WO2020143226A1

WO2020143226A1 - 一种基于集成学习的工业控制系统入侵检测方法

Info

Publication number: WO2020143226A1
Application number: PCT/CN2019/101246
Authority: WO
Inventors: 程鹏; 高向珊; 方崇荣; 汪京培; 陈积明; 王文海; 孙优贤
Original assignee: 浙江大学
Priority date: 2019-01-07
Filing date: 2019-08-18
Publication date: 2020-07-16
Also published as: CN109861988A

Abstract

本发明公开了一种基于集成学习的工业控制系统入侵检测方法。该方法通过采集工业控制系统现场数据，对通信数据进行报文解析得到结构化样本，然后，通过特征筛选与提取选取合适的特征集，输入到由多种机器学习算法组成的集成学习模型中，最终通过学习算法判断具体的工业控制系统通信数据是正常还是异常。本发明利用智能学习算法充分挖掘工业控制系统通信数据的有效信息，并通过集成学习这一模型融合方法有效提高了入侵检测的准确率，降低了漏报率。

Description

一种基于集成学习的工业控制系统入侵检测方法

技术领域

本发明属于工业控制系统安全领域，涉及一种基于集成学习的工业控制系统入侵检测方法。

背景技术

工业控制系统是一种用于工业生产的控制系统。人们通过先进的计算机和网络技术，利用工业控制系用对传统的工业流程进行可靠、高效的控制。它包括数据监控与采集系统、分布式控制系统、可编程逻辑控制器、人机交互接口、智能终端等系统。工业控制系统已经广泛地应用于各行各业，如交通，电力，石油化工，水处理，天然气输送等。其为国家关键基础设施建设做出重要贡献，影响人民生活的方方面面，是经济发展的重要保障。

近年来，随着各种新兴信息技术的高速发展，工业化和信息化更加紧密的结合。更多的现代化信息技术被应用在传统的工业控制系统中，同时各种标准化的通信协议及网络交换架构在工业控制系统中风靡。而事实上，由工业控制系统控制和监控的基础设施在过去是物理隔绝和相互独立的。由于先进信息技术和通信网络技术(如以太网)的加入，工业控制系统的开放性得到了极大的提升，同时也暴露在更多的安全隐患中。具体来说，如工业控制系统中常用的现场总线、设备通信协议(Modbus等)，在设计之初没有将安全问题作为重要因素考虑，其通信报文大多以明文格式传输，且缺乏有效严格的身份验证。另一方面，工业控制系统中的控制机器操作系统通常缺乏及时的更新与漏洞修复，使外在攻击者有机可乘。连入公网的工业控制系统满足了高速发展的工业生产环境，同时也面临着网络带来的病毒、蠕虫带来的安全威胁。工业控制系统相关的安全事件呈现逐年增长的趋势，其安全问题亟需关注。

发明内容

本发明的目的在于针对目前工业控制系统安全的欠缺和不足，提供一种基于集成学习的工业控制系统入侵检测方法。

本发明的目的是通过以下技术方案来实现的：一种基于集成学习的工业控制系统入侵检测方法，包括以下步骤；

(1)通过带镜像口的交换机设备利用抓包软件采集工业控制系统通信数据，并对通信数据标记类别标签，类别包括异常和正常。

(2)对工业控制系统通信数据进行协议解析工作，识别、提取其中有效特征，包括：通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code)等。

(3)在步骤(2)提取的有效特征中，利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集。

(4)对特征集中的数据进行预处理，将每一条网络通信报文处理成一条标准化的多维向量数据。

(5)将步骤(4)处理后的多维向量数据输入到集成学习模型中，对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据。

进一步地，所述步骤(1)中，数据来源可以是实际现场数据也可以是安全测试平台数据。抓包软件包括Wireshark、Tcpdump等。

进一步地，所述步骤(2)中，针对不同的工业控制系统通信协议可以提取出不同的有效特征。常用的工业控制系统通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7等，其中每种通信协议有对应的格式与应用场景，在入侵检测过程中，根据具体场景可以解析不同的通信协议，得出检测所需要的有效特征集合。

进一步地，所述步骤(3)中，所述机器学习特征选择技术采用决策树算法进行特征筛选，包括信息熵、互信息等。

进一步地，所述步骤(4)中，具体预处理方法包括缺失值补充、特征编码、数据极大极小标准化等。

进一步地，所述步骤(5)中，集成学习是指通过融合多个机器学习算法来完成学习任务，集成学习方法包括bagging，boosting和stacking方法。

进一步地，所述步骤(5)中，集成学习模型所用到的集成学习方法是融合多个树模型的stacking方法；该方法采用多层次的学习，其中第一层有多个基模型，其中每个基模型会对训练集做多次交叉验证，每次抽取部分训练集进行训练，最后拼凑得到整个训练集的输出(如果不这样会造成训练集样本的过拟合)，测试集的输出取平均即可，最后将每个基模型训练集的输出当作特征输入到第二层进行训练，最后得到最终的结果，并在测试集上验证。

本发明的有益效果是：基于集成学习的工业控制系统入侵检测方法，增加了工业控制系统入侵检测的智能性与检测准确性。相比传统单一的机器学习入侵检测方法，本发明方法的入侵检测准确率得到大幅提升。Stacking方法是一种异构算法，有效给工业控制系统入侵检测带来不同学习模型的训练效果。本发明方法实时性好，实现方便。

附图说明

图1是本发明方法流程图。

图2是本发明方法原理图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细说明。

本实施例提供了一种基于集成学习的工业控制系统入侵检测方法，包括如下步骤：

(1)通过带镜像口的交换机设备利用抓包软件采集工业控制系统通信数据，并对通信数据标记类别标签，类别包括异常和正常。数据来源可以是实际现场数据也可以是安全测试平台数据。抓包软件包括Wireshark、Tcpdump等。

(2)对工业控制系统通信数据进行协议解析工作，识别、提取其中有效信息，包括：通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code)等。针对不同的工业控制系统通信协议可以提取出不同的有效特征。常用的工业控制系统通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7等，其中每种通信协议有对应的格式与应用场景，在入侵检测过程中，根据具体场景可以解析不同的通信协议，得出检测所需要的有效特征集合。

(3)在步骤(2)提取的有效特征中，利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集。机器学习特征选择技术可以采用决策树算法进行特征筛选，包括信息熵、互信息等。

(4)对特征集中的数据进行预处理，将每一条网络通信报文处理成一条标准化的多维向量数据。预处理方法包括缺失值补充、特征编码、数据极大极小标准化等。

(5)将步骤(4)处理后的多维向量数据输入到集成学习模型中，对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据。集成学习是指通过融合多个机器学习算法来完成学习任务，集成学习方法包括bagging，boosting和stacking方法。具体是通过输入数据X，学习一个模型函数f，将X映射到输出变量Y:Y＝f(X)，其中Y代表数据是否为异常；而该集成学习算法利用多个学习模型函数f进行融合判断。

图1是本发明方法流程图。对于工业控制系统网络入侵检测器，首先对所采集到的网络通信数据进行处理。这种预处理包括对原始网络流数据的解析。通过对工控协议通信模式的掌握，将不同的网络通信报文分解成不同的字段，进而解析成结构化的数据，方便后续匹配/处理。然后经过一些特征提取步骤，选择重要的检测特征加入特征集，供后续检测算法使用。这里的选择方法有多种，如专家知识、信息熵等。通过建立高质量且不冗余的特征集合，能有效代表系统所采集的网络数据，且合理利用计算资源。随后将特征集合输入到检测算法中进行检测。这里的检测算法指stacking类型的集成学习算法。由于工业控制系统有着庞大的设备集群和大量的通信流量，简单的设立正常/异常模式不能精确的做到异常报警，通过机器学习方法能处理大量数据，主动挖掘网络数据间的关联，也是传统误用检测和异常检测的综合，能够实现高精度低漏报的智能入侵检测。

图2是具体的stacking集成学习算法原理图。该方法用不同的基学习器进行模型融合学习，即异构。该方法采用多层次的学习，其中第一层有多个基模型，其中每个基模型会对训练集做多次交叉验证，每次抽取部分训练集进行训练，最后拼凑得到整个训练集的输出(如果不这样会造成训练集样本的过拟合)，测试集的输出取平均即可，最后将每个基模型训练集的输出当作特征输入到第二层进行训练，最后得到最终的结果，并在测试集上验证。图中模型A、B、C、D、E均为不同的模型，可以在众多基础机器学习模型中选取，如支持向量机，决策树，神经网络，或者其他集成类型的树模型如随机森林，梯度提升树等。

上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。

Claims

一种基于集成学习的工业控制系统入侵检测方法，其特征在于，包括以下步骤；

(1)通过带镜像口的交换机设备利用抓包软件采集工业控制系统通信数据，并对通信数据标记类别标签。

(2)对工业控制系统通信数据进行协议解析工作，识别、提取其中有效特征，包括：通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code)等。

(3)在步骤(2)提取的有效特征中，利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集。

(4)对特征集中的数据进行预处理，将每一条网络通信报文处理成一条标准化的多维向量数据。

(5)将步骤(4)处理后的多维向量数据输入到集成学习模型中，对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据。2、根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法，其特征在于，所述步骤(1)中，数据来源可以是实际现场数据也可以是安全测试平台数据。抓包软件包括Wireshark、Tcpdump等。
根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法，其特征在于，所述步骤(2)中，针对不同的工业控制系统通信协议可以提取出不同的有效特征。常用的工业控制系统通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7等，其中每种通信协议有对应的格式与应用场景，在入侵检测过程中，根据具体场景可以解析不同的通信协议，得出检测所需要的有效特征集合。
根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法，其特征在于，所述步骤(3)中，所述机器学习特征选择技术采用决策树算法进行特征筛选，包括信息熵、互信息等。
根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法，其特征在于，所述步骤(4)中，具体预处理方法包括缺失值补充、特征编码、数据极大极小标准化等。
根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法，其特征在于，所述步骤(5)中，集成学习是指通过融合多个机器学习算法来完成学习任务，集成学习方法包括bagging，boosting和stacking方法。
根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法，其特征在于，所述步骤(5)中，集成学习模型所用到的集成学习方法是融合多个树模型的stacking方法；该方法采用多层次的学习，其中第一层有多个基模型，其中每个基模型会对训练集做多次交叉验证，每次抽取部分训练集进行训练，最后拼凑得到整个训练集的输出，测试集的输出取平均即可，最后将每个基模型训练集的输出当作特征输入到第二层进行训练，最后得到最终的结果，并在测试集上验证。