本發(fā)明涉及一種基于循環(huán)神經(jīng)網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)入侵檢測方法。該方法通過采取工業(yè)控制系統(tǒng)現(xiàn)場控制網(wǎng)絡(luò)中特定大時間尺度下的正常歷史數(shù)據(jù)，對通信數(shù)據(jù)進行協(xié)議解析得到通信過程中的數(shù)據(jù)包，針對數(shù)據(jù)包特征細化分析，通過降維得到每一個數(shù)據(jù)包的有效特征集；利用自然語言處理獲得其向量表示，進一步獲得當(dāng)前時間尺度下的系統(tǒng)正常歷史通信數(shù)據(jù)庫；輸入到循環(huán)神經(jīng)網(wǎng)絡(luò)預(yù)測模型中，學(xué)習(xí)正常通信行為的序列特征，最終通過概率分析得到具體的工業(yè)控制系統(tǒng)通信數(shù)據(jù)包是正常與否。本發(fā)明利用概率主成分分析方法充分挖掘每一個數(shù)據(jù)包的有效信息，提高了模型的訓(xùn)練速度；并通過循環(huán)神經(jīng)網(wǎng)絡(luò)模型融合貝葉斯公式，有效提高了入侵檢測的準確率，降低了誤報率。

技術(shù)領(lǐng)域

本發(fā)明屬于工業(yè)控制系統(tǒng)安全領(lǐng)域，涉及一種基于循環(huán)神經(jīng)網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)入侵檢測方法。

背景技術(shù)

工業(yè)控制系統(tǒng)(industrial control system,ICS)是一種用于工業(yè)生產(chǎn)的控制系統(tǒng)的統(tǒng)稱，包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(supervisory control and data acquisition,SCADA)、分布控制系統(tǒng)(distributed control system,DCS)和可編程邏輯控制器(programmable logic controller,PLC)等多種類型控制系統(tǒng)。它是電力、交通、水利等傳統(tǒng)國家關(guān)鍵基礎(chǔ)設(shè)施的核心，它的安全關(guān)系到國計民生，是社會經(jīng)濟發(fā)展的重要保障。

早期的工業(yè)控制系統(tǒng)處在一個相對隔離的環(huán)境中，與外部互聯(lián)網(wǎng)不直接接觸，系統(tǒng)自身的實時性和可用性是其關(guān)注的主要問題。但隨著工業(yè)化4.0時代的到來，信息化和工業(yè)化融合進程加快，ICS朝著開放、網(wǎng)絡(luò)化方向前進，各種先進的信息技術(shù)和通信網(wǎng)絡(luò)協(xié)議在工業(yè)控制系統(tǒng)中得到越來越多的應(yīng)用，使得工業(yè)控制系統(tǒng)逐漸暴露在外界互聯(lián)環(huán)境中，而自身的系統(tǒng)化安全措施尚未跟上開放的步伐，病毒、木馬等引起的安全隱患層出不窮。ICS的安全防護問題在學(xué)術(shù)界和產(chǎn)業(yè)界引起廣泛重視，研究人員開始借鑒傳統(tǒng)信息安全領(lǐng)域的防護技術(shù)解決ICS的安全防護問題，如工業(yè)防火墻、風(fēng)險評估技術(shù)等，但是傳統(tǒng)信息安全技術(shù)不能提供實時的安全防護，防火墻等防御措施也無法防御來自系統(tǒng)內(nèi)部的攻擊。入侵檢測是一種通過安全監(jiān)控和異常報警的入侵檢測技術(shù)，作為一種主動防御方法可以彌補傳統(tǒng)安全方法的不足，實現(xiàn)對ICS外部和內(nèi)部入侵的實時監(jiān)測。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對目前工業(yè)控制系統(tǒng)安全的欠缺和不足，提供一種基于循環(huán)神經(jīng)網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)入侵檢測方法。

本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的，一種基于循環(huán)神經(jīng)網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)入侵檢測方法，包括以下步驟：

A.建立異常檢測網(wǎng)絡(luò)模型的步驟：

A1.采集工業(yè)控制系統(tǒng)中流經(jīng)現(xiàn)場控制網(wǎng)絡(luò)的正常通信數(shù)據(jù)；

A2.對數(shù)據(jù)進行數(shù)據(jù)解析、數(shù)據(jù)降維、標準化編碼處理，獲取有效特征序列；

A3.建立GRU循環(huán)神經(jīng)網(wǎng)絡(luò)預(yù)測模型，用有效特征序列訓(xùn)練該模型并優(yōu)化網(wǎng)絡(luò)參數(shù)，得到異常檢測網(wǎng)絡(luò)模型；

B.對流經(jīng)現(xiàn)場控制網(wǎng)絡(luò)的通信數(shù)據(jù)進行實時檢測的步驟：

B1.采集工業(yè)控制系統(tǒng)中流經(jīng)現(xiàn)場控制網(wǎng)絡(luò)的實時通信數(shù)據(jù)；

B2.對數(shù)據(jù)進行數(shù)據(jù)解析、數(shù)據(jù)降維、標準化編碼處理，獲取有效特征序列；

B3.用有效特征序列輸入該模型初步判斷實時數(shù)據(jù)是否異常；

B4.利用貝葉斯公式進一步計算實時數(shù)據(jù)的主成分異常概率，最終輸出現(xiàn)場控制網(wǎng)絡(luò)的入侵檢測結(jié)果。

所述采集工業(yè)控制系統(tǒng)中流經(jīng)現(xiàn)場控制網(wǎng)絡(luò)的正常或?qū)崟r通信數(shù)據(jù)，是利用抓包軟件Wireshark采集的，其中正常歷史數(shù)據(jù)來源為實際現(xiàn)場數(shù)據(jù)或網(wǎng)絡(luò)公開的實驗數(shù)據(jù)集。

所述數(shù)據(jù)解析包括：對正常歷史數(shù)據(jù)集合或?qū)崟r數(shù)據(jù)中的每一個數(shù)據(jù)包進行協(xié)議解析，識別、提取數(shù)據(jù)包的特征。