一种高效的食品加工远程控制系统入侵检测方法与流程

一种高效的食品加工远程控制系统入侵检测方法
1.本发明为“一种食品加工远程控制系统入侵检测方法”，申请号为“201811168407x”的发明专利的分案申请。
技术领域
2.本发明涉及网络传输、数据挖掘、通信代理领域，具体涉及一种高效的食品加工远程控制系统入侵检测方法。


背景技术：

3.随着食品加工行业越来越智能化，很多加工流程可以通过网络进行远程操控，但系统的漏洞给网络安全带来威胁。现有的入侵检测系统中规则的人工参与度过高，增加了维护成本，主机代理较多导致信息处理性能下降，无法应对大规模的入侵行为，系统适应性差、检测率低，存在误报的情况。


技术实现要素：

4.为解决上述问题，本发明的目的在于提供一种具有较强的适应性和鲁棒性的高效的食品加工远程控制系统入侵检测方法，能够自动提取匹配规则，实现无监督运行，减轻主机管理员的负担，多重代理协调运作，增加了入侵难度，满足大规模流量的入侵检测，提高了系统的智能性。
5.本发明解决其问题所采用的技术方案，包括以下步骤：
6.a.建立食品加工远程控制网络拓扑模型，将食品加工远程控制系统分层，分别进行主机入侵检测和网络入侵检测；
7.b.通过特征匹配方法对误报进行有效的过滤，对过滤后的异常行为再进行检测，提高检测效率；
8.c.通过多重代理之间协调工作判断访问是否为入侵行为，进行主机入侵的检测和自学习；
9.d.利用聚类方法和关联规则自动挖掘网络入侵规则，进行网络入侵检测，完成食品加工远程控制入侵检测。
10.进一步的，所述步骤a包括：
11.建立食品加工远程控制网络拓扑模型，将系统分为三层：控制层、数据层、处理层，即，
12.控制层：负责各层的控制、管理和维护，从入侵检测代理采集的数据发送至数据库；
13.数据层：负责存储食品加工远程控制中产生的数据，随着加工速度和效率的要求提高，数据层的存储性能也提高；
14.处理层：主要包括主机入侵检测代理和网络入侵检测代理，对数据流进行实时检测，识别入侵特征，阻止入侵的进一步发生，基于主机的入侵检测通过操作系统的审计、跟
踪日志作为数据源，从中发现可疑行为；基于网络的入侵检测主要用于检测通过网络进行的入侵行为，对自身网络起到保护作用。
15.进一步的，所述步骤b包括：
16.(1)给定集合r包含数据通过与正常模式正向匹配得到的异常特征r，集合s包含数据与正常模式反向匹配得到的异常特征s，即其他正常模式的异常特征，集合r和集合s相交的部分为误报，则去除误报后的异常特征为：
17.f＝r-(r∩s)
18.从而减少误报，提高准确率；
19.(2)去除误报后的异常特征的入侵发生率p：
[0020][0021]
其中，ki(i＝1,2,
…
,n)是调整系数，n是特征数量，给定入侵发生阈值ε1、ε2；若p＜ε1，则不是入侵行为；若ε1≤p≤ε2，则数据偏离正常模式，有入侵的可能性，但不能确定；若p＞ε2，则认为数据信息是入侵者，执行相应的处理，并提取特征更新特征数据库。
[0022]
进一步的，所述步骤c包括：
[0023]
(1)对于步骤b中发现有入侵可能性的信息，通过多重代理协调配合对信息进行分析，代理对入侵分析进行学习，获得入侵限制δ，自动识别陌生信息，若入侵可疑度d＞δ，则是入侵行为，将结果传送给管理员，并生成入侵日志；若入侵可疑度d＜δ，则不是入侵行为，并将特征信息发送给其他代理，更新特征数据库；
[0024]
(2)若其他代理对此信息存在疑问，则累加可疑度，进行判断；否则继续通知其他代理，直至可疑度达到入侵限制，向管理员发出报警信息，或者所有代理都判断完后，证实不是入侵行为，从而通过多重代理之间协调工作判断访问是否为入侵行为。
[0025]
进一步的，所述步骤d包括：
[0026]
(1)对于报警信息，通过构造特征间的距离函数作为目标函数：
[0027][0028]
其中，r是特征数据，是聚类均值，n是特征数据的数量，对目标函数进行优化，得到初始化聚类中心，计算每个节点属于的类别，并更新聚类中心，进行迭代，直至目标函数的变化值小于设定的阈值，得到最终的聚类中心进行划分；
[0029]
(2)通过关联规则分析，对报警信息进行进一步分析，提取出强关联的报警信息，设定最小支持度和最小置信度，获取大于等于最小支持度的频繁项集，从分类数据中挖掘出记录各个分类属性的联系，自动提取入侵行为的特征，形成满足最小置信度的入侵规则，根据数据的内容和配置规则进行匹配，若匹配成功，则该数据存在入侵行为，输出结果，从而完成食品加工远程控制的入侵检测。
[0030]
本发明的有益效果是：
[0031]
在网络安全越来越重要的情况下，本发明具有较强的适应性和鲁棒性，能够自动提取匹配规则，实现无监督运行，减轻主机管理员的负担，多重代理协调运作，增加了入侵难度，提高了检测效率，满足大规模流量的入侵检测，提高了系统的智能性。
附图说明
[0032]
图1为本发明一种高效的食品加工远程控制系统入侵检测方法的整体流程图；
[0033]
图2为食品加工远程控制网络拓扑图；
[0034]
图3为基于主机入侵检测流程图。
具体实施方式
[0035]
参照图1，本发明实施例所述的方法包括以下步骤：
[0036]
a.建立食品加工远程控制网络拓扑模型，将食品加工远程控制系统分层，分别进行主机入侵检测和网络入侵检测；
[0037]
建立食品加工远程控制网络拓扑模型，如图2所示。将系统分为三层：控制层、数据层、处理层。
[0038]
控制层：负责各层的控制、管理和维护，从入侵检测代理采集的数据发送至数据库。
[0039]
数据层：负责存储食品加工远程控制中产生的数据，随着加工速度和效率的要求提高，数据层的存储性能也提高。
[0040]
处理层：主要包括主机入侵检测代理和网络入侵检测代理，对数据流进行实时检测，识别入侵特征，阻止入侵的进一步发生。基于主机的入侵检测通过操作系统的审计、跟踪日志作为数据源，从中发现可疑行为；基于网络的入侵检测主要用于检测通过网络进行的入侵行为，对自身网络起到保护作用。
[0041]
b.通过特征匹配方法对误报进行有效的过滤，对过滤后的异常行为再进行检测，提高检测效率；
[0042]
(1)给定集合r包含数据通过与正常模式正向匹配得到的异常特征r，集合s包含数据与正常模式反向匹配得到的异常特征s，即其他正常模式的异常特征。集合r和集合s相交的部分为误报，则去除误报后的异常特征为：
[0043]
f＝r-(r∩s)
[0044]
从而减少误报，提高准确率。
[0045]
(2)去除误报后的异常特征的入侵发生率p：
[0046][0047]
其中，ki(i＝1,2,
…
,n)是调整系数，n是特征数量。给定入侵发生阈值ε1、ε2。若p＜ε1，则不是入侵行为；若ε1≤p≤ε2，则数据偏离正常模式，有入侵的可能性，但不能确定；若p＞ε2，则认为数据信息是入侵者，执行相应的处理，并提取特征更新特征数据库。
[0048]
c.通过多重代理之间协调工作判断访问是否为入侵行为，进行主机入侵的检测和自学习(如图3所示)；
[0049]
(1)对于步骤b中发现有入侵可能性的信息，通过多重代理协调配合对信息进行分析，代理对入侵分析进行学习，获得入侵限制δ，自动识别陌生信息。若入侵可疑度d＞δ，则是入侵行为，将结果传送给管理员，并生成入侵日志。
[0050]
若入侵可疑度d＜δ，则不是入侵行为，并将特征信息发送给其他代理，更新特征数
据库。
[0051]
(2)若其他代理对此信息存在疑问，则累加可疑度，进行判断；否则继续通知其他代理。直至可疑度达到入侵限制，向管理员发出报警信息，或者所有代理都判断完后，证实不是入侵行为。从而通过多重代理之间协调工作判断访问是否为入侵行为。
[0052]
d.利用聚类方法和关联规则自动挖掘网络入侵规则，进行网络入侵检测，完成食品加工远程控制入侵检测。
[0053]
(1)对于报警信息，通过构造特征间的距离函数作为目标函数：
[0054][0055]
其中，r是特征数据，是聚类均值，n是特征数据的数量。对目标函数进行优化，得到初始化聚类中心，计算每个节点属于的类别，并更新聚类中心，进行迭代，直至目标函数的变化值小于设定的阈值，得到最终的聚类中心进行划分。
[0056]
(2)通过关联规则分析，对报警信息进行进一步分析，提取出强关联的报警信息。设定最小支持度和最小置信度，获取大于等于最小支持度的频繁项集，从分类数据中挖掘出记录各个分类属性的联系，自动提取入侵行为的特征，形成满足最小置信度的入侵规则。根据数据的内容和配置规则进行匹配，若匹配成功，则该数据存在入侵行为，输出结果。从而完成食品加工远程控制的入侵检测。
[0057]
综上所述，便完成了本发明所述的一种高效的食品加工远程控制系统入侵检测方法。该方法具有较强的适应性和鲁棒性，能够自动提取匹配规则，实现无监督运行，减轻主机管理员的负担，多重代理协调运作，增加了入侵难度，满足大规模流量的入侵检测，提高了系统的智能性。