[发明专利]基于时序检测的工业控制系统入侵检测方法

说明书

基于时序检测的工业控制系统入侵检测方法，属于网络安全技术领域，为解决工业控制系统流量数据维度大及冗余特征较多导致入侵检测分类准确率低的问题，在借鉴现有网络安全技术和深度学习技术的基础上，本发明在数据采集模块、数据预处理模块和入侵检测模块的数据处理过程中均进行了数据降维的操作，无需依赖人工经验进行特征提取，在尽可能保留原始数据完整性的情况下，加快了模型训练速度和分类速度，降低了误报率计算开销，提升了工控系统入侵检测效率和准确率，为工业4.0时代下的工业控制系统保驾护航。

技术领域

本发明属于网络安全技术领域，尤其是针对工业控制系统的入侵检测方法。

背景技术

现如今全球的工业现代化水平大幅提高，工业控制系统作为国家关键基础设施的重要组成部分，务必保证其安全运行。最初工业控制系统的设计理念是使其处于闭环隔离的状态，但是随着“工业4.0”等思想的推进和大数据和工业互联网等技术的发展，原本处于相对安全状态的工控系统开始面临诸多风险，近年来，全球范围内不停发生工控系统遭受大型攻击和勒索的事件。因此，如何保护更加先进的工业控制系统免于攻击变得越来越关键，而入侵检测技术是其中一个重要的解决思路。

发明内容

本发明的目的是为解决工业控制系统流量数据复杂冗余导致入侵检测准确率不高的问题，在双向长短时记忆网络层前面加入注意力机制，使用权重隐藏层来计算输入流量序列的特征权重分布，以重点关注对入侵检测分类贡献度大的特征，然后再将选取出来的特征作为新的数据集输入到双向长短时记忆网络中进行时序检测，从而大大降低算法的时间复杂度并提高了工业控制系统入侵检测准确率。

采用的技术方案是：

定义1：工控流量时间序列X＝{x₁,x₂,…,x_n}，其中x_i为各条工控流量数据。

定义2：工控流量中每个特征的注意力值α＝∑S(X，K_i)V_i，，其中S是相似性度量函数，X是定义1中的工控流量时间序列，K_i是注意力机制中的关键词，V_i为K_i在注意力机制中对应的权重系数。

定义3：工控流量数据各特征的注意力得分e_i＝α(u,v_i)，其中u为当前待测工控流量的特征向量；v_i是经注意力层训练后得到的第i个关键词K_i的特征向量。

定义4：归一化注意力得分α_i＝e_i/∑_ie_i，，其中e_i为定义3中的未归一化的注意力得分。

定义5：工控流量数据相关性向量c＝∑_iα_iv_i，α_i是经过归一化后的注意力权重，可看作注意力概率；v_i是关键词的值向量。

定义6：双向长短时记忆网络中正向传输层的隐藏层状态其中为正向传输层输出门的输出值，tanh为激活函数，为当前时间步的细胞状态。

定义7：双向长短时记忆网络中反向传输层的隐藏层状态其中为反向传输层中输出门的输出值，tanh为激活函数，为当前时间步的细胞状态，⊙表示同或运算。

定义8：双向长短时记忆网络的输出向量其中，为t时刻内双向长短时记忆网络模型正向层输出向量，为t时刻内双向长短时记忆网络模型反向层输出向量。其中，⊕表示双向长短时记忆网络输出层的结合方式，包括sum、mul、concat、ave和None五种。其中，sum、mul分别表示对待合并层做求和、乘积运算；concat表示将待合并层输出沿着一个维度进行拼接；ave表示求输出的平均值；None表示输出不会被结合。