1.一种应用于工控网络的两级入侵检测系统,其特征在于,该方法包括:
步骤1,下载源数据集,对数据集进行攻击生成和标准化、降维、重采样。
步骤2,训练第一级基于布鲁姆过滤器的入侵检测器。生成数据包签名,利用数据包签名训练布鲁姆过滤器。
步骤3,数据包通过训练好的第一级检测器,被第一级检测器识别为异常的数据包丢弃。
步骤4,通过了第一级检测的数据包,再经过第二级基于k-means聚类算法的检测器,进一步识别攻击。
2.根据权利要求1所述的一种应用于工控网络的两级入侵检测系统,其特征在于,所述步骤1包括以下步骤:
步骤1.1,下载工控网络源数据集。
步骤1.2,对该数据集使用autolt技术生成攻击;按照公式1进行标准化;利用主成分分析法进行降维;利用smote算法进行重采样操作。
3.根据权利要求1所述的一种应用于工控网络的两级入侵检测系统,其特征在于,所述步骤2包括以下步骤:
步骤2.1,依据每个特征向量和签名生成函数生成数据包签名。
步骤2.2,用特征向量生成的数据包签名数据训练布鲁姆过滤器,将属于正常数据规则签名组的签名加入到布鲁姆过滤器中。
步骤2.3,训练好的布鲁姆过滤器进行检测时,需要判断该数据包签名是否在布鲁姆过滤器中。
4.根据权利要求1所述的一种应用于工控网络的两级入侵检测系统,其特征在于,所述步骤3首先将预处理后的数据包通过第一级检测器,检测为异常,则丢弃;通过了第一级检测,则传送到第二级检测器。
5.根据权利要求1所述的一种应用于工控网络的两级入侵检测系统,其特征在于,所述步骤4包括以下步骤:
步骤4.1,首先将数据包与模式库进行比对,如果没有比对成功,则进行下一步操作;
步骤4.2,对整个数据集进行聚类分析,输出聚类结果,对聚类结果进行判断:如果该类的成员数目和所有元素数目之比大于预设的参数值,则判定为正常数据的聚类,并且移入正常行为模式库;反之,则判定为异常数据的聚类,并且移入异常行为模式库。