一种基于启发式聚类算法的工业控制网络攻击流量分类方法与流程

技术特征：
1.一种基于启发式聚类算法的工业控制网络攻击流量分类方法，其特征在于，工控网络攻击流量分为训练数据和测试数据，包括以下步骤：步骤一：从工控网络攻击流量中提取出工控网络攻击流量特征；使用流量会话作为基本单元分割工控网络攻击流量，流量会话进一步由活跃时间阈值分割；步骤二：将步骤一获得的工控网络攻击流量特征进行特征离散化和标准化处理，获得格式化后的工控网络攻击流量特征输入至深度自编码器，深度自编码器的解码器部分对工控网络攻击流量特征进行降维，获得低维流量特征表示形式；步骤三：通过基于密度的启发式聚类算法，从低维流量特征表示形式中获取基础攻击流量分类器；步骤四：基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，用于持续检测和分类未知的攻击流量。2.根据权利要求1所述的基于启发式聚类算法的工业控制网络攻击流量分类方法，其特征在于，所述步骤二中的深度自编码器包含三个隐藏层，每层均以relu作为激活函数；损失函数反映了格式化后的工控网络攻击流量特征与低维流量特征表示形式之间偏差平方的平均值，其中x
i
表示格式化后的工控网络攻击流量特征，表示低维流量特征表示形式，n表示数据量，即数据输出个数；其中，e为输入数据与输出数据之间偏差平方的平均值。3.根据权利要求1所述的基于启发式聚类算法的工业控制网络攻击流量分类方法，其特征在于，所述步骤三的具体步骤为：3.1将步骤二的低维流量特征表示形式视为数据点，计算每个数据点p
i
的局部密度ρ
i
；其中，d
ij
为数据点p
i
和p
j
之间的距离，d
c
为截断距离；3.2按局部密度降序排列数据点，形成序列n＝{p1，p2，...，p
n
}；3.3计算每个数据点p
i
和与其最近且密度更高的数据点q
i
间的距离δ
i
；3.4为数据点p1创建第一个簇c1，并选择p1为其质心o1；3.5按照序列n的顺序，除p1外，对每个数据点p
i
依次进行检验，当其距离δ
i
小于等于截断距离d
c
时，p
i
被分配到与其最近且密度更高的数据点所属的簇c
x
中；通过直接平均法，用p
i
来更新簇c
x
的质心o
x
；3.6当p
i
的距离δ
i
大于截断距离d
c
时，为p
i
创建一个新的簇，且p
i
被选为对应新簇的质心；3.7计算每个簇之间极限距离d
l
，极限距离为两个簇质心间最大距离，
3.8 c
a
，c
b
两个簇质心的距离小于d
l
时，计算二者之间最小距离d
min
：3.9 d
min
小于截断距离d
c
时，c
a
，c
b
两个簇被合并成一个新的簇c
′
a
，并更新簇c
′
a
的质心o
′
a
，将c
b
标记成已合并；3.10遍历各个簇，删除所有标记为已合并的簇。4.根据权利要求1所述的基于启发式聚类算法的工业控制网络攻击流量分类方法，其特征在于，所述步骤四的具体步骤为：4.1测试数据p
*
所属簇c
*
设为空，置为正整数，计算测试数据p
*
和基础攻击流量分类器中所有簇的极限距离d
l’，d
l’计算公式如下：4.2 p
*
和o
i
之间的距离不大于d
l’时，计算对应的最小距离d
min
，4.3 d
min
(p
*
，c
i
)不大于截断距离d
c
且小于更新为d
min
(p
*
，c
i
)，将c
*
置为簇c
i
，c
*
不为空；否则c
*
为空；4.4当c
*
不为空时，|c
*
|小于更新系数m时，计算更新距离d
u
：d
u
＝d
c
*|c
*
|/m|c
*
|不小于更新系数m时，计算更新距离d
u
：d
u
＝d
c
4.5 dist(p
*
，0
*
)大于d
u
时，p
*
来更新簇c
*
；4.6计算每个簇c
j
的簇c
*
之间极限距离d
l
；4.7 c
*
，c
j
两个簇质心的距离小于等于d
l
时，进一步计算它们之间的最小距离d
min
(c
*
，c
j
)；4.8 d
min
(c
*
，c
j
)小于截断距离d
c
时，c
*
，c
j
两个簇将被合并成一个新的簇利用分配机制将映射到一个已有类别；4.9将簇赋给簇c
*
，将p
*
分类为c
*
所属类别；4.10当c
*
为空时，为p
*
创建一个新的簇并选择p
*
为其质心，分配一个新的类别给p
*
和5.根据权利要求1所述的基于启发式聚类算法的工业控制网络攻击流量分类方法，其特征在于，所述训练数据经步骤一、步骤二和步骤三获取基础攻击流量分类器。6.根据权利要求1或5所述的基于启发式聚类算法的工业控制网络攻击流量分类方法，其特征在于，所述测试数据经步骤一、步骤二和步骤四构造自增长攻击流量分类器。7.根据权利要求1或4所述的基于启发式聚类算法的工业控制网络攻击流量分类方法，
其特征在于，所述不小于105。

技术总结
本发明属于网络安全领域，提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理，输入至深度自编码器后进行降维处理，获得低维流量特征表示，基于密度的启发式聚类算法从中获取基础攻击流量分类器，并基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的，且是逐渐出现的特点，本方法实现对攻击流量进行持续性的、实时的检测和分类。实时的检测和分类。实时的检测和分类。


技术研发人员：盛川 姚羽 胡博 申益嘉 杨巍 周小明 刘莹 杨道青 李文轩 林小李 单垚 周金磊
受保护的技术使用者：国网辽宁省电力有限公司
技术研发日：2022.10.11
技术公布日：2023/1/5