[发明专利]一种基于OCSVM和K-means算法的工控系统流量异常检测方法与系统

说明书

本发明公开了一种基于OCSVM和K‑means算法的工控系统流量异常检测方法，包括：使用流量获取工具从工控系统中获取正常流量数据集，针对流量数据集中的每一个流量数据而言，对该流量数据进行协议解析，以得到该流量数据的属性及其属性值，该流量数据对应的所有属性值构成属性值向量，所有流量数据对应的属性值向量构成大小为m*n的待检测数据矩阵，使用主成分分析法PCA对待检测数据矩阵进行降维处理，以得到降维处理后的矩阵；将降维处理后的矩阵中的每一行输入训练好的单类支持向量机OCSVM检测模型中，以得到该行对应的标签值，矩阵中所有行对应的标签值构成标签值列向量。本发明能够解决现有工控系统流量异常检测方法存在的异常流量少或者难以获取的技术问题。

技术领域

本发明属于工业控制系统的入侵检测技术领域，更具体地，涉及一种基于OCSVM和K-means算法的工控系统流量异常检测方法和系统。

背景技术

工业控制系统是监控与数据采集系统、分布式控制系统、能源管理系统等系统的统称。工业控制系统广泛应用于电力、石油、天然气、水利等国家重要基础行业，一旦遭受攻击，将对整个国家和社会造成无法估计的损失和隐患。近年来，对于工控系统的攻击事件层出不穷：2010年，第一个针对工控系统的蠕虫病毒攻击了位于伊朗纳坦兹的核设施，2015年，名为”黑暗能量“(BlackEnergy)的病毒攻击了乌克兰电网。日益增多的针对工控系统的攻击事件使得工控系统安全形势愈发严峻，目前，工控系统安全已经上升到国家安全的层面。随着技术的发展，工业控制系统也在不断的发生变化，从封闭的系统到与互联网、物联网融合的系统。在工业控制系统不断进步的过程中，随之而来的安全性问题也越来也多，相应的安全性要求也越来越高。

与传统网络的安全性问题不同，工业控制系统由于它的特殊性，需要寻找专门针对工业控制系统的安全技术。入侵检测技术是一种根据已获取的数据建立检测模型，随后将建立的模型应用于系统中，根据实时获取的数据判断是否存在入侵的技术。流量异常检测是入侵检测技术中的一种，通过研究系统中的流量特征进行入侵检测。目前，针对工控系统的入侵检测技术主要通过对已有标签的流量数据集使用机器学习的算法进行训练，得到分类预测模型对待检测进行检测，从而识别正常流量和异常流量。

然而，当前的工控系统流量异常检测方法存在着以下几个缺陷：第一，目前的绝大多数工控系统流量异常检测方法需要具有标签的训练集进行模型训练，然而实际的工控环境中绝大多数为正常流量，异常流量少或者难以获取。第二，当前的工控系统流量异常检测方法根据已有类型标签进行学习，只能检测已知的攻击类型，对未知的攻击类型检测能力低。第三，现有的工控系统流量异常检测方法存在较高的误报率。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于OCSVM和K-means算法的工控系统流量异常检测方法与系统。其目的在于，解决现有工控系统流量异常检测方法存在的异常流量少或者难以获取的技术问题，以及只能检测已知的攻击类型、对未知的攻击类型检测能力低的技术问题，以及其存在较高误报率的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于OCSVM和K-means算法的工控系统流量异常检测方法，包括以下步骤：

(1)使用流量获取工具从工控系统中获取正常流量数据集；

(2)针对流量数据集中的每一个流量数据而言，对该流量数据进行协议解析，以得到该流量数据的属性及其属性值，该流量数据对应的所有属性值构成属性值向量，所有流量数据对应的属性值向量构成大小为m*n的待检测数据矩阵，其中m表示流量数据集中的流量数据总数，n表示每个流量数据对应的属性值的总数；

(3)使用主成分分析法PCA对步骤(2)得到的待检测数据矩阵进行降维处理，以得到降维处理后的矩阵；

(4)将步骤(3)降维处理后的矩阵中的每一行输入训练好的单类支持向量机OCSVM检测模型中，以得到该行对应的标签值，矩阵中所有行对应的标签值构成标签值列向量；