基于机器学习的工业互联网入侵检测方法研究

【摘要】：近年来,入侵检测逐渐成为工业界和学术界的研究热点,已经出现并将不断出现许多入侵检测相关的新技术、算法和系统。根据2016年ICS-CERT工业互联网安全态势报告分析,有超过80%的国家关键基础设施依靠工业互联网实现生产过程自动化,但是,现有的工业互联网入侵检测存在诸多问题。如,入侵检测方法实时性问题,检测性能问题,实验数据集冗余问题等。针对上述问题,论文主要利用基于决策粗糙集、信息熵和互信息等特征选择方法约简属性特征,实时机制动态反馈,图像感知哈希特征提取方法等机器学习方法,对工业互联网入侵检测的若干问题进行了关键技术研究。主要研究工作如下:1.为了对已知和未知攻击都保持较高的检测性能,降低虚警率,提出一种基于决策粗糙集的集成人工免疫入侵检测模型。首先利用决策粗糙集特征选择方法进行属性约简,从训练集中获取二进制形式自体和非自体规则库;然后依据负性选择算法生成对应检测器集合,并引入疫苗机制;最后通过实时树突细胞算法对提呈抗原信息和组织环境信息分析,获取抗原匹配阈值,进行异常行为判断,实时补充规则库。实验结果表明,模型保证95.5%检测率时,仍保持较低的虚警率。2.针对工业互联网的入侵检测等安全问题和现场网络流量建模方法存在的不足,提出一种基于流量特征图的工业互联网入侵检测模型。首先采用信息熵方法选取重要特征集合构造流量特征向量;然后使用多元相关性分析方法将流量特征向量转化为三角形面积映射矩阵构建流量特征图;最后利用基于离散余弦变换(DCT)和奇异值分解(SVD)的图像感知哈希算法,获取正常和异常流量特征图的感知哈希摘要库,并产生对应的规则集,实现对工业现场网络流量信息周期性特征的正常行为建模。实验结果表明,该模型在现场网络入侵检测过程中具有良好的检测性能,同时,流量特征图感知哈希算法具有很好的鲁棒性和抗碰撞性。3.为了解决工业互联网入侵检测中待检测数据维度过高、属性冗余、计算量大等问题,提出一种基于互信息的工业互联网入侵检测模型。首先采用基于互信息的特征选择方法进行属性约简,构建正常和异常流量特征图;然后采用基于离散余弦变换和非负矩阵分解(NMF)的图像感知哈希特征提取方法获取感知哈希摘要并产生入侵检测规则集;最后利用归一化汉明距离进行相似性度量。实验结果表明,在NSL-KDD实验数据集下,利用互信息特征选择方法使该模型具有良好的分类准确性,入侵检测模型具有良好的检测性能。