[发明专利]基于流量特征图和感知哈希的工业互联网入侵检测方法

说明书

基于流量特征图和感知哈希的工业互联网入侵检测方法，主要解决现有工业互联网入侵检测方法检测性能不高、自适应性差的问题。本发明借鉴图像处理的方法，首先获取标准测试床实验数据集，采用信息熵方法进行特征选择构建流量特征向量，并对部分属性进行归一化操作；然后使用多元相关性分析方法将流量特征向量转化为三角形面积映射矩阵构建流量特征图；最后利用基于离散余弦变换SVD和奇异值分解SVD的图像感知哈希算法，获取流量特征图哈希摘要，产生二进制字符串形式入侵检测规则集。并采用基于字符串的精准匹配、基于归一化汉明距的相似性度量和基于欧氏距的聚类分析三种方法进行哈希匹配，实现对工业互联网中异常流量和恶意入侵的检测。

技术领域

本发明属于工业互联网入侵检测领域，具体涉及一种基于流量特征图和图像感知哈希的工业互联网入侵检测方法，主要用于对工业互联网中恶意攻击和异常进行入侵检测。

背景技术

传统工业控制系统(Industrial Control Network，ICS)广泛应用于石油化工、电力水利、工业生产、核能源和交通运输等众多国家关键基础设施。据ICS-CERT2015年安全态势报告分析统计，有超过80％的国家关键基础设施依靠ICS实现生产过程自动化。ICS在人们的生产生活中起到非常重要的作用，ICS的安全直接影响到国家安全和经济发展。从2010年“震网”病毒袭击伊朗布什尔核电站到2017年期间，发生的一系列的网络安全事件给人们的生产生活造成了巨大的影响，工业互联网安全问题突出。

传统网络入侵检测方法主要分为四类：a.基于分类的入侵检测，如贝叶斯网络、神经网络、支持向量机和基于规则集等方法；b.基于聚类的入侵检测，如常规聚类和协同聚类等方法；c.基于统计的入侵检测，如基于模型和主成分分析等方法；d.基于信息论的入侵检测，如相关性分析等方法。有学者还将免疫理论、粗糙集等理论引入到网络入侵检测中来。其中，基于聚类的入侵检测和基于信息论的入侵检测比基于分类的入侵检测和基于统计理论的入侵检测性能更好。聚类检测和分类检测的方法复杂度大体一致，针对性检测目标主要是DOS攻击，聚类算法是无监督学习方法比分类算法的监督方法实用性更广。统计理论的入侵检测主要检测目标是R2L和U2R两类攻击类型。基于信息理论的入侵检测的优点在于对四类攻击都可以进行检测。但传统入侵检测方法依然存在算法检测性能问题、流量周期性特征提取问题、传统方法自身局限性和实验数据不符合现有网络入侵测试标准等问题。

工业互联网可以划分为企业网络、监控网络和现场网络三层，对现场网络层的安全问题的研究，主要从流量信息周期性特征入手，分为基于模型、基于Fuzzing检测和基于Snort规则三类方法。

现场网络中基于模型的现场网络入侵检测方法具有自适应性，可以检测出未知入侵攻击。国内外学者在基于现场网络流量周期性特征的入侵检测模型方面做出大量工作。如：