[发明专利]基于多分类GoogLeNet-LSTM模型的工控入侵检测方法

说明书

本发明公开了基于多分类GoogLeNet‑LSTM模型的工控入侵检测方法，该方法针对使用Modbus协议的工控通信过程，首先对网络包进行分类。之后，对于不携带信息的网络包使用特征模板对比方法进行检测；对于携带信息的网络包，使用原始网络包构造时序检测序列，通过对其中每个网络包进行独热编码，并使用GoogLeNet进行特征提取，将得到的特征向量序列输入基于attention机制的LSTM网络进行时序检测得到检测结果。设计检测结果多分类方法，使用两种检测方法输出具体的入侵类别。该方法具有普适性，且对于不同种类的入侵具有检测精度高、实时性强的特点。

技术领域

本发明应用于工业控制系统中的安全领域，特别涉及一种针对使用Modbus协议的通信过程的工控入侵检测方法。

背景技术

工业控制系统(Industrial Control System,ICS)是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成，实现数据的采集和处理、监控及远程通信和维护等功能。随着工业水平的发展和信息化进程的推进，工控组件呈现分布广、数量多的特点。为了实现组件之间的稳定通信和集中管理，ICS越来越多地使用公用的软件和通信协议，使得系统暴露出大量安全漏洞，面临着越来越多的信息安全问题。传统的工控安全技术，如用户认证、防火墙和数据加密等已无法应对不断革新的网络攻击。因此，针对协议本身设计的入侵检测方法是实现工控安全的重要手段。

机器学习方法已经广泛应用于工控入侵检测中，使用特征提取方法从工控数据中学习特征并提取出特征向量，之后使用各种机器学习分类方法比如SVM、GBDT等，依照特征向量进行网络包分类，进而判断出是否存在入侵行为。然而随着工业水平发展，工控数据越来越呈现出量级大、特征多、变化复杂的特点，基于传统机器学习方法的入侵检测方法暴露出漏报率高、误报率高等问题，严重影响了入侵检测精度。随着学者们的研究，深度学习技术也逐渐应用于工控入侵检测中。深度学习作为机器学习方法的一种，使用神经网络来处理复杂的机器学习问题。深度学习应用于工控入侵检测中主要有两大应用之处，一是神经网络凭借其复杂的结构具有较强的学习能力，擅长挖掘数据中的特征关系，非常适合用来设计特征提取方法；二是神经网络由于其深层结构，可以进行高维、深度计算，具有更强的分类能力。然而不同的网络结构单独应用于工控入侵检测有着各自的优缺点，传统的基于卷积神经网络(convolutional neural networks,CNN)的检测方法具有较强的特征学习能力，却不能进行时序检测，许多入侵行为难以检测出来；传统的基于长短期记忆(longshort-term memory，LSTM)网络的入侵检测方法尽管可以利用网络包间的时序关系，却严重依赖特征提取方法，并且在处理长序列任务时性能较差，误报率较高。

为了提高工控入侵检测的精度，一方面需要使用性能更加优异的网络来深度挖掘工控数据特征；另一方面，需要进行改进网络结构来进行更准确的时序检测。

发明内容

针对Modbus协议本身以及使用该协议的工控通信过程，本发明采用的技术方案为基于多分类GoogLeNet-LSTM模型的工控入侵检测方法，首先，分析Modbus协议的通信单元，使用网络包分类方法，将网络包划分为不携带信息和携带信息的网络包。然后，对于不携带信息的网络包，使用模板对比的方法进行检测；对于携带信息的网络包，先构造网络包序列，再对序列中每个网络包使用GoogLeNet进行特征提取，再使用提取到的特征向量通过基于attention机制的LSTM网络进行时序检测。最后，使用入侵分类方法对于检测结果进行多分类。

本方法不仅根据不同的网络包使用不同的入侵检测方法，具有较高的检测效率；而且使用了组合的深度学习模型，利用了两种网络的优点，大大提高了入侵检测精度。

使用该方法的工控入侵检测系统包括数据采集模块、数据读写模块、网络包分类模块、入侵检测模块和检测结果多分类模块。其中，数据采集模块与数据读写模块相连，数据读写模块与网络包分类模块相连，网络包分类模块与入侵检测模块相连，入侵检测模块与检测结果多分类模块相连，检测结果多分类模块与数据读写模块相连。