[发明专利]一种基于机器学习的工业控制系统入侵检测方法

权利要求书

1.一种基于机器学习的工业控制系统入侵检测方法，其特征在于，包括以下步骤：

(1)、对待检测的工业控制系统通信进行数据包的检测、识别和分析；

设工业控制系统中共有M组控制端和执行端组合，其通信周期划分为X个单位时间；

在机器学习阶段，通过防火墙中的入侵检测模块对工业控制系统的通信数据包进行检测、识别，分析提取出控制端和执行端之间通信数据包的源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、时刻值T以及单位时间内通过的数据包数量N，则共提取出M×X组数据；

(2)、对获取的数据进行预处理；

在M×X组数据中，分别将每组数据中的源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、时刻值T以及单位时间内通过的数据包数量N组成向量(SIP,SD,DIP,DD,T,N)，再将M×X组向量(SIP,SD,DIP,DD,T,N)传入防火墙中的入侵检测模块；

(3)、判断M×X组向量(SIP,SD,DIP,DD,T,N)的异常

(3.1)、入侵检测模块监测机器学习阶段某一组向量出现未检测到的源/目的IP地址SIP或未使用的端口号SD或未出现的组合，即出现非法IP或非法端口或非法组合，则判断该组向量异常，否则判断该组向量正常，并进入骤(3.2)进行下一步判断；

(3.2)、根据源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD确定通信的双方，若时刻值T通信双方的通信数据包数量N在合法的通信数据包的上限阈值和限阈值之间，则判断该组向量正常，否则判断该组向量异常；

(4)、建立入侵检测模型

将步骤(3)中得到的M×X组正常或异常的向量进行机器学习，其正常向量对应的输出设置为1，异常向量对应的输出设置为0，从而建立起入侵检测模型；

(5)、利用入侵检测模型对通信数据进行异常流量检测

在实际的工业环境中进行检测，入侵检测模块提取到工业控制系统的通信数据之后，将通信数据按照步骤(1)～(2)所述方法调整成向量(SIP,SD,DIP,DD,T,N)，并输入到入侵检测模型中进行检测，若入侵检测模型的输出为1，则判断该通信数据正常，若入侵检测模型的输出为0，则判断该通信数据异常，存在入侵。