[发明专利]一种具有安全免疫能力的工业控制系统入侵检测方法

说明书

本发明公开了一种具有安全免疫能力的工业控制系统入侵检测方法，包括工业控制系统数据预处理模型和工业控制系统入侵检测模型，所述工业控制系统数据预处理模型连接工业控制系统入侵检测模型，所述工业控制系统数据预处理模型包括工业控制系统数据采集和工业控制系统数据特征提取。本发明适用于工业控制系统的入侵检测系统，首先利用核主成分分析法对工业数据进行特征提取，实现对工业数据进行降维，然后具体一种具有安全免疫能力的粒子群算法对单类支持向量机进行优化，建立更为精确的入侵检测模型，此方法能够提高入侵检测模型的准确率、减低误报率和漏报率，还能减少入侵检测模型的训练时间和入侵检测模型的复杂度。

技术领域

本发明涉及一种工业控制系统入侵检测方法，具体为一种具有安全免疫能力的工业控制系统入侵检测方法，属于工业控制系统应用技术领域。

背景技术

工业控制系统是工业领域的关键基础设施，实现了工业生产的自动化操作与控制。随着近几年自动化和信息化的深度融合，现代工业控制系统越来越依赖IT领域的操作系统、开放协议和通信技术，这些技术将它们本身存在的脆弱性引入到工业控制系统中。加之工业控制系统信息安全事故的不断频发，其安全问题愈发重视，入侵检测作为主动防御的第一道屏障起了很重要的作用。工业控制系统入侵检测通过对系统通信行为的实时监视、分析，以检测出异常的攻击行为操作，并在攻击行为产生危害之前进行拦截、报警、系统恢复等操作。根据正常行为操作与人侵攻击行为的模式差别，提取反映系统行为的数据特征，并通过设计的检测算法对入侵攻击行为数据进行识别，以实现对攻击行为的异常检测。

工业控制系统入侵检测可以分为两部分：第一部分是工业数据的特征提取与选择，第二部分是在第一部分特征提取后的工业数据基础上利用智能算法建立入侵检测模型，从而检测异常攻击。工业数据具有大体量、多源性、连续采样、价值密度低、复杂度高和动态性强等特点，分析难度与对分析精度的要求相对高。多源性及复杂性导致了工业大数据的高维性，为准确进行工业大数据分析与预测，需要对工业大数据降维。特征提取是一种常用的特征降维方法，其原理是利用原始的特征空间构建一个新的低维空间，消除冗余特征及不相关特征，有效降低数据的维度。对工业数据进行特征提取，降低工业数据的维度，以克服工控系统的数据量大、纬度高的特点，并进一步降低后续数据建模和处理的复杂度。典型的特征提取方法有主成分分析(Principal Component Analysis,PCA)等。PCA是基于统计特征的多维正交线性变换，是一种多元统计方法，将高维空间中的多特征问题转化到低维空间中，形成新的少数的特征，利用这些新特征代替原来特征进行后续处理，由高维空间的问题转化到低维空间中去处理，PCA降维需要保证新得到的任一特征是原特征的一个线性组合；降维后得到的主成分保留了原特征的绝大多数信息；各个主成分之间线性无关。由于计算效率高，实现简单，PCA是广泛应用的降维方法。目前应用于工控系统入侵检测的数据处理的特征提取主要方法也是主成分分析方法。

工业控制系统入侵检测根据正常行为操作与入侵攻击行为的模式差别提取反映系统行为的数据特征，实质是对工业数据的二分类，即区分正常工业数据和异常工业数据。而支持向量机(Support Vector Machine，SVM)是对数据样本进行正负分类的算法，刚好适用于工业控制系统入侵检测模型，因此在算法上是广泛使用的。对工业控制系统而言，工业数据的特点是维度高，关联性较强，而且多数为正常数据，故障或临界状态的数据较少，异常数据难以得到，样本少等缘故，在SVM基础上衍生出单类支持向量机OCSVM，用于解决一些只有一类样本可用于训练分类器的情况，OCSVM算法是假设坐标原点作为异常的样本，在特征空间中构建一个最优的超平面实现目标数据与坐标原点的最大间隔化。OCSVM具有较少的计算时间，较少的数据样本即可用于训练，对噪声样本数据具有鲁棒性，能建立较准确的分类模型等优点，是目前工业控制系统入侵检测中使用频率最高的分类方法。基于OCSVM的工控系统的入侵检测算法存在训练时间长，对未知的工业异常行为识别能力差等问题。