一种工业场景下的入侵检测系统与方法

本发明涉及入侵检测安全领域，尤其涉及一种工业场景下的入侵检测系统与方法。

背景技术：

1、随着工业互联网、云计算等新概念与新兴技术的出现，传统网络逐渐向万物互联的方向延伸，越来越多的网络协议、通用软硬件被应用到网络中，在提高效率、优化生产模式的同时，也带来了更为严重的安全隐患。在基于互联网形成的从底层硬件到网站、应用程序的完整生态系统中，任何针对单个组件的破坏或攻击都有可能通过互联网导致整个工业系统瘫痪。

2、面对愈加复杂开放的工业网络，传统基于异常的入侵检测系统已无法满足工业场景下的安全需求。一方面，随着工业场景下网络与大量现场设备互联互通，任何攻击都有可能造成无法挽回的后果。现有基于异常的入侵检测受限于数据的不平衡，大多采用二分类的分类器，只能对偏离正常行为的网络行为进行告警，无法根据不同攻击类型制定相应的应急措施，决策细粒度不足。另一方面，基于异常的入侵检测系统大多采用人工智能的方法进行检测，而无论机器学习还是深度学习都高度依赖原始数据，数据的质量与检测效果直接相关。现有入侵检测数据中类别高度不平衡，一些特殊的攻击类型样本占比小，在进行多分类时将会影响分类器最终的检测精度。

3、因此，本领域的技术人员致力于开发一种新的入侵检测系统与方法，解决现有技术中存在的系统决策细粒度低、无法处理流量数据不平衡等缺陷。

技术实现思路

1、有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何改进现有的入侵检测系统，提升入侵检测数据质量并提高检测精度，在检测过程中采用多分类的分类器，从而适应工业场景安全需求。

2、为实现上述目的，本发明提供了一种工业场景下的入侵检测系统，包括现场设备，还包括：

3、工业防火墙模块，所述工业防火墙模块连接所述现场设备，实现工控网络的横向隔离，内置工业通讯协议的解析和过滤，采用应用层通讯的跟踪技术，拦截非法指令，保护工控系统；

4、流量处理模块，所述流量处理模块连接所述工业防火墙模块，对输入的流量数据进行处理，处理完的所述流量数据将仅包含后续检测所需的输入特征；

5、流量检测模块，所述流量检测模块连接所述流量处理模块，包含第一分类器，对输入的所述流量数据进行检测，将所述流量数据分类为不同类别的攻击，再按照预先设置的规则执行相应的安全决策；初始时，所述第一分类器为预先训练好的多分类器；

6、数据库模块，所述数据库模块连接所述流量处理模块，负责存储所述流量处理模块处理完的所述流量数据；当所述流量数据的数量到达预先设置的数量时，将存储的所述流量数据制作成数据集；

7、安全监控模块，所述安全监控模块连接所述流量检测模块，将所述流量检测模块的检测结果进行可视化处理，同时设置决策规则库，在所述流量检测模块检测完后根据所述决策规则库执行安全决策；

8、业务资源，所述业务资源连接所述流量检测模块，提供所述现场设备在运行时所需的业务数据，但必须通过所述流量检测模块的检测且满足访问要求才能访问所述业务资源；

9、acgan模块，所述acgan模块一端连接所述数据库模块，另一端连接所述流量检测模块；所述acgan模块接收所述数据库模块制作成的所述数据集，并进行过采样处理，扩充小类样本的数量，改善所述数据集中存在的不平衡问题；所述acgan模块包含第二分类器，所述第二分类器与所述第一分类器的参数相同；用经过所述过采样处理的所述数据集对所述第二分类器进行训练；训练完成后，用所述第二分类器的参数更新位于所述流量检测模块中的所述第一分类器，以提升所述第一分类器的检测性能。

10、进一步地，所述输入特征包括地址、端口号、协议类型。

11、进一步地，所述第一分类器包含深度学习算法。

12、本发明还提供了一种工业场景下的入侵检测方法，包括以下步骤：

13、步骤1、现场设备向业务资源发起访问请求，建立二者间的连接通道；只有当流量检测模块检测所述连接通道符合要求后，所述现场设备才能访问所述业务资源；

14、步骤2、工业防火墙模块对所述现场设备传输的数据协议进行解析和过滤，拦截非法指令，只有符合工业通讯协议的流量数据才允许通过；

15、步骤3、流量处理模块对所述流量数据进行提取和记录处理，处理完的所述流量数据仅包含后续检测所需要的输入特征，并将所述流量数据发送到数据库模块中进行存储；

16、步骤4、当acgan模块中的第二分类器有参数更新时，所述流量检测模块先更新第一分类器的参数，再对输入的所述流量数据进行检测，将所述流量数据分类为不同类别的攻击，再按照预先设置的规则执行相应的安全决策；

17、步骤5、安全监控模块将所述流量检测模块的检测结果进行可视化处理，同时设置决策规则库，在所述流量检测模块检测完后根据所述决策规则库执行安全决策；

18、步骤6、根据所述步骤5中执行的所述安全决策分配访问权限，使得所述现场设备能够获取所需的所述业务资源。

19、进一步地，在所述步骤3中，当所述数据库模块收集的所述流量数据的数量到达预先设置的数量时，所述数据库模块将存储的所述流量数据制作成数据集。

20、进一步地，所述步骤3包括以下子步骤：

21、步骤3.1、所述acgan模块接收所述数据集，并进行过采样处理，扩充小类样本的数量，改善所述数据集中存在的不平衡问题；

22、步骤3.2、用经过所述过采样处理的所述数据集对所述第二分类器进行训练。

23、进一步地，所述步骤3.1包括以下子步骤：

24、步骤3.1.1、所述acgan模块初始化所述acgan模型中的生成器g、鉴别器d和辅助分类器c的参数；

25、步骤3.1.2、随机抽取m个服从高斯分布的随机噪声样本和真实流量数据样本为一个批次训练样本；

26、步骤3.1.3、所述生成器g将随机噪声和指定的标签信息输入编码层再通过网络训练生成m个伪造流量数据。

27、进一步地，所述步骤3.1还包括以下子步骤：

28、步骤3.1.4、将生成的所述伪造流量数据与所述真实流量数据样本，通过损失函数训练所述鉴别器d和所述辅助分类器c的参数，使所述鉴别器d能够区分真伪流量数据；

29、步骤3.1.5、训练所述生成器g，并设置所述鉴别器d的参数不可训练而所述生成器g可通过损失函数训练，使所述生成器g的生成数据能够混淆所述鉴别器d；

30、步骤3.1.6、重复所述步骤3.1.1～所述步骤3.1.5，直至指定迭代次数；用训练好的所述生成器g对所述数据集进行过采样处理，扩充所述数据集中的小类攻击样本数量。

31、进一步地，所述步骤3.1.4中的梯度优化公式如下：

32、

33、其中，θd为鉴别器参数，m为每个批次所含样本数量，i为当前样本，1≤i≤m，ls为鉴别器损失函数，lc为分类器损失函数，所述鉴别器d的训练目标是最大化ls+lc。

34、进一步地，所述步骤3.1.5中的梯度优化公式如下：

35、

36、其中，θg为生成器参数，所述生成器g的训练目标是最大化lc-ls。

37、本发明提供的一种工业场景下的入侵检测系统与方法至少具有以下技术效果：

38、传统的基于异常的入侵检测系统通常采用二分类的分类器，这种检测只能区分正常行为与异常行为，无法区分不同攻击类别，并制定相应的安全决策。此外，使用多分类的分类器，其性能受数据的质量限制，不同类别的数据数量越不平衡，分类器性能就越差。而工业场景下入侵检测系统所获得的不同攻击类别数量差距较大，严重制约着分类器性能的提升。

39、因此，本发明所提供的技术方案通过多分类器，能够区分不同攻击类别从而执行相应的安全决策，并且通过引入acgan模型，能够对原有数据过采样，扩充小类样本数量，提升分类器检测性能。此外，在acgan模块中还有与流量检测模块中参数相同的分类器，能够在检测的同时训练分类器。

40、以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。