[发明专利]一种基于多投票技术的工控网络入侵检测方法及系统

说明书

本发明提供了一种基于多投票技术的工控网络入侵检测方法及系统，该方法包括：获取当前时刻工控网络中各节点的网络数据，将获取的数据输入到网络入侵检测模型中，得第一检测结果；根据第一检测结果将第一网络数据存入相应的缓存区，得标定后第一网络数据；判断各缓存区的数据量是否达到第一设定值；若是，将各缓存区中的数据作为更新数据，根据更新数据对网络入侵检测模型中的参数进行调整，更新网络入侵检测模型，采用更新后的检测模型对下一时刻的网络数据进行检测，网络入侵检测模型中有R个离线BA‑ELM分类器，将检测结果中出现次数最多的作为最终检测结果，通过本发明的上述方法以实现对工控网络的在线入侵检测，同时提高了检测的实时性和准确性。

技术领域

本发明涉及网络安全入侵检测技术领域，特别是涉及一种基于多投票技术的工控网络入侵检测方法及系统。

背景技术

工业控制系统是应用于工业生产领域的自动控制系统的统称，它的组成庞大复杂，包括由各类硬件控制器组成的硬件控制系统，由上位机等组成的软件控制系统，软硬件之间的通信协议等等。而使工业控制系统各组成部分之间相互连接通信的网络也就是所谓的工控系统网络。随着互联网技术的不断发展，原本相对传统网络而言较为封闭安全的工控网络遭受到更多的安全威胁。由于工业控制系统被广泛应用于大型交通、煤炭、冶金、电力等关系到国计民生的重要领域，因此，对工控网络安全的研究迫在眉睫，维护工控系统网络的安全具有重要的意义。

传统的工控网络安全防护手段包括防火墙和入侵检测系统等。防火墙是设置在外网和本地网络之间的防御系统，通过检测和限制流通于防火墙的数据流，达到防止外部入侵、保护工控系统网络安全的目的。这是一种被动的防御方法。现在更多的是采用主动的防御方法，即建立入侵检测系统。入侵检测系统采用主动检测、主动防御，从网络节点中即时地获取信息，即时诊断网络状况，从而实现实时快速的入侵检测，入侵检测分为异构检测和误用检测两大类。异构检测是建立正常状态模型，通过与当前网络状态对比来判断入侵；误用检测是建立异常状态模型，将当前网络状态与已知入侵类型作匹配。

对传统网络的入侵检测的研究已经十分广泛，相对于普通的网络入侵检测系统而言，目前的工控网络入侵检测存实时性差、准确率低的问题。因此，亟待一种实时性和准确性较高的工控网络入侵检测方法，以实现对工控网络的在线入侵检测。

发明内容

基于此，有必要提供一种基于多投票技术的工控网络入侵检测方法及系统，以实现对工控网络的在线入侵检测，提高检测的实时性和准确性。

为实现上述目的，本发明提供了如下方案：

一种基于多投票技术的工控网络入侵检测方法，所述入侵检测方法包括：

获取当前时刻工控网络中各节点的网络数据，记为第一网络数据；

将所述第一网络数据输入到网络入侵检测模型中，得到第一检测结果；

根据所述第一检测结果将所述第一网络数据存入相应的缓存区，得到标定后第一网络数据，所述缓存区为多个；

判断各所述缓存区的数据量是否达到第一设定值；

若否，则跳转到步骤“获取当前时刻工控网络中各节点的网络数据，记为第一网络数据”，直到各所述缓存区的数据量达到第一设定值；

若是，将各所述缓存区中的数据作为更新数据，根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测；

所述网络入侵检测模型的建立方法具体包括：

获取工控网络中各节点的网络数据，作为训练网络数据；

对所述训练网络数据进行编码和标准化，得到标准训练网络数据；

采用主成分分析法PCA对所述标准训练网络数据进行降维，得到降维训练网络数据；