工控入侵检测方法、装置、存储介质和设备转让专利
申请号 : CN202111585428.3
文献号 : CN113987481B
文献日 : 2022-05-03
发明人 : 张志群 , 何伟 , 还约辉 , 彭鑫 , 邹玲
申请人 : 浙江国利网安科技有限公司
摘要 :
权利要求 :
1.一种工控入侵检测方法,其特征在于,包括:获取预设的监控系统在当前预设时间周期内所采集的工控信息;所述工控信息包括多个维度的数据;每个维度的所述数据为:工控系统中每个工控设备在所述当前预设时间周期内所采集的数据;
对所述工控信息中各个维度的数据进行标准化处理,得到各个目标数据;
将各个所述目标数据作为预设的自编码模型的输入,经由所述自编码模型中的编码函数,将各个所述目标数据映射到预设的特征空间中,得到所述工控信息的特征;
将所述特征输入至预先构建的工控入侵检测模型中,得到所述工控入侵检测模型输出的检测结果;所述检测结果用于指示工控系统的状态,包括工控系统被入侵和工控系统未被入侵两种状态;所述工控入侵检测模型为采用支持向量机(SVM)的径向基函数作为激活函数的门控循环单元(GRU)模型,所述工控入侵检测模型基于样本工控信息的特征作为输入,并以人工针对所述样本工控信息所标定的状态标签作为训练目标,预先训练得到;所述样本工控信息为:所述监控系统在以往各个预设时间周期内所采集的历史工控信息;所述状态标签用于指示所述工控系统的状态;
在确定所述检测结果指示所述工控系统处于被入侵的状态的情况下,向用户发送报警提示。
2.根据权利要求1所述的方法,其特征在于,所述工控入侵检测模型基于样本工控信息的特征作为输入,并以人工针对所述样本工控信息所标定的状态标签作为训练目标,预先训练得到,包括:
获取所述监控系统在以往各个预设时间周期内所采集的历史工控信息,以及人工针对每个所述历史工控信息所标定的状态标签;所述历史工控信息包括多个维度的数据;
对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理,得到归属于同一维度的各个有效数据;
对于每个所述历史工控信息,对归属于同一所述历史工控信息的各个有效数据进行降维处理,得到每个所述历史工控信息的特征;
按照采集时间由早到晚的顺序,对各个所述历史工控信息的特征进行排序,得到特征序列;
将所述特征序列中的各个特征作为训练样本,输入至预设的门控循环单元模型中,获得每个所述训练样本的预测结果,并基于每个所述训练样本的预测结果,以及与每个所述训练样本对应的状态标签,利用预设的损失函数训练调整所述门控循环单元模型的参数,得到工控入侵检测模型;其中,所述门控循环单元模型所使用的激活函数为:支持向量机的径向基函数。
3.根据权利要求2所述的方法,其特征在于,所述将所述特征序列中的各个特征作为训练样本,输入至预设的门控循环单元模型中之前,还包括:预先利用网格搜索算法,确定所述门控循环单元模型的超参数。
4.根据权利要求2所述的方法,其特征在于,所述对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理,得到归属于同一维度的各个有效数据,包括:
计算以往各个预设时间周期内所采集的、且归属于同一维度的各个数据的中位数和绝对偏差;
将归属于同一维度的各个数据、所述中位数以及所述绝对偏差代入预设标准化公式中,计算得出归属于同一维度的各个有效数据。
5.一种工控入侵检测装置,其特征在于,包括:获取单元,用于获取预设的监控系统在当前预设时间周期内所采集的工控信息;所述工控信息包括多个维度的数据;每个维度的所述数据为:工控系统中每个工控设备在所述当前预设时间周期内所采集的数据;
标准化单元,用于对所述工控信息中各个维度的数据进行标准化处理,得到各个目标数据;
降维单元,用于将各个所述目标数据作为预设的自编码模型的输入,经由所述自编码模型中的编码函数,将各个所述目标数据映射到预设的特征空间中,得到所述工控信息的特征;
检测单元,用于将所述特征输入至预先构建的工控入侵检测模型中,得到所述工控入侵检测模型输出的检测结果;所述检测结果用于指示工控系统的状态,包括工控系统被入侵和工控系统未被入侵两种状态;所述工控入侵检测模型为采用支持向量机(SVM)的径向基函数作为激活函数的门控循环单元(GRU)模型,所述工控入侵检测模型基于样本工控信息的特征作为输入,并以人工针对所述样本工控信息所标定的状态标签作为训练目标,预先训练得到;所述样本工控信息为:所述监控系统在以往各个预设时间周期内所采集的历史工控信息;所述状态标签用于指示所述工控系统的状态;
提示单元,用于在确定所述检测结果指示所述工控系统处于被入侵的状态的情况下,向用户发送报警提示。
6.根据权利要求5所述的装置,其特征在于,所述检测单元用于预先训练得到所述工控入侵检测模型的过程,包括:
获取所述监控系统在以往各个预设时间周期内所采集的历史工控信息,以及人工针对每个所述历史工控信息所标定的状态标签;所述历史工控信息包括多个维度的数据;
对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理,得到归属于同一维度的各个有效数据;
对于每个所述历史工控信息,对归属于同一所述历史工控信息的各个有效数据进行降维处理,得到每个所述历史工控信息的特征;
按照采集时间由早到晚的顺序,对各个所述历史工控信息的特征进行排序,得到特征序列;
将所述特征序列中的各个特征作为训练样本,输入至预设的门控循环单元模型中,获得每个所述训练样本的预测结果,并基于每个所述训练样本的预测结果,以及与每个所述训练样本对应的状态标签,利用预设的损失函数训练调整所述门控循环单元模型的参数,得到工控入侵检测模型;其中,所述门控循环单元模型所使用的激活函数为:支持向量机的径向基函数。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,所述程序执行权利要求1‑4任一所述的工控入侵检测方法。
8.一种工控入侵检测设备,其特征在于,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1‑4任一所述的工控入侵检测方法。
说明书 :
工控入侵检测方法、装置、存储介质和设备
技术领域
背景技术
线。
会针对工控指令的数据域进行篡改,并不会给流量数据的变化带来任何影响。显然,现有的
工控入侵检测方式难以识别出针对工控指令的数据域进行篡改的入侵行为,其识别准确率
较低。
发明内容
间周期内所采集的数据;
对所述样本工控信息所标定的状态标签作为训练目标,预先训练得到;所述样本工控信息
为:所述监控系统在以往各个预设时间周期内所采集的历史工控信息;所述状态标签用于
指示所述工控系统的状态;
所述训练样本对应的状态标签,利用预设的损失函数训练调整所述门控循环单元模型的参
数,得到工控入侵检测模型;其中,所述门控循环单元模型所使用的激活函数为:支持向量
机的径向基函数。
所述当前预设时间周期内所采集的数据;
入,并以人工针对所述样本工控信息所标定的状态标签作为训练目标,预先训练得到;所述
样本工控信息为:所述监控系统在以往各个预设时间周期内所采集的历史工控信息;所述
状态标签用于指示所述工控系统的状态;
所述训练样本对应的状态标签,利用预设的损失函数训练调整所述门控循环单元模型的参
数,得到工控入侵检测模型;其中,所述门控循环单元模型所使用的激活函数为:支持向量
机的径向基函数。
前预设时间周期内所采集的数据。对工控信息中各个维度的数据进行标准化处理,得到各
个目标数据。对各个目标数据进行降维处理,得到工控信息的特征。将特征输入至预先构建
的工控入侵检测模型中,得到工控入侵检测模型输出的检测结果。工控入侵检测模型基于
样本工控信息的特征作为输入,并以人工针对样本工控信息所标定的状态标签作为训练目
标,预先训练得到。样本工控信息为:监控系统在以往各个预设时间周期内所采集的历史工
控信息。在确定检测结果指示工控系统处于被入侵的状态的情况下,向用户发送报警提示。
相较于现有技术,本申请所示方案利用工控系统各个工控设备所采集的数据,作为工控入
侵检测的参考特征,并以GRU模型作为参考模型,构建工控入侵检测模型,利用工控入侵检
测模型,能够准确识别出针对工控指令的数据域进行篡改的入侵行为,提高工控入侵检测
的识别准确率。此外,对各个工控设备所采集的数据进行标准化处理以及降维处理,使得工
控入侵检测模型的检测结果更加可靠,从而进一步提高工控入侵检测的识别准确率。
附图说明
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
具体实施方式
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
中,将每个工控设备所采集的数据视为一个维度的数据,为此,工控信息包括m个维度的数
据,m代表工控系统中各个工控设备的总数。此外,人工针对每个历史工控信息所标定的状
态标签,用于指示工控系统的状态,即用于指示工控系统是否被入侵,具体的,状态标签设
为1,则确定工控系统处于被入侵状态,状态标签设为0,则确定工控系统处于未被入侵状
态。
由早到晚的顺序,对T个历史工控信息进行排序,得到历史工控信息序列,将历史工控信息
序列设为X。显然,X作为监控系统在以往T时刻内所采集的历史工控信息集合,可以将X视为
时序数据。
控入侵检测模型。然而,使用流量特征作为工控系统的入侵检测的参考依据,只能在一定程
度上检测出工控系统的状态。但是,如果攻击者只篡改工控指令的数据域,仅仅通过检测流
量特征不一定能够发现这种篡改,而使用工控系统中各个工控设备所采集的数据作为工控
入侵检测的参考依据,可以为检测这种入侵行为提供有效依据。也就是说,利用各个工控设
备所采集的数据,作为工控入侵检测的参考特征,训练所得到的工控入侵检测模型,其识别
入侵行为的准确性较高。
的情况,因此,不同的工控设备所采集的数据在值域上存在较大的差别,例如,温度传感器
所采集的数据(即温度)的取值范围为[‑50,50],压力传感器所采集的数据(即压力)的取值
范围为[1000,3000]。
低的数据在模型中的作用,从而降低模型的检测结果的可靠性。为了保证模型的检测结果
的可靠性,需对各个维度的数据进行标准化处理。
时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理的具体过程,可以参
见公式(1)所示。
一维度的各个数据的中位数,d代表以往各个预设时间周期内、且归属于同一维度的各个数
据的绝对偏差,绝对偏差的计算公式如公式(2)所示。
并选取数据序列中的中位数。一般来讲,若N为奇数,则xmedian等于数据序列中序位为(N+1)/
2的数据的取值。若N为偶数,则xmedian等于第一数值和第二数值的平均值,第一数值为数据
序列中序位为N/2的数据的取值,第二数值为数据序列中序位为N/2+1的数据的取值。
数据、中位数以及绝对偏差代入预设标准化公式中,计算得出归属于同一维度的各个有效
数据。
的输入,经由自编码模型中的编码函数encoder(g),将各个有效数据x'映射到预设的特征
空间z中,实现对各个有效数据的降维处理。
作为历史工控信息的特征。
本的预测结果,以及与每个训练样本对应的状态标签,利用预设的损失函数训练调整GRU模
型的参数,得到工控入侵检测模型。
Machine,SVM)的径向基函数,作为GRU模型中的激活函数。每个训练样本所属工控信息的状
态标签,即为与每个训练样本对应的状态标签。
的记忆相结合,更新门定义了前面记忆保存到当前时间步的量。具体的,GRU模型的工作原
理为:利用门控机制控制输入、记忆等信息而在当前时间步做出预测。
个特征,σ代表激活函数(具体为SVM的径向基函数),W 代表预设的权重矩阵,W xt代表
(z) (z)
对xt进行线性变换,U 代表预设的偏移矩阵,ht‑1代表前一个时间步的信息,U ht‑1代表对
ht‑1进行线性变换。
变换,U 代表预设的偏移矩阵,U ht‑1代表对ht‑1进行线性变换。
哈达玛积(简称为Hadamard乘积),即计算rt与Uht‑1之间的对应元素乘积。由于重置门rt是一
个由 0 到 1 组成的向量,因此,h't可以用于衡量门控开启的大小,具体的,若元素对应的
门控值h't为 0,那么h't就代表这个元素的信息完全被遗忘掉。此外,Hadamard 乘积将确定
所要保留与遗忘的以前信息。
储过去相关的信息。
时间步保留到最终记忆的信息,(1‑zt)⊙h't代表当前记忆保留至最终记忆的信息,zt⊙ht‑1
所示信息与(1‑zt)⊙h't所示信息的总和即为ht。
统是否遭受到入侵,即用于评估工控系统的状态),该差距可以用来更新GRU模型的各个参
(z) (z) (r) (r)
数(即上述公式提及的W 、U 、W 、U 、W与U),使得差距不断减小,最终会低于预设阈
值。可选的,预设的损失函数具体可以为均方误差(Mean Square Error,MSE)函数。
此,在训练GRU模型之前,还需要确定GRU模型的超参数。可选的,本申请实施例所采用的超
参数,包括但不限于为:学习率、隐藏层层数、每层神经元的数量等。此外,确定GRU模型的超
参数的具体实现方式包括但不限于为网格搜索法。
步骤的解释说明。
设的特征空间中,得到工控信息的特征。
模型,利用工控入侵检测模型,能够准确识别出针对工控指令的数据域进行篡改的入侵行
为,提高工控入侵检测的识别准确率。此外,对各个工控设备所采集的数据进行标准化处理
以及降维处理,使得工控入侵检测模型的检测结果更加可靠,从而进一步提高工控入侵检
测的识别准确率。
可选的实现方式。为此,上述实施例所示的流程,可以概括为图2所示的方法。
往各个预设时间周期内所采集的历史工控信息;状态标签用于指示工控系统的状态。
模型,利用工控入侵检测模型,能够准确识别出针对工控指令的数据域进行篡改的入侵行
为,提高工控入侵检测的识别准确率。此外,对各个工控设备所采集的数据进行标准化处理
以及降维处理,使得工控入侵检测模型的检测结果更加可靠,从而进一步提高工控入侵检
测的识别准确率。
设时间周期内所采集的数据。
特征。
工针对样本工控信息所标定的状态标签作为训练目标,预先训练得到;样本工控信息为:监
控系统在以往各个预设时间周期内所采集的历史工控信息;状态标签用于指示工控系统的
状态。
所标定的状态标签;历史工控信息包括多个维度的数据;对以往各个预设时间周期内所采
集的、且归属于同一维度的各个数据进行标准化处理,得到归属于同一维度的各个有效数
据;对于每个历史工控信息,对归属于同一历史工控信息的各个有效数据进行降维处理,得
到每个历史工控信息的特征;按照采集时间由早到晚的顺序,对各个历史工控信息的特征
进行排序,得到特征序列;将特征序列中的各个特征作为训练样本,输入至预设的门控循环
单元模型中,获得每个训练样本的预测结果,并基于每个训练样本的预测结果,以及与每个
训练样本对应的状态标签,利用预设的损失函数训练调整门控循环单元模型的参数,得到
工控入侵检测模型;其中,门控循环单元模型所使用的激活函数为:支持向量机的径向基函
数。
代入预设标准化公式中,计算得出归属于同一维度的各个有效数据。
模型,利用工控入侵检测模型,能够准确识别出针对工控指令的数据域进行篡改的入侵行
为,提高工控入侵检测的识别准确率。此外,对各个工控设备所采集的数据进行标准化处理
以及降维处理,使得工控入侵检测模型的检测结果更加可靠,从而进一步提高工控入侵检
测的识别准确率。
上述本申请提供的工控入侵检测方法,包括如下步骤:
间周期内所采集的数据;
对所述样本工控信息所标定的状态标签作为训练目标,预先训练得到;所述样本工控信息
为:所述监控系统在以往各个预设时间周期内所采集的历史工控信息;所述状态标签用于
指示所述工控系统的状态;
得到,包括:
所述训练样本对应的状态标签,利用预设的损失函数训练调整所述门控循环单元模型的参
数,得到工控入侵检测模型;其中,所述门控循环单元模型所使用的激活函数为:支持向量
机的径向基函数。
施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,
该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计
算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部
分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光
盘等各种可以存储程序代码的介质。
一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请
将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一
致的最宽的范围。