[发明专利]一种基于局部均值分解和支持向量机的网络攻击检测方法

说明书

一种基于局部均值分解和支持向量机的网络攻击检测方法，包括如下步骤：1)对原始信号进行LMD分解，由纯调频信号求得对应的瞬时频率波形；2)经过积分求能量，归一化后作为特征向量；3)将数据集如上处理后划分为训练集和测试集，由训练集得到SVM模型，将测试集输入该模型中得到信号是否受到攻击的结果。本发明通过LMD分解得到的瞬时频率始终具有实际物理意义，以此作为特征向量，即便攻击信号的幅值很低也能被识别出来。

技术领域

本发明属于网络安全技术领域，具体涉及局部均值分解与支持向量机分类，它能判断信号是否存在攻击信号干扰，为系统的正常稳定运行提供保障。

背景技术

当前工业控制系统(industrial control system，ICS)与物联网、互联网呈现出深度融合的态势,这既大幅提升了工业控制系统的智能化、信息化程度,也引发了一系列新的安全挑战。由于工业控制系统普遍安全等级较低，数据包大都直接通过明文传输，因此黑客可以轻易的篡改数据。针对ICS系统出现的不同攻击手段，对国家基础设施，经济发展与社会稳定产生了较大威胁。

网络化运动控制平台广泛存在于现代工业系统中，入侵者在网络传输过程(图1)中截取从路由器到下位机的数据包，对控制器输入加上一个幅值很低频率较高的攻击信号并将篡改后的数据包下发给下位机。此时系统输出的运动轨迹出现肉眼不易察觉的毛刺而使产品不符合精度需求。因此，如何直接从系统输出信号判断是否存在外来信号攻击便显得至关重要。

网络攻击中，攻击信号由入侵者设定，大多数是非平稳类型的，而对此有效的检测方法还不够完善。短时傅里叶变换通过对信号的分段截取来分析，把分段信号看做平稳的，因此更适合缓变信号的分析；小波变换在信号分析领域有广泛的应用，但在如何选择小波基函数上存在难点；这两种方法更适合平稳信号的分析，而经验模态分解对非平稳信号的处理效果很好。然而当信号波形存在突变时，经验模态分解利用希尔伯特变换求瞬时频率可能会出现无法解释的负频率现象。本发明使用的局部均值分解能将复杂的多分量信号分解为单分量信号，并且求取的瞬时频率具有实际物理意义，能够更好地保存原信号的特征。

发明内容

基于上述问题，本发明提供了一种基于局部均值分解(LMD)和支持向量机(SVM)的网络攻击检测方法，当网络化运动控制系统遭到外来信号攻击时，能够及时发现系统输出信号的异常以及攻击信号出现的时间。即使攻击信号十分隐蔽(幅值很低)，依然能够保证良好的攻击识别准确率。

本发明为解决上述技术问题提供了如下解决方案：

一种基于局部均值分解和支持向量机的网络攻击检测方法，包括以下步骤：

步骤1)对网络化运动控制平台的输出信号进行LMD分解，过程如下：

1.1)对信号采用分段三次Hermite插值来构造包络极大值的上包络线E_up(t)和包络极小值的下包络线E_down(t)，从而计算局域均值函数m₁₁(t)和局域包络函数a₁₁(t)；

1.2)将局部均值函数从原信号中分离出来得到

h₁₁(t)＝x(t)-m₁₁(t) (3)

其中x(t)是原信号，h₁₁(t)为分离后的信号；

1.3)再将h₁₁(t)除以局域包络函数a₁₁(t)以对h₁₁(t)进行解调，得：