發(fā)布時(shí)間：2020-04-20 05:27

【摘要】：隨著兩化的深度融合,工業(yè)控制系統(tǒng)信息安全問題形勢日益嚴(yán)峻,入侵檢測是工控系統(tǒng)信息安全防護(hù)的關(guān)鍵環(huán)節(jié),然而現(xiàn)有的入侵檢測技術(shù)存在準(zhǔn)確率低、實(shí)時(shí)性差等問題,迫切需要一種能從海量數(shù)據(jù)中有效挖掘關(guān)鍵信息和潛在規(guī)律的技術(shù),而可視化優(yōu)化技術(shù)可以將海量數(shù)據(jù)以可視化的形式展現(xiàn)出來,幫助用戶結(jié)合專家經(jīng)驗(yàn)進(jìn)行知識發(fā)現(xiàn)、規(guī)律分析與模型優(yōu)化,改善現(xiàn)有入侵檢測存在的問題。本文首先根據(jù)工業(yè)控制系統(tǒng)的典型結(jié)構(gòu)分析了其面臨的潛在安全威脅,然后分別從可視化展示、交互和分析技術(shù)三個(gè)方面對可視化優(yōu)化技術(shù)進(jìn)行介紹,由此引出了可視化優(yōu)化在工控系統(tǒng)入侵檢測中的需求,并針對性的提出了可視化優(yōu)化框架。主要利用“人在回路”的優(yōu)化思想,打破了傳統(tǒng)工業(yè)控制系統(tǒng)入侵檢測的“黑盒”模式。在預(yù)處理階段(數(shù)據(jù)域),主要通過散點(diǎn)圖矩陣來進(jìn)行數(shù)據(jù)清洗優(yōu)化數(shù)據(jù);關(guān)鍵特征選擇階段(特征域),用戶根據(jù)數(shù)據(jù)集的特點(diǎn),信息層采用互信息和XGBoost兩種算法進(jìn)行特征排名,結(jié)合信息熵理論與專家知識綜合分析挑選關(guān)鍵特征,物理層采用遞歸特征消除算法自動(dòng)挑選關(guān)鍵特征;算法選擇階段(算法域),提供SVM與KNN兩種不同的算法進(jìn)行選擇,并支持算法中超參數(shù)的調(diào)整與優(yōu)化;評估階段(評估域),采用分類綜合報(bào)告和混淆矩陣兩種方式進(jìn)行分類性能的全面分析,并對評估結(jié)果適當(dāng)調(diào)整,進(jìn)行模型的迭代優(yōu)化。基于上述方案,本文設(shè)計(jì)并實(shí)現(xiàn)了工業(yè)控制系統(tǒng)入侵檢測可視化優(yōu)化系統(tǒng),并在信息層和物理層分別采用不同的數(shù)據(jù)集進(jìn)行了實(shí)驗(yàn)驗(yàn)證與對比分析,信息層測試集的準(zhǔn)確率高達(dá)99.54%,優(yōu)于其他采用同樣數(shù)據(jù)集的論文;物理層測試集的準(zhǔn)確率高達(dá)99.24%,并進(jìn)行了在線測試,結(jié)果表明系統(tǒng)能準(zhǔn)確檢測到攻擊及具體攻擊類型。綜上,證明了本文提出的方案與設(shè)計(jì)系統(tǒng)的有效性與實(shí)用性。
【圖文】：

已經(jīng)在國內(nèi)外引起了廣泛的關(guān)注，，成為近些年來國，可以將工控入侵檢測技術(shù)根據(jù)檢測方法和數(shù)據(jù)來源兩2 所示。按照不同的檢測方法可以將其分為基于誤用的入測，其中，基于誤用的入侵檢測技術(shù)是通過一定的規(guī)則將的已知攻擊進(jìn)行匹配，故只能識別少數(shù)已知攻擊�；�于異與正常時(shí)進(jìn)行比對，通過兩者的偏差來檢測已知或未知根據(jù)數(shù)據(jù)來源不同，可以將其分為基于主機(jī)的入侵檢測（的監(jiān)控）和基于網(wǎng)絡(luò)的入侵檢測（對網(wǎng)絡(luò)流量的監(jiān)控）[26信息物理特性，在系統(tǒng)的架構(gòu)、使用的設(shè)備等各方面存在術(shù)分為基于網(wǎng)絡(luò)信息層的入侵檢測（以下簡稱信息層入侵入侵檢測（以下簡稱物理層入侵檢測）。本文主要研究根異常的入侵檢測的優(yōu)化技術(shù)。

圖 4-6 可視化數(shù)據(jù)清洗以看出，紅色圈內(nèi)的數(shù)據(jù)點(diǎn)偏離集群較遠(yuǎn)，屬于孤立點(diǎn)，理部分完成后，接下來進(jìn)行關(guān)鍵特征選擇部分的可視化據(jù)量均較大，故采用兩種特征算法排名進(jìn)行對比，分析師特征。分析師現(xiàn)根據(jù) 3.2.1 小節(jié)中提及的信息熵理論（熵?cái)?shù)據(jù)特征進(jìn)行初步篩選，可以看出 num_outbound_cmds的取值相同均為 0，land 屬性、urgent 屬性、su_att性除少數(shù)不為 0 之外，其余均為 0，這些特征都不利于后考慮到序號對應(yīng)的問題，在柱狀圖中仍將其展現(xiàn)出來，為Boost 兩種算法生成的排名柱狀圖均顯示在界面中，如圖 可知，protocol_type（序號 1）、logged_in（序號 11）、coue（序號 25）、dst_host_count（序號 31）等屬性在兩種特，service（序號 2）、hot（序號 9）、srv_count（序號 23）
【學(xué)位授予單位】：華中科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2019
【分類號】：TP273;TP309

【參考文獻(xiàn)】

相關(guān)期刊論文 前5條

1 李春林;黃月江;王宏;牛長喜;;一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測方法[J];信息安全與通信保密;2014年10期

2 任磊;杜一;馬帥;張小龍;戴國忠;;大數(shù)據(jù)可視分析綜述[J];軟件學(xué)報(bào);2014年09期

3 沈清泓;;工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測與認(rèn)證[J];自動(dòng)化博覽;2014年07期

4 張玲;白中英;羅守山;謝康;崔冠寧;孫茂華;;基于粗糙集和人工免疫的集成入侵檢測模型[J];通信學(xué)報(bào);2013年09期

5 張得生;張飛;;基于SVM和融合技術(shù)的入侵檢測研究[J];科技通報(bào);2013年05期

相關(guān)碩士學(xué)位論文 前5條

1 張陽;工業(yè)控制系統(tǒng)入侵檢測技術(shù)研究[D];電子科技大學(xué);2018年

2 程超;工業(yè)控制網(wǎng)絡(luò)Modbus TCP協(xié)議深度包檢測技術(shù)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2016年

3 李琳;基于OCSVM的工業(yè)控制系統(tǒng)入侵檢測算法研究[D];沈陽理工大學(xué);2016年

4 周曉敏;工業(yè)控制系統(tǒng)信息安全半實(shí)物仿真實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[D];華中科技大學(xué);2015年

5 趙華;工業(yè)控制系統(tǒng)異常檢測算法研究[D];冶金自動(dòng)化研究設(shè)計(jì)院;2013年

本文編號：2634210