一种工业控制系统入侵检测及溯源的方法发明专利

专利名称：一种工业控制系统入侵检测及溯源的方法

专利类型：发明专利

专利申请号：CN202210550617.5

专利申请（专利权）人：桂林电子科技大学
权利人地址：广西壮族自治区桂林市七星区金鸡路1号

专利发明（设计）人：丁勇,唐呈俊,李振宇,杨炳年

专利摘要：本发明涉及工控安全技术领域，尤其涉及一种工业控制系统入侵检测及溯源的方法，利用多尺度特征融合与辅助分类器技术，将入侵检测和溯源整合至一个神经网络模型，并通过采集获取的数据对神经网络进行训练，最后使用训练好的神经网络进行检测以及溯源，与传统基于入侵图等方法相比，减少了入侵检测和溯源之间的信息损失，可以使得溯源的效率和精度上得到提升，并且对完全由正常操作构成的高隐蔽未知威胁有检测能力，同时在数据收集时利用神经网络的特性，使各种不同的数据都能够输入至模型。

主权利要求：
1.一种工业控制系统入侵检测及溯源的方法，其特征在于，包括下列步骤：收集用于可入侵检测的原始数据；
为神经网络添加辅助分类器；
结合所述辅助分类器设计检测与溯源一体化神经网络的结构；
持续采集数据，并对所述检测与溯源一体化神经网络进行训练；
使用训练后的检测与溯源一体化神经网络进行实时检测；
其中，所述检测与溯源一体化神经网络中的溯源网络采用多尺度特征融合技术，具体为在结合所述辅助分类器设计检测与溯源一体化神经网络的结构的过程中，采用全连接的形式，将入侵检测网络的各尺度使用全连接层连接至攻击溯源网络。
2.如权利要求1所述的工业控制系统入侵检测及溯源的方法，其特征在于，所述原始数据包括工业控制设备日志、网络设备日志、原始网络数据包、蜜罐设备和人工操作记录，所述原始数据需表示为能够输入神经网络进行计算的形式。
3.如权利要求1所述的工业控制系统入侵检测及溯源的方法，其特征在于，所述辅助分类器是在神经网络结束之前附加到层的分类器头，用于初步输出对现有设备当前状态是否为入侵行为的预测。
4.如权利要求1所述的工业控制系统入侵检测及溯源的方法，其特征在于，在结合所述辅助分类器设计检测与溯源一体化神经网络的结构的过程中，以现有设备的神经网络分类器层的输入为前提设计和调整检测与溯源一体化神经网络的结构。
5.如权利要求1所述的工业控制系统入侵检测及溯源的方法，其特征在于，在对所述检测与溯源一体化神经网络进行训练的过程中，采用分层训练的方式，首先训练最浅层辅助分类器以上的所述检测与溯源一体化神经网络，随后使用此次训练得到的权值作为预训练参数，再训练整体的溯源网络，最终获得能够同时进行入侵检测及溯源的神经网络。
6.如权利要求1所述的工业控制系统入侵检测及溯源的方法，其特征在于，辅助分类器表征对神经网络的原损失函数的惩罚。
7.如权利要求1所述的工业控制系统入侵检测及溯源的方法，其特征在于，在结合所述辅助分类器设计检测与溯源一体化神经网络的结构的过程中，将每个设备的神经网络分类器层的输入作为检测与溯源一体化神经网络的输入，设计检测与溯源一体化神经网络的结构。 说明书 : 一种工业控制系统入侵检测及溯源的方法技术领域[0001] 本发明涉及工控安全技术领域，尤其涉及一种工业控制系统入侵检测及溯源的方法。背景技术[0002] 为了实现针对工业控制系统的智能检测与溯源，通常的做法是实时监控网络中的计算机和用户，通过从多种设备中收集安全日志、状态信息等关键数据来检测并分析当前网络安全态势，最终进行相应的防护操作，并从安全态势分析结果中进行溯源。然而，已有的方法难以进行跨地区、跨网络的有效溯源。现存研究通常通过入侵检测后得攻击图，然后使用算法对攻击图进行分析从而达到溯源的目的，而针对攻击图模型的一些算法，在复杂的网络攻击扩散过程中，可能在某一尺度的循环模式消耗大量的计算能力，并且由于无法直接利用原始网络数据，因此存在信息损失，无法对由全部由正常行为数据组成的攻击链进行溯源。发明内容[0003] 本发明的目的在于提供一种工业控制系统入侵检测及溯源的方法，通过多尺度特征融合和辅助分类器技术，解决入侵检测和溯源之间存在的信息损失问题。[0004] 为实现上述目的，本发明提供了一种工业控制系统入侵检测及溯源的方法，包括下列步骤：[0005] 收集用于可入侵检测的原始数据；[0006] 为神经网络添加辅助分类器；[0007] 结合所述辅助分类器设计检测与溯源一体化神经网络的结构；[0008] 持续采集数据，并对所述检测与溯源一体化神经网络进行训练；[0009] 使用训练后的检测与溯源一体化神经网络进行实时检测。[0010] 其中，所述原始数据包括工业控制设备日志、网络设备日志、原始网络数据包、蜜罐设备和人工操作记录，所述原始数据需表示为能够输入神经网络进行计算的形式。[0011] 其中，所述辅助分类器是在神经网络结束之前附加到层的分类器头，用于初步输出对现有设备当前状态是否为入侵行为的预测。[0012] 其中，在结合所述辅助分类器设计检测与溯源一体化神经网络的结构的过程中，以现有设备的神经网络分类器层的输入为前提设计和调整检测与溯源一体化神经网络的结构。[0013] 其中，所述检测与溯源一体化神经网络中的溯源网络采用多尺度特征融合技术，具体为在使用传统方法构建的逐层神经网络的基础上，选择部分隐含层连接至新的攻击溯源网络。[0014] 其中，在对所述检测与溯源一体化神经网络进行训练的过程中，采用分层训练的方式，首先训练最浅层辅助分类器以上的所述检测与溯源一体化神经网络，随后使用此次训练得到的权值作为预训练参数，再训练整体的溯源网络，最终获得能够同时进行入侵检测及溯源的神经网络。[0015] 本发明提供了一种工业控制系统入侵检测及溯源的方法，利用多尺度特征融合与辅助分类器技术，将入侵检测和溯源整合至一个神经网络模型，并通过采集获取的数据对神经网络进行训练，最后使用训练好的神经网络进行检测以及溯源，与传统基于入侵图等方法相比，减少了入侵检测和溯源之间的信息损失，可以使得溯源的效率和精度上得到提升，并且对完全由正常操作构成的高隐蔽未知威胁有检测能力，同时在数据收集时利用神经网络的特性，使各种不同的数据都能够输入至模型。附图说明[0016] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。[0017] 图1是本发明的一种工业控制系统入侵检测及溯源的方法的流程示意图。[0018] 图2是本发明的具体实施例中辅助分类器应用方法的流程示意图。[0019] 图3是本发明的具体实施例中多尺度特征融合的流程示意图。具体实施方式[0020] 下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。[0021] 请参阅图1，本发明提出了一种工业控制系统入侵检测及溯源的方法，包括下列步骤：[0022] S1：收集用于可入侵检测的原始数据；[0023] S2：为神经网络添加辅助分类器；[0024] S3：结合所述辅助分类器设计检测与溯源一体化神经网络的结构；[0025] S4：持续采集数据，并对所述检测与溯源一体化神经网络进行训练；[0026] S5：使用训练后的检测与溯源一体化神经网络进行实时检测。[0027] 所述原始数据包括工业控制设备日志、网络设备日志、原始网络数据包、蜜罐设备和人工操作记录，所述原始数据需表示为能够输入神经网络进行计算的形式。[0028] 所述辅助分类器是在神经网络结束之前附加到层的分类器头，用于初步输出对现有设备当前状态是否为入侵行为的预测。[0029] 在结合所述辅助分类器设计检测与溯源一体化神经网络的结构的过程中，以现有设备的神经网络分类器层的输入为前提设计和调整检测与溯源一体化神经网络的结构。[0030] 所述检测与溯源一体化神经网络中的溯源网络采用多尺度特征融合技术，具体为在使用传统方法构建的逐层神经网络的基础上，选择部分隐含层连接至新的攻击溯源网络。[0031] 在对所述检测与溯源一体化神经网络进行训练的过程中，采用分层训练的方式，首先训练最浅层辅助分类器以上的所述检测与溯源一体化神经网络，随后使用此次训练得到的权值作为预训练参数，再训练整体的溯源网络，最终获得能够同时进行入侵检测及溯源的神经网络。[0032] 以下就辅助分类器和溯源网络做进一步说明：[0033] 辅助分类器：[0034] 设一般神经网络，即不包含辅助分类器和其它特殊结构的神经网络H(x)为由j层神经网络层Hi(x)，i∈[0,j]组成的网络，即H(x)＝H0(H1(…Hj(x)…))。[0035] 对于一般神经网络来说，其最顶层H0为分类器，分类器层采用softmax激活函数，即 在训练阶段，有损失函数L(H(x),y)作为神经网络训练的优化目标。[0036] 在原网络的基础上添加辅助分类器，辅助分类器可以看作对原损失函数的惩罚，如在第k层添加辅助分类器，采用可加惩罚法，得到新的损失函数L(H(x),y)+L(H0(H1(…Hk(x)…)),y)。以此法添加的辅助分类器惩罚，能够解决多尺度特征融合后的入侵检测溯源一体化网络规模过大，从而导致训练难以收敛的问题。[0037] 多尺度特征融合溯源：[0038] 设溯源网络G(u)＝G0(G1(…Gm(u)…))，第n个设备的入侵检测网络基于攻击图的方法直接使用各设备的入侵检测输出结果作为溯源网络输入，即u＝(u0,u1,…)其中un＝Hn(x)。[0039] 多尺度特征融合的溯源网络还使用了入侵检测网络的隐含层作为输入，即其中[0040] 多尺度特征融合将溯源网络和入侵检测网络整合至一个网络模型，与传统基于入侵图等方法先进行入侵检测后利用入侵检测的结果再进行溯源相比，从而解决了信息损失问题，并且能够对全部由正常行为数据组成的攻击链进行溯源，具体形式见以下的实施例。[0041] 进一步的，本发明还提出一个具体的实施例进行辅助说明：[0042] 请参阅图2和图3，具体实施例假设建立在由工控设备A和网络设备B两种类型的设备组成的系统中。[0043] 以下仍依据本发明的一种工业控制系统入侵检测及溯源的方法的具体执行步骤进行说明：[0044] 步骤1：收集用于可入侵检测的原始数据，将原始数据表示为能够输入神经网络进行计算的形式，本实施例中收集工控设备A的指示灯数据及日志数据，网络设备B的数据包数据。[0045] 下面分别对三种数据的预处理进行叙述：[0046] 指示灯数据：[0047] 设备A有i个有明暗2个状态的指示灯，则指示灯数据可以直接表示为维度为i的向量s。[0048] 日志数据：[0049] 设备A的日志包含j个严重程度等级，根据日志的严重程度等级按顺序从0开始递增将其编码为标量l。对于日志的文本部分，根据设备日志表分析得到停用词表，将停用词去除后，利用词向量编码方法，将日志编码为词向量矩阵T，由于日志的长度是不固定的，因此利用循环神经网络RNN或其它深度语言模型方法，将日志编码为固定长度的输入Xtext，其长度为t。[0050] 数据包数据：[0051] 通常来说工业控制系统数据包是由一系列标量和离散值组成的，可以对这些部分分别进行处理，本实施例出于通用性考虑，直接采用One‑Hot编码的方式，将数据包按比特位分别作为神经网络的输入。考虑到网络设备的最大传输单元为k，则得到维度为k的向量p。[0052] 步骤2：将原始数据表示为能够输入神经网络进行计算的形式，对不同类型的设备分别定义其神经网络输入层结构。本实施例对所有设备均采用包含2个隐藏层的神经网络，分别包含20个和10个神经元，所述神经网络包含一个辅助分类器，该辅助分类器的作用是初步输出对该设备当前状态是否为入侵行为的预测，本实施例对所有设备均在第2个隐含层添加1个辅助分类器。[0053] 对于设备A，其神经网络的输入层应当为i+1+t，分别对应指示灯输入、日志等级输入、日志文本输入，对应公式为添加辅助分类器后的损失函数形式为[0054] 对于设备B，其神经网络的输入层应当为k，对应公式为 添加辅助分类器后的损失函数形式为[0055] 步骤3：将每个设备的神经网络分类器层的输入作为检测与溯源一体化神经网络的输入，设计检测与溯源一体化神经网络的结构。具体如图3所示，本实施例采用全连接的形式，将入侵检测网络的各尺度使用全连接层连接至攻击溯源网络。[0056] 多尺度特征融合的攻击溯源网络：[0057] 本实施例采用的溯源网络为2隐藏层的全连接神经网络，即G(u)＝G0(G1(G2(u)))，选择设备A和B的第2层作为高分尺度，第1层作为中间尺度，第0层作为宏观尺度，即[0058] 相对于未使用多尺度特征融合的网络，若有攻击方案使得设备A状态为 设备B状态为 且状态 和 均属于正常状态，则应当有则入侵检测网络 表明A，B上未发生攻击，此时未使用多尺度特征融合的攻击溯源网络有 无法判定攻击状态，而本实施例的方案则有 可以根据 判断得到当前处于攻击状态，且溯源结果为(A,B)。[0059] 步骤4：持续采集工业控制系统数据，并对收集到的数据进行标注。利用标注后的数据，对上述神经网络进行训练。本实施例采用分层训练的方式：[0060] 步骤4‑1：对入侵检测网络进行训练，得到设备A入侵检测网络HA和设备B入侵检测B网络H，其对应权重分别为Na，Nb。[0061] 步骤4‑2：将整体入侵检测溯源一体化网络中分别为设备A设备B的部分值使用先前训练好的权重Na、Nb进行初始化，再对攻击溯源网络部分进行随机初始化。[0062] 步骤4‑3：对整体网络进行训练，最终得到能够同时进行入侵检测及溯源的神经网络。[0063] 步骤5：将本入侵检测溯源一体化系统部署至工业控制系统，对系统数据进行实时检测和溯源。[0064] 以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。

专利地区：广西

专利申请日期：2022-05-18

专利公开日期：2024-06-18

专利公告号：CN115021981B