CN115086070A - 工业互联网入侵检测方法及*** - Google Patents
工业互联网入侵检测方法及*** Download PDFInfo
- Publication number
- CN115086070A CN115086070A CN202210849921.XA CN202210849921A CN115086070A CN 115086070 A CN115086070 A CN 115086070A CN 202210849921 A CN202210849921 A CN 202210849921A CN 115086070 A CN115086070 A CN 115086070A
- Authority
- CN
- China
- Prior art keywords
- data
- training
- sphere
- network data
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于特定计算模型的计算机***技术领域,本发明公开了工业互联网入侵检测方法及***,包括:获取工业互联网中各个设备之间传输的网络数据;将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。提高了工业互联网入侵检测的准确率。
Description
技术领域
本发明涉及基于特定计算模型的计算机***技术领域,特别是涉及工业互联网入侵检测方法及***。
背景技术
本部分的陈述仅仅是提到了与本发明相关的背景技术,并不必然构成现有技术。
工业互联网推动了全球企业加速数字化转型,同时也为工业网络带来了更高的网络安全风险,针对政府、企业、医疗产业等“底层支柱”行业的攻击更加频繁。工业互联网相关***被成功攻击的概率为12%,远高于电子政务***的1%和通信行业的5%。
工业控制***安全事件频繁发生,为有效应对来自外部的网络攻击,工业互联网需要不断提升技术能力来进行防御。目前工业互联网中入侵检测分为两类,分别是误用入侵检测和异常入侵检测。
误用入侵检测又称基于特征的入侵检测,这种检测的前提是假设入侵者的活动可以被某一模式表示,检测的目标就是检测主体活动是否符合这种模式。误用入侵检测的关键是准确描述攻击行为的特征,不需要训练。误用入侵检测检测主体活动不符合攻击行为的特征,则认为该行为为正常行为,因此,它只能检测已知的可描述的攻击行为,不能处理未知攻击。
异常入侵检测技术能够建立用户或***的正常行为轮廓,在早期的异常检测***中通常用统计模型,通过统计模型计算出随机变量的观察值落在一定区间内的概率,并且根据经验规定一个阈值,超过阈值则认为发生了入侵。
目前研究均采用传统的入侵检测方法,由于从工控***提取的网络数据大部分都是正常数据,异常数据较少,样本数据不平衡,导致入侵检测准确率低。
1999年,Tax等首次提出SVDD。2004年,Tax等又对SVDD进行了拓展和更完整的研究。SVDD旨在高维特征空间中确定一个最小超球体,使得该超球体尽可能的包含目标样本,位于超球体外的点为离群点。Cha等提出DW-SVDD,该方法引入了密度权重的概念,即基于目标数据的密度分布,利用k-最近邻(k-NN)方法得到每个数据点的相对密度。该方法在SVDD算法的基础上加入新的权值,对高密度区域的数据点进行优先排序,最终得到最优描述。
尽管 SVDD 提供了适合数据集的灵活描述边界,DW-SVDD加入密度权重,使密度分布对寻找最优SVDD时产生作用,但在特征空间中搜索描述边界存在一些固有的缺陷。例如,样本的各个特征存在差异,对寻找最优SVDD的重要性不同。换句话说,样本的各个特征对寻找最优SVDD的影响默认相同,但是一些特征对寻找最优SVDD更有效,也有一部分效果较低。因此,如果不考虑样本各个特征的重要性的情况下设置描述边界,解决方案会忽略样本特征间的重要性,从而无法对数据集进行最佳描述。
发明内容
为了解决现有技术的不足,本发明提供了工业互联网入侵检测方法及***;提高了工业互联网入侵检测的准确率。
第一方面,本发明提供了工业互联网入侵检测方法;
工业互联网入侵检测方法,包括:
获取工业互联网中各个设备之间传输的网络数据;
将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
第二方面,本发明提供了工业互联网入侵检测***;
工业互联网入侵检测***,包括:
获取模块,其被配置为:获取工业互联网中各个设备之间传输的网络数据;
入侵检测模块,其被配置为:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
与现有技术相比,本发明的有益效果是:
与现有SVDD相比,提高了该模型在网络入侵检测方面的准确率,性能提高,通过准确率表和ROC曲线对比;在未知入侵数据方面,性能提高,通过缺少两类攻击样本的第二训练集训练模型,通过测试集比较,准确率明显提高。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为实施例一的方法流程图。
具体实施方式
实施例一
本实施例提供了工业互联网入侵检测方法;
如图1所示,工业互联网入侵检测方法,包括:
S101:获取工业互联网中各个设备之间传输的网络数据;
S102:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
进一步地,所述S101:获取工业互联网中各个设备之间传输的网络数据;其中网络数据,具体包括:针对Modbus TCP协议的网络数据,除了Modbus协议之外,还有CommonIndustrial Protocol(CIP)、EtherNet/IP(Open DeviceNet Vendor Association)、Controller Area Network(CAN)等。
进一步地,所述训练后的入侵检测模型,其网络结构包括:最小超球体,其中最小超球体的球心和半径通过训练得到。
进一步地,所述训练后的入侵检测模型,其训练过程包括:
构建第一训练集、第二训练集、第一测试集和第二测试集;第二训练集是在第一训练集的基础上删除了两类攻击数据;
将第一训练集输入到入侵检测模型中,对模型进行训练,得到初步训练模型;
采用第一测试集和第二测试集对初步训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;
再将第二训练集输入到初步训练模型中,对模型进行训练,得到二次训练模型;
再采用第一测试集和第二测试集对二次训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;将二次训练模型作为最终的入侵检测模型。
进一步地,所述构建第一训练集、第二训练集、第一测试集和第二测试集,具体包括:
数据集划分,将数据集划分成两组训练集和两组测试集进行实验。
首先从数据集中随机抽取10%数据作为第一训练集,剔除第一训练集中的两个攻击组数据,将剔除后剩余的第一训练集作为第二训练集,从数据集中随机抽取3%的数据作为第一测试集,从数据集中随机抽取20%的数据作为第二测试集。
利用第一训练集训练模型,通过第一测试集和第二测试集验证模型的性能。利用缺少两个攻击组的第二训练集训练模型;将缺少的两个攻击组数据模拟为未知攻击类型数据,通过第一测试集和第二测试集验证其应对未知攻击类型的性能。通过两个训练集,训练模型,优化模型、参数,寻找最优可行点。
进一步地,所述最小超球体的球心和半径通过训练得到,具体包括:
通过对主观赋权和客观赋权进行线性加权求和,得到特征权重;
基于特征权重,构建加权的高斯核函数;
构建最小超球体的优化问题;
基于拉格朗日乘子法和加权的高斯核函数,将优化问题改为对偶问题;
求解对偶问题后,获取所有样本对应的拉格朗日系数;
根据拉格朗日系数,确定支持向量;
根据支持向量样本集合,确定最小超球体的球心和半径。
进一步地,所述主观赋权,将训练集输入到粒子群优化算法中,得到若干组样本特征;将所有的样本特征输入到K最邻近(KNN,K-NearestNeighbor)分类算法中,选择出分类准确率最高的样本特征;设置被选择的样本特征对应的权重为第一权重值,未被选择的样本特征对应的权重为第二权重值。
示例性地,所述第一权重值为1,第二权重值为0.5。
进一步地,所述客观赋权通过标准差描述数据之间的波动大小,数据的标准差越大则权重越高。
客观赋权法,包括:CRITIC分析法、熵权法和标准差法等,这里用的是标准差法,每个特征的权重是每个特征的标准差占所有特征的标准差之和的比例。
进一步地,所述通过对主观赋权和客观赋权进行线性加权求和,得到特征权重,具体包括:
进一步地,所述基于特征权重,构建加权的高斯核函数,具体包括:
进一步地,所述构建最小超球体的优化问题,具体包括:
构建基于特征权重的支持向量描述(FW-SVDD,Feature Weight Support VectorData Description):
首先,构建一个最小超球体,SVDD要解决以下优化问题:
进一步地,所述基于拉格朗日乘子法和加权的高斯核函数,将优化问题改为对偶问题,具体包括:
进一步地,所述求解对偶问题后,获取所有样本对应的拉格朗日系数,具体包括:
求解该对偶问题后,获取所有样本对应的拉格朗日系数。
进一步地,所述根据拉格朗日系数,确定支持向量;根据支持向量样本集合,确定最小超球体的球心和半径,具体包括:
本发明构建了FW-SVDD,有效解决网络数据不平衡这一问题;并且考虑了不同特征对算法的影响,提高了异常检测准确率。
相较于现有的SVDD,FW-SVDD性能更好,准确率更高,且在应对未知攻击数据方面表现更为突出。
如表1和表2,比较了四种算法在两个测试集上的准确率。
表1
表2
根据现有机器学习算法在该方面研究结果表明,支持向量机(SVM) 达到了94.20%的准确率,朴素贝叶斯达到了94.15%的准确率。DW-SVDD和FW-SVDD两个算法准确率均高于前两种机器学习算法;通过第一训练集训练,FW-SVDD的准确率比DW-SVDD有所提升,通过第二训练集训练,准确率有明显提升,因此FW-SVDD的性能较现有的SVDD算法有所提升,在应对未知攻击类型方面有显著效果。
比较三个算法在两个训练集的ROC曲线,FW-SVDD的AUC值都明显高于前两种,FW-SVDD的检测正确率更高,因此FW-SVDD的性能更好。
实施例二
本实施例提供了工业互联网入侵检测***;
工业互联网入侵检测***,包括:
获取模块,其被配置为:获取工业互联网中各个设备之间传输的网络数据;
入侵检测模块,其被配置为:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
Claims (10)
1.工业互联网入侵检测方法,其特征是,包括:
获取工业互联网中各个设备之间传输的网络数据;
将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
2.如权利要求1所述的工业互联网入侵检测方法,其特征是,所述训练后的入侵检测模型,其网络结构包括:最小超球体,其中最小超球体的球心和半径通过训练得到。
3.如权利要求1所述的工业互联网入侵检测方法,其特征是,所述训练后的入侵检测模型,其训练过程包括:
构建第一训练集、第二训练集、第一测试集和第二测试集;第二训练集是在第一训练集的基础上删除了两类攻击数据;
将第一训练集输入到入侵检测模型中,对模型进行训练,得到初步训练模型;
采用第一测试集和第二测试集对初步训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;
再将第二训练集输入到初步训练模型中,对模型进行训练,得到二次训练模型;
再采用第一测试集和第二测试集对二次训练模型进行测试,如果测试的模型性能指数超过设定阈值,则表示通过训练;将二次训练模型作为最终的入侵检测模型。
4.如权利要求2所述的工业互联网入侵检测方法,其特征是,所述最小超球体的球心和半径通过训练得到,具体过程包括:
通过对主观赋权和客观赋权进行线性加权求和,得到特征权重;
基于特征权重,构建加权的高斯核函数;
构建最小超球体的优化问题;
基于拉格朗日乘子法和加权的高斯核函数,将优化问题改为对偶问题;
求解对偶问题后,获取所有样本对应的拉格朗日系数;
根据拉格朗日系数,确定支持向量;根据支持向量样本集合,确定最小超球体的球心和半径。
10.工业互联网入侵检测***,其特征是,包括:
获取模块,其被配置为:获取工业互联网中各个设备之间传输的网络数据;
入侵检测模块,其被配置为:将获取的网络数据,输入到训练后的入侵检测模型中,模型输出入侵检测结果;
其中,所述训练后的入侵检测模型,将网络数据映射到高维特征空间中,判断网络数据样本是否落入最小超球体内部,如果落入最小超球体内部,则表示当前网络数据非入侵数据;如果落入最小超球体外部,则表示当前网络数据为入侵数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210849921.XA CN115086070B (zh) | 2022-07-20 | 2022-07-20 | 工业互联网入侵检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210849921.XA CN115086070B (zh) | 2022-07-20 | 2022-07-20 | 工业互联网入侵检测方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115086070A true CN115086070A (zh) | 2022-09-20 |
CN115086070B CN115086070B (zh) | 2022-11-15 |
Family
ID=83259809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210849921.XA Active CN115086070B (zh) | 2022-07-20 | 2022-07-20 | 工业互联网入侵检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115086070B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116611746A (zh) * | 2023-07-20 | 2023-08-18 | 深圳华龙讯达信息技术股份有限公司 | 一种基于工业互联网的产品质量管理方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
US20160226894A1 (en) * | 2015-02-04 | 2016-08-04 | Electronics And Telecommunications Research Institute | System and method for detecting intrusion intelligently based on automatic detection of new attack type and update of attack type model |
CN110719250A (zh) * | 2018-07-13 | 2020-01-21 | 中国科学院沈阳自动化研究所 | 基于PSO-SVDD的Powerlink工控协议异常检测方法 |
CN110837872A (zh) * | 2019-11-14 | 2020-02-25 | 北京理工大学 | 一种工控网络入侵检测方法及*** |
CN110868414A (zh) * | 2019-11-14 | 2020-03-06 | 北京理工大学 | 一种基于多投票技术的工控网络入侵检测方法及*** |
CN113114673A (zh) * | 2021-04-12 | 2021-07-13 | 西北工业大学 | 一种基于生成对抗网络的网络入侵检测方法及*** |
CN113382003A (zh) * | 2021-06-10 | 2021-09-10 | 东南大学 | 一种基于两级过滤器的rtsp混合入侵检测方法 |
WO2022012144A1 (zh) * | 2020-07-17 | 2022-01-20 | 湖南大学 | 基于不平衡数据深度信念网络的并行入侵检测方法和*** |
-
2022
- 2022-07-20 CN CN202210849921.XA patent/CN115086070B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
US20160226894A1 (en) * | 2015-02-04 | 2016-08-04 | Electronics And Telecommunications Research Institute | System and method for detecting intrusion intelligently based on automatic detection of new attack type and update of attack type model |
CN110719250A (zh) * | 2018-07-13 | 2020-01-21 | 中国科学院沈阳自动化研究所 | 基于PSO-SVDD的Powerlink工控协议异常检测方法 |
CN110837872A (zh) * | 2019-11-14 | 2020-02-25 | 北京理工大学 | 一种工控网络入侵检测方法及*** |
CN110868414A (zh) * | 2019-11-14 | 2020-03-06 | 北京理工大学 | 一种基于多投票技术的工控网络入侵检测方法及*** |
WO2022012144A1 (zh) * | 2020-07-17 | 2022-01-20 | 湖南大学 | 基于不平衡数据深度信念网络的并行入侵检测方法和*** |
CN113114673A (zh) * | 2021-04-12 | 2021-07-13 | 西北工业大学 | 一种基于生成对抗网络的网络入侵检测方法及*** |
CN113382003A (zh) * | 2021-06-10 | 2021-09-10 | 东南大学 | 一种基于两级过滤器的rtsp混合入侵检测方法 |
Non-Patent Citations (3)
Title |
---|
严岳松等: "基于SVDD的半监督入侵检测研究", 《微电子学与计算机》 * |
陈川: "计算机网络入侵检测***设计与研究", 《中国新通信》 * |
魏振伟等: "粒子群特征优选的SVDD入侵检测研究", 《微电子学与计算机》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116611746A (zh) * | 2023-07-20 | 2023-08-18 | 深圳华龙讯达信息技术股份有限公司 | 一种基于工业互联网的产品质量管理方法 |
CN116611746B (zh) * | 2023-07-20 | 2024-01-09 | 深圳华龙讯达信息技术股份有限公司 | 一种基于工业互联网的产品质量管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115086070B (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhong et al. | Applying big data based deep learning system to intrusion detection | |
CN108023876B (zh) | 基于可持续性集成学习的入侵检测方法及入侵检测*** | |
CN104601565B (zh) | 一种智能优化规则的网络入侵检测分类方法 | |
CN107622072B (zh) | 一种针对网页操作行为的识别方法及服务器、终端 | |
CN111092862A (zh) | 一种用于对电网终端通信流量异常进行检测的方法及*** | |
CN109040113B (zh) | 基于多核学习的分布式拒绝服务攻击检测方法及装置 | |
Vong et al. | Postboosting using extended G-mean for online sequential multiclass imbalance learning | |
CN112348080A (zh) | 基于工控异常检测的rbf改进方法、装置和设备 | |
CN115086070B (zh) | 工业互联网入侵检测方法及*** | |
Jaszcz et al. | AIMM: Artificial intelligence merged methods for flood DDoS attacks detection | |
CN116318928A (zh) | 一种基于数据增强和特征融合的恶意流量识别方法及*** | |
Aziz et al. | Cluster Analysis-Based Approach Features Selection on Machine Learning for Detecting Intrusion. | |
CN114841296A (zh) | 设备聚类方法、终端设备以及存储介质 | |
CN110796164A (zh) | 数据聚类的簇数确定方法、***、电子设备及存储介质 | |
CN115842636A (zh) | 一种基于时序特征的网络异常行为监测方法以及装置 | |
de Araujo et al. | Impact of feature selection methods on the classification of DDoS attacks using XGBoost | |
CN114124437B (zh) | 基于原型卷积网络的加密流量识别方法 | |
Singh et al. | Lightweight convolutional neural network architecture design for music genre classification using evolutionary stochastic hyperparameter selection | |
Nikolikj et al. | Sensitivity Analysis of RF+ clust for Leave-one-problem-out Performance Prediction | |
CN111784381B (zh) | 基于隐私保护和som网络的电力客户细分方法及*** | |
She et al. | A convolutional autoencoder based method with smote for cyber intrusion detection | |
CN112613231A (zh) | 一种机器学习中隐私可用均衡的轨迹训练数据扰动机制 | |
Tareq et al. | A new density-based method for clustering data stream using genetic algorithm | |
Vrachimis et al. | Resilient edge machine learning in smart city environments | |
CN114615026B (zh) | 异常流量检测方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |