[发明专利]一种工控网络入侵检测方法及系统

说明书

本发明提供了一种工控网络入侵检测方法及系统，该方法包括：获取当前时刻工控网络中各节点的网络数据，将当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；根据当前时刻检测结果对当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；根据更新数据对网络入侵检测模型中的参数进行调整，更新网络入侵检测模型。通过本发明的上述方法以实现对工控网络的在线入侵检测，同时提高了检测的实时性和准确性。

技术领域

本发明涉及网络安全入侵检测技术领域，特别是涉及一种工控网络入侵检测方法及系统。

背景技术

工业控制系统是应用于工业生产领域的自动控制系统的统称，它的组成庞大复杂，包括由各类硬件控制器组成的硬件控制系统，由上位机等组成的软件控制系统，软硬件之间的通信协议等等。而使工业控制系统各组成部分之间相互连接通信的网络也就是所谓的工控系统网络。随着互联网技术的不断发展，原本相对传统网络而言较为封闭安全的工控网络遭受到更多的安全威胁。由于工业控制系统被广泛应用于大型交通、煤炭、冶金、电力等关系到国计民生的重要领域，因此，对工控网络安全的研究迫在眉睫，维护工控系统网络的安全具有重要的意义。

传统的工控网络安全防护手段包括防火墙和入侵检测系统等。防火墙是设置在外网和本地网络之间的防御系统，通过检测和限制流通于防火墙的数据流，达到防止外部入侵、保护工控系统网络安全的目的。这是一种被动的防御方法。现在更多的是采用主动的防御方法，即建立入侵检测系统。入侵检测系统是从网络中即时获取各节点流量信息等网络信息，基于一定方法对信息进行分析和判断，主动对入侵行为做出反应的网络安全防御系统，是一种主动积极的防御方法。

对传统网络的入侵检测的研究已经十分广泛，相对于普通的网络入侵检测系统而言，目前的工控网络入侵检测存实时性差、准确率低的问题。因此，亟待一种实时性和准确性较高的工控网络入侵检测方法，以实现对工控网络的在线入侵检测。

发明内容

基于此，有必要提供一种工控网络入侵检测方法及系统，以实现对工控网络的在线入侵检测，提高检测的实时性和准确性。

为实现上述目的，本发明提供了如下方案：

一种工控网络入侵检测方法，所述入侵检测方法包括：

获取当前时刻工控网络中各节点的网络数据；

将所述当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，其中，所述网络入侵检测模型的输入为所述当前时刻工控网络中各节点的网络数据；所述网络入侵检测模型的输出为检测结果；所述网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；

根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；；

根据所述更新数据对所述网络入侵检测模型中的参数进行调整，更新所述网络入侵检测模型，采用更新后的网络入侵检测模型对下一时刻的网络数据进行检测；

所述网络入侵检测模型的建立方法具体包括：

获取工控网络中各节点的网络数据，作为训练网络数据；

对所述训练网络数据进行编码和标准化，得到标准训练网络数据；

采用主成分分析法PCA对所述标准训练网络数据进行降维，得到降维训练网络数据；

采用BA算法对ELM分类器的参数进行优化，根据所述降维训练网络数据对优化后的ELM分类器进行训练，所述离线BA-ELM分类器即为网络入侵检测模型。

可选的，所述根据所述当前时刻检测结果对所述当前时刻工控网络中各节点的网络数据进行标定，作为更新数据，具体包括：