[发明专利]一种融合工艺行为与网络行为的入侵检测方法

说明书

本发明涉及一种融合工艺行为与网络行为的入侵检测方法，具体为一种融合工艺层面与网络层面的工业控制系统入侵检测方法，该方法基于主成分分析法实现了对工艺层数据的特征降维；基于卷积神经网络完成了对网络层数据的特征提取；将同一时刻处理后的工艺行为数据与网络行为数据进行融合，通过多分类支持向量机进行分类，获取了工业控制系统的安全行为状态。该方法能够同时考虑工艺数据与网络数据，检测系统中的异常行为，提高异常分类精度。

技术领域

本发明属于工业控制系统网络安全领域，具体说是一种融合工艺行为与网 络行为的入侵检测方法。

背景技术

工业控制系统作为社会基础设施建设中的重要组成部分，在核工业、食品 加工、纺织业等均有着广泛的应用，为工业生产提供了极大地便利，维系着社 会的正常运转。传统的工业控制系统与外界网络隔离开，能够保障工业控制系 统的网络安全。工业控制系统的漏洞可以躲过攻击者，受网络攻击的影响不大。

然而随着社会的飞速发展，与外界网络隔离的工业控制系统已经难以满足 生产需求，为了提高生产力，工业控制系统开始引入信息技术。工业化与信息 化的深度融合，一方面为控制决策人员监督生产过程、实施决策行为提供了便 利，另一方面，也使得原先封闭的工业控制系统变得开放，越来越多的工业安 全漏洞被攻击者利用，从而实现了对工业控制系统的攻击。

因此工业控制系统的安全就显得尤为重要，为了对工控系统进行保护，安 全人员进行了许多相关的研究。

入侵检测技术是一种较为成熟的主动防御安全技术，对于能够成功绕过防 火墙的未知病毒，入侵检测技术就可以发挥其作用。入侵检测技术对能够反映 安全状态的数据集进行分析，建立模型，从而实现检测可以攻击行为的目的。 关于入侵检测技术，国内外研究学者和专家已经进行了许多相关的研究，入侵 检测技术的使用也越来越广泛。

工业控制系统中的网络数据和工艺数据均能表征系统遭受的入侵状况，然而 目前已有的研究中，大多为对网络数据或工艺数据单独分析，不能更全面地反 映工业控制系统的安全状态。另外网络报文数据量巨大，面对海量的数据，需 要研究相应的特征提取方法对其处理。

发明内容

针对以上问题提出一种融合工艺行为与网络行为的入侵检测方法。本发明 的目的就在于，为了解决上述问题而提供了一种融合工艺行为与网络行为的入 侵检测方法，能够解决现有入侵检测算法未全面考虑网络领域和工艺领域数据， 从而导致检测精度低的问题。

本发明为实现上述目的所采用的技术方案是：

一种融合工艺行为与网络行为的入侵检测方法，包括以下步骤：

构建包括工艺数据和网络数据的原始数据集，并对其进行预处理；

对预处理后的原始数据集中的工艺数据和网络数据进行特征融合，并将融 合后的数据集分为训练集和测试集；

基于多分类支持向量机构建分类模型，并使用训练集对其进行训练；

将测试集输入至入分类模型中，计算模型的分类精度，得到最终的异常检 测模型。

所述工艺数据为传感器和执行器的值，所述网络数据为报文数据。

对工艺数据进行预处理，包括以下步骤：

对工艺数据进行归一化处理；

利用主成分分析法对归一化后的工艺数据进行降维。

所述利用主成分分析法对归一化后的工艺数据进行降维包括以下步骤：

对归一化后的工艺数据进行标准化，获得标准化的数据Data_new；

计算相关系数矩阵R，求解特征方程|λI-R|＝0，其中λ为特征值，I为单位 矩阵；