[发明专利]基于三元概念分析的工业控制系统网络入侵检测方法及系统

权利要求书

1.一种基于三元概念分析的工业控制系统网络入侵检测方法，其特征在于，包含如下内容：收集网络数据包，通过特征分析来获取用于模型训练的网络连接数据集；

将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件，构建模糊三元背景；并根据构建的模糊三元背景，通过诱导算子构造模糊三元概念，从模糊三元概念的属性角度出发，将模糊三元概念转化成为属性类三元概念向量，利用网络连接数据集构建并训练检测模型；

利用已训练的检测模型对待检测的网络连接数据进行入侵检测，确定网络连接数据是正常访问数据还是网络攻击数据，若是网络攻击数据则通过入侵检测模型来识别攻击类型；

将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件，构建模糊三元背景，其中，模糊三元背景表示为四元组(D,T,C,R)，D表示对象集，T表示属性集，C表示条件集，R表示由对象集D、属性集T和条件集C三者之间三元关系组成的集合，并在R中，基于模糊集理论隶属度类比利用对象在条件下具有相应属性的网络连接特征权重来表征属性与对象的隶属关系及属性在对象中的重要程度；

针对网络连接数据，设定每一个网络连接为一条记录，每个记录中拥有多个网络连接特征，对象在条件下具有相应属性的网络连接特征权重通过数据归一化和标准化处理得到，用来表征属性与对象的隶属度；归一化和标准化处理，利用词频-逆向文件频率将网络连接特征权重归一化和标准化为0至1之间的数值，归一化和标准化公式表示为：其中，w_i表示第i个网络连接特征的权重值，f_i表示网络连接特征i的值在记录中出现的频率，n为原始数据中的数据量，n_i为含有网络连接特征i的值的数据量，t为网络连接特征的个数；当X包含于D，Z包含于T×C时，运用(i)-诱导算子构造模糊三元概念，其中，(i)-诱导算子表示为：

2.根据权利要求1所述的基于三元概念分析的工业控制系统网络入侵检测方法，其特征在于，针对收集到的网络数据包，利用数据挖掘技术进行特征分析处理来获取用于模型训练的网络连接数据集；利用已知入侵类型的网络连接数据集进行模型训练。

3.根据权利要求1～2中任一项所述的基于三元概念分析的工业控制系统网络入侵检测方法，其特征在于，根据模糊三元背景利用诱导算子获得含有网络连接、网络连接特征、入侵类型之间三元关系的模糊三元概念，从网络连接特征角度，转化为属性类三元概念向量。

4.根据权利要求1所述的基于三元概念分析的工业控制系统网络入侵检测方法，其特征在于，模型训练中利用网络连接数据集中样本进行入侵检测中，利用相似度度量的余弦夹角计算待检测网络连接数据的属性类三元概念向量与每个入侵类型下属性类三元概念向量之间的相似度，依据相似度大小对待检测网络连接数据进行分类识别。

5.根据权利要求4所述的基于三元概念分析的工业控制系统网络入侵检测方法，其特征在于，每个入侵类型下包含多个属性类三元概念向量，对同一入侵类型下通过对相似度取平均值获取待检测网络连接数据与当前入侵类型的相似度。

6.根据权利要求4或5所述的基于三元概念分析的工业控制系统网络入侵检测方法，其特征在于，相似度计算公式表示为：

其中，Sim(C,VD)表示待分类的网络连接数据转化的属性类三元概念向量C与属性类三元概念向量模型中向量VD的相似度，CW_i表示待分类网络连接属性类三元概念向量网络连接特征i的权重向量值，VDW_i表示属性类三元概念向量模型中向量网络连接特征i的权重向量值，n表示网络连接特征的个数。

7.一种基于三元概念分析的工业控制系统网络入侵检测系统，其特征在于，基于权利要求1所述的方法实现，包含：数据收集模块、模型构建模块及入侵检测模块，其中，

数据收集模块，用于收集网络数据包，通过特征分析来获取用于模型训练的网络连接数据集；

模型构建模块，将网络连接数据集中网络连接数据等价为模糊三元背景中的对象、网络连接特征对应属性及攻击类型转化为条件，构建模糊三元背景；并根据构建的模糊三元背景，通过诱导算子构造模糊三元概念，从模糊三元概念的属性角度出发，将模糊三元概念转化成为属性类三元概念向量，利用网络连接数据集构建并训练检测模型；

入侵检测模块，用于利用已训练的检测模型对待检测的网络连接数据进行入侵检测，确定网络连接数据是正常访问数据还是网络攻击数据，若是网络攻击数据则通过入侵检测模型来识别攻击类型。