一种面向CPS的全方位入侵检测系统及方法

本发明涉及信息物理系统异常入侵，尤其是涉及一种面向信息物理系统的全方位入侵检测系统及方法。

背景技术：

1、信息物理系统(cps)是一个复杂的多维系统，通过物联网集成工业组件，以创建高效的网络物理生产环境。随着工业信息化的深入融合和快速发展，社会目前越来越依赖于由信息物理系统支持的多个自动系统。这些应用主要集中在工业、健康和环境等领域，安全性和可靠性是这些系统的基本要求。然而，信息物理系统的广泛采用也大大增加了工业系统的攻击面，使相关基础设施更容易受到新的未知攻击。为减少信息物理系统故障可能造成的经济损失和人身伤害，应采取适当的方法识别信息物理系统中的安全威胁。

2、入侵检测系统是目前识别安全威胁最有效的方法之一。因此，应用入侵检测系统保护信息物理系统具有重要意义。主流的入侵检测主要侧重于通过检测网络异常流量来保护设备不受侵害。但是信息物理系统不同于以往传统的it设备还存在着大量的物理组件。一些混合网络攻击可以使用正常的网络流量下达不正确的控制指令以破坏物理系统状态。仅基于网络流量数据检测的安全措施无法有效针对这种混合攻击，因此有必要一种开发针对cps的全方位入侵检测系统以保护信息物理系统。

技术实现思路

1、本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种面向cps的全方位入侵检测系统及方法。

2、本发明的目的可以通过以下技术方案来实现：

3、作为本发明的第一方面，提供一种面向cps的全方位入侵检测系统，包括三个子系统：异常流量检测子系统、异常设备检测子系统和异常分析子系统；

4、所述异常流量检测子系统部署在信息物理系统的网络单元的边缘节点，采用基于卷积神经网络和堆叠门控循环单元的异常流量检测模型，实时检测网络流量；

5、所述异常设备检测子系统部署在信息物理系统的物理设备上，采用基于预测分支的内存增强自动编码器的异常设备检测模型，实时检测物理过程数据；

6、异常分析子系统，与异常流量检测子系统和异常设备检测子系统通信连接，用于接收检测结果并对其进行分析。

7、2.根据权利要求1所述的一种面向cps的全方位入侵检测系统，其特征在于，所述异常流量检测子系统包括以下模块：

8、网络流量数据采集模块，用于获取网络流量数据以及实时网络流量数据；

9、网络流量数据预处理模块，与网络数据采集模块通信连接，用于对网络流量数据以及实时网络流量数据进行预处理，得到预处理后的网络流量数据以及预处理后的实时网络流量数据；

10、网络流量数据重采样模块，通过混合采样方法对处理后的网络流量数据以及预处理后的实时网络流量数据进行重采样；

11、网络流量异常检测模块，用于接收预处理和重采样后的网络流量数据以及预处理和重采样后的实时网络流量数据，并使用预处理后和重采样后的网络流量数据来训练基于卷积神经网络和堆叠门控循环单元的异常流量检测模型，而后通过异常流量检测模型对预处理和重采样后的实时网络流量数据进行分析检测，从而得到网络流量检测结果。

12、进一步的，所述重采样具体过程如下：应用borderline-smote技术对处于边界区域的少数类样本进行过采样，在边界区域内生成一些新的少数类样本；然后使用tomeklinks技术进行去噪。

13、进一步的，所述异常流量检测模型采用基于多步卷积神经网络堆叠门控循环单元模型的异常流量检测模型，

14、先通过一个多步卷积神经网络对输入的网络流量进行特征学习，提取网络流量特征信息；再将网络流量特征信息传递到堆叠门控循环单元模型，学习网络流量数据的特征信息。

15、进一步的，所述异常流量检测子系统包括以下模块：

16、物理设备数据采集模块，用于获取控制器和传感器数据以及实时控制器和传感器数据；

17、设备运行数据预处理模块，与信息物理系统数据采集模块通信连接，用于对控制器和传感器数据以及实时控制器和传感器数据进行预处理，得到预处理后的控制器和传感器数据以及预处理后的实时控制器和传感器数据；

18、设备运行数据异常检测模块，用于接收预处理后的控制器和传感器数据以及预处理后的实时控制器和传感器数据，并对预处理后的控制器和传感器数据通过基于重建和时间序列预测训练得到异常检测模型，而后通过异常检测模型对预处理后的实时控制器和传感器数据进行分析检测，从而得到相应异常检测得分。

19、进一步的，所述基于预测分支的内存增强自动编码器的异常设备检测模型，包括记忆增强编码器、时间依赖提取网络和解码器三个子神经网络；

20、所述记忆增强编码器用于将设备运行数据编码为低维隐藏状态向量；

21、所述时间依赖提取网络设置于记忆增强编码器之后，用于捕捉设备运行数据的时间依赖关系；

22、记忆增强编码器与时间依赖提取网络输出的隐藏状态向量输入到两个相同的解码器上，解码回原空间中获得设备运行数据的重建数据和时间序列预测数据。

23、进一步的，所述时间依赖提取网络使用基于注意力机制的双向长短期记忆网络。

24、进一步的，所述异常检测得分同时考虑了重建误差和预测误差定义被检测数据的异常得分计算过程表示如下：

25、

26、

27、

28、其中，超参数λ∈[0，1]用于调整重建误差和预测误差；代表l2范数。

29、作为本发明的第二方面，提供一种面向cps的全方位入侵检测方法，所述方法采用如上任一所述面向cps的全方位入侵检测系统的进行实时入侵检测，步骤包括：

30、采用网络流量数据捕获模块采集实时网络流量数据；

31、采用网络流量数据预处理模块对实时网络流量数据进行预处理，得到预处理后的实时网络流量数据；

32、采用网络流量数据重采样模块对预处理后的实时网络流量数据进行重采样；

33、采用网络流量异常检测模块将重采样后的实时流量特征数据输入到异常流量检测模型对实时流量特征数据进行实时检测，并将得到网络流量检测结果传输到异常分析子系统；

34、采用物理设备数据采集模块采集信息物理系统中的设备控制器和传感器实时工作数据；

35、采用设备运行数据预处理模块对所述控制器和传感器实时工作数据进行数据预处理，得到规范化的数据；

36、采用设备运行数据异常检测模块，将预处理后的实时控制器和传感器数据，输入到异常检测模型中，得到物理设备异常检测结果并传输到异常分析子系统；

37、采用异常分析子系统对最终检测结果进行检测，当网络流量数据检测结果为异常流量，则根据检测出的异常流量种类进行处理；当设备运行检测结果为异常的时候，进一步分析每个传感器设备的重建误差，定位异常设备。

38、进一步的，进行所述实时入侵检测之前，所述方法先执行以下离线训练步骤：

39、采用网络流量数据捕获模块采集网络流量数据；

40、采用数据预处理模块对网络流量数据进行预处理，得到作为训练集数据的预处理后的网络流量数据；

41、采用网络流量数据重采样模块输入预处理后的网络流量数据，对网络流量数据进行重采样；

42、将重采样模块输出的重采样后的网络流量数据，训练基于卷积神经网络和堆叠门控循环单元的异常网络流量检测模型；

43、采集信息物理系统中的设备控制器和传感器历史工作数据；

44、对所述控制器和传感器历史工作数据进行数据预处理，得到规范化的数据，而后构建训练数据；

45、使用训练数据训练基于带有预测重建分支的记忆增强深度自编码器异常检测模型，通过不断训练迭代得到训练完成的异常检测模型。

46、与现有技术相比，本发明具有以下有益效果：

47、1)本发明设计一种针对cps的全方位入侵检测系统以及方法，通过为cps的网络单元的边缘节点部署网络流量异常检测模块来实时检测信息物理系统网络流量抵御异常网络流量攻击，并收集cps物理设备的传感器和控制器数据，通过检查数据与设备运行行为之间的不一致性，检测物理设备运行中的异常数据来发现任何旨在改变cps物理设备正常活动的攻击。

48、2)本发明涉及一种面向cps的全方位入侵检测系统及方法，针对cps同时具备网络设备和物理设备的特点，提出基于网络流量数据和基于设备运行数据的全方位入侵检测系统，相比于目前传统的针对it设备入侵检测系统更能充分保护cps免受潜在威胁，提升了入侵检测系统的可用性。

49、3)本发明针对cps网络流量提出混合采样技术bstl加多步cnn堆叠gru检测模型；先通过一个多步cnn对其进行特征学习。通过多步cnn可以为sgru提取更多、更深层次的网络流量特征信息。然后将网络流量特征信息传递到sgru中，利用sgru学习网络流量数据的特征信息。通过两个模型的结合可以有效提升模型的检测能力。

50、4)本发明针对cps设备运行数据提出一种带有预测分支的内存增强自动编码器检测模型。采用了基于内存增强自动编码器的异常检测方法能够很好地重构正态样本，并放大异常的重构误差，增强了重构误差作为异常检测判据的能力，提升了模型的检测精度和泛化能力。综上，本发明设计合理，并且对于实现信息物理系统异常检测较为有效。