一种基于在线特征选择的攻击检测方法以及系统与流程

本发明涉及工控系统的信息安全领域，具体涉及工控系统中的入侵检测技术。

背景技术：

1、随着制造业的数字化转型将进一步加速，工控系统在制造业中的应用也将更加广泛。然而，随着工控系统的网络化程度越来越高，其面临的安全威胁和风险也越来越大。为了确保计算机网络的安全，制造业厂商使用不同的安全系统和设备来抵御来自于不同目的的网络攻击。入侵检测系统(ids)作为一种积极主动的安全防护技术，主要用于对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施。入侵检测系统的目的不是防止攻击，但它的唯一任务是检测系统中的攻击和安全漏洞，并通知系统管理员。

2、传统的入侵检测主要分为两种：基于特征的入侵检测技术和基于异常的入侵检测技术：

3、基于特征的入侵检测技术基于先前攻击的经验和攻击特征建立模型，能够快速识别已知的攻击，并具有高精度和较低的误报率，但不能检测未知的攻击；

4、基于异常的入侵检测技术通过建立正常行为模型并检测不符合正常行为的任何异常行为来检测未知的攻击，可以对新型攻击形式产生反应，但在处理大量数据时会出现误报率高的问题。尤其是当面对新型攻击时，传统的入侵检测难以迅速发现并报告，直到遭受实际经济损失后才意识到攻击的发生。

5、再者，除了传统的入侵检测方案外，人们也给出了一些改进的攻击检测方案。

6、如公开号cn115842684a的中国发明专利申请公开了一种基于mdata子图匹配的多步攻击检测方法，其通过构建多维数据关联和威胁分析的知识图谱，并利用子图匹配来检测多步攻击事件，这样通过关注数据之间的关联性和模式匹配，并通过匹配结果来识别可能的攻击行为。该方案适用于网络安全领域，特别是复杂和多步攻击的识别，但是该方案在实施时，需构建知识图谱并利用子图匹配来检测多步攻击事件，这意味着需要大量的数据来建立图谱，且时间开销较大。

7、如公开号cn104899513a的中国发明专利申请公开了一种工业控制系统恶意数据攻击的数据图检测方法，该方案通过采集系统变量和建立状态关系图来描述系统的状态和组件之间的关系，并从中提取关键特征来进行攻击检测。这种方法侧重于建立系统变量之间的内在关系，并利用关联图模型进行分析和检测，但该方法需要离线收集和处理大量的系统变量数据，并且在建立和更新系统状态图时需要大量的时间和资源。

8、由此可见，如何有效的提升入侵检测的效率及有效性为本领域亟需解决的问题。

技术实现思路

1、针对现有入侵检测方案在检测有效性方面所存在的问题，本发明提出基于在线特征选择的攻击检测方案，其能够有效解决现有入侵检测方案中特征选取不准确、检测效率不高、误报率较高等问题，从而有效提升入侵检测的有效性。

2、为了达到上述目的，本发明提供了一种基于在线特征选择的攻击检测方法，所述攻击检测方法包括：

3、s1：确定最终样本特征数量，并初始化相关特征集合、特征聚类数量、最终训练特征集合；

4、s2：接收流量样本，针对每组流量样本通过在线特征选择技术提取样本特征，并使用互信息计算每个特征与类别之间的相关性，去除不相关特征，进行攻击检测模型训练；

5、s3：对经步骤(s2)选择得到的相关特征使用基于最小生成树的图聚类方式来生成相关特征图；

6、s4：对步骤(s3)生成的相关特征图进行集成聚类处理，并对不同组的聚类结果进行重新结合，生成新的特征分区；

7、s5：在步骤(s4)中生成的新特征分区中选择具有与类别最大相关性的特征加入最终训练特征，接着在新分区剩余的特征中选取与最终训练特征冗余度最小的特征加入最终训练特征，当最终训练特征数与步骤(s1)中确定的最终样本特征数量相同时，开始训练入侵检测模型；

8、s6、随流量样本输入不断重复步骤(s2)至(s5)，更新最终训练特征集合中的特征。

9、在本发明的一些实施方式中，所述步骤(s2)中计算接收流量样本中包含的特征集合与聚类类别之间的互信息，若特征集合中的特征与所有类别之间的互信息值皆为0，则标记为不相关特征，并从特征集合中将该特征进行剔除。

10、在本发明的一些实施方式中，所述步骤(s3)中在生成相关特征图时，首先根据步骤(s2)选择得到的相关特征创建一个加权的、无向的完整图；接着创建所述完整图的第一与第二个最小生成树进行组合；最后通过删除有差异的边，形成最终的相关特征图。

11、在本发明的一些实施方式中，所述步骤(s4)中生成新的特征分区时，首先对每组流量样本的相关特征图使用不同的聚类算法进行聚类计算，生成特征分区；接着使用共识聚类算法来组合多组流量样本的相关特征图生成的不同特征分区，并通过评估生成特征分区的聚类质量来选择相应的新特征分区。

12、在本发明的一些实施方式中，所述步骤(s5)根据步骤(s4)中新生成的新特征分区，根据每个类别中计算特征与类别的互信息来确定与类别最大相关性的特征，并从新生成的新特征分区中提取最大相关性特征；接着再计算每个类别中与该最大相关性特征冗余最小的特征，并从新生成的新特征分区剩余的特征中提取最小冗余特征，通过提取所有类别中的相关特征和冗余特征来组成入侵模型的最终训练特征。

13、为了达到上述目的，本发明提供了一种基于在线特征选择的攻击检测系统，所述攻击检测系统包括：

14、初始化模块，所述初始化模块配置成用于确定最终样本特征数量，以及初始化相关特征集合、特征聚类数量、最终训练特征集合；

15、相关特征选择模块，所述相关特征选择模块配置成能够接收流量样本，针对接收的每组流量样本，使用互信息计算每个特征与类别之间的相关性，去除不相关特征，选择相关特征；

16、相关特征图生成模块，所述相关特征图生成模块配置成与在线特征选择模块数据交互，并能够对经在线特征选择模块选择得到的相关特征使用基于最小生成树的图聚类方式来生成相关特征图；

17、特征分区生成模块，所述特征分区生成模块配置成与相关特征图生成模块数据交互，能够对相关特征图生成模块生成的相关特征图进行集成聚类处理，并对不同组的聚类结果进行重新结合，生成新的特征分区；

18、特征选择模块，所述特征选择模块配置成与特征分区生成模块数据交互，在特征分区生成模块生成的新特征分区中选择具有与类别最大相关性的特征和与该特征最小冗余的特征加入最终训练特征。

19、在本发明的一些实施方式中，所述相关特征选择模块具有互信息计算子模块与相关特征筛选子模块，

20、所述互信息计算子模块配置成能够计算接收流量样本中包含的特征集合与聚类类别之间的互信息；

21、所述相关特征筛选子模块配置成与所述互信息计算子模块数据交互，根据互信息计算子模块计算的互信息，将特征集合中的特征与所有类别之间的互信息值皆为0的，则标记为不相关特征，并从特征集合中将该特征进行剔除。

22、在本发明的一些实施方式中，所述相关特征图生成模块包括完整图生成子模块与优化处理子模块，

23、所述完整图生成子模块配置成根据相关特征创建加权且无向的完整图；

24、所述优化处理子模块配置成与所述完整图生成子模块数据交互，能够根据权重对完整图生成子模块创建的完全图生成两个最小生成树进行组合，并对不一致的边进行剔除。

25、在本发明的一些实施方式中，所述特征分区生成模块包括第一聚类处理模块、第二聚类处理模块以及评估模块；

26、所述第一聚类处理模块配置成能够使用不同的聚类算法对每组流量样本的相关特征图进行聚类计算，生成特征分区；

27、所述第二聚类处理模块配置成与第一聚类处理模块进行数据交互，能够使用共识聚类算法来组合多组流量样本的相关特征图生成的不同特征分区；

28、所述评估模块配置成与所述第二聚类处理模块进行数据交互，能够针对第二聚类处理模块生成的不同特征分区，通过评估生成特征分区的聚类质量来选择相应的新特征分区。

29、在本发明的一些实施方式中，所述特征选择模块包括相关性特征确定模块、最小冗余特征确定模块，以及特征提取模块；

30、所述相关性特征确定模块配置成根据每个类别中计算特征与类别的互信息来确定与类别最大相关性的特征；

31、所述最小冗余特征确定模块配置成与所述相关性特征确定模块数据交互，计算每个类别中与相关性特征确定模块所确定的最大相关性特征冗余最小的特征；

32、所述特征提取模块配置成与所述相关性特征确定模块以及所述最小冗余特征确定模块数据交互，根据相关性特征确定模块确定最大相关性特征从新生成的新特征分区中提取最大相关性特征，再根据最小冗余特征确定模块确定的冗余最小的特征从新生成的新特征分区剩余的特征中提取最小冗余特征。

33、本发明提供的基于在线特征选择的攻击检测方案，其通过采用图论对特征进行聚类，以减少搜索空间，提高了在线模型训练的效率。

34、进一步地，本发明方案能够在每个阶段的新样本到达之后，都会创建新的特征集群，并使用集成聚类与上次集群进行合并；并在此基础上进一步对新聚类进行评估来判断聚类后的效果，由此来找到合适的聚类。此外还将重新从新聚类中选择一些最相关、余度最小的特征，来构建最终训练特征。

35、另外，本发明方案相对于现有类似的在线特征选择方案，本发明方案具有更好的分类效率；本发明方案相对于现有离线方案，具有高的准确性。