[发明专利]一种基于循环神经网络的工业控制系统入侵检测方法

说明书

本发明涉及一种基于循环神经网络的工业控制系统入侵检测方法。该方法通过采取工业控制系统现场控制网络中特定大时间尺度下的正常历史数据，对通信数据进行协议解析得到通信过程中的数据包，针对数据包特征细化分析，通过降维得到每一个数据包的有效特征集；利用自然语言处理获得其向量表示，进一步获得当前时间尺度下的系统正常历史通信数据库；输入到循环神经网络预测模型中，学习正常通信行为的序列特征，最终通过概率分析得到具体的工业控制系统通信数据包是正常与否。本发明利用概率主成分分析方法充分挖掘每一个数据包的有效信息，提高了模型的训练速度；并通过循环神经网络模型融合贝叶斯公式，有效提高了入侵检测的准确率，降低了误报率。

技术领域

本发明属于工业控制系统安全领域，涉及一种基于循环神经网络的工业控制系统入侵检测方法。

背景技术

工业控制系统(industrial control system,ICS)是一种用于工业生产的控制系统的统称，包括监控和数据采集系统(supervisory control and data acquisition,SCADA)、分布控制系统(distributed control system,DCS)和可编程逻辑控制器(programmable logic controller,PLC)等多种类型控制系统。它是电力、交通、水利等传统国家关键基础设施的核心，它的安全关系到国计民生，是社会经济发展的重要保障。

早期的工业控制系统处在一个相对隔离的环境中，与外部互联网不直接接触，系统自身的实时性和可用性是其关注的主要问题。但随着工业化4.0时代的到来，信息化和工业化融合进程加快，ICS朝着开放、网络化方向前进，各种先进的信息技术和通信网络协议在工业控制系统中得到越来越多的应用，使得工业控制系统逐渐暴露在外界互联环境中，而自身的系统化安全措施尚未跟上开放的步伐，病毒、木马等引起的安全隐患层出不穷。ICS的安全防护问题在学术界和产业界引起广泛重视，研究人员开始借鉴传统信息安全领域的防护技术解决ICS的安全防护问题，如工业防火墙、风险评估技术等，但是传统信息安全技术不能提供实时的安全防护，防火墙等防御措施也无法防御来自系统内部的攻击。入侵检测是一种通过安全监控和异常报警的入侵检测技术，作为一种主动防御方法可以弥补传统安全方法的不足，实现对ICS外部和内部入侵的实时监测。

发明内容

本发明的目的在于针对目前工业控制系统安全的欠缺和不足，提供一种基于循环神经网络的工业控制系统入侵检测方法。

本发明的目的是通过以下技术方案实现的，一种基于循环神经网络的工业控制系统入侵检测方法，包括以下步骤：

A.建立异常检测网络模型的步骤：

A1.采集工业控制系统中流经现场控制网络的正常通信数据；

A2.对数据进行数据解析、数据降维、标准化编码处理，获取有效特征序列；

A3.建立GRU循环神经网络预测模型，用有效特征序列训练该模型并优化网络参数，得到异常检测网络模型；

B.对流经现场控制网络的通信数据进行实时检测的步骤：

B1.采集工业控制系统中流经现场控制网络的实时通信数据；

B2.对数据进行数据解析、数据降维、标准化编码处理，获取有效特征序列；

B3.用有效特征序列输入该模型初步判断实时数据是否异常；

B4.利用贝叶斯公式进一步计算实时数据的主成分异常概率，最终输出现场控制网络的入侵检测结果。

所述采集工业控制系统中流经现场控制网络的正常或实时通信数据，是利用抓包软件Wireshark采集的，其中正常历史数据来源为实际现场数据或网络公开的实验数据集。

所述数据解析包括：对正常历史数据集合或实时数据中的每一个数据包进行协议解析，识别、提取数据包的特征。