基于深度学习的工控异常检测及攻击分类方法与流程

本发明涉及工业控制网络技术领域，特别涉及一种基于深度学习的工控异常检测及攻击分类方法。

背景技术：

工业控制系统(industrialcontrolsystems,ics)是由计算机设备与工业过程控制部件组成的自动控制系统，在铁路，石化和电力等关键基础设施领域发挥着重要作用。随着工业信息化进程的不断进行，工业控制系统的封闭性逐渐被打破，越来越多的信息和计算机技术被广泛应用于工业控制领域。这使得工业控制系统被恶意程序或者网络攻击破坏的风险大大增加，可能对国家基础设施造成破坏并带来重大经济损失。

由于资源条件受限和环境相对封闭等原因，工业控制系统在最初设计时并没有充分考虑到可能存在网络安全隐患。随着现代ics和信息技术的发展，潜在的安全问题逐渐暴露出来。为了使工业过程稳定可靠地运行，ics需要在必要时加以保护。为解决工控网络的信息安全问题，学术界和工业界都在积极的寻找合适的解决方案。传统的信息系统解决方案已作为早期防御方法应用于工业控制系统。然而，这些措施无法在高实时性和资源约束条件下充分预测和控制。近年来，工业控制系统的异常检测和安全保护在世界范围内得到了广泛的研究。工控异常检测方法的原理主要是通过测量当前行为与正常行为之间的偏差来识别恶意模式。目前常用的方法为：基于知识的异常检测方法，基于统计的异常检测方法和基于机器学习的异常检测方法。基于知识的异常检测方法在正常运行情况下分析系统状态，行为模式或协议规范，并建立检测规则，以便它可以检测不符合规范的攻击，其不足在于无法检测符合正常行为规范的潜在攻击；基于统计的异常检测方法通常使用分析和统计相关方法来分析工业控制系统的参数并建立系统的正常行为轮廓，但该方法无法精确利用数据的内部关系，同时，入侵者可以训练检测系统将入侵视为正常行为；基于机器学习算法的异常检测方法在一定程度上可以提高工业控制环境中异常行为检测的准确性，对建立智能高效的入侵检测模型具有重要意义，但是随着工业大数据时代的来临，工控网络数据集的规模不断增大，传统的机器学习方法的检测性能逐渐降低，计算成本也在不断上升。除了上述所述的不足之处以外，将异常行为检测简单认为二元分类问题也是远远不够的。为了实现在发生网络攻击时快速定位攻击来源，并及时进行对控制系统状态的缓解和恢复，从而尽可能的减少各类损失，有必要对工控网络的异常模式进行更加详细的划分。因此，在以上研究目标的推动下，本发明提出了将深度学习技术应用于工控网络异常检测和攻击分类的方法。

技术实现要素：

为了解决上述问题，本发明提出了基于深度学习的工控异常检测及分类方法。首先使用基于马氏距离(mahalanobis)的特征映射方法，将深度学习中的经典方法——卷积神经网络方法应用在对scada系统的异常检测及攻击分类中。本发明能够有效实现对工业控制系统网络异常流量的检测以及对不同种类攻击的精确分类。

本发明提出了一种基于深度学习的工控异常检测及分类方法，所使用的模型是卷积神经网络模型。同时，考虑到工业控制系统网络流量的各种特征之间具有较强相关性的特点，提出了一种基于马氏距离的特征映射方法。本发明提出的特征映射方法可将一维流数据转换为可用作卷积神经网络模型输入的二维矩阵。本发明在2分类问题和多分类问题上均表现出优异的性能，能够满足scada异常检测和攻击分类的预期要求，可以为工业控制系统的安全提供帮助。

附图说明

图1是本发明的总体结构示意图。

图2是本发明所使用卷积神经网络模型的结构示意图。

图3是本发明所使用的模型训练及异常检测流程示意图。

具体实施方式

以下将结合附图所示的具体实施方式对本发明进行详细描述。

本发明基于深度学习的异常检测及分类方法的整体结构示意图如图1所示，包括：

基于马氏距离的工控流量特征映射方法。该方法考虑到工业控制系统的实际情况，利用特征之间的马氏距离进行相关性度量，可以将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵。

步骤1.将第i个工控网络数据流xi表示为其中m是每个数据流中包含的特征变量数目。并且表示第i个工控数据流中的第l个特征的值。

步骤2.为了充分利用第i个网络流特征向量中不同特征之间的相关性，将xi转换为m行m列的矩阵。矩阵的具体的转换方法为：

其中im是m阶对角矩阵,是xi的转置矩阵，表示第i个工控数据流中的第l个特征的值。显然，矩阵xi的各对角线元素是m维特征的值。

步骤3.利用m维向量表示矩阵xi的每一列：

其中，

在这里，代表矩阵xi中第j行第p列的取值。

因此，矩阵xi可以用m个m维向量表示为：

其中，代表矩阵的第j个向量。

步骤4.计算矩阵xi的协方差矩阵并获得其逆矩阵：

∑^-1与coh(xi)^-1均表示xi的协方差矩阵的逆矩阵。

表示第m个向量与第k个向量求协方差。

步骤5.将流特征向量的不同特征之间的相关性由马氏距离定义如下：

其中，表示第j个和第k个特征之间的马氏距离。

最终，第i个工业数据流可以表示为对称矩阵mhdxi，该对称矩阵第m行m列的元素全部为零：

通过上述所提出的特征映射方法，本发明实现了原始一维工业数据流到二维矩阵的映射。经过映射的矩阵可用作卷积神经网络的输入，作为后续离线训练和在线检测的基础。

本发明所使用模型的结构示意图如图2所示，包括：

本发明基于所生成的流量数据灰度图的特征，改进了经典卷积神经网络——lenet-5的架构。改进主要考虑到两个方面：首先，根据通过特征映射获得的灰度图像大小，将网络的输入层设计为26×26像素。其次，考虑到多分类的输出要求，对输出层中的节点数进行修改。

本发明所使用的cnn将原始的26×26×1大小的图像作为输入，并且卷积层c1利用大小为3×3的六个内核执行卷积操作以获得六个24×24大小的特征映射。子采样层s2将c1层的输出作为输入，并使用2×2大小的窗口对6个图像进行池化，以获得6个12×12的特征映射。卷积层c3的内核大小与c1的大小相同，但使用预先训练的16个通道进行卷积运算，因此结果是16个大小为10×10的特征映射。子采样层s4仍然使用2×2大小的窗口汇集16个输入，并且结果是16个5×5大小的特征映射。该架构的最后两层是全连接层，用于把网络前面部分提取到的高级特征综合起来。全连接层所设置的节点数量以lenet-5为参考，分别为120和84，最终输出节点的数量为8。本发明所使用的卷积神经网络架构使用softmax函数实现多分类，使用dropout函数用于防止模型的过拟合，使用非线性激活函数relu将稀疏性引入神经网络，降低其他复杂激活函数中诸如指数函数的影响；同时活跃度的分散性使得神经网络整体计算成本下降。

本发明模型训练及异常检测流程示意图如图3所示，包括以下步骤：

步骤1.收集原始工业控制系统的过程数据流并进行处理。将scada数据集划分为训练数据集和测试数据集，并执行特征映射操作。

步骤2.初始化卷积神经网络。依据图2所示的体系结构搭建卷积神经网络模型，并进行网络相关参数的初始化操作。

步骤3.离线训练卷积神经网络模型。将训练数据输入到检测模型中，并通过训练自动确定卷积神经网络的每一层的权重系数。

步骤4.测试卷积神经网络模型。训练完成后，将测试数据输入到训练好的卷积神经网络中以对scada流量进行分类并确定每个度量是否高于阈值。如果结果高于下限，则微调参数并寻求最佳结果；否则，直接调整参数并重复步骤3。

应当理解，虽然本说明书根据实施方式加以描述，但是并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为了清楚起见，本领域的技术人员应当将说明书作为一个整体，各个实施方式中的技术方案也可以适当组合，按照本领域技术人员的理解来实施。

上述所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用于限制本发明的保护范围，凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。