[发明专利]一种基于多种机器学习算法的工控异常行为检测方法

说明书

本发明公开了一种基于多种机器学习算法的工控异常行为检测方法，首先采集发电分布式控制系统的流量数据并标定，然后采用标定后的流量数据分别构建训练样本集和测试样本集，然后将样本进行多维特征提取和向量化处理，然后建立基于多种机器分类学习方法的分类模型，最后将采集发电分布式控制系统的实时流量数据并输入分类模型，若输出分类结果为恶意流量，则判定发生工控异常行为，反之，则判定未发生工控异常行为；本发明能够对样本进行有效的分类和检测，快速检测工控系统存在的异常行为问题，并能够准确识别潜在恶意及异常行为。

技术领域

本发明涉及工业控制系统的网络流量异常检测技术领域，尤其涉及一种基于多种机器学习算法的工控异常行为检测方法。

背景技术

工业控制系统，简称工控系统。目前，工控系统在电力、交通、能源、智能机械、生物工程、航天、化工以及金融等众多行业的关键性基础设施中得到了广泛应用，工控系统也已经成为国家关键基础设施的重要组成部分。因此，工控系统在国计民生中有着举足轻重的作用，尤其是电网工控系统，每一次安全事件都会带来巨大的影响和危害。更严重的是，由于工控系统在设计之初并未充分考虑可能面临的信息安全问题，导致其存在许多潜在的信息安全漏洞。快速检测工控系统存在的异常行为，保障整个工控系统的正常运行，已成为关系国家安全的亟待解决的重要问题。

机器学习算法是一门多领域交叉学科，涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科，专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。近年来，机器学习算法在各个领域都得到了广泛的应用，但目前机器学习算法的应用存在很大的单一性。由于不同的学习算法往往具备各自的优势和劣势，而结合多种学习算法可以充分利用各自的优势，取长补短，从而达到比单一学习算法更好的过滤效果，因此，将不同的机器学习算法结合起来是一个重要的研究方向。

另外，之前研究者都多将重点放在类似SCADA系统等传统控制系统以及传统控制协议，对工控网络的异常行为研究尚存大量空白，而当前研究者关于工控网络异常行为检测的工作主要关注相关流量的多维特征，利用传统特征的检测方法虽然已可以取得不错的效果，但这种较为单一的特征不能全面地刻画工控系统行为。目前虽然已有研究者将及其学习算法引进了工控恶意流量检测和分类中，但大都也局限于实现单一的机器学习算法。因此，如何利用机器学习算法合理、准确地识别工控系统流量中的威胁行为成为目前亟需解决的重要问题。

发明内容

本发明的目的是提供一种基于多种机器学习算法的工控异常行为检测方法，能够对样本进行有效的分类和检测，快速检测工控系统存在的异常行为问题，并能够准确识别潜在恶意及异常行为。

本发明采用的技术方案为：

一种基于多种机器学习算法的工控异常行为检测方法，包括以下步骤：

A、采集发电分布式控制系统的流量数据并标定；采集的流量数据来源于发电分布式控制系统正常状态下的正常流量数据和渗透测试过程中的异常流量数据，将正常流量数据标定为正常流量，将异常流量数据标定为异常流量；

B、采用标定后的流量数据分别构建训练样本集和测试样本集；

C、样本进行特征提取和向量化处理：对训练样本集和测试样本集中的样本进行特征提取、标准化处理和向量化处理，构成训练样本集的特征向量集合和测试样本集的特征向量集合，特征向量集合中每一个特征向量对应一个样本信息，每一个特征向量包含各类特征数据；

D、建立分类模型：具体过程为：

d1：将训练样本集的特征向量集合多次输入多种机器学习分类算法中，构建集成学习分类模型；一次输入过程记为一轮训练过程，每轮训练过程中多种机器学习分类算法采用不同核函数组合和不同权重组合；每轮训练过程具体如下：

d1.1：将训练样本集的特征向量集合分别输入多种机器学习分类算法中；