[发明专利]一种工控网络入侵检测的多级自适应耦合方法

说明书

本发明提供了一种工控网络入侵检测的多级自适应耦合方法，涉及工业控制网络安全技术领域，包括以下步骤，基于白名单技术过滤数据包中与规则库不匹配的通信行为；基于深度学习方法进行离线训练、构建分类器，实现异常通信行为的在线实时检测；本方法适用于处理海量高维的入侵检测数据；能够较好的解决样本非平衡分类问题；对于未知类型攻击具有相当的应对能力，增强检测模型泛化能力，有效降低漏报率，尤其明显提升了系统对分布稀疏的少数类入侵攻击的检测能力；采用自适应耦合方法离线构建分类器，弥补了单一检测方法的不足和盲目性。

技术领域

本发明涉及工业控制网络安全技术领域，尤其是涉及一种工控网络入侵检测的多级自适应耦合方法。

背景技术

工业控制系统(Industrial Control System，ICS)，是用于监控工业生产过程、收集关键生产数据的一类控制与采集系统，它被广泛应用于自动控制中。特别的，工业控制网络在先进制造以及工业通信领域具有关键性作用，它能够允许用户对工业生产进行远程监控，并且为分散的工业生产控制以及监控设施提供远程访问和控制。目前，中国大部分关键基础设施(涉及电力、石化、制造等)均通过工业控制系统和工业控制网络进行生产过程监控。可以说，工业控制系统的安全性对工业生产具有重大意义。

传统意义上，工业控制系统及其组态网络对外界隔离，不受传统IT网络漏洞和病毒的影响。随着信息化技术的提升，ICS也产生了连接IT网络、进行数据交互的需求。但是传统工业控制网络缺乏类似IT网络中成熟的网络安全技术，对于网络的恶意行为无法实施有效的防护。另外，工业控制网络与控制生产的关键设备相连，一旦遭受攻击，产生的危害将会十分严重，不仅仅破坏工业生产过程，甚至会危及人员的生命安全。

入侵检测系统(Intrusion Detection System，IDS)是针对于计算机的监视系统，是在防火墙之后又一道网络安全保护屏障。传统的入侵检测系统是基于误用检测的模式匹配检测系统，通过广泛收集入侵或攻击信息同规则模式数据库中已知的信息进行对比，匹配成功则给予预警反馈，显然该种方式缺乏对新型攻击的抵御能力。近年来，基于混合模式的检测深受研究领域的关注，该类检测不仅对现有系统的攻击类型进行分析，又能够观察可疑的新型入侵或攻击数据，具有积极的主动学习能力，被业界称为“启发式检测”。

平衡数据集指待统计分析的数据中，不同类别数据分布比例近似相同。若不同类别间数据量差别太大，某些少数类样本数量稀少，该类数据集被称为非平衡数据集。针对入侵检测系统，某些特定攻击或入侵出现频率很低，是检测过程中的少数行为，直接在此类数据集上训练学习算法，少数重要攻击类型数据不足，将直接导致入侵检测系统的漏检率升高，严重威胁系统安全，显然此种方式并不可取。在实际的检测过程中，代表少数类的入侵数据携带更多的信息点，同时更具分析研究价值。

当前，针对非平衡数据分类的解决办法分为两类：基于算法层面的方法、基于数据层面的方法。

1)算法层面的解决方法：通过改进算法的训练过程或选用多种集成训练方法，主要包括集成学习方法、代价敏感学习方法。

2)基于数据层面的方法：通过采样方法平衡数据样本分布，具体方式包括过采样和欠采样。在实现方式上，采样算法可分为随机过(欠)采样和启发式过(欠)采样。

作为研究热点，入侵检测研究领域学者提出了多种基于深度学习的检测模型，现有入侵检测模型存在的问题：海量高维数据环境下检测效果差，模型自适应能力差，数据不平衡问题。目前，基于深度学习的工控网络入侵检测研究处于起步阶段，深度学习通过其深层结构对数据特征充分学习，在分析海量高维数据时表现优秀，适宜处理稠密复杂的入侵检测数据集，将深度学习应用到工业控制系统网络入侵检测中，在实践场景中有较高探索价值和实用价值。

发明内容