可视化优化技术在工业控制系统入侵检测中的研究与应用
发布时间:2020-04-20 05:27
【摘要】:随着两化的深度融合,工业控制系统信息安全问题形势日益严峻,入侵检测是工控系统信息安全防护的关键环节,然而现有的入侵检测技术存在准确率低、实时性差等问题,迫切需要一种能从海量数据中有效挖掘关键信息和潜在规律的技术,而可视化优化技术可以将海量数据以可视化的形式展现出来,帮助用户结合专家经验进行知识发现、规律分析与模型优化,改善现有入侵检测存在的问题。本文首先根据工业控制系统的典型结构分析了其面临的潜在安全威胁,然后分别从可视化展示、交互和分析技术三个方面对可视化优化技术进行介绍,由此引出了可视化优化在工控系统入侵检测中的需求,并针对性的提出了可视化优化框架。主要利用“人在回路”的优化思想,打破了传统工业控制系统入侵检测的“黑盒”模式。在预处理阶段(数据域),主要通过散点图矩阵来进行数据清洗优化数据;关键特征选择阶段(特征域),用户根据数据集的特点,信息层采用互信息和XGBoost两种算法进行特征排名,结合信息熵理论与专家知识综合分析挑选关键特征,物理层采用递归特征消除算法自动挑选关键特征;算法选择阶段(算法域),提供SVM与KNN两种不同的算法进行选择,并支持算法中超参数的调整与优化;评估阶段(评估域),采用分类综合报告和混淆矩阵两种方式进行分类性能的全面分析,并对评估结果适当调整,进行模型的迭代优化。基于上述方案,本文设计并实现了工业控制系统入侵检测可视化优化系统,并在信息层和物理层分别采用不同的数据集进行了实验验证与对比分析,信息层测试集的准确率高达99.54%,优于其他采用同样数据集的论文;物理层测试集的准确率高达99.24%,并进行了在线测试,结果表明系统能准确检测到攻击及具体攻击类型。综上,证明了本文提出的方案与设计系统的有效性与实用性。
【图文】:
已经在国内外引起了广泛的关注,,成为近些年来国,可以将工控入侵检测技术根据检测方法和数据来源两2 所示。按照不同的检测方法可以将其分为基于误用的入测,其中,基于误用的入侵检测技术是通过一定的规则将的已知攻击进行匹配,故只能识别少数已知攻击。基于异与正常时进行比对,通过两者的偏差来检测已知或未知根据数据来源不同,可以将其分为基于主机的入侵检测(的监控)和基于网络的入侵检测(对网络流量的监控)[26信息物理特性,在系统的架构、使用的设备等各方面存在术分为基于网络信息层的入侵检测(以下简称信息层入侵入侵检测(以下简称物理层入侵检测)。本文主要研究根异常的入侵检测的优化技术。
图 4-6 可视化数据清洗以看出,红色圈内的数据点偏离集群较远,属于孤立点,理部分完成后,接下来进行关键特征选择部分的可视化据量均较大,故采用两种特征算法排名进行对比,分析师特征。分析师现根据 3.2.1 小节中提及的信息熵理论(熵数据特征进行初步筛选,可以看出 num_outbound_cmds的取值相同均为 0,land 属性、urgent 属性、su_att性除少数不为 0 之外,其余均为 0,这些特征都不利于后考虑到序号对应的问题,在柱状图中仍将其展现出来,为Boost 两种算法生成的排名柱状图均显示在界面中,如图 可知,protocol_type(序号 1)、logged_in(序号 11)、coue(序号 25)、dst_host_count(序号 31)等属性在两种特,service(序号 2)、hot(序号 9)、srv_count(序号 23)
【学位授予单位】:华中科技大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP273;TP309
本文编号:2634210
【图文】:
已经在国内外引起了广泛的关注,,成为近些年来国,可以将工控入侵检测技术根据检测方法和数据来源两2 所示。按照不同的检测方法可以将其分为基于误用的入测,其中,基于误用的入侵检测技术是通过一定的规则将的已知攻击进行匹配,故只能识别少数已知攻击。基于异与正常时进行比对,通过两者的偏差来检测已知或未知根据数据来源不同,可以将其分为基于主机的入侵检测(的监控)和基于网络的入侵检测(对网络流量的监控)[26信息物理特性,在系统的架构、使用的设备等各方面存在术分为基于网络信息层的入侵检测(以下简称信息层入侵入侵检测(以下简称物理层入侵检测)。本文主要研究根异常的入侵检测的优化技术。
图 4-6 可视化数据清洗以看出,红色圈内的数据点偏离集群较远,属于孤立点,理部分完成后,接下来进行关键特征选择部分的可视化据量均较大,故采用两种特征算法排名进行对比,分析师特征。分析师现根据 3.2.1 小节中提及的信息熵理论(熵数据特征进行初步筛选,可以看出 num_outbound_cmds的取值相同均为 0,land 属性、urgent 属性、su_att性除少数不为 0 之外,其余均为 0,这些特征都不利于后考虑到序号对应的问题,在柱状图中仍将其展现出来,为Boost 两种算法生成的排名柱状图均显示在界面中,如图 可知,protocol_type(序号 1)、logged_in(序号 11)、coue(序号 25)、dst_host_count(序号 31)等属性在两种特,service(序号 2)、hot(序号 9)、srv_count(序号 23)
【学位授予单位】:华中科技大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP273;TP309
【参考文献】
相关期刊论文 前5条
1 李春林;黄月江;王宏;牛长喜;;一种基于深度学习的网络入侵检测方法[J];信息安全与通信保密;2014年10期
2 任磊;杜一;马帅;张小龙;戴国忠;;大数据可视分析综述[J];软件学报;2014年09期
3 沈清泓;;工业控制系统三层网络的信息安全检测与认证[J];自动化博览;2014年07期
4 张玲;白中英;罗守山;谢康;崔冠宁;孙茂华;;基于粗糙集和人工免疫的集成入侵检测模型[J];通信学报;2013年09期
5 张得生;张飞;;基于SVM和融合技术的入侵检测研究[J];科技通报;2013年05期
相关硕士学位论文 前5条
1 张阳;工业控制系统入侵检测技术研究[D];电子科技大学;2018年
2 程超;工业控制网络Modbus TCP协议深度包检测技术研究与实现[D];电子科技大学;2016年
3 李琳;基于OCSVM的工业控制系统入侵检测算法研究[D];沈阳理工大学;2016年
4 周晓敏;工业控制系统信息安全半实物仿真实验平台设计与实现[D];华中科技大学;2015年
5 赵华;工业控制系统异常检测算法研究[D];冶金自动化研究设计院;2013年
本文编号:2634210
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/2634210.html
