首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

一种基于会话特征连续性的工业控制系统异常检测方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:国网湖北省电力有限公司鄂州供电公司

摘要:本申请涉及工业控制系统安全领域,公开了一种基于会话特征连续性的工业控制系统异常检测方法,包括以下步骤:在工业控制系统正常运行的情况下,连续采集工业控制网络中的流量,得到数据包pcap文件,提取网络数据包,并根据会话特征连续的特性构建训练数据集。用卷积神经网络构建孪生网络,用训练数据集训练孪生网络,得到训练好的工控异常检测模型。异常检测阶段,实时采集工业控制网络中的流量,提取出流量中的网络数据包,并根据会话特征连续的特性构建组合样本,将组合样本输出到工控异常检测模型,若模型的输出值大于设定阈值则表示当前系统异常,否则为正常。本发明利能够捕获网络会话中的时序异常,且训练数据集的构建不需要异常样本。

主权项:1.一种基于会话特征连续性的工业控制系统异常检测方法,其特征在于,包括以下具体步骤:1在数据集准备阶段,在工业控制系统正常运行的情况下,连续采集工业控制网络中的流量,得到网络数据包pcap文件;2按照五元组规则提取出pcap文件中每一个会话中的多个网络数据包,五元组是指:源IP、目的IP、源端口、目的端口和应用层网络协议;3将每个会话中的网络数据包逐一进行深度协议解析,得到每个网络数据包解析后的工控协议数据向量H=[h1,h2,h3,...,hP],工控协议数据向量具体包括当前工控系统中的传感器和执行器的状态数值,hi表示工控协议数据向量中第i个数据,具体地,深度协议解析是指将工控协议的应用层报文根据协议规约规定的规则,逐一解析出里面的有效字,P是当前工业控制系统中传感器和执行器的总数;4根据步骤3所述方法,在每个会话的网络数据包中提取出多个工控协议数据向量Hi,将它们按时间排序,构成一个工控协议数据组HG=[H1,H2,H3,...,HJ],其中J为将当前会话中的网络数据包逐一解析后的得到工控协议数据向量总数;5按照顺序,每次从工控协议数据组HG选择两个工控协议数据向量,构成一个训练样本S=Hi,Hi+1,然后选择样本的坐标i向后移动一个单位,继续选择两个工控协议数据向量,构成一个训练样本,Hi和Hi+1在时序中接近,故Hi和Hi+1的特征是相似的,即特征连续;6按照步骤5的方式反复选择工控协议数据向量,得到多个训练样本[S1,S2,S3,...,SJ]=[H1,H2,H2,H3...,HJ-1,HJ],其中J为将当前会话中的网络数据包逐一解析后的得到工控协议数据向量总数;7按照步骤5和步骤6的方法,对pcap文件中每一个会话的数据包进行训练样本提取,将得到的所有训练样本组成一个训练数据集D=S1,S2,S3,...,SN,其中N为得到的训练样本的总数,也是将当前pcap文件中的网络数据包逐一解析后的得到工控协议数据向量总数;8使用卷积神经网络构建孪生网络,用于工控异常检测,孪生网络由两个结构相同的卷积神经网络构成,两个卷积神经网络共享权重;9在模型训练阶段,逐一读取训练数据集D中的样本,第i个样本表示为Hi,Hi+1,将其输入到孪生网络中,Hi作为第一孪生网络中X1的输入,Hi+1作为第二孪生网络中X2的输入;10孪生网络中的两个卷积神经网络分别输出哈希向量f1=FX1和f2=FX2,其中f1和f2为两个长度为Z的一维向量,Z为卷积神经网络的输出向量的长度;11使用对比损失函数计算孪生网络对当前样本的损失值l: 其中,||.||2表示取二范数,fi表示取输出预测结果向量f的第i个数值;12根据步骤11计算得到的排序损失,使用随机梯度下降法对当前模型的参数进行更新,得到更新卷积神经网络模型的参数θnew: 其中η为学习率,取0.001;13根据步骤5,Hi和Hi+1特征连续,网络输出的哈希向量f1和f2特征相似,训练损失尽量小;重复步骤11至步骤12,直到训练损失l小于设定阈值,或迭代次数达到最大设定次数;得到训练好的孪生网络14在异常检测阶段,实时采集工业控制网络中的流量,按照五元组规则提取出流量中的每一个会话的网络数据包,对每个会话的网络数据包进行深度协议解析,得到当前时刻的会话数据帧;15如果是第一次采集,则将步骤14得到的数据帧作为本次会话数据帧H1,否则将上一次构建的组合样本H′1,H′2中的会话数据帧H′2作为本次的会话数据帧H1,此做法实现了在一个长度为2,步长为1的滑动窗口上进行组合样本构建的功能,目的在于能够检测会话中每个数据包与下一个数据包的连续性,从而更全面地进行工业控制系统异常检测;16按照步骤14的方式采集工业控制网络中的流量得到会话数据帧作为本次会话数据帧H2;17组合会话数据帧H1和会话数据帧H2构成组合样本;18重复步骤15和步骤17,不断得到新的组合样本H1,H2;19将从步骤18得到的组合样本输入异常检测模型,如果模型的输出值大于设定阈值则表示当前工业控制系统异常,否则为正常;20步骤14至步骤18所述的组合样本构建方法只是当前网络流量中一个独立会话的处理流程,其他会话按照相同步骤处理。

全文数据:

权利要求:

百度查询: 国网湖北省电力有限公司鄂州供电公司 一种基于会话特征连续性的工业控制系统异常检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。