【摘要】：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,工業(yè)控制網(wǎng)絡(luò)在逐步與互聯(lián)網(wǎng)加深聯(lián)系的同時,垃圾信息、網(wǎng)絡(luò)攻擊、以及企業(yè)網(wǎng)絡(luò)犯罪等這類網(wǎng)絡(luò)威脅也進(jìn)一步危害工控網(wǎng)絡(luò)。然而傳統(tǒng)的網(wǎng)絡(luò)異常檢測技術(shù)仍主要依賴于“特征匹配”來識別危險(xiǎn)網(wǎng)絡(luò)行為,不僅識別率有限、維護(hù)成本高,而且對于0-Day漏洞的識別效果一直受人垢病。本文結(jié)合當(dāng)前熱門的深度學(xué)習(xí)技術(shù)與傳統(tǒng)的異常檢測機(jī)器學(xué)習(xí)技術(shù),并針對現(xiàn)有工業(yè)網(wǎng)絡(luò)環(huán)境下異常檢測中存在的問題進(jìn)行研究和優(yōu)化。提出了兩套工業(yè)控制網(wǎng)絡(luò)環(huán)境下的異常檢測方法,利用深度神經(jīng)網(wǎng)絡(luò)對原始數(shù)據(jù)進(jìn)行特征提取或處理,然后采用機(jī)器學(xué)習(xí)的算法來對特征進(jìn)行分類和判定。與此同時,針對提出的模型,對相應(yīng)的訓(xùn)練算法也提出了改進(jìn)和優(yōu)化。本論文研究成果如下:1.對異常檢測中的特征提取問題進(jìn)行深入分析,提出了一種全新的基于“循環(huán)神經(jīng)網(wǎng)絡(luò)-高斯伯努利分布限制玻爾茲曼機(jī)”的特征譯碼器。通過訓(xùn)練特征譯碼器,來學(xué)習(xí)原始特征數(shù)據(jù)中正常行為的模式,一旦分類器判定某網(wǎng)絡(luò)數(shù)據(jù)的特征偏離這個模式過大,則可以認(rèn)定該數(shù)據(jù)屬于異常行為;同時提出了一種半監(jiān)督的增量式更新算法,來對譯碼器和分類器進(jìn)行自動地迭代訓(xùn)練,使模型具有一定的成長性。2.提出一種基于主題提取的異常行為檢測方法。將工業(yè)控制網(wǎng)絡(luò)中的流量數(shù)據(jù)類比為語料庫中的文檔,采用文檔主題模型來提取網(wǎng)絡(luò)數(shù)據(jù)中隱藏的“主題”信息。同時,利用自動編碼器來對原始特征數(shù)據(jù)進(jìn)行降維處理,處理后的特征向量在不丟失重要的信息基礎(chǔ)上,其表達(dá)較原始特征向量更“緊湊”(用于主題提取的特征空間規(guī)模更小,冗余數(shù)據(jù)更少),實(shí)驗(yàn)結(jié)果其有效地提高了模型的準(zhǔn)確率和訓(xùn)練效率。3.選取兩種傳統(tǒng)的異常檢測系統(tǒng)與本文提出的兩種方法進(jìn)行對比實(shí)驗(yàn),通過使用不同規(guī)模的實(shí)驗(yàn)數(shù)據(jù)來分析這四種方法的執(zhí)行效率和識別效果。仿真實(shí)驗(yàn)結(jié)果證明,本文提出的兩種方法在數(shù)據(jù)量較大的情況下對異常數(shù)據(jù)有更好的識別能力,尤其是較為隱蔽的異常行為有著極高的識別率。4.設(shè)計(jì)和實(shí)現(xiàn)了一套工控網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)流量監(jiān)控和異常檢測系統(tǒng)。將上述本文提出的基于深度學(xué)習(xí)的異常檢測算法作為插件應(yīng)用到該系統(tǒng)中,形成一套功能完整、性能優(yōu)越的網(wǎng)絡(luò)行為監(jiān)控和異常檢測系統(tǒng)。其檢測準(zhǔn)確性和檢測性能較傳統(tǒng)方法均有大幅提升。
[Abstract]:With the development of the network technology, the industrial control network is gradually connected with the Internet, while the spam information, network attack, and enterprise network crime are also further harmful to the industrial control network. However, the traditional network anomaly detection technology still mainly relies on "feature matching" to identify dangerous network behavior. Not only the recognition rate is limited, the maintenance cost is high, but also the recognition effect of 0-Day vulnerability is always tainted. This paper combines the current popular depth learning technology with the traditional anomaly detection machine learning technology, and studies and optimizes the problems existing in anomaly detection under the existing industrial network environment. In this paper, two sets of anomaly detection methods in industrial control network environment are proposed. The features are extracted or processed by depth neural network, and then machine learning algorithm is used to classify and judge the features. At the same time, for the proposed model, the corresponding training algorithm is also proposed to improve and optimize. The research results of this paper are as follows: 1. Based on the analysis of feature extraction in anomaly detection, a new feature decoder based on "Gao Si Bernoulli Distribution restricted Boltzmann Machine" is proposed. By training the feature decoder, we can learn the normal behavior pattern in the original feature data. Once the classifier determines that the feature of a network data deviates from this pattern too much, the data can be regarded as abnormal behavior. At the same time, a semi-supervised incremental updating algorithm is proposed to train the decoder and classifier automatically, so that the model has a certain growth. 2. An anomaly detection method based on topic extraction is proposed. The traffic data in the industrial control network is compared to the document in the corpus, and the document subject model is used to extract the "topic" information hidden in the network data. At the same time, the automatic encoder is used to reduce the dimension of the original feature data. Its expression is more compact than the original feature vector (the size of feature space for topic extraction is smaller and the redundant data is less). The experimental results show that the accuracy and training efficiency of the model are improved effectively. Two traditional anomaly detection systems are selected to compare with the two methods proposed in this paper. The efficiency and recognition effect of these four methods are analyzed by using different scale experimental data. The simulation results show that the two methods proposed in this paper have a better ability to identify abnormal data under the condition of large amount of data, especially the hidden abnormal behavior has a very high recognition rate. 4. A set of network traffic monitoring and anomaly detection system under industrial control network environment is designed and implemented. The anomaly detection algorithm based on depth learning proposed in this paper is applied to the system as a plug-in to form a set of network behavior monitoring and anomaly detection system with complete function and superior performance. The accuracy and performance of the method are greatly improved compared with the traditional methods.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP18;TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 張愛科;;基于任務(wù)平衡的實(shí)時工控網(wǎng)絡(luò)設(shè)計(jì)與仿真[J];百色學(xué)院學(xué)報(bào);2007年06期

2 晁代坤;孟紅莉;;提高工控網(wǎng)絡(luò)工作穩(wěn)定性措施[J];電工技術(shù);2012年10期

3 顏映暉;杜乙雪;蘇玉碩;張軍明;;兩種工控網(wǎng)絡(luò)的應(yīng)用及優(yōu)劣比較[J];儀表技術(shù);2008年04期

4 朱建紅;吳曉;;工控網(wǎng)絡(luò)實(shí)驗(yàn)資源的利用與創(chuàng)新人才培養(yǎng)實(shí)踐[J];中國教育技術(shù)裝備;2009年21期

5 晁代坤;孟紅莉;;提高工控網(wǎng)絡(luò)工作穩(wěn)定性的措施[J];自動化應(yīng)用;2012年08期

6 梁建武,施榮華,杜偉;工控網(wǎng)絡(luò)通信協(xié)議解密的實(shí)現(xiàn)[J];工業(yè)控制計(jì)算機(jī);2004年10期

7 趙炯,熊肖磊,周奇才;工控網(wǎng)絡(luò)設(shè)計(jì)及其在自動化倉庫中的實(shí)現(xiàn)[J];制造業(yè)自動化;2002年09期

8 趙志剛;;大型選煤廠的工控網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)[J];科技情報(bào)開發(fā)與經(jīng)濟(jì);2008年03期

9 王朝瑞;基于工控網(wǎng)絡(luò)散貨裝卸控制仿真系統(tǒng)的開發(fā)[J];工業(yè)控制計(jì)算機(jī);2004年06期

10 衡軍山;高宏偉;;RS-485總線工控網(wǎng)絡(luò)可靠性分析[J];承德石油高等�？茖W(xué)校學(xué)報(bào);2007年01期

相關(guān)會議論文 前8條

1 王海寬;費(fèi)敏銳;黃丹青;;嵌入式技術(shù)推動工控網(wǎng)絡(luò)化發(fā)展及應(yīng)用[A];自主創(chuàng)新與持續(xù)增長第十一屆中國科協(xié)年會論文集（2）[C];2009年

2 彭杰;應(yīng)啟戛;;工業(yè)控制網(wǎng)絡(luò)安全問題分析[A];首屆信息獲取與處理學(xué)術(shù)會議論文集[C];2003年

3 張玉萍;佟為明;李辰;;工業(yè)控制網(wǎng)絡(luò)中幾種介質(zhì)訪問方式的分析[A];2007'儀表，自動化及先進(jìn)集成技術(shù)大會論文集（二）[C];2007年

4 梁棟;;工業(yè)控制網(wǎng)絡(luò)結(jié)構(gòu)發(fā)展的最新趨勢[A];推進(jìn)節(jié)能環(huán)保，給力綠色崛起——海南省機(jī)械工程學(xué)會、海南省機(jī)械工業(yè)質(zhì)量管理協(xié)會2012年海南機(jī)械科技學(xué)術(shù)報(bào)告會交流論文集[C];2012年

5 周榮根;許如山;孫翔;;運(yùn)用工控網(wǎng)絡(luò)數(shù)據(jù)分析設(shè)備工況 提高新膨絲線的經(jīng)濟(jì)運(yùn)行水平[A];上海煙草系統(tǒng)2002年度學(xué)術(shù)論文選編[C];2002年

6 李成鐵;顧德英;孟偉娟;;EtherNet/IP在工廠信息化應(yīng)用前景研究[A];第七屆青年學(xué)術(shù)會議論文集[C];2005年

7 呂娜;徐德民;鄒向毅;;一種基于802.11的工業(yè)控制網(wǎng)絡(luò)MAC協(xié)議優(yōu)化算法研究[A];2008中國儀器儀表與測控技術(shù)進(jìn)展大會論文集（Ⅲ）[C];2008年

8 姚志明;文斌;;自控技術(shù)在污水廠升級改造中的應(yīng)用[A];第二十六屆中國（天津）2012IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會議論文集[C];2012年

相關(guān)博士學(xué)位論文 前4條

1 李藝;工業(yè)控制網(wǎng)絡(luò)安全防御體系及關(guān)鍵技術(shù)研究[D];華北電力大學(xué)(北京);2017年

2 王敏;基于圖像的工業(yè)控制網(wǎng)絡(luò)調(diào)度與協(xié)議的研究[D];天津大學(xué);2011年

3 趙曉朝;玻爾茲曼機(jī)的參數(shù)選擇理論及應(yīng)用[D];天津大學(xué);2016年

4 馬學(xué)思;受限玻爾茲曼機(jī)學(xué)習(xí)算法研究[D];北京郵電大學(xué);2016年

相關(guān)碩士學(xué)位論文 前10條

1 祝士祥;基于深度學(xué)習(xí)的工控網(wǎng)絡(luò)異常檢測研究和實(shí)現(xiàn)[D];北京郵電大學(xué);2017年

2 王朝瑞;基于組態(tài)化工控網(wǎng)絡(luò)的散貨裝卸控制仿真系統(tǒng)的設(shè)計(jì)與開發(fā)[D];上海海事大學(xué);2004年

3 尤天剛;基于ARM的嵌入式工控網(wǎng)絡(luò)平臺的構(gòu)建[D];電子科技大學(xué);2006年

4 楊潔霞;基于工控網(wǎng)絡(luò)在恒壓供水過程控制系統(tǒng)中的應(yīng)用研究[D];合肥工業(yè)大學(xué);2010年

5 彭義淞;工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)訪問控制技術(shù)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2016年

6 高春梅;基于工業(yè)控制網(wǎng)絡(luò)的流量異常檢測[D];北京工業(yè)大學(xué);2014年

7 陶翠;工業(yè)控制網(wǎng)絡(luò)無線擴(kuò)展的研究與設(shè)計(jì)[D];東華大學(xué);2011年

8 馮書憲;中小企業(yè)工業(yè)控制網(wǎng)絡(luò)建設(shè)研究[D];中南大學(xué);2004年

9 王蓁蓁;工業(yè)控制網(wǎng)絡(luò)及其在硫化群控系統(tǒng)中的應(yīng)用研究[D];河海大學(xué);2001年

10 王海鳳;工業(yè)控制網(wǎng)絡(luò)的異常檢測與防御資源分配研究[D];浙江大學(xué);2014年

，

本文編號：2313683