[发明专利]一种基于多投票技术的工控网络入侵检测方法及系统

权利要求书

1.一种基于多投票技术的工控网络入侵检测方法，其特征在于，所述入侵检测方法包括：

获取当前时刻工控网络中各节点的网络数据，记为第一网络数据；

将所述第一网络数据输入到网络入侵检测模型中，得到第一检测结果；

根据所述第一检测结果将所述第一网络数据存入相应的缓存区，得到标定后第一网络数据，所述缓存区为多个；

为了提高小样本的检测准确率，同时为了配合多投票技术，采用两级缓存器的架构对在线数据进行存储和分配，对收集到的数据按比例进行存储和抛弃；缓存器分为第一级缓存器和第二级缓存器，第一级缓存器有多个缓存区，第一级缓存器用于保证在线更新数据各类别的比例相同，第一级缓存器中，每一类网络状态的数据都只能保存给定条，即每个缓存区中只能存取设定数量，超出该数量则予以丢弃；当第一级缓存器中的各缓存区数据量达到设定数量时，所有数据送往第二级缓存器，同时清空第一级缓存器；

第二级缓存器用于将数据等比分发到各个离线BA-ELM分类器，它将所有在线数据打乱顺序并随机等量配发打包成数据块发送给各个离线BA-ELM分类器，同时清空第二级缓存器；

判断各所述缓存区的数据量是否达到第一设定值；

若否，则跳转到步骤“获取当前时刻工控网络中各节点的网络数据，记为第一网络数据”，直到各所述缓存区的数据量达到第一设定值；

若是，将各所述缓存区中的数据作为更新数据，根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测；

所述若是，将各所述缓存区中的数据作为更新数据，根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测，具体包括：

利用在线数据即更新数据用于更新网络入侵检测模型的输出层权值，实现ELM分类器的更新过程，训练时得到的输出层权值向量集合命名为β₀，β₀＝K₀^-1H₀^Tt₀，其中K₀＝H^TH；设缓存器中存储了N₁条数据，即新样本总数量为N₁，则所求新的输出层权值向量集合β₁满足下式：

其中，H₁表示网络入侵检测模型中更新后隐含层的输出矩阵，t₁表示更新数据对应的标签取值向量集合，H₀表示网络入侵检测模型中更新前隐含层的输出矩阵，t₀表示训练数据对应的标签取值向量集合；

根据上式可以推算出，缓存器收集的固定容量的新数据包输入后，更新公式如下所示，

β₁＝β₀+K₁^-1H₁^T(t₁-H₁β₀)＝β₀+(K₀+H₁^TH₁)H₁^T(t₁-H₁β₀)

β₁表示更新后的输出层权值向量集合，H₁^T表示H₁的转置，β₀表示更新前的输出层权值向量集合，β₀＝K₀^-1H₀^Tt₀，K₀＝H₀^TH₀；

所述网络入侵检测模型的建立方法具体包括：

获取工控网络中各节点的网络数据，作为训练网络数据；

对所述训练网络数据进行编码和标准化，得到标准训练网络数据；

采用主成分分析法PCA对所述标准训练网络数据进行降维，得到降维训练网络数据；

将所述降维训练网络数据等分成R份，每份数据对应一个ELM分类器，所述R为奇数；

采用BA算法对各所述ELM分类器的参数进行优化，根据所述每份数据对优化后的ELM分类器进行训练，得到R个离线BA-ELM分类器，所述R个离线BA-ELM分类器为强分类器；选取强分类器检测结果中出现次数最多的作为最终检测结果；所述强分类器即为网络入侵检测模型；

所述采用BA算法对各所述ELM分类器的参数进行优化，根据所述每份数据对优化后的ELM分类器进行训练，得到R个离线BA-ELM分类器，具体包括：

采用所述BA算法对各所述ELM分类器的输入层权值和隐含层阈值进行优化；

根据所述每份数据对优化后的ELM分类器进行训练，得到R个离线BA-ELM分类器。