[发明专利]一种面向工业互联网边界防护的对抗式入侵检测方法

权利要求书

1.一种面向工业互联网边界防护的对抗式入侵检测方法；其特征在于，操作步骤如下：

步骤1)对通过工业互联网边界设备的网络流量进行特征选择；

步骤2)对选取的网络特征评估并量化其被攻击者篡改的难易程度，并将这一难易程度定义为网络特征的风险值；

步骤3)计算样本在网络特征空间的距离中融合特征风险，使特征风险值与该特征分量对距离计算的贡献成反比；

步骤4)利用融合特征风险的特征值训练入侵检测分类器，采用支持向量机，从而使训练出的入侵检测分界面在高风险的网络特征分量上更加远离入侵样本。

2.根据权利要求1所述的面向工业互联网边界防护的对抗式入侵检测方法，其特征在于：

所述步骤1)具体包括下列步骤：

步骤1.1、根据入侵检测系统常用的网络包特征进行收集，形成特征待选集合；

步骤1.2、将训练样本集中的网络包根据标签划分为正常样本集和攻击样本集；

步骤1.3、针对特征待选集合中的每一个特征k，分别在正常样本集和攻击样本集中统计其特征值分布，分别记为N_k和A_k；

步骤1.4、计算分布N_k和A_k的相对熵，即K-L散度：

步骤1.5、根据经验或实验确定相对熵阈值η，如果D_KL(N_k||A_k)≤η，则将特征k选入用于入侵检测模型训练的特征集。

3.根据权利要求1所述的面向工业互联网边界防护的对抗式入侵检测方法，其特征在于：

所述步骤2)具体包括下列步骤：

步骤2.1、统计和收集影响网络特征被篡改难易程度的各种因素，确定的影响因素个数记为N；

步骤2.2、针对每种影响因素，将网络特征分为高风险且容易篡改、低风险且难以篡改两类；

步骤2.3、对所有的影响因素，根据其对网络特征被篡改难易程度的影响力从高到低进行排序；

步骤2.4、根据排序将网络特征按高低风险依次递进分类形成一个风险分类二叉树，该二叉树中叶子节点记为风险类别；

步骤2.5、风险类别按低风险在左高风险在右排列：风险类别按排列，第i个风险类别的风险值量化为每一个网络特征最终都能归类到分类二叉树的一个叶子节点上，其风险值即为该叶子节点的风险值。

4.根据权利要求3所述的面向工业互联网边界防护的对抗式入侵检测方法，其特征在于：

所述步骤3)具体包括下列步骤：

步骤3.1、训练样本集中所有样本在各网络特征维度上将网络特征值归一化，其中v_min(k)和v_max(k)分别是样本集中所有样本在网络特征k上的最小取值和最大取值，v_s(k)和分别是样本s在网络特征k上的原始取值和归一化取值；

步骤3.2、将归一化后的特征值根据其所属的风险类别按反比例形式进行融合：其中为融合风险值后的归一化特征值。

5.根据权利要求1所述的面向工业互联网边界防护的对抗式入侵检测方法，其特征在于：

所述步骤4)具体包括下列步骤：

步骤4.1、将融合风险值后的归一化特征值作为输入，训练二分类支持向量机作为入侵检测分类器；

步骤4.2、在使用入侵检测分类器检测未知样本时，按前述步骤1)至步骤3)将输入特征值归一化并融合风险值。