[发明专利]一种用于工控系统的入侵检测方法和系统

权利要求书

1.一种用于工控系统的入侵检测方法，其特征在于，包括以下步骤：

S101、对获取的原始ModbusTCP数据进行逐帧摄取处理，将不同功能特征的值和攻击类别标签转化为可被编程识别的形式；

S102、对攻击分类特征集数据进行主成分分析降维处理，去除冗余数据，生成多类分类数据集；

S103、将不同类别的攻击数据分别与正常数据结合生成二类分类数据集；

S104、利用机器学习算法基于二类分类数据集训练产生二类分类检测器；

S105、利用机器学习算法基于多类分类数据集训练产生多类分类检测器；

S106、将多个二类分类器通过一个或门相连，得到分布式二类分类检测器入侵检测系统；

S107、将多类分类器部署形成多类分类检测器入侵检测系统；

S108、利用在线学习算法与梯度下降法优化算法模型；

S109、ModbusTCP数据输入上述优化的入侵检测系统进行分类处理，获取工业控制系统Modbus TCP的入侵检测结果；

步骤S104、S105中的机器学习算法为支持向量机与决策树；

步骤S104包括：

采用线性核函数、多项式核函数与高斯核函数的支持向量机算法对模型进行训练；三种核函数公式分别为(a1)–(a3)：

其中x为向量数组，是由各个特征的具体值组成的数组，其下标i、j分别表示不同的样本；γ、r、d为控制参数，d用来设置核函数中最高项的次数，γ取值为1/k，k为样本类别数，r为coef0参数；当c≥0，核函数被称为齐次多项式核函数，e为自然对数；

采用决策树算法对模型进行训练，所述决策树算法采用信息熵来衡量样本的纯度，通过信息增益来对不同的类别进行属性划分；

将二类分类数据集中的70％用来训练模型，构造二类分类检测器与多类分类检测器，30％用来检测模型的准确度；

步骤S108包括：

将系统运行过程中输入系统的ModbusTCP报文送入模型优化器中；

在模型优化器中将ModbusTCP报文拆解成特征向量x与攻击类别y；

利用在线梯度下降算法优化模型参数θ，使误差函数h_θ(x)收敛到最小值；

更新迭代模型。

2.根据权利要求1所述的入侵检测方法，其特征在于，步骤S101对获取的原始ModbusTCP数据进行逐帧摄取处理包括：

对原始的ModbusTCP数据进行分解，将协议数据单元从Modbus帧中分离得到功能码与数据单元；对协议数据单元中的数据单元进行分解，得到地址、设定值十五个攻击分类特征及一个攻击类别标签。

3.根据权利要求1所述的入侵检测方法，其特征在于，步骤S106中分布式二类分类检测器入侵检测系统通过输出1或0表示当前数据是否为攻击数据；每一个所述二类分类器可以识别一种特定的攻击类型，二类分类器个数与攻击类别总数一致。

4.一种用于工控系统的分布式二类分类检测器入侵检测系统，其特征在于，包括：

原始数据分解处理模块，用于对原始的ModbusTCP数据进行逐帧摄取，分解处理得到不同功能特征的值和攻击类别标签，组成攻击分类特征集；

数据集生成模块，用于将不同类别的攻击数据分别与正常数据结合生成二类分类数据集；

机器学习算法训练模块，用于利用机器学习算法基于二类分类数据集训练产生二类分类检测器；

数据分类模块，用于根据全体二类分类器输出的结果0或1，对输入的某条ModbusTCP数据进行分类，二类分类器输出的结果是1表示具有攻击行为的ModbusTCP数据，二类分类器输出的结果是0表示正常ModbusTCP数据；

算法模型优化模块，利用在线学习算法与梯度下降法对入侵检测模型进行优化；

机器学习算法为支持向量机与决策树；利用机器学习算法基于二类分类数据集训练产生二类分类检测器的过程包括：

采用线性核函数、多项式核函数与高斯核函数的支持向量机算法对模型进行训练；三种核函数公式分别为(a1)–(a3)：

其中x为向量数组，是由各个特征的具体值组成的数组，其下标i、j分别表示不同的样本；γ、r、d为控制参数，d用来设置核函数中最高项的次数，γ取值为1/k，k为样本类别数，r为coef0参数；当c≥0，核函数被称为齐次多项式核函数，e为自然对数；

采用决策树算法对模型进行训练，所述决策树算法采用信息熵来衡量样本的纯度，通过信息增益来对不同的类别进行属性划分；

将二类分类数据集中的70％用来训练模型，构造二类分类检测器与多类分类检测器，30％用来检测模型的准确度；

利用在线学习算法与梯度下降法优化算法模型的过程包括：

将系统运行过程中输入系统的ModbusTCP报文送入模型优化器中；

在模型优化器中将ModbusTCP报文拆解成特征向量x与攻击类别y；

利用在线梯度下降算法优化模型参数θ，使误差函数h_θ(x)收敛到最小值；

更新迭代模型。