本发明专利技术属于数据处理相关技术领域,提出了面向信息物理系统的攻击和异常数据流检测方法及装置,包括:获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型,对可能存在的威胁进行快速检测。进行快速检测。进行快速检测。
【技术实现步骤摘要】
面向信息物理系统的攻击和异常数据流检测方法及装置
[0001]本专利技术属于数据处理相关
,尤其涉及面向信息物理系统的攻击和异常数据流检测方法及装置。
技术介绍
[0002]信息物理系统是通过将控制、计算与通信技术结合、并构建物理空间与信息空间中信息、环境、人、机、物等要素的映射、交互、协同系统、实现了计算资源与物理资源的深度耦合、按需响应和快速迭代。信息物理系统常用领域包括电力、石油化工、高炉冶炼以及工业现场等需要实时控制与资源监控的场景。信息物理系统为客户端/服务器体系架构,客户端的主要功能包括对设备数据进行采集、对工业参数进行调整以及和操作员进行现场交互。服务器的主要功能包括对数据进行分析预测和对异常行为进行预警和报警。客户端和服务器的连接方式可以是串口连接也可以是以太网连接。
[0003]由于信息物理系统部署范围广、组成复杂,且涉及领域往往较为重要。因此,针对信息物理系统的恶意攻击也层出不穷。另外,信息物理系统检测的设备本身也可能损坏并噪声工业控制系统失控。
[0004]现有的攻击检测系统多集成于控制软件中,根据设备的特性或规律来对攻击进行判断,再根据事前制定的规则进行分析比较,并对系统的运行状态进行相应调整。虽然此类检测方式使用简单,但由于与控制系统高度耦合,不易于迁移与调整,检测率也不适合动态修改。
[0005]另外,针对现有的攻击方法,如重放攻击、错误数据注入攻击、放大攻击等,现有的攻击检测方法往往只能检测其中的一种。如需检测多种攻击需要通过多种检测机制的叠加。这样的处理不但增加了系统的运行成本,其检测效果也不尽如人意。针对的信息物理系统中所存在的众多数据类型,现有的方法并不适用。
技术实现思路
[0006]为克服上述现有技术的不足,本专利技术提供了面向信息物理系统的攻击和异常数据流检测方法及装置,通过在信息物理系统的控制端获取实时数据流,将流量转换为特定数据对象组,通过输入至反向传播网络中得到数据对象集对应的数据标签,根据数据标签得到是否出现异常或遭到恶意攻击,对可能存在的威胁进行快速检测。
[0007]为实现上述目的,本专利技术的一个或多个实施例提供了如下技术方案:面向信息物理系统的攻击和异常数据流检测方法,包括:获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
[0008]本专利技术的第二个方面提供面向信息物理系统的攻击和异常数据流检测装置,包
括:Type
‑
c接口模块,用于获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;可编程逻辑模块,用于对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;攻击检测模块,用于根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
[0009]以上一个或多个技术方案存在以下有益效果:在本专利技术中,通过在信息物理系统的控制端获取实时数据流,将流量转换为特定对象组,根据判断特定对象组输入到训练得到数据标签的类型以得到现在系统的运行状态,从而对可能存在的威胁进行快速检测。
[0010]在本专利技术中,所提供的检测装置能够在保持信息物理系统正常运行的前提下,攻击支持隐蔽性攻击、重放攻击、零动态攻击等攻击类型进行检测,而且体积小、便携度高,为信息物理系统的安全问题提供底层保障。
附图说明
[0011]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。
[0012]图1为本专利技术实施例一中面向信息物理系统的攻击和异常数据流检测方法流程图;图2是本专利技术实施例一中反向传播网络结构示意图;图3是本专利技术实施例二中面向信息物理系统的攻击和异常数据流检测装置整体示意图。
具体实施方式
[0013]应该指出,以下详细说明都是示例性的,旨在对本专利技术提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义。
[0014]实施例一如图1所示,本实施例公开了面向信息物理系统的攻击和异常数据流检测方法,包括:获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。
[0015]在本实施例中,对获取的信息物理系统中实时数据流转换成数据对象集,传输过来的是每个时刻的数据,需要将每个时刻的数据汇总为一个excel表格,其中每一行为一个时刻的数据。这个excel表就是数据对象集。
[0016]对数据对象集进行标准化处理,并对数据对象集的缺值项删除,并根据数据的分
布对缺值进行填充。缺值填充可以使用这一列即不同时刻数据的中位数或者平均数。
[0017]将数据对象集中的离散值使用独热编码。因为机器学习中需要将文字数据和离散化数据转化为连续数据,因此使用独热编码进行转换,这一步的目的是将数据归一化,有利于数据处理的效率与准确性。
[0018]之后将填充后数据对象集中的每一行和每一列进行最大最小规范化使其值域统一。
[0019]在本实施例中,基于所采用的FGPA芯片计算能力的限制,对标准化后的数据对象集进行降维处理,具体为:对所有的数据对象集进行中心化处理,即计算得到标准化后的数据对象集的每一列数据的均值,并以均值为原点对其他值进行平移处理。
[0020]然后对中心化后的数据对象集采用主成分分析法进行特征提取,具体为:计算数据对象集的协方差矩阵;然后计算协方差矩阵的特征向量矩阵,对得到的特征向量矩阵进行最大最小归一化处理;通过将每个样本即excel中每一行的数据与特征向量矩阵点乘求得新样本替换原始样本得到新的数据对象集。
[0021]在本实施例中,可根据具体的应用场景如针对电力应用的电流电压,功率,频率数据或针对冶炼应用的高炉温度、风速、设备状态等与需求如有些大量依赖人工的行业可适当提高误报率以减少故障或对数据完整性要求不高的行业可以适当提高漏检率设计不同的检测方案。这里我们以反向传播网络举例,说明其功能与基本设计流程。
[0022]在本实施例中,将智能电网中的异常流量检测问题视为一个时间序列数据分类问题,其中每一个时刻的数据包括电压、电流、功率、余额等连续数据信息以及用户id、失压、失流、缺相等离散化数据信息。需要输出具体的标签类别可根据需求自行标注与选择,如正常数据的标签为0、Dos攻击的标签为1、FDI攻击的标签为2、重放攻击的标签为3、零动态攻击的标签为4等。在此问题中,将现有的分类数据输入到反向传播网络中进行模型训练,之后将实时数据转换得到的数据对象集输入到训练好的模型中完成数据分类。
[0023]在本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.面向信息物理系统的攻击和异常数据流检测方法,其特征在于,包括:获取信息物理系统中实时数据流并将所获取的数据流转换为数据对象集;对所述数据对象集进行预处理后输入至训练好的反向传播网络中,得到数据对象集所对应的数据标签;根据数据对象集所对应的数据标签判断当前数据是否被攻击或攻击类型。2.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,对所述数据对象集的预处理包括:将获取的实时数据流转换成数据对象集;对所述数据对象集进行标准化处理;对标准化处理后的数据对象集进行降维处理;将降维后的数据对象集进行特征提取,构建新的数据对象集。3.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,将降维后的数据对象集进行特征提取,构建新的数据对象集,具体为:计算数据对象集的协方差矩阵;计算所得到的协方差矩阵的特征向量矩阵,对得到的特征向量矩阵进行最大最小归一化处理;将数据对象集中每一行的数据与最大最小归一化处理后的特征向量矩阵点乘得到新的数据替换原始数据,得到新的数据对象集。4.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,所述数据对象集中每一行数据为一个时刻所获取的数据。5.如权利要求1所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,所述反向传播网络包括输入层、隐藏层和输出层。6.如权利要求5所述的面向信息物理系统的攻击和异常数据流检测方法,其特征在于,利用...
【专利技术属性】
技术研发人员:杨明,吴法宗,吴晓明,王鑫,梁艳,陈振娅,穆超,
申请(专利权)人:齐鲁工业大学山东省科学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。