ICS入侵检测方法、装置、电子设备和存储介质转让专利
申请号 : CN202110199828.4
文献号 : CN113067798B
文献日 : 2022-04-12
发明人 : 孙利民 , 陈新 , 刘凯祥 , 谢永芳 , 吕世超
申请人 : 中国科学院信息工程研究所
摘要 :
本发明实施例提供一种ICS入侵检测方法、装置、电子设备和存储介质,其中方法包括:确定待检测的工业控制系统的网络数据集;将待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。本发明实现了工业控制系统网络攻击时异常检测的自动化、通用化和灵活化的提升。
权利要求 :
1.一种ICS入侵检测方法,其特征在于,包括:确定待检测的工业控制系统的网络数据集;
将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;
所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测,其中,所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,具体包括:
加载双向长短周期记忆BiLSTM网络的初始权重文件;
将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
根据最小损失值调整或更新相应的所述BiLSTM网络参数。
2.根据权利要求1所述的ICS入侵检测方法,其特征在于,所述入侵检测模型包括异常检测模型和异常分类模型;
所述异常检测模型是基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练得到的;所述异常分类模型是基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
3.根据权利要求2所述的ICS入侵检测方法,其特征在于,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果,包括:将所述待检测的工业控制系统的网络数据集输入至所述异常检测模型,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;
将所述正常样本特征输入至所述异常分类模型,输出异常分类结果:若为异常则报警,否则正常放行。
4.根据权利要求1所述的ICS入侵检测方法,其特征在于,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
5.根据权利要求4所述的ICS入侵检测方法,其特征在于,所述全连接层的概率计算函数如下:
其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
6.根据权利要求4所述的ICS入侵检测方法,其特征在于,所述交叉熵损失函数如下:其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
7.一种ICS入侵检测装置,其特征在于,包括:数据确定单元,用于确定待检测的工业控制系统的网络数据集;
入侵检测单元,用于将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据训练得到的;
所述入侵检测模型用于基于所述样本数据对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测,其中,所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,具体包括:文件加载模块,用于加载双向长短周期记忆BiLSTM网络的初始权重文件;
损失确定模块,用于将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
参数调整模块,用于根据最小损失值调整或更新相应的所述BiLSTM网络参数。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述ICS入侵检测方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述ICS入侵检测方法的步骤。
说明书 :
ICS入侵检测方法、装置、电子设备和存储介质
技术领域
[0001] 本发明涉及工业控制系统信息安全技术领域,尤其涉及一种ICS入侵检测方法、装置、电子设备和存储介质。
背景技术
[0002] 工业控制系统(Industrial Control Systems,ICS)是一类用于工业生产控制系统的统称,包括监测控制和数据采集(Supervisory Control And Data Acquisition,
SCADA)系统、分布式控制系统(Distributed Control System,DCS)以及其他小型控制系统
等。它是国家传统关键基础设施的核心,涉及冶金、化工、电力、水利等。传统ICS采用专用通
信协议等,使得整个系统隔离于互联网之外。随着IT技术发展、业务需求增加等因素,ICS开
始引入工业以太网、TCP/IP协议等。导致ICS从信息“孤岛”开始趋于开放化、标准化,与外部
网络连接更为紧密与频繁,但也导致ICS遭受越来越多的网络攻击,这些攻击给国家带来巨
大的经济损失,因此保护ICS免遭网络攻击变得越来越重要。
SCADA)系统、分布式控制系统(Distributed Control System,DCS)以及其他小型控制系统
等。它是国家传统关键基础设施的核心,涉及冶金、化工、电力、水利等。传统ICS采用专用通
信协议等,使得整个系统隔离于互联网之外。随着IT技术发展、业务需求增加等因素,ICS开
始引入工业以太网、TCP/IP协议等。导致ICS从信息“孤岛”开始趋于开放化、标准化,与外部
网络连接更为紧密与频繁,但也导致ICS遭受越来越多的网络攻击,这些攻击给国家带来巨
大的经济损失,因此保护ICS免遭网络攻击变得越来越重要。
[0003] 1986年Denning曾设计并介绍了专门检测攻击事件等安全威胁的“入侵检测模型”。相较于传统IT网络,工业控制系统存在实时性要求高、资源受限、更新困难,使用专有
协议等特点,导致针对传统IT网络的入侵检测算法难以直接应用在工业控制系统中。早期
阶段大多数研究成果过于依赖预定义的模型或行为进行异常检测,且需要大量人工参与;
一些特征或模型的构建来源于已知攻击,导致难以检测0day攻击或未知攻击;部分研究成
果针对特定的ICS,通用性与灵活性较差。
协议等特点,导致针对传统IT网络的入侵检测算法难以直接应用在工业控制系统中。早期
阶段大多数研究成果过于依赖预定义的模型或行为进行异常检测,且需要大量人工参与;
一些特征或模型的构建来源于已知攻击,导致难以检测0day攻击或未知攻击;部分研究成
果针对特定的ICS,通用性与灵活性较差。
发明内容
[0004] 本发明实施例提供一种ICS入侵检测方法、装置、电子设备和存储介质,用以解决目前ICS遭受越来越多的网络攻击时异常检测存在的上述部分或全部问题。
[0005] 第一方面,本发明实施例提供一种ICS入侵检测方法,包括:
[0006] 确定待检测的工业控制系统的网络数据集;
[0007] 将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
[0008] 其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;
[0009] 所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本
特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行
检测。
特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行
检测。
[0010] 优选地,所述入侵检测模型包括异常检测模型和异常分类模型;所述异常检测模型是基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练得
到的;所述异常分类模型是基于训练后的所述双向长短周期记忆网络提取出的正常样本特
征对单类支持向量机进行二级训练得到的。
到的;所述异常分类模型是基于训练后的所述双向长短周期记忆网络提取出的正常样本特
征对单类支持向量机进行二级训练得到的。
[0011] 优选地,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果,包括:
[0012] 将所述待检测的工业控制系统的网络数据集输入至所述异常检测模型,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;
[0013] 将所述正常样本特征输入至所述异常分类模型,输出异常分类结果:若为异常则报警,否则正常放行。
[0014] 优选地,基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,包括以下步骤:
[0015] 加载双向长短周期记忆BiLSTM网络的初始权重文件;
[0016] 将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
[0017] 根据最小损失值调整或更新相应的所述BiLSTM网络参数。
[0018] 优选地,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:
[0019] 将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
[0020] 将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
[0021] 优选地,所述全连接层的概率计算函数如下:
[0022]
[0023] 其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
[0024] 优选地,所述交叉熵损失函数如下:
[0025]
[0026] 其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
[0027] 第二方面,本发明实施例提供一种ICS入侵检测装置,包括:
[0028] 数据确定单元,用于确定待检测的工业控制系统的网络数据集;
[0029] 入侵检测单元,用于将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
[0030] 其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据训练得到的;
[0031] 所述入侵检测模型用于基于所述样本数据对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向
量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测。
量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测。
[0032] 第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所
提供的任一项所述ICS入侵检测方法的步骤。
提供的任一项所述ICS入侵检测方法的步骤。
[0033] 第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的任一项所述ICS入侵
检测方法的步骤。
检测方法的步骤。
[0034] 本发明实施例提供的一种ICS入侵检测方法、装置、电子设备和存储介质,通过基于特定工业场景网络数据集的样本数据及对应的标签向量对双向长短周期记忆网络进行
调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类
支持向量机进行二级训练后得到的入侵检测模型对工业控制系统的网络数据集进行异常
检测,以提高目前工业控制系统遭受越来越多的网络攻击时异常检测的自动化、通用化和
灵活化。
调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类
支持向量机进行二级训练后得到的入侵检测模型对工业控制系统的网络数据集进行异常
检测,以提高目前工业控制系统遭受越来越多的网络攻击时异常检测的自动化、通用化和
灵活化。
附图说明
[0035] 为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一
些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些
附图获得其他的附图。
些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些
附图获得其他的附图。
[0036] 图1是本发明提供的ICS入侵检测方法的流程示意图;
[0037] 图2是本发明提供的入侵检测模型框图;
[0038] 图3是本发明提供的异常检测模型训练示意图;
[0039] 图4是本发明提供的ICS入侵检测装置的结构示意图;
[0040] 图5是本发明提供的电子设备的结构示意图。
具体实施方式
[0041] 为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,
而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳
动前提下所获得的所有其他实施例,都属于本发明保护的范围。
而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳
动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0042] 下面结合图1‑图5描述本发明提供的一种ICS入侵检测方法、装置、电子设备和存储介质。
[0043] 本发明实施例提供了一种ICS入侵检测方法。图1为本发明实施例提供的ICS入侵检测方法的流程示意图,如图1所示,该方法包括:
[0044] 步骤110,确定待检测的工业控制系统的网络数据集;
[0045] 具体地,待检测的网络数据集与训练入侵检测模型时所采用的特定工业场景网络数据集特征保持一致,在实际应用中可选择采集与密西西比工业控制系统入侵检测标准数
据集或者其他特定工业场景网络数据集特征相一致的工业控制系统的网络数据集作为待
检测的网络数据集。
据集或者其他特定工业场景网络数据集特征相一致的工业控制系统的网络数据集作为待
检测的网络数据集。
[0046] 步骤120,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
[0047] 其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;
[0048] 具体地,特定工业场景网络数据集的样本数据可选取密西西比天然气管道数据集,数据源为天然气管道控制系统的网络层数据。数据经过数值化处理可以分为8类,包含7
种不同类别的攻击数据和正常数据。数据集中有完整数据共97018条数据,其中正常数据为
61155条,攻击数据为35863条,每一条数据的维数为26维,为26种特征属性值。选取完整数
据,按6:2:2分成3组,60%的训练数据,20%的验证数据,20%测试数据。对所选取的上述数
据集进行过采样处理之后进行标准归一化处理。该数据集所包含的具体特征见表1,攻击类
型见表2。
种不同类别的攻击数据和正常数据。数据集中有完整数据共97018条数据,其中正常数据为
61155条,攻击数据为35863条,每一条数据的维数为26维,为26种特征属性值。选取完整数
据,按6:2:2分成3组,60%的训练数据,20%的验证数据,20%测试数据。对所选取的上述数
据集进行过采样处理之后进行标准归一化处理。该数据集所包含的具体特征见表1,攻击类
型见表2。
[0049] 表1:数据集特征列表
[0050]
[0051]
[0052] 表2:攻击类型列表
[0053]
[0054] 特定工业场景网络数据集的样本数据还可选取其他网络数据集,例如,可使用密西西比储水池数据集。该数据集经过数值化处理也可分为8类,包含7种不同类别的攻击数
据和正常数据。数据集中有完整数据共236179条数据,其中正常数据为172415条,攻击数据
为63764条,每一条数据的维数为23维,为23种特征属性值。包含:地址、功能码、长度、设定
点、警报设定点、控制模式、控制方案、水压等。
据和正常数据。数据集中有完整数据共236179条数据,其中正常数据为172415条,攻击数据
为63764条,每一条数据的维数为23维,为23种特征属性值。包含:地址、功能码、长度、设定
点、警报设定点、控制模式、控制方案、水压等。
[0055] 所述入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本
特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行
检测。
特征对单类支持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行
检测。
[0056] 本发明实施例提供的方法,采用基于特定工业场景网络数据集的样本数据训练得到的入侵检测模型对工业控制系统的网络数据集进行异常检测,即,基于深度学习中双向
长短周期记忆网络BiLSTM完成了工控网络流量数据第一级检测;之后结合单类支持向量
机,通过BiLSTM提取的正常数据特征进行训练作为第二级检测,使入侵检测模型具有更好
的检测精度以及对未知类别的检测能力。本发明能够有效解决目前工业控制系统网络攻击
时存在的异常检测的自动化程度、通用性和灵活性不高的问题。
长短周期记忆网络BiLSTM完成了工控网络流量数据第一级检测;之后结合单类支持向量
机,通过BiLSTM提取的正常数据特征进行训练作为第二级检测,使入侵检测模型具有更好
的检测精度以及对未知类别的检测能力。本发明能够有效解决目前工业控制系统网络攻击
时存在的异常检测的自动化程度、通用性和灵活性不高的问题。
[0057] 需要说明的是,所述特定工业场景网络数据集的样本数据通过smote算法生成,由于攻击流量难以获取,使得数据较少,而选择的数据集存在样本不均衡现象,影响模型学习
效果,因此为了获得均衡的流量数据集,利用smote算法扩充用于训练和测试的流量样本数
据,smote算法采样均可使用python的imblearn.over_sampling库中smote函数实现,之后
再对每条数据进行标准归一化处理,从而弥补攻击样本数据量少影响学习效果等问题,加
强了训练后模型的泛化能力。所述样本数据生成方法过程如下:
效果,因此为了获得均衡的流量数据集,利用smote算法扩充用于训练和测试的流量样本数
据,smote算法采样均可使用python的imblearn.over_sampling库中smote函数实现,之后
再对每条数据进行标准归一化处理,从而弥补攻击样本数据量少影响学习效果等问题,加
强了训练后模型的泛化能力。所述样本数据生成方法过程如下:
[0058] 提取所述特定工业场景网络数据集中少数类的每个样本x,根据欧氏距离最小化原则从少数类样本数据集中找出少数类的每个样本的k个近邻样本;
[0059] 根据样本不均衡比例设置采样比例以确定采样倍率N,并对所述少数类的每个样本相应地从k个近邻样本随机选择N个样本;
[0060] 对于随机选择N个样本中的每个随机选出的近邻样本n,按照如下公式构建出新的样本数据xnew:
[0061] xnew=x+rand(0,1)*|x‑n|;
[0062] 其中,x为特定工业场景网络数据集中少数类的每个样本,n为每个随机选出的近邻样本。
[0063] 基于上述任一实施例,如图2所示,所述入侵检测模型包括异常检测模型210和异常分类模型220;所述异常检测模型210是基于所述样本数据及对应的标签向量对双向长短
周期记忆网络进行调参一级训练得到的;所述异常分类模型220是基于训练后的所述双向
长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
周期记忆网络进行调参一级训练得到的;所述异常分类模型220是基于训练后的所述双向
长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
[0064] 基于上述任一实施例,如图2所示,将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果,包括:
[0065] 将所述待检测的工业控制系统的网络数据集输入至所述异常检测模型210,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;
[0066] 将所述正常样本特征输入至所述异常分类模型220,输出异常分类结果:若为异常则报警,否则正常放行。具体地,入侵检测模型分为二级检测,将待检测流量数据归一化处
理后,送入已训练好的BiLSTM模型进行检测。若检测结果为异常,则报警/告警处理;若检测
结果为正常,则提取正常数据特征,再将提取的特征送入训练好的OCSVM模型进行检测。若
检测结果为正常,则放行;若检测结果为异常,则报警/告警处理
理后,送入已训练好的BiLSTM模型进行检测。若检测结果为异常,则报警/告警处理;若检测
结果为正常,则提取正常数据特征,再将提取的特征送入训练好的OCSVM模型进行检测。若
检测结果为正常,则放行;若检测结果为异常,则报警/告警处理
[0067] 基于上述任一实施例,基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练,如图3所示,包括以下步骤:
[0068] 步骤310,加载双向长短周期记忆BiLSTM网络的初始权重文件;
[0069] 具体地,首先搭建BiLSTM与OCSVM模型运行环境:利用Keras框架搭建BiLSTM模型;BiLSTM模型设计为2个双向LSTM层,1个dropout层,1个全连接层,激活函数使用softmax函
数。
数。
[0070] 步骤320,将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
[0071] 步骤330,根据最小损失值调整或更新相应的所述BiLSTM网络参数。
[0072] 需要说明的是,将所述样本数据按照6:2:2划分为训练集、验证集和测试集,首先利用训练集训练BiLSTM网络,再利用训练后的网络模型对测试集和验证集进行测试;重复
训练过程,获取最优BiLSTM网络模型,对于获得的最优BiLSTM网络模型对训练集的正常样
本进行特征提取,使用提取的特征训练OCSVM模型。
训练过程,获取最优BiLSTM网络模型,对于获得的最优BiLSTM网络模型对训练集的正常样
本进行特征提取,使用提取的特征训练OCSVM模型。
[0073] 基于上述任一实施例,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:
[0074] 将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
[0075] 将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
[0076] 具体地,根据标签的种类个数及训练集流量样本调整网络参数,先经过全连接层得到相应的概率,再经由损失函数输出损失值,网络参数随着最小损失值进行调整或更新。
[0077] 基于上述任一实施例,所述全连接层的概率计算函数如下:
[0078]
[0079] 其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
[0080] 具体地,全连接层为1*T的向量,其中,aj表示全连接层输入标签向量中第j个值,Pj为对应值的概率,标签向量的T个值,其真实标签对应位置的值为1,其他值均为0。需要说明
的是,样本数据对应的标签的种类是通过标签向量进行分类别的,这里是0‑7种类别,0代表
正常,其他值代表对应的攻击类别,之后可以处理成独立编码类型,是个T维的二进制向量,
对应类别的位置为1,如7可表示为:[0,0,0,0,0,0,0,1]这样的形式。
的是,样本数据对应的标签的种类是通过标签向量进行分类别的,这里是0‑7种类别,0代表
正常,其他值代表对应的攻击类别,之后可以处理成独立编码类型,是个T维的二进制向量,
对应类别的位置为1,如7可表示为:[0,0,0,0,0,0,0,1]这样的形式。
[0081] 基于上述任一实施例,所述交叉熵损失函数如下:
[0082]
[0083] 其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
[0084] 本发明采用工控入侵检测方法相比之前的入侵检测方法,具有自动提取时序特征、识别未知攻击,检测精度高等优点。同时实验结果表明,利用本方法对ICS网络攻击的识
别率达到了98%以上。由表3和表4可知本方法对于ICS入侵检测准确率有较大提升。
别率达到了98%以上。由表3和表4可知本方法对于ICS入侵检测准确率有较大提升。
[0085] 表3
[0086]
[0087] 表3为本发明与Feng等的算法、Khan等的算法,RF算法、BF算法及SVD算法比较的总体实验结果。
[0088] 表4
[0089]
[0090]
[0091] 表4为本发明与Feng等的算法、Khan等的算法,RF算法、BF算法及SVD算法比较的对各种攻击检测的实验结果。
[0092] 下面对本发明提供的一种ICS入侵检测装置进行描述,下文描述的与上文描述的一种ICS入侵检测方法可相互对应参照。
[0093] 图4为本发明实施例提供的ICS入侵检测装置的结构示意图,如图4所示,该装置包括数据确定单元410和入侵检测单元420:
[0094] 数据确定单元410,用于确定待检测的工业控制系统的网络数据集;
[0095] 入侵检测单元420,用于将所述待检测的工业控制系统的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;
[0096] 其中,所述入侵检测模型是基于特定工业场景网络数据集的样本数据训练得到的;
[0097] 所述入侵检测模型用于基于所述样本数据对双向长短周期记忆网络进行调参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向
量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测。
量机进行训练后,对所述待检测的工业控制系统的网络数据集进行检测。
[0098] 本发明实施例提供的装置,采用基于特定工业场景网络数据集的样本数据训练得到的入侵检测模型对工业控制系统的网络数据集进行异常检测,即,基于深度学习中双向
长短周期记忆网络BiLSTM完成了工控网络流量数据第一级检测;之后结合单类支持向量
机,通过BiLSTM提取的正常数据特征进行训练作为第二级检测,使入侵检测模型具有更好
的检测精度以及对未知类别的检测能力。本发明能够有效解决目前工业控制系统网络攻击
时存在的异常检测的自动化程度、通用性和灵活性不高的问题。
长短周期记忆网络BiLSTM完成了工控网络流量数据第一级检测;之后结合单类支持向量
机,通过BiLSTM提取的正常数据特征进行训练作为第二级检测,使入侵检测模型具有更好
的检测精度以及对未知类别的检测能力。本发明能够有效解决目前工业控制系统网络攻击
时存在的异常检测的自动化程度、通用性和灵活性不高的问题。
[0099] 基于上述任一实施例,所述入侵检测单元420包括异常检测模块和异常分类模块构成的入侵检测模型;所述异常检测模块是基于所述样本数据及对应的标签向量对双向长
短周期记忆网络进行调参一级训练得到的;所述异常分类模块是基于训练后的所述双向长
短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
短周期记忆网络进行调参一级训练得到的;所述异常分类模块是基于训练后的所述双向长
短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练得到的。
[0100] 基于上述任一实施例,所述异常检测模块,用于输入所述待检测的工业控制系统的网络数据集,输出异常检测结果:若为异常则报警,否则提取出正常样本特征;所述异常
分类模块,用于输入所述正常样本特征,输出异常分类结果:若为异常则报警,否则正常放
行。
分类模块,用于输入所述正常样本特征,输出异常分类结果:若为异常则报警,否则正常放
行。
[0101] 基于上述任一实施例,所述异常检测模块包括文件加载模块、损失确定模块和参数调整模块;
[0102] 所述文件加载模块,用于加载双向长短周期记忆BiLSTM网络的初始权重文件;
[0103] 所述损失确定模块,用于将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,并确定最小损失值;
[0104] 所述参数调整模块,用于根据最小损失值调整或更新相应的所述BiLSTM网络参数。
[0105] 基于上述任一实施例,所述将所述样本数据及对应的标签向量输入所述BiLSTM网络的全连接层,依次输出每个标签向量的损失值,包括:
[0106] 将所述样本数据及对应的标签向量输入全连接层的概率计算函数,得到标签向量对应值相应的概率;
[0107] 将所述标签向量对应值相应的概率输入交叉熵损失函数,得到损失值。
[0108] 基于上述任一实施例,所述全连接层的概率计算函数如下:
[0109]
[0110] 其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,Pj为标签向量中第j个值的概率,k为维度值。
[0111] 基于上述任一实施例,所述交叉熵损失函数如下:
[0112]
[0113] 其中,T为全连接层的总维度,aj表示全连接层输入的标签向量中第j个值,L为每个标签向量的损失值,Pj为标签向量中第j个值的概率。
[0114] 图5为本发明实施例提供的电子设备的结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器
(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540
完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行ICS入侵检测方
法,该方法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统
的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵
检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述
入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调
参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支
持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540
完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行ICS入侵检测方
法,该方法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统
的网络数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵
检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述
入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调
参一级训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支
持向量机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
[0115] 此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本
发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以
软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以
使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施
例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,
Read‑Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种
可以存储程序代码的介质。
发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以
软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以
使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施
例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,
Read‑Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种
可以存储程序代码的介质。
[0116] 另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所
述程序指令被计算机执行时,计算机能够执行上述各方法所提供的ICS入侵检测方法,该方
法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统的网络
数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵检测模
型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述入侵检
测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级
训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量
机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
述程序指令被计算机执行时,计算机能够执行上述各方法所提供的ICS入侵检测方法,该方
法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统的网络
数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵检测模
型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述入侵检
测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级
训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量
机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
[0117] 又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的ICS入侵检测方法,该方
法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统的网络
数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵检测模
型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述入侵检
测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级
训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量
机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
法包括:确定待检测的工业控制系统的网络数据集;将所述待检测的工业控制系统的网络
数据集输入至入侵检测模型中,得到工业控制系统的入侵检测结果;其中,所述入侵检测模
型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的;所述入侵检
测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级
训练,并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量
机进行二级训练后,对所述待检测的工业控制系统的网络数据集进行检测。
[0118] 以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单
元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其
中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性
的劳动的情况下,即可以理解并实施。
元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其
中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性
的劳动的情况下,即可以理解并实施。
[0119] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上
述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该
计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指
令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施
例或者实施例的某些部分所述的方法。
述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该
计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指
令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施
例或者实施例的某些部分所述的方法。
[0120] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可
以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;
而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和
范围。
以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;
而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和
范围。