(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211125474.X (22)申请日 2022.09.16 (65)同一申请的已公布的文献号 申请公布号 CN 115208703 A (43)申请公布日 2022.10.18 (73)专利权人 北京安帝科技有限公司 地址 100080 北京市海淀区西四环北路158 号1幢9层9H -5-1 (72)发明人 周磊　姜双林　赵时晴　 (74)专利代理 机构 北京星通盈泰知识产权代理 有限公司 1 1952 专利代理师 葛战波 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/142(2022.01)H04L 41/16(2022.01) G06K 9/62(2022.01) (56)对比文件 CN 110753049 A,2020.02.04 CN 109902740 A,2019.0 6.18 US 2016330225 A1,2016.1 1.10 CN 111245848 A,2020.0 6.05 WO 20180723 51 A1,2018.04.26 CN 10461512 2 A,2015.0 5.13 CN 110825068 A,2020.02.21 CN 110825068 A,2020.02.21 审查员 张德珍 (54)发明名称 分片并行化机制的工控设备入侵检测方法 和系统 (57)摘要 本发明公开了分片并行化机制的工控设备 入侵检测方法和系统， 通过对各路网络数据进行 数据处理， 节约大量的存储空间， 提高数据的查 询、 传输、 调用效率， 进而 提高工控设备入侵检测 的速度， 降低延 迟， 采用并行化的主机架构， 通过 多个并行主机分析对应线路的网络数据， 降低单 个主机进行复杂分析计算的计算压力， 并且每个 并行主机 上所运行的SVM模型都是经过对应的训 练数据集训练的， 从而降低训练量， 提高SV M模型 的训练效率， 避免出现网络数据的检测覆盖率和 准确率低的问题， 让工业系统的安全 得到有效保 证。 权利要求书3页 说明书12页 附图3页 CN 115208703 B 2022.12.13 CN 115208703 B 1.分片并行化机制的工控设备入侵检测方法， 其特 征在于： 包括以下步骤： 通过分片并行化机制从工业系统中的各类工控设备采集对应线路的网络数据， 其中， 包括设置多个并行主机并对每个所述并行主机进行初始化； 获取工控设备 的数量， 为每个 工控设备分配并行主机， 用于让并行主机和各类工控设备进行网络数据传输； 解析各类工 控设备的命令参数， 所述命令参数用于对各类工控设备进行协议转换控制； 根据各类工控 设备创建对应的协议转换线程并利用线程绑定函数将所述协议转换线程绑定于所述并行 主机； 并行主机周期性轮询各类工控设备的描述符是否被设置为协 议转换线程对应的线程 值， 如果是， 则并行主机接 收并读取网络数据； 如果不是则进行协议转换工作， 通过转换后 的协议重复判断， 直到并行主机接 收并读取完毕分配的所有工控设备 的网络数据； 根据并 行主机的数量将接收并读取的网络数据整合 为对应线路的网络数据； 基于并行主机数量同时对各路网络数据进行预处理后得到对应的待使用数据集并进 行备份； 调用所述待使用数据集作为训练数据集并进行PCA主成分特征提取， 获取所述训练数 据集对应的训练主成分， 基于所述训练主成分对 经过粒子群算法优化的SVM模型进 行训练， 得到对应的SVM分类模型； 调用所述待使用数据集作为测试数据集并进行归一化处理， 对归一化处理后的数据进 行PCA主成分特征提取， 获取所述测试数据集对应的测试主成分， 将所述测试主成分输入到 所述SVM分类模型进行检测， 得到入侵检测结果； 根据各路网络数据的入侵检测结果向对应的工控设备发送决策响应。 2.根据权利要求1所述的方法， 其特征在于： 所述基于并行主机数量同时对各路网络数 据进行预处理后得到对应的待 使用数据集并进行 备份， 包括： 对网络数据进行 数据清洗； 采用插值法对清洗后的各路网络数据进行补缺处 理， 得到待筛 选数据； 基于分布度量法对所述待筛 选数据进行筛 选， 得到待 使用数据； 对所述待 使用数据进行整合得到待 使用数据集， 对所述待 使用数据集进行 备份。 3.根据权利要求2所述的方法， 其特征在于： 所述基于分布度量法对所述待筛选数据进 行筛选， 得到待 使用数据， 包括： 采用欧式距离度量所述待筛 选数据中任意两个数据间的距离； 基于所述待筛 选数据中各 数据的邻域 根据所述距离确定各 数据的分布度量； 基于所述分布度量将所述待筛 选数据降序排列， 得到排列数据； 判断所述排列 数据中的数据的分布度量是否大于预设阈值， 当分布度量大于所述预设 阈值时， 保留与所述分布度量对应的数据， 并判定为待 使用数据； 当分布度量小于等于所述预设阈值 时， 判断与 所述分布度量对应的数据 是否在待使用 数据的邻域内， 若与所述分布度量对应的数据位于待使用数据的邻域外时， 确定与所述分 布度量对应的数据为待 使用数据； 若与所述分布度量对应的数据位于所述待使用数据的邻域内时， 确定与所述分布度量 对应的数据为冗余数据。 4.根据权利要求3所述的方法， 其特征在于： 所述调用所述待使用数据集作为训练数据 集并进行PCA主成分特 征提取， 获取 所述训练数据集对应的训练主成分， 包括：权　利　要　求　书 1/3 页 2 CN 115208703 B 2从所述训练数据集中选取预设数量的训练样本， 所述训练样本包括对应数量的特征属 性； 通过数据矩阵计算训练样本的均值向量； 通过特征值从所述训练样本的均值向量中分解出对应的特征向量， 根据 所述特征值对 所述特征向量进行排序； 根据排序结果计算出训练主成分分量样本以及所述训练主成分分量样本对应的贡献 率； 通过累计贡献率确定训练主成分 分量样本的个数， 得到训练主成分。 5.根据权利要求4所述的方法， 其特征在于： 所述基于所述训练主成分对经过粒子群算 法优化的SVM模型进行训练， 得到对应的SVM分类模型， 包括： 将所述训练主成分作为输入， 随机生成初始粒子群并设置初始迭代值以及迭代次数； 通过适应度函数确定所述初始粒子群中各粒子的适应度值和惯性权重值并实时更新 粒子的位置信息； 根据适应度值最大原则， 评价所述初始粒子群 中的各个粒子， 从中搜索最佳粒子， 将各 个粒子的适应值与各个粒子的个体最优位置对应的适应值进行比较， 若结果更优， 则更新 所述个体最优位置， 否则保留原值 不变； 将更新后的各个粒子的所述个体最优位置与全局最优位置进行比较， 若所述全局最优 位置结果更优， 则更新所述个 体最优位置， 否则保留当前个 体最优位置原值 不变； 如果各个粒子的适应度值满足要求或者已经达到所述迭代次数， 则得到SVM分类模型， 否则重复采用所述 适应度值 最大原则进行迭代， 直到得到所述SVM分类模型。 6.根据权利要求5所述的方法， 其特征在于： 在调用所述待使用数据集作为测试数据集 并进行归一 化处理前， 包括： 将所述测试数据集进行数值化， 所述数值化包括统计测试数据属性中出现的维数， 然 后按字母 对其进行排序， 采用序号代替原内容。 7.根据权利要求6所述的方法， 其特征在于： 所述对归一化处理后的数据进行PCA主成 分特征提取， 获取 所述测试 数据集对应的测试主成分， 包括： 从所述测试数据集中选取预设数量的测试样本， 所述测试样本包括对应数量的特征属 性； 通过数据矩阵计算测试样本的均值向量； 通过特征值从所述测试样本的均值向量中分解出对应的特征向量， 根据 所述特征值对 所述特征向量进行排序； 根据排序结果计算出测试主成分分量样本以及所述测试主成分分量样本对应的贡献 率； 通过累计贡献率确定测试主成分 分量样本的个数， 得到测试主成分。 8.根据权利要求7所述的方法， 其特征在于： 所述将所述测试主成分输入到所述SVM分 类模型进行检测， 得到入侵检测结果， 包括： 将所述测试主成分输入到所述SVM分类模型中， 将所述测试数据集中的测试数据按照 数据类型分类为 正常数据和攻击数据； 将所述攻击数据分类为命令注入攻击数据、 响应注入攻击数据和拒绝 服务攻击数据；权　利　要　求　书 2/3 页 3 CN 115208703 B 3