和B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
应该理解的是,虽然本申请实施例中的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
需要说明的是,在本文中,采用了诸如S1、S2等步骤代号,其目的是为了更清楚简要地表述相应内容,不构成顺序上的实质性限制,本领域技术人员在具体实施时,可能会先执行S2后执行S1等,但这些均应在本申请的保护范围之内。
经验模态分解图1示出了本发明实施例提供的一种基于神经网络的工控系统网络安全监测方法的流程示意图,如图1所示,本发明所述方法包括:
步骤S101:采集工控系统运行过程中的实时运行数据,所述实时运行数据为时序数据。
具体的,实时运行数据按照时间顺序排列,得到时序数据。
其中,所述实时运行数据包括网络流量数据、日志数据或配置文件数据。
网络流量数据包括上传流量和下载流量等,例如上传文件数据和下载文件数据。
日志数据包括安全日志数据、网络日志数据、系统日志数据和应用程序日志数据等。其中,安全日志数据包括身份验证、鉴别与授权审计记录、安全策略校验记录、入侵检测与防范报告记录等,用于检测和记录系统的安全事件,保护系统的安全性。网络日志数据包括网络连接、数据包转发、路由信息、地址转换、虚拟专用网等信息,用于监控网络运行状态,保证网络的可靠性和稳定性。系统日志数据包括系统运行状态、应用程序使用状况、存储设备使用情况、硬件故障和错误信息等,用于帮助诊断系统运行问题,提高系统的可靠性。应用程序日志数据包括应用程序启动、运行、关闭等信息,用于追踪应用程序的使用情况,为应用程序性能优化提供参考。
以上仅仅是工控系统中日志数据的一些例子,不同的工控系统在使用中可能会产生不同类型、不同格式的日志数据,需要根据实际情况进行分析和处理。此外,日志数据的采集、存储、处理和分析也需要使用相应技术和工具来实现。
步骤S102:对所述实时运行数据进行第一预处理,获取其中的异常数据段。
优选的,步骤S102具体包括:
步骤S1021:按照时间顺序对所述实时运行数据依次进行检测,获取其中的离群点及所述离群点的分布状态。
其中,按照时间顺序对所述实时运行数据依次进行检测,获取其中的离群点,包括:按照时间顺序,依次计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离,根据所述相对离群距离得到带有离群标识的离群数据以作为离群点。
依次检测每个实时运行数据,判断其是否为离群点,检测完毕后,如果得到多个离群点,则记录其分布状态,分布状态同样按时间排列,形成离群点的分布图。分布图以时间顺序为横轴、离群点的相对离群距离为纵轴。
具体的,计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离,包括:计算每个所述实时运行数据与其余实时运行数据之间的马氏距离,将所述马氏距离作为每个所述实时运行数据与其余实时运行数据之间的相对离群距离。马氏距离越大,则其相似度越低,离群程度越高;反之,马氏距离越小,其相似度越高。
具体的,根据所述相对离群距离得到带有离群标识的离群数据,包括:将多个所述实时运行数据的马氏距离分别与预先设定的阈值进行对比,马氏距离超过所述阈值的实时运行数据为离群数据,并对每个所述离群数据标记离群标识,离群标识为依据时间戳标的序号。异常数据是通过比较相似度得到的,相似度较低的数据容易成为异常数据。
步骤S1022:根据所述离群点的分布状态,选取所述离群点中呈连续分布的离群点作为异常数据段。
在判断工控系统异常时,为排除无效离群点的干扰,呈现离散分布的离群点往往是偶然误差所至,对判断工控系统异常无明显意义。
若离群点是由工控系统故障或异常所至,根据经验判断故障或异常通常会持续一定时间,而不是只在短暂瞬间故障,因此离群点前后的数据的欧氏距离也应当较大,也即由工控系统故障或异常导致的离群点通常呈现连续分布且与相邻数据的欧氏距离较大。若离群点持续出现一段时间呈连续分布状态,也即连接存在多个异常数据,由连续分布状态可判断相应的工控系统出现的故障或异常。
步骤S103:将所述异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果;其中,所述异常检测模型由预先建立的神经网络模型训练得到。
优先的,所述神经网络模型为SOM神经网络,SOM网络一般只由输入层和二维平面型竞争层组成,二者的神经元之间以全连接的方式产生联系。自组织特征映射(self-organizing feature map, SOM)神经网络是一种无教师、自主学习型网络算法,既可以学习输入矩阵向量的分布特征,又可以学习其拓扑结构,通过更新神经元及其近邻神经元的权值向量来进行分类与排序,最后只需要比对测试数据的类标与训练数据的类标是否匹配即可得到预测结果。具体的,训练所述神经网络模型得到异常检测模型,包括:
步骤S1031:采集工控系统的运行数据,建立工控系统异常状态数据集,并将所述异常状态数据集划分为训练集与验证集。
具体包括以下步骤:
步骤1:从工控系统的运行数据中获取原始异常数据。
步骤2:对所述原始异常数据进行第二预处理,得到异常特征分析输入向量X i (i=1,2,…,N)。
其中,所述第二预处理包括畸变点定位、统一长度截取和数据归一化。
步骤3:使用经验模态分解将异常特征分析输入向量X i 分解为6个本征模态函数和1个剩余信号R i ,并线性重构为:/>
步骤4:计算各个IMF分量的近似熵,得到异常特征分析输入向量的经验模态分解多尺度近似熵向量,并重复步骤2-步骤3,依次计算各个故障信号X i 的经验模态分解多尺度近似熵值,从而组建神经网络输入矩阵S 0
步骤5:将S 0 按照预设比例以随机抽样的方式划分成训练集S 1 和验证集S 2
步骤S1032:将所述训练集输入所述神经网络模型进行训练,得到训练后的神经网络模型。
以训练集S 1 为基础得到P个异常信号的SOM聚类标签值l p (p = 1,2,…,F)。
步骤S1033:利用所述验证集验证所述训练后的神经网络模型,获得所述异常检测模型。
使用验证集S 2 对训练后的神经网络模型进行快速调参,获得最终的异常检测模型。
根据异常检测模型的输出结果获得异常分析结果后,对工控系统的异常状态进行反馈或报警,将工控系统异常或故障反馈至工作人员,以便工作人员能够及时采取应对和维护措施。报警的具体方式可以是声音报警、灯光报警或两者的结合,也可以采取其它常用的报警方式,在此不再赘述。
基于相同的发明构思,本申请还提供了一种基于神经网络的工控系统网络安全监测系统一。如图2所示,该系统可以包括:
数据采集模块201,用于采集工控系统运行过程中的实时运行数据,所述实时运行数据为时序数据;
数据处理模块202,用于对所述实时运行数据进行第一预处理,获取其中的异常数据段;
异常确认模块203,用于将所述异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果;其中,所述异常检测模型由预先建立的神经网络模型训练得到。
基于相同的发明构思,本发明实施例还提供一种基于神经网络的工控系统网络安全监测系统二。如图3所示,该系统可以包括:一个或多个处理器101、一个或多个输入设备102、一个或多个输出设备103和存储器104,上述处理器101、输入设备102、输出设备103和存储器104通过总线105相互连接。存储器104用于存储计算机程序,所述计算机程序包括程序指令,所述处理器101被配置用于调用所述程序指令执行上述基于神经网络的工控系统网络安全监测方法实施例部分的方法。
应当理解,在本发明实施例中,所称处理器101可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
输入设备102可以包括键盘等,输出设备103可以包括显示器(LCD等)、扬声器等。
该存储器104可以包括只读存储器和随机存取存储器,并向处理器101提供指令和数据。存储器104的一部分还可以包括非易失性随机存取存储器。例如,存储器104还可以存储设备类型的信息。
具体实现中,本发明实施例中所描述的处理器101、输入设备102、输出设备103可执行本发明实施例提供的基于神经网络的工控系统网络安全监测方法的实施例中所描述的实现方式,在此不再赘述。
需要说明的是,关于基于神经网络的工控系统网络安全监测系统的具体工作流程,可参考前述方法实施例部分,在此不再赘述。
进一步地,本发明实施例还提供了一种可读存储介质,存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现:上述基于神经网络的工控系统网络安全监测方法。
所述计算机可读存储介质可以是前述实施例所述系统的后台服务器的内部存储单元,例如系统的硬盘或内存。所述计算机可读存储介质也可以是所述系统的外部存储设备,例如所述系统上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)等。进一步地,所述计算机可读存储介质还可以既包括所述系统的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述系统所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请中,对于相同或相似的术语概念、技术方案和/或应用场景描述,一般只在第一次出现时进行详细描述,后面再重复出现时,为了简洁,一般未再重复阐述,在理解本申请技术方案等内容时,对于在后未详细描述的相同或相似的术语概念、技术方案和/或应用场景描述等,可以参考其之前的相关详细描述。
在本申请中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本申请技术方案的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本申请记载的范围。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (10)

1.一种基于神经网络的工控系统网络安全监测方法,其特征在于,包括:
采集工控系统运行过程中的实时运行数据,所述实时运行数据为时序数据;
对所述实时运行数据进行第一预处理,获取其中的异常数据段;
将所述异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果;其中,所述异常检测模型由预先建立的神经网络模型训练得到。
2.如权利要求1所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,训练所述神经网络模型得到异常检测模型,包括:
采集工控系统的运行数据,建立工控系统异常状态数据集,并将所述异常状态数据集划分为训练集与验证集;
将所述训练集输入所述神经网络模型进行训练,得到训练后的神经网络模型;
利用所述验证集验证所述训练后的神经网络模型,获得所述异常检测模型。
3.如权利要求2所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,采集工控系统的运行数据,建立工控系统异常状态数据集,并将所述异常状态数据集划分为训练集与验证集,包括:
步骤1:从工控系统的运行数据中获取原始异常数据;
步骤2:对所述原始异常数据进行第二预处理,得到异常特征分析输入向量X i (i = 1,2,…,N);
步骤3:使用经验模态分解将异常特征分析输入向量X i 分解为6个本征模态函数和1个剩余信号R i ,并线性重构为:/>
步骤4:计算各个IMF分量的近似熵,得到异常特征分析输入向量的经验模态分解多尺度近似熵向量,并重复步骤2-步骤3,依次计算各个故障信号X i 的经验模态分解多尺度近似熵值,从而组建神经网络输入矩阵S 0
步骤5:将S 0 按照预设比例以随机抽样的方式划分成训练集S 1 和验证集S 2
4.如权利要求3所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,所述第二预处理包括畸变点定位、统一长度截取和数据归一化。
5.如权利要求1所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,对所述实时运行数据进行第一预处理,获取其中的异常数据段,包括:
按照时间顺序对所述实时运行数据依次进行检测,获取其中的离群点及所述离群点的分布状态;
根据所述离群点的分布状态,选取所述离群点中呈连续分布的离群点作为异常数据段。
6.如权利要求5所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,所述按照时间顺序对所述实时运行数据依次进行检测,获取其中的离群点,包括:
按照时间顺序,依次计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离,根据所述相对离群距离得到带有离群标识的离群数据以作为离群点。
7.如权利要求6所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离,包括:
计算每个所述实时运行数据与其余实时运行数据之间的马氏距离,将所述马氏距离作为每个所述实时运行数据与其余实时运行数据之间的相对离群距离。
8.如权利要求7所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,根据所述相对离群距离得到带有离群标识的离群数据,包括:
将多个所述实时运行数据的马氏距离分别与预先设定的阈值进行对比,马氏距离超过所述阈值的实时运行数据为离群数据,并对每个所述离群数据标记离群标识。
9.如权利要求1所述的一种基于神经网络的工控系统网络安全监测方法,其特征在于,所述神经网络模型为SOM神经网络。
10.一种基于神经网络的工控系统网络安全监测系统,其特征在于,包括:
数据采集模块,用于采集工控系统运行过程中的实时运行数据,所述实时运行数据为时序数据;
数据处理模块,用于对所述实时运行数据进行第一预处理,获取其中的异常数据段;
异常确认模块,用于将所述异常数据段输入到预设的异常检测模型中进行异常分析,获得异常分析结果;其中,所述异常检测模型由预先建立的神经网络模型训练得到。
CN202410065870.0A 2024-01-17 2024-01-17 一种基于神经网络的工控系统网络安全监测方法及系统 Active CN117579400B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410065870.0A CN117579400B (zh) 2024-01-17 2024-01-17 一种基于神经网络的工控系统网络安全监测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410065870.0A CN117579400B (zh) 2024-01-17 2024-01-17 一种基于神经网络的工控系统网络安全监测方法及系统

Publications (2)

Publication Number Publication Date
CN117579400A true CN117579400A (zh) 2024-02-20
CN117579400B CN117579400B (zh) 2024-03-29

Family

ID=89888601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410065870.0A Active CN117579400B (zh) 2024-01-17 2024-01-17 一种基于神经网络的工控系统网络安全监测方法及系统

Country Status (1)

Country Link
CN (1) CN117579400B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118503885A (zh) * 2024-07-17 2024-08-16 江西求是高等研究院 智能电网中异常数据检测方法、系统、存储介质及计算机

Citations (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104350471A (zh) * 2012-06-28 2015-02-11 国际商业机器公司 利用自动阈值设置在多时间序列数据中实时地检测异常
CN105847302A (zh) * 2016-05-31 2016-08-10 北京奇艺世纪科技有限公司 一种异常检测方法及装置
CN106982196A (zh) * 2016-01-19 2017-07-25 阿里巴巴集团控股有限公司 一种异常访问检测方法及设备
CN107402547A (zh) * 2017-08-29 2017-11-28 北京易沃特科技有限公司 基于离群点分析的设备异常检测方法及系统
CN108494747A (zh) * 2018-03-08 2018-09-04 上海观安信息技术股份有限公司 流量异常检测方法、电子设备及计算机程序产品
CN108830335A (zh) * 2018-06-26 2018-11-16 广东石油化工学院 光伏电站故障预警方法及系统
CN110287233A (zh) * 2019-06-18 2019-09-27 华北电力大学 一种基于深度学习神经网络的系统异常预警方法
US20200074269A1 (en) * 2018-09-05 2020-03-05 Sartorius Stedim Data Analytics Ab Computer-implemented method, computer program product and system for data analysis
CN111131274A (zh) * 2019-12-27 2020-05-08 国网四川省电力公司电力科学研究院 一种非侵入式智能变电站漏洞检测方法
CN111598165A (zh) * 2020-05-15 2020-08-28 杭州电子科技大学 一种基于极限学习机的密度聚类离群点检测方法
CN112188532A (zh) * 2019-07-02 2021-01-05 中国移动通信集团贵州有限公司 网络异常检测模型的训练方法、网络检测方法及装置
CN112639834A (zh) * 2018-09-05 2021-04-09 赛多利斯司特蒂姆数据分析公司 用于数据分析的计算机实现的方法、计算机程序产品以及系统
CN113225209A (zh) * 2021-04-20 2021-08-06 河海大学 一种基于时间序列相似检索的网络监控实时预警方法
CN113591078A (zh) * 2021-08-03 2021-11-02 暨南大学 基于卷积神经网络架构优化的工控入侵检测系统及方法
KR102415975B1 (ko) * 2021-07-23 2022-06-30 국방과학연구소 다중 레이블 아웃라이어 검출 방법 및 신호 송출원 식별 모델 확장 방법
CN114785666A (zh) * 2022-06-22 2022-07-22 北京必示科技有限公司 一种网络故障排查方法与系统
KR102437917B1 (ko) * 2021-05-28 2022-08-29 사단법인 한국금형산업진흥회 장비 운영 시스템
CN115396204A (zh) * 2022-08-26 2022-11-25 浙江大学 一种基于序列预测的工控网络流量异常检测方法及装置
CN115392404A (zh) * 2022-10-27 2022-11-25 清华大学 一种离群点检测模型训练、离群点检测方法及装置
CN115499185A (zh) * 2022-09-09 2022-12-20 国网电力科学研究院有限公司 一种电力监控系统网络安全客体异常行为分析方法及系统
CN115643086A (zh) * 2022-10-21 2023-01-24 国网四川省电力公司电力科学研究院 一种基于深度神经网络的未知威胁检测方法
CN115694910A (zh) * 2022-09-30 2023-02-03 浙江齐安信息科技有限公司 一种工业网络异常状态的检测方法及系统
CN116192523A (zh) * 2023-03-06 2023-05-30 湖南匡安网络技术有限公司 一种基于神经网络的工控异常流量监测方法和系统
CN116781346A (zh) * 2023-06-20 2023-09-19 广东工业大学 基于数据增强的卷积双向长短期记忆网络入侵检测方法
CN116861232A (zh) * 2023-06-06 2023-10-10 安徽大学 基于dbn-ocsvm的空气质量数据异常检测模型

Patent Citations (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104350471A (zh) * 2012-06-28 2015-02-11 国际商业机器公司 利用自动阈值设置在多时间序列数据中实时地检测异常
CN106982196A (zh) * 2016-01-19 2017-07-25 阿里巴巴集团控股有限公司 一种异常访问检测方法及设备
CN105847302A (zh) * 2016-05-31 2016-08-10 北京奇艺世纪科技有限公司 一种异常检测方法及装置
CN107402547A (zh) * 2017-08-29 2017-11-28 北京易沃特科技有限公司 基于离群点分析的设备异常检测方法及系统
CN108494747A (zh) * 2018-03-08 2018-09-04 上海观安信息技术股份有限公司 流量异常检测方法、电子设备及计算机程序产品
CN108830335A (zh) * 2018-06-26 2018-11-16 广东石油化工学院 光伏电站故障预警方法及系统
US20200074269A1 (en) * 2018-09-05 2020-03-05 Sartorius Stedim Data Analytics Ab Computer-implemented method, computer program product and system for data analysis
CN112639834A (zh) * 2018-09-05 2021-04-09 赛多利斯司特蒂姆数据分析公司 用于数据分析的计算机实现的方法、计算机程序产品以及系统
CN110287233A (zh) * 2019-06-18 2019-09-27 华北电力大学 一种基于深度学习神经网络的系统异常预警方法
CN112188532A (zh) * 2019-07-02 2021-01-05 中国移动通信集团贵州有限公司 网络异常检测模型的训练方法、网络检测方法及装置
CN111131274A (zh) * 2019-12-27 2020-05-08 国网四川省电力公司电力科学研究院 一种非侵入式智能变电站漏洞检测方法
CN111598165A (zh) * 2020-05-15 2020-08-28 杭州电子科技大学 一种基于极限学习机的密度聚类离群点检测方法
CN113225209A (zh) * 2021-04-20 2021-08-06 河海大学 一种基于时间序列相似检索的网络监控实时预警方法
KR102437917B1 (ko) * 2021-05-28 2022-08-29 사단법인 한국금형산업진흥회 장비 운영 시스템
KR102415975B1 (ko) * 2021-07-23 2022-06-30 국방과학연구소 다중 레이블 아웃라이어 검출 방법 및 신호 송출원 식별 모델 확장 방법
CN113591078A (zh) * 2021-08-03 2021-11-02 暨南大学 基于卷积神经网络架构优化的工控入侵检测系统及方法
CN114785666A (zh) * 2022-06-22 2022-07-22 北京必示科技有限公司 一种网络故障排查方法与系统
CN115396204A (zh) * 2022-08-26 2022-11-25 浙江大学 一种基于序列预测的工控网络流量异常检测方法及装置
CN115499185A (zh) * 2022-09-09 2022-12-20 国网电力科学研究院有限公司 一种电力监控系统网络安全客体异常行为分析方法及系统
CN115694910A (zh) * 2022-09-30 2023-02-03 浙江齐安信息科技有限公司 一种工业网络异常状态的检测方法及系统
CN115643086A (zh) * 2022-10-21 2023-01-24 国网四川省电力公司电力科学研究院 一种基于深度神经网络的未知威胁检测方法
CN115392404A (zh) * 2022-10-27 2022-11-25 清华大学 一种离群点检测模型训练、离群点检测方法及装置
CN116192523A (zh) * 2023-03-06 2023-05-30 湖南匡安网络技术有限公司 一种基于神经网络的工控异常流量监测方法和系统
CN116861232A (zh) * 2023-06-06 2023-10-10 安徽大学 基于dbn-ocsvm的空气质量数据异常检测模型
CN116781346A (zh) * 2023-06-20 2023-09-19 广东工业大学 基于数据增强的卷积双向长短期记忆网络入侵检测方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
DINA SAID: "Data preprocessing for distance-based unsupervised Intrusion Detection", 《IEEE XPLORE》, 4 August 2011 (2011-08-04) *
刘新倩: "基于多层次流量特征的网络异常检测方法研究", 《CNKI中国知网》, 15 March 2022 (2022-03-15) *
庞聪: "一种GOA优化SOM神经网络的VP型倾斜仪故障智能诊断方法", 《大地测量与地球动力学》, no. 43, 31 March 2023 (2023-03-31), pages 2 *
张靖雯: "基于深度学习的工控异常检测及攻击分类方法研究", 《CNKI中国知网》, 15 March 2020 (2020-03-15), pages 1 - 5 *
梅孝辉: "基于聚类的离群点挖掘在入侵检测中的应用研究", 《百度学术》, 29 December 2015 (2015-12-29) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118503885A (zh) * 2024-07-17 2024-08-16 江西求是高等研究院 智能电网中异常数据检测方法、系统、存储介质及计算机

Also Published As

Publication number Publication date
CN117579400B (zh) 2024-03-29

Similar Documents

Publication Publication Date Title
Lo et al. A hybrid deep learning based intrusion detection system using spatial-temporal representation of in-vehicle network traffic
Wang et al. Anomaly detection for industrial control system based on autoencoder neural network
CN117579400B (zh) 一种基于神经网络的工控系统网络安全监测方法及系统
CN112987675B (zh) 一种异常检测的方法、装置、计算机设备和介质
Clotet et al. A real-time anomaly-based IDS for cyber-attack detection at the industrial process level of critical infrastructures
Saghezchi et al. Machine learning for DDoS attack detection in industry 4.0 CPPSs
CN113822421B (zh) 基于神经网络的异常定位方法、系统、设备及存储介质
CN103077347A (zh) 一种基于改进核心向量机数据融合的复合式入侵检测方法
Chu et al. Industrial control intrusion detection approach based on multiclassification GoogLeNet‐LSTM model
CN116827764B (zh) 一种基于神经网络的物联网故障检测控制方法及系统
CN115718874A (zh) 异常检测
CN111600905A (zh) 一种基于物联网异常检测方法
Wu et al. Research on network intrusion detection technology based on machine learning
CN115713095A (zh) 基于混合深度神经网络的天然气管道异常检测方法和系统
CN115296933A (zh) 一种工业生产数据风险等级评估方法及系统
Yu et al. An efficient cascaded method for network intrusion detection based on extreme learning machines
Ma et al. Detecting anomalies in small unmanned aerial systems via graphical normalizing flows
Guibene et al. A pattern mining-based false data injection attack detector for industrial cyber-physical systems
Qin et al. Multi-view graph contrastive learning for multivariate time series anomaly detection in IoT
CN117933531A (zh) 一种分布式光伏发电功率预测系统及方法
CN117650969A (zh) 一种多源数据融合的电力监控系统用户行为异常分析方法及装置
DS et al. Comparative analysis of machine learning-based algorithms for detection of anomalies in IIoT
Zhang The WSN intrusion detection method based on deep data mining
Xu et al. Multi-Featured Anomaly Detection for Mobile Edge Computing Based UAV Delivery Systems
CN114969761A (zh) 一种基于lda主题特征的日志异常检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant