[发明专利]一种基于机器学习的工业控制系统入侵检测方法

摘要

本发明公开了一种基于机器学习的工业控制系统入侵检测方法，先通过实际的工业环境中进行机器学习，记录下控制端和执行端的IP和端口号等，再将数据流量和时间对应的特征建立模型，最后通过建立的模型进行入侵检测，其中，如果发现有未知IP或者端口进行通信或者某个时间段的通信流量极大的大于或者小于学习阶段的阈值，则进行报警，极大的提高系统的通信安全性；此外，本发明还可以适用于各种工业网络环境下的入侵检测，无需手动配置，通过自动学习即可实现异常检测。

主权项

一种基于机器学习的工业控制系统入侵检测方法，其特征在于，包括以下步骤：(1)、对待检测的工业控制系统通信进行数据包的检测、识别和分析；设工业控制系统中共有M组控制端和执行端组合，其通信周期划分为X个单位时间；在机器学习阶段，通过防火墙中的入侵检测模块对工业控制系统的通信数据包进行检测、识别，分析提取出控制端和执行端之间通信数据包的源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、时刻值T以及单位时间内通过的数据包数量N，则共提取出M×X组数据；(2)、对获取的数据进行预处理；在M×X组数据中，分别将每组数据中的源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、时刻值T以及单位时间内通过的数据包数量N组成向量(SIP,SD,DIP,DD,T,N)，再将M×X组向量(SIP,SD,DIP,DD,T,N)传入防火墙中的入侵检测模块；(3)、判断M×X组向量(SIP,SD,DIP,DD,T,N)的异常(3.1)、入侵检测模块监测机器学习阶段某一组向量出现未检测到的源/目的IP地址SIP或未使用的端口号SD或未出现的组合，即出现非法IP或非法端口或非法组合，则判断该组向量异常，否则判断该组向量正常，并进入骤(3.2)进行下一步判断；(3.2)、根据源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD确定通信的双方，若时刻值T通信双方的通信数据包数量N在合法的通信数据包的上限阈值和限阈值之间，则判断该组向量正常，否则判断该组向量异常；(4)、建立入侵检测模型将步骤(3)中得到的M×X组正常或异常的向量进行机器学习，其正常向量对应的输出设置为1，异常向量对应的输出设置为0，从而建立起入侵检测模型；(5)、利用入侵检测模型对通信数据进行异常流量检测在实际的工业环境中进行检测，入侵检测模块提取到工业控制系统的通信数据之后，将通信数据按照步骤(1)～(2)所述方法调整成向量(SIP,SD,DIP,DD,T,N)，并输入到入侵检测模型中进行检测，若入侵检测模型的输出为1，则判断该通信数据正常，若入侵检测模型的输出为0，则判断该通信数据异常，存在入侵。