[发明专利]一种基于深度学习的工控混合入侵检测方法

说明书

本发明公开了一种基于深度学习的工控混合入侵检测方法，属于工业控制系统网络信息安全技术领域。本发明方法先采用Borderline‑SMOTE过采样算法将SCADA系统数据集中少数类别的样本进行扩充，随之标准化处理；然后分别建立异常检测和误用检测；最后将AE异常检测和深度DNN误用检测组合混合入侵检测方法。其中，为了保证一次异常检测分类为正常的样本集中包含的异常样本接近为0，本发明将异常检测阈值设置的尽可能小，同时为了确保二次误用检测的高精度，通过堆叠多层DNN模型学习深层特征，再采用自动优化算法对深度DNN误用检测的超参数进行优化，进一步提高二次分类的准确性。

技术领域

本发明涉及一种基于深度学习的工控混合入侵检测方法，尤其是一种自编码器异常检测结合超参数自动优化的DNN误用检测的工控网络混合入侵检测方法，属于工业控制系统网络信息安全技术领域。

背景技术

研究表明，工业控制系统的信息安全性较弱，尤其是数据采集监控(SCADA)系统。SCADA系统用于监视和控制与关键基础架构相关的物理过程。但是，应用程序层协议的缺陷使SCADA网络容易受到攻击。2015年发生的BlackEnergy病毒和2017年的“永恒之蓝”病毒使得工控系统网络的信息安全受到了严重的威胁。

入侵检测是一种通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的安全技术。目前，针对工控网络的入侵检测方案更多采用的是基于传统的机器学习的检测方法，如最小二乘支持向量机、决策树、随机森林、人工神经网络等。按照分析方法/检测原理分类，入侵检测可以分为误用入侵检测、异常入侵检测。误用入侵检测方法是采用包含正常和攻击类标签样本进行训练，分类时虽然可以检测到攻击样本的类别，但却无法识别未知的攻击，从造成漏报率较高。异常入侵检测方法是只采用正常样本进行训练，通过学习正常样本的特征，之后根据正常样本与异常样本之间的差异完成异常检测，分类时虽然可以检测到未知的攻击，但却无法检测到已知攻击样本的类别，导致误报率较高。

连续工作的工控网络会产生大量的高维、非线性数据，而传统的检测方法在处理此类数据时易出现局限性，如连续产生的数据中包含一些噪声，决策树算法在处理包含噪声数据时会产生过拟合的情况，从而造成较低的分类准确率；支持向量机则难以处理大量的数据样本，因为这会消耗大量的计算机资源。当前工控网络数据不仅包含协议等字段，而且包含有效载荷。定义有效载荷的状态似乎是不可能的，因为有效载荷包含一个数据区，并且是不可预测的，它基于传输数据而急剧变化，属于非线性特征，传统检测方法针对这些特征学习能力不足，然而却可以通过深度学习技术进行预测。此外，由于深度学习模型中超参数优化属于黑盒优化问题，其超参数难以确定。当前超参数优化方法更多的是通过经验和大量人工尝试实验得到相对较优的超参数组，此类方法耗时耗力且具有较多的不确定因素，缺乏理论依据。

基于以上的分析可知：误用检测存在误报率低漏报率高的特点，异常检测存在漏报率低误报率高的特点，传统检测方法在当前的工控网络环境存在一定的局限性。此外，人工搜索深度入侵检测模型最优超参数组要求使用者具有专业的背景知识和实践经验，但随着超参数的数量和值的范围增加，由于人类不善于处理高维数据并且容易误解或错过超参数的趋势和关系，所以变得非常难以管理，所以更需要采用一种自动搜索的方法来克服手动搜索的局限性。

当前已有的混合入侵检测模型采用的是基于传统机器学习的分类算法，如专利CN110086767A采用KNN进行异常检测，但是KNN属于懒惰算法，对测试样本分类时的计算量很大，检测时间长。此外，KNN算法必须保存全部的数据集，如果训练数据集很大，那么就需要耗费大量的存储空间。KNN必须对待测试数据计算与每一个训练数据的距离，这非常耗时，在处理高维度的数据时常常会发生维度灾难。而工控网络数据具有数据量大、维度高的特点，此外工控网络入侵检测对检测的实时性要求较高，因此KNN不适用于连续工作的工控网络的入侵检测。