分片并行化机制的工控设备入侵检测方法和系统与流程

1.本发明工业信息安全技术领域，具体涉及分片并行化机制的工控设备入侵检测方法和系统。


背景技术：

2.随着网络信息时代的到来，我国工业模式发生翻天覆地的变化，彻底打破了“信息孤岛”模式，企业全面联网，生产数据轻松实现汇总分析，不但提高了生产效率，还推动节能减排的国家战略。信息化给工业带来的有利变化，显而易见，但随之而来的网络信息安全问题，使人又为之惊慌，在工业网络中，运行着dcs、plc、scada等各种过程控制系统，它们往往是生产系统中的核心，负责完成基本的生产控制。但是，如果这些控制系统一旦遭受入侵或破坏，就会对工业生产造成影响，可能使企业蒙受重大的经济损失，甚至危及生产人员的生命安全，因此，为了保证控制系统的安全运行，安全人员需要对工业系统中的工控设备进行入侵检测，根据工控设备入侵检测出来的漏洞进行分析，从而为系统提供完备的防护服务，提高系统的安全性；工控设备入侵检测是对传输给工控设备的网络数据进行检测分析，判断其中是否包含病毒、木马等恶意数据，从而防御对该工控设备的入侵，避免该工控设备被非法劫持或破坏，但是，在现有的工控网络中，由于处理主机资源受限，没有较多资源可以直接存储入侵网络数据并且进行复杂分析计算，如果直接对入侵网络数据进行存储，不仅会浪费大量的存储空间，而且会让数据的查询、传输、调用效率降低，从而导致工控设备入侵检测的速度慢，延迟大，出现对输入网络数据的检测覆盖率低的问题，由此一来会让工业系统的安全得不到有效保证。


技术实现要素：

3.针对上述现有技术的不足，本技术提供分片并行化机制的工控设备入侵检测方法和系统解决上述问题。
4.第一方面本技术提出了分片并行化机制的工控设备入侵检测方法，包括以下步骤：通过分片并行化机制从工业系统中的各类工控设备采集对应线路的网络数据；基于并行主机数量同时对各路网络数据进行预处理后得到对应的待使用数据集并进行备份；调用所述待使用数据集作为训练数据集并进行pca主成分特征提取，获取所述训练数据集对应的训练主成分，基于所述训练主成分对经过粒子群算法优化的svm模型进行训练，得到对应的svm分类模型；调用所述待使用数据集作为测试数据集并进行归一化处理，对归一化处理后的数据进行pca主成分特征提取，获取所述测试数据集对应的测试主成分，将所述测试主成分输入到所述svm分类模型进行检测，得到入侵检测结果；
根据各路网络数据的入侵检测结果向对应的工控设备发送决策响应。
5.在一些实施例中，所述通过分片并行化机制从工业系统中的各类工控设备采集对应线路的网络数据，包括以下步骤：设置多个并行主机并对每个所述并行主机进行初始化；获取工控设备的数量，为每个工控设备分配并行主机，用于让并行主机和各类工控设备进行网络数据传输；解析各类工控设备的命令参数，所述命令参数用于对各类工控设备进行协议转换控制；根据各类工控设备创建对应的协议转换线程并利用线程绑定函数将所述协议转换线程绑定于所述并行主机；并行主机周期性轮询各类工控设备的描述符是否被设置为协议转换线程对应的线程值，如果是，则并行主机接收并读取网络数据；如果不是则进行协议转换工作，通过转换后的协议重复判断，直到并行主机接收并读取完毕分配的所有工控设备的网络数据；根据并行主机的数量将接收并读取的网络数据整合为对应线路的网络数据。
6.在一些实施例中，所述基于并行主机数量同时对各路网络数据进行预处理后得到对应的待使用数据集并进行备份，包括：对网络数据进行数据清洗；采用插值法对清洗后的各路网络数据进行补缺处理，得到待筛选数据；基于分布度量法对所述待筛选数据进行筛选，得到待使用数据；对所述待使用数据进行整合得到待使用数据集，对所述待使用数据集进行备份。
7.在一些实施例中，所述基于分布度量法对所述待筛选数据进行筛选，得到待使用数据，包括：采用欧式距离度量所述待筛选数据中任意两个数据间的距离；基于所述待筛选数据中各数据的邻域根据所述距离确定各数据的分布度量；基于所述分布度量将所述待筛选数据降序排列，得到排列数据；判断所述排列数据中的数据的分布度量是否大于预设阈值，当分布度量大于所述预设阈值时，保留与所述分布度量对应的数据，并判定为待使用数据；当分布度量小于等于所述预设阈值时，判断与所述分布度量对应的数据是否在待使用数据的邻域内，若与所述分布度量对应的数据位于待使用数据的邻域外时，确定与所述分布度量对应的数据为待使用数据；若与所述分布度量对应的数据位于所述待使用数据的邻域内时，确定与所述分布度量对应的数据为冗余数据。
8.在一些实施例中，所述调用所述待使用数据集作为训练数据集并进行pca主成分特征提取，获取所述训练数据集对应的训练主成分，包括：从所述训练数据集中选取预设数量的训练样本，所述训练样本包括对应数量的特征属性；通过数据矩阵计算训练样本的均值向量；通过特征值从所述训练样本的均值向量中分解出对应的特征向量，根据所述特征值对所述特征向量进行排序；
根据排序结果计算出训练主成分分量样本以及所述训练主成分分量样本对应的贡献率；通过累计贡献率确定训练主成分分量样本的个数，得到训练主成分。
9.在一些实施例中，所述基于所述训练主成分对经过粒子群算法优化的svm模型进行训练，得到对应的svm分类模型，包括：将所述训练主成分作为输入，随机生成初始粒子群并设置初始迭代值以及迭代次数；通过适应度函数确定所述初始粒子群中各粒子的适应度值和惯性权重值并实时更新粒子的位置信息；根据适应度值最大原则，评价所述初始粒子群中的各个粒子，从中搜索最佳粒子，将各个粒子的适应值与各个粒子的个体最优位置对应的适应值进行比较，若结果更优，则更新所述个体最优位置，否则保留原值不变；将更新后的各个粒子的所述个体最优位置与全局最优位置进行比较，若所述全局最优位置结果更优，则更新所述个体最优位置，否则保留当前个体最优位置原值不变；如果各个粒子的适应度值满足要求或者已经达到所述迭代次数，则得到svm分类模型，否则重复采用所述适应度值最大原则进行迭代，直到得到所述svm分类模型。
10.在一些实施例中，所述在调用所述待使用数据集作为测试数据集并进行归一化处理前，包括：将所述测试数据集进行数值化，所述数值化包括统计测试数据属性中出现的维数，然后按字母对其进行排序，采用序号代替原内容。
11.在一些实施例中，所述对归一化处理后的数据进行pca主成分特征提取，获取所述测试数据集对应的测试主成分，包括：从所述测试数据集中选取预设数量的测试样本，所述测试样本包括对应数量的特征属性；通过数据矩阵计算测试样本的均值向量；通过特征值从所述测试样本的均值向量中分解出对应的特征向量，根据所述特征值对所述特征向量进行排序；根据排序结果计算出测试主成分分量样本以及所述测试主成分分量样本对应的贡献率；通过累计贡献率确定测试主成分分量样本的个数，得到测试主成分。
12.在一些实施例中，所述将所述测试主成分输入到所述svm分类模型进行检测，得到入侵检测结果，包括：将所述测试主成分输入到所述svm分类模型中，将所述测试数据集中的测试数据按照数据类型分类为正常数据和攻击数据；将所述攻击数据分类为命令注入攻击数据、响应注入攻击数据和拒绝服务攻击数据；统计数据类型分类的分类结果和攻击数据分类的分类结果，得到查准率、查全率、漏报率和误报率；将所述查准率、查全率、漏报率和误报率整合为检测报表，得到入侵检测结果。
13.第二方面本技术提出分片并行化机制的工控设备入侵检测系统，包括多路数据采集模块、网络数据预处理模块、分类模型训练模块、入侵检测模块和决策响应模块；所述多路数据采集模块，用于通过分片并行化机制从工业系统中的各类工控设备采集对应线路的网络数据；所述网络数据预处理模块，用于基于并行主机数量同时对各路网络数据进行预处理后得到对应的待使用数据集并进行备份；所述分类模型训练模块，用于调用所述待使用数据集作为训练数据集并进行pca主成分特征提取，获取所述训练数据集对应的训练主成分，基于所述训练主成分对经过粒子群算法优化的svm模型进行训练，得到对应的svm分类模型；所述入侵检测模块，用于调用所述待使用数据集作为测试数据集并进行归一化处理，对归一化处理后的数据进行pca主成分特征提取，获取所述测试数据集对应的测试主成分，将所述测试主成分输入到所述svm分类模型进行检测，得到入侵检测结果；所述决策响应模块，用于根据各路网络数据的入侵检测结果向对应的工控设备发送决策响应。
14.本发明的有益效果：1、对各路网络数据进行数据处理，节约大量的存储空间，提高数据的查询、传输、调用效率，进而提高工控设备入侵检测的速度，降低延迟；2、采用并行化的主机架构，通过多个并行主机分析对应线路的网络数据，降低单个主机进行复杂分析计算的计算压力，并且每个并行主机上所运行的svm模型都是经过对应的训练数据集训练的，从而降低训练量，提高svm模型的训练效率，避免出现网络数据的检测覆盖率和准确率低的问题，让工业系统的安全得到有效保证。
附图说明
15.图1为本发明的总体流程图。
16.图2为本发明的多路数据采集流程图。
17.图3为本发明的网络数据预处理流程图。
18.图4为本发明的系统框图。
具体实施方式
19.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制；相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
20.第一方面本技术提出了分片并行化机制的工控设备入侵检测方法，如图1所示，包括以下步骤：s100：通过分片并行化机制从工业系统中的各类工控设备采集对应线路的网络数据；其中，如图2所示，通过分片并行化机制采集数据步骤包括s110：设置多个并行主机并对每个所述并行主机进行初始化；
初始化包括扫描并行主机的网口设备和串行端口、进行驱动程序的注册和设备简单初始化等操作；s120：获取工控设备的数量，为每个工控设备分配并行主机，用于让并行主机和各类工控设备进行网络数据传输；在传输的过程中先设置初始化发送队列和接收队列，设置完成后，启动并行主机。将并行主机的网卡设置成混杂模式状态以接收任何协议类型的数据包，检查网卡链路状态，包括网线连接状态和网线速率等信息。
21.s130：解析各类工控设备的命令参数，所述命令参数用于对各类工控设备进行协议转换控制；其中，工控设备包括、生产控制设备、安全设备、办公设备和工业辅助设备，根据对应线程从上述工控设备中采集网络数据，构成多路网络数据集；工控设备的命令参数包括使用核的数量、内存通道数量、端口掩码和其他设置参数等；s140：根据各类工控设备创建对应的协议转换线程并利用线程绑定函数将所述协议转换线程绑定于所述并行主机；s150：并行主机周期性轮询各类工控设备的描述符是否被设置为协议转换线程对应的线程值，如果是，则并行主机接收并读取网络数据；如果不是则进行协议转换工作，通过转换后的协议重复判断，直到并行主机接收并读取完毕分配的所有工控设备的网络数据；以并行主机分配生产控制设备和工业辅助设备为例，设置生产控制设备的线程值为01，设置工业辅助设备的线程值为10，并行主机周期性轮询生产控制设备/工业辅助设备的描述符是否为01/10，如果是，则说明协议类型匹配，然后并行主机接收并读取生产控制设备/办公设备的网络数据，如果不是则说明协议类型不匹配，则通过linux函数创建并行主机与生产控制设备以及工业辅助设备的协议转换线程，具体通过函数remote_launch()将生产控制设备工控协议与工业辅助设备工控协议的协议转换程序绑定于对应的并行主机，然后通过此协议转换线程进行协议转换工作，通过转换后的协议重复判断，直到并行主机接收并读取完毕分配的所有工控设备的网络数据；s160：根据并行主机的数量将接收并读取的网络数据整合为对应线路的网络数据。
22.根据并行主机的数量统计每台并行主机对应匹配的工控设备，将所有工控设备的网络数据收集完成，根据每台并行主机的网口编号/ip地址确定对应线路，得到每台并行主机对应线路的网络数据，得到各路网络数据；设置多台并行主机获取各路网络数据的在后续的分析过程中的好处是，例如，对于一组网络数据提取出来的主成分特征为y1=《y1,y2
…
yn》，另一组网络数据提取出来的主成分特征为y2=《y3,y4
…
ym》，则将这两组网络数据所对应的主成分特征分别分配给不同的并行主机，例如主机a1和a2；这样，对于连续输入工控设备的网络数据，实际上将其分片发送给了不同的并行主机，每个并行主机上所运行的svm模型都是经过对应的训练数据集经过训练，因为获取的训练数据集来源不同，所以主机a1和a2所运行的svm模型都是不同的，a1和a2各自用的训练数据集是和各自对应的工控设备相匹配的,这样就可以降低该主机的训练量，并且提高svm模型的训练效。
23.如图3所示，预处理步骤包括：
s200：基于并行主机数量同时对各路网络数据进行预处理后得到对应的待使用数据集并进行备份；s210：对网络数据进行数据清洗；s220：采用插值法对清洗后的各路网络数据进行补缺处理，得到待筛选数据；其中，数据清洗的过程中会出现数据缺失的情况，对缺失值采用插值的方法进行补充，具体的方法包括随机插补法和线性插值法，对超出取值范围的异常数据直接删除，以线性插值法为例：其中，为已知历史数据，为有缺失值的数据，为缺失值。
24.s230：基于分布度量法对所述待筛选数据进行筛选，得到待使用数据；采用欧式距离度量所述待筛选数据中任意两个数据间的距离；基于所述待筛选数据中各数据的邻域根据所述距离确定各数据的分布度量；基于分布度量的下采样方法，计算出待使用数据与冗余数据，具体包括：用欧式距离度量任意两个数据间的距离为;其中，，为任意两条数据，n为数据维数，为第i条数据的第k个数。 定义以样本点为中心，以ε为半径的超球为样本点的ε邻域。用表示所有数据与该邻域的交集的样本点个数，越大表示附近数据分布数量越多，设定可调半径ε与阈值z ,计算各数据对应的；基于所述分布度量将所述待筛选数据降序排列，得到排列数据；判断所述排列数据中的数据的分布度量是否大于预设阈值，当分布度量大于所述预设阈值时，保留与所述分布度量对应的数据，并判定为待使用数据；当分布度量小于等于所述预设阈值时，判断与所述分布度量对应的数据是否在待使用数据的邻域内，若与所述分布度量对应的数据位于待使用数据的邻域外时，确定与所述分布度量对应的数据为待使用数据；若与所述分布度量对应的数据位于所述待使用数据的邻域内时，确定与所述分布度量对应的数据为冗余数据。
25.利用各个数据的ε邻域定义各数据的分布度量；
其中，为数据的分布度量，n为ε邻域的数据点数量，计算所有数据的分布度量，该分布度量在一定程度上代表了数据的分布信息，分布度量值越大则代表该数据附近冗余数据越多，具体为：将所有数据按照值从大到小的顺序排列，从最大的数据点开始逐个筛选：若大于阈值z，则认为该数据点为待使用数据进行保留。若不大于阈值z，此时判断该数据是否位于有待使用数据的ε邻域内，若位于ε邻域外则代表该点为离群点，也将该点作为待使用数据，若位于待使用数据点的ε邻域内则认为该点为冗余数据。
[0026] s240：对所述待使用数据进行整合得到待使用数据集，对所述待使用数据集进行备份。
[0027]
遍历完所有数据后将所有数据分为待使用数据与冗余数据，对待使用数据进行整合得到待使用数据集并进行备份，因为在进行入侵检测的时候既需要将待使用数据作为训练数据，还需要将待使用数据作为测试数据，所以对待使用数据集便于后续在不同的使用情况下进行调用。
[0028] s300：调用所述待使用数据集作为训练数据集并进行pca主成分特征提取，获取所述训练数据集对应的训练主成分，基于所述训练主成分对经过粒子群算法优化的svm模型进行训练，得到对应的svm分类模型；其中调用所述待使用数据集作为训练数据集并进行pca主成分特征提取，获取所述训练数据集对应的训练主成分包括，从所述训练数据集中选取预设数量的训练样本，所述训练样本包括对应数量的特征属性；设原始输入数据样本数为m，每个样本有g个特征属性，即输入数据矩阵为:通过数据矩阵计算训练样本的均值向量；具体为计算样本x的协方差矩阵s和x的均值向量：通过特征值从所述训练样本的均值向量中分解出对应的特征向量，根据所述特征值对所述特征向量进行排序；其中，用特征值分解求s 的g个特征值λ1,λ2,...,λg对应的特征向量 e = (θ1,θ2,...,θg) 将特征值按大小排序。
[0029]
根据排序结果计算出训练主成分分量样本以及所述训练主成分分量样本对应的贡献率；
其中，计算第i个主成分分量样本为：x表示样本集；第i个主成分分量样本的贡献率为：通过累计贡献率确定训练主成分分量样本的个数，得到训练主成分；其中，通过累计贡献率确定训练主成分分量样本的个数，本实施例中累计贡献率达到85%以上时，选取前n个主成分替代原始输入变量，从而得到训练主成分。
[0030]
进一步的，所述基于所述训练主成分对经过粒子群算法优化的svm模型进行训练，得到对应的svm分类模型，包括：首先，因为各路网络数据的来源不同，所以并行主机会各自获取不同的训练数据集，所以需要根据不同的训练数据集生成对应的svm分类模型，具体的，svm分类模型的构建方法如下：设是由 n 个特征描述的一个样本，是包含训练样本的数据集，由一个n
×
n 矩阵表示。数据集的类别标签，，其中的取值来自于类别标签 ，svm分类模型标记为：，l 是分类模型数量。f是特征集，为了构造，要进行以下的步骤：f随机分成个k子集（k 是算法中的一个参数），假设k是n的因子，这样每个子集包含 m=n/k个特征；记是分类器的第j个子集，对每一个这样的子集，随机选择一个类别的非空子集，然后对这些样本进行可重复随机采样，抽取其中的样本子集，在 内的m个特征以及从中选出的样本子集上获取特征子集以及对应的系数向量；将得到的所有系数向量组成一个旋转矩阵：为了得到分类模型的训练集，我们首先重新排列的列（即特征）使他们对应于原始特征，并称重排后的矩阵为(维数是：n
×
n)。 然后的训练集就是。
[0031]
在分类阶段：对给定的 ，设是属于α类的概率，则属于α类的概率均值是：最后将归属到值最大的类，将特征集分成k个子集的目的是为了增加分类模型之间的差异度。如果把n维特征分成k个子集，每个子集的大小是m的话，则共有 种不同的分法，每种分法对应的特征集生成一个对应的svm分类模型，由此一来，完成svm分类模型的构建；其中，将所述训练主成分作为输入，对为svm分类模型进行训练是一种以统计学习为基础的机器学习方法，利用核函数实现低维空间到高维特征空 间的非线性映射，并在该空间内构造一个最优超平面，构造与求解最优超平面可转化为在原空间上求解一个二次回归问题，训练出的svm分类模型的入侵检测的性能主要取决于核函数参数取值的优劣，本方案通过粒子群算法对svm模型进行优化；其中，粒子群算法为一种基于迭代的优化算法，粒子在解空间中会追随最优的粒 子不断进行迭代搜寻。每一个粒子会根据适应度函数确定适应值，得到的适应值是衡量粒子优劣的标准。粒子通过跟踪个体最优位置（）和 全局最优位置（）来不断更新自己的速度和位置，粒子群算法的数学描述如下：自己的速度和位置，粒子群算法的数学描述如下：其中，ω为惯性权重值，，为常数（代表加速因子），表示个体最优位置，表示全局最优位置。
[0032]
具体的模型训练步骤如下：将所述训练主成分作为输入，随机生成初始粒子群并设置初始迭代值以及迭代次数；本实施例中迭代初始值为iter=1，迭代次数表示为iter
sum ；通过适应度函数确定所述初始粒子群中各粒子的适应度值和惯性权重值并实时更新粒子的位置信息；根据适应度值最大原则，评价所述初始粒子群中的各个粒子，从中搜索最佳粒子，将各个粒子的适应值与各个粒子的个体最优位置对应的适应值进行比较，若结果更优，则更新所述个体最优位置，否则保留原值不变；将更新后的各个粒子的所述个体最优位置与全局最优位置进行比较，若所述全局最优位置结果更优，则更新所述个体最优位置，否则保留当前个体最优位置原值不变；如果各个粒子的适应度值满足要求或者已经达到所述迭代次数，则得到svm分类模型，否则重复采用所述适应度值最大原则进行迭代，直到得到所述svm分类模型。
[0033] s400：调用所述待使用数据集作为测试数据集并进行归一化处理，对归一化处理后的数据进行pca主成分特征提取，获取所述测试数据集对应的测试主成分，将所述测试主成分输入到所述svm分类模型进行检测，得到入侵检测结果；其中，在调用所述待使用数据集作为测试数据集并进行归一化处理前，包括：将所述测试数据集进行数值化，所述数值化包括统计测试数据属性中出现的维数，然后按字母对其进行排序，采用序号代替原内容。
[0034]
由于数据集中命令响应、控制模式等属性均为非数值形式，而非数值形式不能被直接识别，必须进行数据预处理，即数值化，数值化的具体形式为统计各属性中出现的维数，然后按字母对其进行排序，采用序号代替原内容；由于工控设备的网络数据的入侵特征值为不同的度量单位，样本的特征属性各异，为了消除这些不利因素，需要进行归一化预处理，详细的描述为：其中，表示对测试样本集的归一化处理结果，为测试样本集，x
max
=1，x
min
=1，即[0,1]归一化处理。
[0035]
进一步的，所述对归一化处理后的数据进行pca主成分特征提取，获取所述测试数据集对应的测试主成分，包括：从所述测试数据集中选取预设数量的测试样本，所述测试样本包括对应数量的特征属性；通过数据矩阵计算测试样本的均值向量；通过特征值从所述测试样本的均值向量中分解出对应的特征向量，根据所述特征值对所述特征向量进行排序；根据排序结果计算出测试主成分分量样本以及所述测试主成分分量样本对应的贡献率；通过累计贡献率确定测试主成分分量样本的个数，得到测试主成分。
[0036]
其中，获取测试主成分的步骤与获取样本主成分的步骤类似，此处不再赘述。
[0037]
所述将所述测试主成分输入到所述svm分类模型进行检测，得到入侵检测结果，包括：将所述测试主成分输入到所述svm分类模型中，将所述测试数据集中的测试数据按照数据类型分类为正常数据和攻击数据；将所述攻击数据分类为命令注入攻击数据、响应注入攻击数据和拒绝服务攻击数据；其中，测试数据集除了包括正常数据外，还包括三类攻击数据：命令注入攻击、拒绝服务攻击、响应注入攻击，其中命令注入攻击分为 4 种攻击方式，如地址扫描、设置非法的pid参数等；响应注入攻击分为7种攻击方式；拒绝服务攻击有1种攻击方式。
[0038]
统计数据类型分类的分类结果和攻击数据分类的分类结果，得到查准率、查全率、漏报率和误报率；将所述查准率、查全率、漏报率和误报率整合为检测报表，得到入侵检测结果。
[0039]
其中，本方案的入侵检测实验结果由表1所示：表1常规的入侵检测实验结果由表2所示：表2由此可以看出，本文提出的入侵检测算法有很好的检测效果，攻击类型为命令注入攻击和拒绝服务攻击均有较高的查准率与查全率，虽然响应注入攻击的查全率较低，存在一定的漏报率，但相比常规的入侵检测方法仍有较好的检测效果。
[0040] s500：根据各路网络数据的入侵检测结果向对应的工控设备发送决策响应。
[0041]
第二方面本技术提出分片并行化机制的工控设备入侵检测系统，如图4所示，包括多路数据采集模块、网络数据预处理模块、分类模型训练模块、入侵检测模块和决策响应模块；所述多路数据采集模块，用于通过分片并行化机制从工业系统中的各类工控设备采集对应线路的网络数据；所述网络数据预处理模块，用于基于并行主机数量同时对各路网络数据进行预处理后得到对应的待使用数据集并进行备份；所述分类模型训练模块，用于调用所述待使用数据集作为训练数据集并进行pca主成分特征提取，获取所述训练数据集对应的训练主成分，基于所述训练主成分对经过粒
子群算法优化的svm模型进行训练，得到对应的svm分类模型；所述入侵检测模块，用于调用所述待使用数据集作为测试数据集并进行归一化处理，对归一化处理后的数据进行pca主成分特征提取，获取所述测试数据集对应的测试主成分，将所述测试主成分输入到所述svm分类模型进行检测，得到入侵检测结果；所述决策响应模块，用于根据各路网络数据的入侵检测结果向对应的工控设备发送决策响应。
[0042]
以上仅是本发明优选的实施方式，需指出的是，对于本领域技术人员在不脱离本技术方案的前提下，作出的若干变形和改进的技术方案应同样视为落入本权利要求书要求保护的范围。