CN113705624B - 一种用于工控***的入侵检测方法和*** - Google Patents

一种用于工控***的入侵检测方法和*** Download PDF

Info

Publication number
CN113705624B
CN113705624B CN202110901437.2A CN202110901437A CN113705624B CN 113705624 B CN113705624 B CN 113705624B CN 202110901437 A CN202110901437 A CN 202110901437A CN 113705624 B CN113705624 B CN 113705624B
Authority
CN
China
Prior art keywords
class
data
classification
intrusion detection
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110901437.2A
Other languages
English (en)
Other versions
CN113705624A (zh
Inventor
尚文利
曹忠
杨思铭
韩统约
揭海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202110901437.2A priority Critical patent/CN113705624B/zh
Publication of CN113705624A publication Critical patent/CN113705624A/zh
Application granted granted Critical
Publication of CN113705624B publication Critical patent/CN113705624B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Image Analysis (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本发明涉及工业控制***入侵检测领域,尤其是一种用于工控***的入侵检测方法和***。其方法包括:对获取的原始ModbusTCP数据进行逐帧摄取处理,将不同功能特征的值和攻击类别标签转化为可被编程识别的形式;对攻击分类特征集数据进行主成分分析降维处理,去除冗余数据,生成多类分类数据集;将不同类别的攻击数据分别与正常数据结合生成二类分类数据集;训练产生二类分类检测器、多类分类检测器;将多个二类分类器通过或门相连得到分布式二类分类检测器入侵检测***,将多类分类器部署形成多类分类检测器入侵检测***;优化算法模型,将ModbusTCP数据输入优化的入侵检测***进行分类处理,获取入侵检测结果;提高了工业控制***中入侵检测的准确度和效率。

Description

一种用于工控***的入侵检测方法和***
技术领域
本发明涉及工业控制***入侵检测领域,尤其是一种用于工控***的入侵检测方法和***。
背景技术
工业控制***在实际运行过程中会遭受不同种类的入侵行为,会对工业生产造成严重的安全威胁。例如,响应注入攻击,通过操纵PLC的响应来欺骗ICS工作人员或自动控制***,使其不知道***的实际状态,从而做出错误的操作;命令注入攻击,通过操纵发出的命令来控制***,或者获取有关***和PLC的信息。
在现有的技术中,主要通过两个方面来进行入侵检测,第一个方面是基于规则的检测,通过分析网络协议、数据行为、***状态等特性,获取异常行为特征,建立检测规则。第二个方面是基于模型的检测,通过对工控***进行数学建模,比较实际测量值与模型预测值的差异,根据差异值进行检测。
在现有的入侵检测方法中,例如基于规则和基于模型的入侵检测过程中,其都是利用静态的规则或者模型进行检测。这种方法存在一定的局限性:基于规则的检测难以有效防范利用正常行为规则伪装并渗透进***的攻击,并且难用一套模型来描述***中所有用户的行为。此外,同时设计过多的预置模型对入侵检测的实时性操作有着很大的影响,而在采用机器学习算法的入侵检测中,卷积神经网络为使用得比较广泛的一种算法,但是卷积神经网络在样本数量较少的时候,容易产生较大的“误报率”与“漏报率”,且容易陷入局部极值问题。
发明内容
为解决现有技术所存在的技术问题,本发明提供一种用于工控***的入侵检测方法和***,可以提高工业控制***中ModbusTCP入侵检测的准确度和效率,通过对原始ModbusTCP数据进行逐帧摄取处理后,对得到的特征数据进行组合,得到二类分类特征集与多类分类特征集,将特征集利用主成分分析(PCA)降维后,利用机器学习算法训练模型得到二类分类器与多类分类器,最后部署分布式二类分类检测器入侵检测***与多类分类检测器入侵检测***。
根据本发明的一种用于工控***的入侵检测方法,包括以下步骤:
S101、对获取的原始ModbusTCP数据进行逐帧摄取处理,将不同功能特征的值和攻击类别标签转化为可被编程识别的形式;
S102、对攻击分类特征集数据进行主成分分析降维处理,去除冗余数据,生成多类分类数据集;
S103、将不同类别的攻击数据分别与正常数据结合生成二类分类数据集;
S104、利用机器学习算法基于二类分类数据集训练产生二类分类检测器;
S105、利用机器学习算法基于多类分类数据集训练产生多类分类检测器;
S106、将多个二类分类器通过一个或门相连,得到分布式二类分类检测器入侵检测***;
S107、将多类分类器部署形成多类分类检测器入侵检测***;
S108、利用在线学习算法与梯度下降法优化算法模型;
S109、ModbusTCP数据输入上述优化的入侵检测***进行分类处理,获取工业控制***Modbus TCP的入侵检测结果。
根据本发明的一种用于工控***的入侵检测***,包括:
原始数据分解处理模块,用于对原始的ModbusTCP数据进行逐帧摄取,分解处理得到不同功能特征的值和攻击类别标签,组成攻击分类特征集;
数据集生成模块,用于将不同类别的攻击数据分别与正常数据结合生成二类分类数据集;
机器学习算法训练模块,用于利用机器学习算法基于二类分类数据集训练产生二类分类检测器;
数据分类模块,用于根据全体二类分类器输出的结果0或1,对输入的某条ModbusTCP数据进行分类,二类分类器输出的结果是1表示具有攻击行为的ModbusTCP数据,二类分类器输出的结果是0表示正常ModbusTCP数据;
算法模型优化模块,利用在线学习算法与梯度下降法对入侵检测模型进行优化。
本发明与现有技术相比,具有如下优点和有益效果:
1、本发明通过对原始ModbusTCP数据进行处理,得到攻击分类特征集,然后将不同攻击类别的攻击数据分别与正常数据结合,得到二类分类特征集。接着利用二类分类特征集采用机器学习算法构建二类分类器,并将针对不同攻击类别的二类分类器进行组合得到分布式二类分类检测器入侵检测***。采用多类攻击分类特征集利用机器学习算法构建多类分类器,得到多类分类检测器入侵检测***,提高了工业控制***中ModbusTCP入侵检测的准确度和效率。
2、本发明采用在线学习算法与梯度下降法优化算法模型,提高了工业控制***中ModbusTCP入侵检测的精确度。
附图说明
图1为本发明实施例中用于工业控制***ModbusTCP入侵检测方法的流程图;
图2为本发明实施例中ModbusTCP原始数据分析示意图;
图3为本发明实施例中分布式二类分类检测器入侵检测***示意图;
图4为本发明实施例中多类分类检测器入侵检测***示意图;
图5为本发明实施例中多类分类检测器入侵检测***优化示意图;
图6为本发明实施例中二类分类检测器入侵检测***结构框架图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步的详细说明。对于以下实施例中的步骤编号,其仅为了便于阐述说明而设置,对步骤之间的顺序不做任何限定,实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
本发明通过对原始ModbusTCP数据进行逐帧摄取处理后,对得到的特征进行组合,进行主成分分析(PCA)降维处理,得到二类分类特征集与多类分类特征集,利用机器学习算法训练模型得到二类分类器与多类分类器,最后部署分布式二类分类检测器入侵检测***与多类分类检测器入侵检测***。
实施例1
如图1所示,本实施例中一种用于工业控制***的入侵检测方法包括以下步骤:
S101、对获取的原始ModbusTCP数据进行逐帧摄取处理,得到不同功能特征的值和攻击类别标签,将这些值转化为可被编程识别的形式,得到攻击分类特征集。
逐帧摄取远程终端设备(RTU)的数据,将数据帧分解为观测数据的单个值;将数据项(如浮点值)转换为以编程方式表示的变量;根据时间将变量分组到集合中。
在一个优选的实施例中,如图2所示,对原始的ModbusTCP数据进行逐帧摄取处理时,首先对原始的ModbusTCP数据进行第一次分解,将协议数据单元(PDU)从Modbus帧中分离得到功能码与数据单元,之后对协议数据单元(PDU)中的数据单元再进行分解,得到地址、设定值等十五个攻击分类特征及一个攻击类别标签,十五个攻击分类特征及一个攻击类别标签具体如表1所示。
表1
Figure BDA0003199913170000041
将分解好的数据组成攻击分类特征集,用于训练算法模型,整合后的训练集的实例数量如表2所示:
表2
Figure BDA0003199913170000051
S102、对攻击分类特征集数据进行主成分分析(PCA)降维处理,去除冗余数据,生成多类分类数据集。
S103、将不同类别的攻击数据分别与正常数据结合生成二类分类数据集。
一个优选的实施例中,将不同攻击类别的实例分别与正常实例结合得到二类分类攻击数据集,将二类分类攻击数据集用于训练二类分类检测器。
S104、利用机器学习算法基于二类分类数据集训练产生二类分类检测器,实施例中采用的机器学习算法为支持向量机与决策树,在实验中能取得相当不错的结果。
采用线性核函数,多项式(二次)核函数与高斯核函数的支持向量机算法对模型进行训练,三种核函数公式分别为(a1)–(a3):
Figure BDA0003199913170000052
Figure BDA0003199913170000053
Figure BDA0003199913170000054
其中x为向量数组,是由各个特征的具体值组成的数组,其下标i、j分别表示不同的样本,γ、r、d为控制参数,d用来设置核函数中最高项的次数,γ一般取值为1/k,k为样本类别数,r为coef0参数;当c≥0,核函数被称为齐次多项式核函数,e为自然对数。
实施例中的模型指的是决策树算法与采用不同核函数的支持向量机算法,也可以称作函数,利用已有数据集对算法进行训练,可以优化算法的参数,使其更好地与现有样本数据拟合,进而得到一种可以对未知样本进行分类的算法模型。此外,还可以利用这些新的样本继续对算法模型进行训练,持续优化参数,提高判定的准确度与速度。在实例的实验环境中(MATLABR2020b),训练好的模型以结构体的形式储存在工作区中,使用该模型预测未知样本时可以直接在工作区中调用。
采用决策树算法对模型进行训练,其中决策树算法采用信息熵来衡量样本的纯度,其公式为:
Figure BDA0003199913170000061
其中pk表示当前样本集合D中第k类样本所占的比例,Ent(D)的值越小,则样本集合D的纯度就越高。
决策树算法通过信息增益来对不同的类别进行属性划分,其公式为:
Figure BDA0003199913170000062
此外,由于信息增益选择标准优先选择具有大量可取值数目的属性的特性,为了降低这种负面影响,在实际操作中首先将信息增益较高的属性从全部属性中分离出来,之后将最佳划分属性设定为信息增益率最高的属性,增益率的公式为:
Figure BDA0003199913170000063
其中IV(a)被称为***系数,其公式为
Figure BDA0003199913170000064
将二类分类数据集中的70%数据用来训练模型,构造二类分类检测器与多类分类检测器,二类分类数据集中的30%数据用来检测模型的准确度。然后将二类分类检测器与多类分类检测器用来分别构造分布式二类分类检测器入侵检测***与多类分类器入侵检测***。
下面列出部分采用不同算法的二类分类器的准确度,如下表所示:
表3
Figure BDA0003199913170000071
从表3可以看出,在构建的二类分类检测器中支持向量机算法与决策树算法都有着不错的表现,其中基于决策树算法构建的分类器,其对不同的攻击类别分类准确度更高,而且从实验中可得决策树的分类耗时要远低于支持向量机算法。
S105、利用机器学习算法基于多类分类数据集训练产生多类分类检测器,本发明中采用的机器学习算法为支持向量机与决策树,在实验中能取得相当不错的结果。
下面列出部分采用不同算法的多类分类器的准确度,如下表所示:
表4
Figure BDA0003199913170000072
Figure BDA0003199913170000081
如表4所示,支持向量机算法与决策树算法在构建多类分类器中各有优劣,在构建多类分类器入侵检测***时综合考虑了不同算法的特性,也能达到很好的分类结果。
S106、如图3所示,将多个二类分类器通过一个或门相连,得到分布式二类分类检测器入侵检测***;进一步地,由多个二类分类器用或门相连,通过输出1或0表示当前数据是否为攻击数据;每一个二类分类器可以识别一种特定的攻击类型,二类分类器个数与攻击类别总数一致,用1表示当前数据为攻击数据。
S107、如图4所示,将多类分类器部署形成多类分类检测器入侵检测***,可以同时分类不同类别的攻击数据的分类器;
S108、利用在线学习算法与梯度下降法优化算法模型。
为了提高检测***的准确度,本发明设计了一种优化方法,可以使得入侵入侵检测***在使用过程中不断优化自身模型的精度,提升检测的精确度,下面以多类分类器入侵检测***为例进行说明:
如所图5示,在多类分类器入侵检测***中采用在线学习(OnlineLearning)算法对模型进行优化,即在***运行的过程中把每一条输入入侵检测***的ModbusTCP报文即时送入模型优化器中,在模型优化器中采用梯度下降算法优化参数使误差函数收敛到最小值,进而提升分类***准确度,其步骤如下:
将***运行过程中输入***的ModbusTCP报文送入模型优化器中;
在模型优化器中将ModbusTCP报文拆解成特征向量x与攻击类别y;
利用在线梯度下降算法优化模型参数θ,使误差函数hθ(x)收敛到最小值;
更新迭代模型。
具体为:
无限循环{
将ModbusTCP报文导入模型优化器中;
获取(x,y),其中x为n维向量,表示n个分类特征,y表示攻击类别,在实验过程中用整型变量来表示不同的攻击类别;
使用(x,y)更新θ,公式为θj=θj-α(hθ(x)-y)·xj,j=0,1,...,n,其中θj为模型参数,hθ(x)为代价函数,表示的是预测值与实际值的差值;
更新迭代分类模型。
}
该方法同样可适用于分布式二类分类器入侵检测***优化。
在仿真环境下测试结果如表5所示:
表5
迭代次数 0 1500 2500 3500 4500 5500 6500
准确度 95.51% 96.61% 97.62% 98.54% 98.63% 98.67% 98.70%
可以看到在经过3500次迭代后,模型的准确度提升了约3%,并保持在98%左右,可以证明该优化方法对提升入侵检测准确度有着一定的效用。
S109、ModbusTCP数据输入上述优化的入侵检测***进行分类处理,获取工业控制***Modbus TCP的入侵检测结果。
ModbusTCP数据要经过步骤S101即对获取的原始ModbusTCP数据进行逐帧摄取处理,得到不同功能特征的值,并将这些值转化为可被编程识别的形式,然后再输入入侵检测***中进行分类判别,不同的ModbusTCP攻击种类及其对应的实例数均在表2给出,未来如果有新的攻击类别出现也可按照本发明所提出的方法进行模型训练与检测判别。
本发明方法实施例的内容均适用于本***实施例,本***实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法达到的有益效果也相同。
实施例2
如图6所示,基于相同的发明构思,本实施例还提出一种用于工控***的分布式二类分类检测器入侵检测***,包括:
原始数据分解处理模块,用于对原始的ModbusTCP数据进行逐帧摄取,分解处理得到不同功能特征的值,组成攻击分类特征集;
数据集生成模块,用于将不同类别的攻击数据分别与正常数据结合生成二类分类数据集;
机器学习算法训练模块,用于利用机器学习算法基于二类分类数据集训练产生二类分类检测器;
算法模型优化模块,利用在线学习算法与梯度下降法对入侵检测模型进行优化;
数据分类模块,用于根据全体二类分类器输出的结果0或1,对输入的某条ModbusTCP数据进行分类,二类分类器输出的结果是1表示具有攻击行为的ModbusTCP数据,二类分类器输出的结果是0表示正常ModbusTCP数据。
实施例3
基于相同的发明构思,本实施例还提出一种用于工控***的多类分类检测器入侵检测***,包括:
原始数据分解处理模块,用于对原始的ModbusTCP数据进行逐帧摄取,分解处理得到不同功能特征的值,组成攻击分类特征集;
数据集生成模块,用于对特征集数据进行主成分分析(PCA)降维处理,去除冗余数据,生成多类分类数据集;
机器学习算法训练模块,用于利用机器学习算法基于多类分类数据集训练产生多类分类检测器;
算法模型优化模块,利用在线学习算法与梯度下降法对入侵检测模型进行优化;
数据分类模块,用于根据多类分类器输出的结果0或1,对输入的某条ModbusTCP数据进行分类,多类分类器输出的结果是1表示具有攻击行为的ModbusTCP数据,多类分类器输出的结果是0表示正常ModbusTCP数据。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (4)

1.一种用于工控***的入侵检测方法,其特征在于,包括以下步骤:
S101、对获取的原始ModbusTCP数据进行逐帧摄取处理,将不同功能特征的值和攻击类别标签转化为可被编程识别的形式;
S102、对攻击分类特征集数据进行主成分分析降维处理,去除冗余数据,生成多类分类数据集;
S103、将不同类别的攻击数据分别与正常数据结合生成二类分类数据集;
S104、利用机器学习算法基于二类分类数据集训练产生二类分类检测器;
S105、利用机器学习算法基于多类分类数据集训练产生多类分类检测器;
S106、将多个二类分类器通过一个或门相连,得到分布式二类分类检测器入侵检测***;
S107、将多类分类器部署形成多类分类检测器入侵检测***;
S108、利用在线学习算法与梯度下降法优化算法模型;
S109、ModbusTCP数据输入上述优化的入侵检测***进行分类处理,获取工业控制***Modbus TCP的入侵检测结果;
步骤S104、S105中的机器学习算法为支持向量机与决策树;
步骤S104包括:
采用线性核函数、多项式核函数与高斯核函数的支持向量机算法对模型进行训练;三种核函数公式分别为(a1)–(a3):
Figure FDA0004166722150000011
Figure FDA0004166722150000012
Figure FDA0004166722150000013
其中x为向量数组,是由各个特征的具体值组成的数组,其下标i、j分别表示不同的样本;γ、r、d为控制参数,d用来设置核函数中最高项的次数,γ取值为1/k,k为样本类别数,r为coef0参数;当c≥0,核函数被称为齐次多项式核函数,e为自然对数;
采用决策树算法对模型进行训练,所述决策树算法采用信息熵来衡量样本的纯度,通过信息增益来对不同的类别进行属性划分;
将二类分类数据集中的70%用来训练模型,构造二类分类检测器与多类分类检测器,30%用来检测模型的准确度;
步骤S108包括:
将***运行过程中输入***的ModbusTCP报文送入模型优化器中;
在模型优化器中将ModbusTCP报文拆解成特征向量x与攻击类别y;
利用在线梯度下降算法优化模型参数θ,使误差函数hθ(x)收敛到最小值;
更新迭代模型。
2.根据权利要求1所述的入侵检测方法,其特征在于,步骤S101对获取的原始ModbusTCP数据进行逐帧摄取处理包括:
对原始的ModbusTCP数据进行分解,将协议数据单元从Modbus帧中分离得到功能码与数据单元;对协议数据单元中的数据单元进行分解,得到地址、设定值十五个攻击分类特征及一个攻击类别标签。
3.根据权利要求1所述的入侵检测方法,其特征在于,步骤S106中分布式二类分类检测器入侵检测***通过输出1或0表示当前数据是否为攻击数据;每一个所述二类分类器可以识别一种特定的攻击类型,二类分类器个数与攻击类别总数一致。
4.一种用于工控***的分布式二类分类检测器入侵检测***,其特征在于,包括:
原始数据分解处理模块,用于对原始的ModbusTCP数据进行逐帧摄取,分解处理得到不同功能特征的值和攻击类别标签,组成攻击分类特征集;
数据集生成模块,用于将不同类别的攻击数据分别与正常数据结合生成二类分类数据集;
机器学习算法训练模块,用于利用机器学习算法基于二类分类数据集训练产生二类分类检测器;
数据分类模块,用于根据全体二类分类器输出的结果0或1,对输入的某条ModbusTCP数据进行分类,二类分类器输出的结果是1表示具有攻击行为的ModbusTCP数据,二类分类器输出的结果是0表示正常ModbusTCP数据;
算法模型优化模块,利用在线学习算法与梯度下降法对入侵检测模型进行优化;
机器学习算法为支持向量机与决策树;利用机器学习算法基于二类分类数据集训练产生二类分类检测器的过程包括:
采用线性核函数、多项式核函数与高斯核函数的支持向量机算法对模型进行训练;三种核函数公式分别为(a1)–(a3):
Figure FDA0004166722150000021
Figure FDA0004166722150000031
Figure FDA0004166722150000032
其中x为向量数组,是由各个特征的具体值组成的数组,其下标i、j分别表示不同的样本;γ、r、d为控制参数,d用来设置核函数中最高项的次数,γ取值为1/k,k为样本类别数,r为coef0参数;当c≥0,核函数被称为齐次多项式核函数,e为自然对数;
采用决策树算法对模型进行训练,所述决策树算法采用信息熵来衡量样本的纯度,通过信息增益来对不同的类别进行属性划分;
将二类分类数据集中的70%用来训练模型,构造二类分类检测器与多类分类检测器,30%用来检测模型的准确度;
利用在线学习算法与梯度下降法优化算法模型的过程包括:
将***运行过程中输入***的ModbusTCP报文送入模型优化器中;
在模型优化器中将ModbusTCP报文拆解成特征向量x与攻击类别y;
利用在线梯度下降算法优化模型参数θ,使误差函数hθ(x)收敛到最小值;
更新迭代模型。
CN202110901437.2A 2021-08-06 2021-08-06 一种用于工控***的入侵检测方法和*** Active CN113705624B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110901437.2A CN113705624B (zh) 2021-08-06 2021-08-06 一种用于工控***的入侵检测方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110901437.2A CN113705624B (zh) 2021-08-06 2021-08-06 一种用于工控***的入侵检测方法和***

Publications (2)

Publication Number Publication Date
CN113705624A CN113705624A (zh) 2021-11-26
CN113705624B true CN113705624B (zh) 2023-05-23

Family

ID=78651776

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110901437.2A Active CN113705624B (zh) 2021-08-06 2021-08-06 一种用于工控***的入侵检测方法和***

Country Status (1)

Country Link
CN (1) CN113705624B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116170241A (zh) * 2023-04-26 2023-05-26 国家工业信息安全发展研究中心 一种工业控制***的入侵检测方法、***及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109902740A (zh) * 2019-02-27 2019-06-18 浙江理工大学 一种基于多算法融合并行的再学习工业控制入侵检测方法
CN110213287A (zh) * 2019-06-12 2019-09-06 北京理工大学 一种基于集成机器学习算法的双模式入侵检测装置
CN112019529A (zh) * 2020-08-14 2020-12-01 山东中瑞电气有限公司 新能源电力网络入侵检测***
CN113179279A (zh) * 2021-05-20 2021-07-27 哈尔滨凯纳科技股份有限公司 基于ae-cnn的工业控制网络入侵检测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109902740A (zh) * 2019-02-27 2019-06-18 浙江理工大学 一种基于多算法融合并行的再学习工业控制入侵检测方法
CN110213287A (zh) * 2019-06-12 2019-09-06 北京理工大学 一种基于集成机器学习算法的双模式入侵检测装置
CN112019529A (zh) * 2020-08-14 2020-12-01 山东中瑞电气有限公司 新能源电力网络入侵检测***
CN113179279A (zh) * 2021-05-20 2021-07-27 哈尔滨凯纳科技股份有限公司 基于ae-cnn的工业控制网络入侵检测方法及装置

Also Published As

Publication number Publication date
CN113705624A (zh) 2021-11-26

Similar Documents

Publication Publication Date Title
CN109190665B (zh) 一种基于半监督生成对抗网络的通用图像分类方法和装置
CN110351301B (zh) 一种http请求双层递进式异常检测方法
CN112513851A (zh) 使用机器学习的敏感数据标识
CN110704842A (zh) 一种恶意代码家族分类检测方法
CN111798312A (zh) 一种基于孤立森林算法的金融交易***异常识别方法
CN106778241A (zh) 恶意文件的识别方法及装置
CN111314329A (zh) 流量入侵检测***和方法
CN108536815B (zh) 一种文本分类方法及装置
CN110659495A (zh) 一种恶意代码家族分类方法
CN110837874A (zh) 基于时间序列分类的业务数据异常检测方法
CN117155706B (zh) 网络异常行为检测方法及其***
CN113067798B (zh) Ics入侵检测方法、装置、电子设备和存储介质
CN114124482A (zh) 基于lof和孤立森林的访问流量异常检测方法及设备
CN113705624B (zh) 一种用于工控***的入侵检测方法和***
CN113343587A (zh) 用于电力工控网络的流量异常检测方法
CN116451139A (zh) 一种基于人工智能的直播数据快速分析方法
CN113765921B (zh) 一种面向工业物联网的异常流量分级检测方法
CN114283306A (zh) 一种工业控制网络异常检测方法及***
CN113468527A (zh) 一种基于特征表达增强的恶意代码家族分类方法
CN115758086A (zh) 卷烟烘丝机故障检测的方法、装置、设备及可读存储介质
CN115661543A (zh) 一种多尺度的基于生成对抗网络的工业零件缺陷检测方法
CN114091021A (zh) 一种用于电力企业安全防护的恶意代码检测方法
CN110659482B (zh) 一种基于gapso-twsvm的工业网络入侵检测方法
CN113722230A (zh) 针对模糊测试工具漏洞挖掘能力的集成化评估方法及装置
Wardak et al. Noise presence detection in QR code images

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant