本發(fā)明公開(kāi)了基于神經(jīng)網(wǎng)絡(luò)的工控異常流量監(jiān)測(cè)方法和系統(tǒng)，方法包括：S1數(shù)據(jù)預(yù)處理，提取包粒度的原始數(shù)據(jù)中網(wǎng)絡(luò)層、傳輸層的元信息，將原始數(shù)據(jù)向量化，形成多維向量；S2構(gòu)建特征提取器進(jìn)行特征提取，得到特征向量；S3構(gòu)建多層感知機(jī)分類器進(jìn)行分類，初始化模型參數(shù)；S4根據(jù)預(yù)測(cè)類別和實(shí)際類別，調(diào)整模型參數(shù)，繼續(xù)進(jìn)行模型訓(xùn)練；S5重復(fù)步驟S4直到工控異常流量監(jiān)測(cè)模型收斂；S6將實(shí)時(shí)數(shù)據(jù)包輸入工控異常流量監(jiān)測(cè)模型，得到模型輸出流量類型，監(jiān)測(cè)異常流量。本發(fā)明利用Transformer中的多頭機(jī)制，有效提取工控系統(tǒng)中流量之間的多維關(guān)系和特征，并使用MLP對(duì)輸入流量進(jìn)行分類，對(duì)異常流量進(jìn)行有效監(jiān)測(cè)。

技術(shù)領(lǐng)域

本發(fā)明屬于工控技術(shù)領(lǐng)域，尤其涉及一種基于神經(jīng)網(wǎng)絡(luò)的工控異常流量監(jiān)測(cè)方法和系統(tǒng)。

背景技術(shù)

工業(yè)控制系統(tǒng)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的核心，被廣泛應(yīng)用于電力、通信等多個(gè)行業(yè)中。工控異常檢測(cè)方法變得尤為重要。在當(dāng)前已部署縱向加密裝置、網(wǎng)絡(luò)安全監(jiān)測(cè)裝置的現(xiàn)狀下，攻擊者更傾向于采用高級(jí)定制化攻擊，即利用正常業(yè)務(wù)通道開(kāi)展攻擊。這種攻擊手段極其隱蔽，更易造成嚴(yán)重影響。針對(duì)工控系統(tǒng)的攻擊越來(lái)越專業(yè)化/復(fù)雜化，因此，現(xiàn)有大量研究探索了工控異常流量的檢測(cè)方法，主要有基于規(guī)則的檢測(cè)方法、基于統(tǒng)計(jì)分析的檢測(cè)方法和基于機(jī)器學(xué)習(xí)的檢測(cè)方法。

隨著大數(shù)據(jù)技術(shù)和人工智能技術(shù)的快速發(fā)展，網(wǎng)絡(luò)異常流量監(jiān)測(cè)方法開(kāi)始向機(jī)器學(xué)習(xí)方面拓展。有許多研究探索了機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)異常流量監(jiān)測(cè)中的應(yīng)用，比如利用卷積神經(jīng)網(wǎng)絡(luò)的流量異常檢測(cè)方法通過(guò)構(gòu)建卷積神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)網(wǎng)絡(luò)流量，獲得網(wǎng)絡(luò)流量預(yù)測(cè)值,確定基于閾值的異常檢測(cè)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)流量的異常檢測(cè)。

目前，有許多研究探索了機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)異常流量監(jiān)測(cè)中的應(yīng)用，這些研究對(duì)正常行為和攻擊行為進(jìn)行分類，基于機(jī)器學(xué)習(xí)方法構(gòu)建模型，具有一定的檢測(cè)效果。然而，與傳統(tǒng)異常流量檢測(cè)相比，工業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜，各種類型的控制設(shè)備的通信協(xié)議、交互方式也有較為明顯的特點(diǎn)，由于網(wǎng)絡(luò)協(xié)議的異構(gòu)性以及交互的多樣性，傳統(tǒng)異常檢測(cè)算法在工業(yè)控制系統(tǒng)中不適用。對(duì)于網(wǎng)絡(luò)中的一些異常行為檢測(cè)，流量數(shù)據(jù)包的到達(dá)時(shí)間順序往往也可以作為一個(gè)重要特性。基于卷積神經(jīng)網(wǎng)絡(luò)的方法無(wú)法利用時(shí)序數(shù)據(jù)的數(shù)據(jù)的時(shí)序特性，不能充分挖掘數(shù)據(jù)的特點(diǎn)。通過(guò)對(duì)工業(yè)控制網(wǎng)絡(luò)協(xié)議通信機(jī)制和流量數(shù)據(jù)包動(dòng)態(tài)特性的分析，可以發(fā)現(xiàn)工控網(wǎng)絡(luò)流量檢測(cè)與自然語(yǔ)言文本處理具有相似性，因?yàn)榱髁堪臅r(shí)序性特征，可以考慮用RNN模型，然而，RNN本身的序列依賴結(jié)構(gòu)對(duì)于大規(guī)模并行計(jì)算來(lái)說(shuō)并不友好，很難具備高效的并行計(jì)算能力。

發(fā)明內(nèi)容

基于以上提到的技術(shù)問(wèn)題，本發(fā)明提出一種基于transformer的工控異常流量監(jiān)測(cè)方法和系統(tǒng)，這種方法能夠充分考慮工控流量的特點(diǎn)，對(duì)異常流量進(jìn)行有效監(jiān)測(cè)。本發(fā)明的目的是提出一種基于transformer的工控異常流量監(jiān)測(cè)方法。解決現(xiàn)有機(jī)器學(xué)習(xí)異常流量監(jiān)測(cè)方法無(wú)法有效提取工控流量特有特征的問(wèn)題。

為了實(shí)現(xiàn)上述目的，本發(fā)明第一方面公開(kāi)的基于神經(jīng)網(wǎng)絡(luò)的工控異常流量監(jiān)測(cè)方法，包括以下步驟：

S1、數(shù)據(jù)預(yù)處理，獲取異常流量樣本數(shù)據(jù)的特征向量：提取包粒度的原始數(shù)據(jù)中網(wǎng)絡(luò)層、傳輸層的元信息，將原始數(shù)據(jù)向量化，形成一個(gè)多維向量；

S2、構(gòu)建特征提取器進(jìn)行特征提取，得到特征向量；

S3、構(gòu)建多層感知機(jī)分類器進(jìn)行分類，初始化模型參數(shù)；

S4、根據(jù)預(yù)測(cè)類別和實(shí)際類別，調(diào)整模型參數(shù)，繼續(xù)進(jìn)行模型訓(xùn)練；

S5、重復(fù)步驟S4直到工控異常流量監(jiān)測(cè)模型收斂；

S6、將網(wǎng)絡(luò)中的實(shí)時(shí)數(shù)據(jù)包輸入工控異常流量監(jiān)測(cè)模型，得到模型輸出流量類型，監(jiān)測(cè)異常流量。

進(jìn)一步的，所述元信息至少為時(shí)間戳、包頭長(zhǎng)度、載荷字節(jié)數(shù)、源IP地址、目的IP地址、源端口、目的端口、傳輸協(xié)議、數(shù)據(jù)包FIN、SYN、PSH、RST、ACK、CWR、URG、ECE配置標(biāo)識(shí)、初始化窗口大小之一。