[发明专利]基于流量特征图和感知哈希的工业互联网入侵检测方法

权利要求书

1.基于流量特征图和感知哈希的工业互联网入侵检测方法，其特征在于，其步骤包括正常行为建模和感知哈希入侵检测两个阶段；

(1)正常行为建模阶段：

采用基于多元相关性分析的流量特征图技术，把工业互联网传统文本流量信息转化为流量特征图，将传统属性内关系研究转化到属性间关系，从不同角度挖掘流量特征，具体步骤如下：

(1a)获取工业互联网现场网络的标准测试床实验数据集，对实验数据进行预处理操作，剔除残缺流量数据记录；

(1b)计算实验数据各个属性的信息熵，并对各属性的信息熵进行递减排序，根据属性特征选取出重要的具有流量特征的属性特征集合；

(1c)对特征选择后的工业互联网流量数据进行部分属性归一化操作，归一化到[0,255]之间；

(1d)采用多元相关性分析方法，将实验数据中每条流量记录都映射到二维欧氏子空间上，通过三角形面积映射方法，计算实验数据的两两流量属性对应的三角形面积；

(1e)构建完整三角形面积矩阵，输出对应的流量特征图TAMⁱ；

(2)感知哈希入侵检测阶段：

采用图像感知哈希特征提取技术提取流量特征图中特征产生哈希摘要，并产生对应入侵检测规则集，采用改进感知哈希摘要匹配方法，实现对工业互联网恶意入侵检测；图像感知哈希特征提取技术包括感知哈希摘要产生和匹配两个部分，具体步骤如下：

(2a)采用离散余弦变换DCT和奇异值分解SVD的方法，产生流量特征图的感知哈希码，并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库；感知哈希摘要为固定长度的二进制字符串，即入侵检测规则集；

(2b)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法，产生待检测感知哈希码；采用改进的感知哈希匹配方法进行入侵检测，包括三个步骤：基于字符串的精准匹配，基于归一化的汉明距离的相似性度量和基于欧式距离的聚类分析；

(2c)采用基于字符串的精准匹配方法，分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配，并输出检测结果；

(2d)对未精准匹配的哈希摘要，设定感知哈希相似度匹配阈值，采用归一化的汉明距离进行相似性度量，若匹配正常流量特征图哈希摘要库，则待检测流量数据为正常流量；若匹配异常流量特征图哈希摘要库，则待检测流量数据为异常流量；

(2e)针对超出感知哈希匹配阈值的待检测流量数据，采用基于欧氏距离的聚类方法对待检测流量数据进行归类；距离正常流量哈希摘要聚类中心距离近，则为正常流量；否则，为异常流量信息。