[发明专利]一种食品加工远程控制系统入侵检测方法

权利要求书

1.一种食品加工远程控制系统入侵检测方法，其特征在于，所述方法包括以下步骤：

A.建立食品加工远程控制网络拓扑模型，将食品加工远程控制系统分层，分别进行主机入侵检测和网络入侵检测；

B.通过特征匹配方法对误报进行有效的过滤，对过滤后的异常行为再进行检测，提高检测效率；

C.通过多重代理之间协调工作判断访问是否为入侵行为，进行主机入侵的检测和自学习；

D.利用聚类方法和关联规则自动挖掘网络入侵规则，进行网络入侵检测，完成食品加工远程控制入侵检测；

所述方法包括以下步骤：所述步骤A包括：

建立食品加工远程控制网络拓扑模型，将系统分为三层：控制层、数据层、处理层，即，

控制层：负责各层的控制、管理和维护，从入侵检测代理采集的数据发送至数据库；

数据层：负责存储食品加工远程控制中产生的数据，随着加工速度和效率的要求提高，数据层的存储性能也提高；

处理层：主要包括主机入侵检测代理和网络入侵检测代理，对数据流进行实时检测，识别入侵特征，阻止入侵的进一步发生，基于主机的入侵检测通过操作系统的审计、跟踪日志作为数据源，从中发现可疑行为；基于网络的入侵检测主要用于检测通过网络进行的入侵行为，对自身网络起到保护作用。

2.如权利要求1所述的食品加工远程控制系统入侵检测方法，其特征在于，所述方法包括以下步骤：所述步骤B包括：

(1)给定集合R包含数据通过与正常模式正向匹配得到的异常特征r，集合S包含数据与正常模式反向匹配得到的异常特征s，即其他正常模式的异常特征，集合R和集合S相交的部分为误报，则去除误报后的异常特征为：

F＝R-(R∩S)

从而减少误报，提高准确率；

(2)去除误报后的异常特征的入侵发生率P：

其中，k_i(i＝1,2,…,n)是调整系数，n是特征数量，给定入侵发生阈值ε₁、ε₂；若Pε₁，则不是入侵行为；若ε₁≤P≤ε₂，则数据偏离正常模式，有入侵的可能性，但不能确定；若Pε₂，则认为数据信息是入侵者，执行相应的处理，并提取特征更新特征数据库。

3.如权利要求2所述的食品加工远程控制系统入侵检测方法，其特征在于，所述方法包括以下步骤：所述步骤C包括：

(1)对于步骤B中发现有入侵可能性的信息，通过多重代理协调配合对信息进行分析，代理对入侵分析进行学习，获得入侵限制δ，自动识别陌生信息，若入侵可疑度Dδ，则是入侵行为，将结果传送给管理员，并生成入侵日志；若入侵可疑度Dδ，则不是入侵行为，并将特征信息发送给其他代理，更新特征数据库；

(2)若其他代理对此信息存在疑问，则累加可疑度，进行判断；否则继续通知其他代理，直至可疑度达到入侵限制，向管理员发出报警信息，或者所有代理都判断完后，证实不是入侵行为，从而通过多重代理之间协调工作判断访问是否为入侵行为。

4.如权利要求3所述的食品加工远程控制系统入侵检测方法，其特征在于，所述方法包括以下步骤：所述步骤D包括：

(1)对于报警信息，通过构造特征间的距离函数作为目标函数：

其中，r是特征数据，是聚类均值，n是特征数据的数量，对目标函数进行优化，得到初始化聚类中心，计算每个节点属于的类别，并更新聚类中心，进行迭代，直至目标函数的变化值小于设定的阈值，得到最终的聚类中心进行划分；

(2)通过关联规则分析，对报警信息进行进一步分析，提取出强关联的报警信息，设定最小支持度和最小置信度，获取大于等于最小支持度的频繁项集，从分类数据中挖掘出记录各个分类属性的联系，自动提取入侵行为的特征，形成满足最小置信度的入侵规则，根据数据的内容和配置规则进行匹配，若匹配成功，则该数据存在入侵行为，输出结果，从而完成食品加工远程控制的入侵检测。