基于BP神经网络的工控系统入侵检测

1、基于bp神经网络的工控系统入侵检测肖铮(四川工商职业技术学院信息工程系,四川 成都611830)摘 要采用交符向扯机依入侵检浏手&有助于应对日登更新的攻击方法。从软据来源和分析的 角度，可以将入侵检测模型分为基于工业流工业过程.用户行为.恶意文件四大类。在实毯中.采 用bp神经网络对系统各个区域之间的状态做出硬滇，通过区域之间状恣的推导，冼能准确地判断出遭 受到攻击的区域°关键词机器学习；8p神经回始；异常检测；攻击中图分类号tp301文献标识码a文牵编号1036-7523 (202x) 01-0047-03一、基于bp神经网络的入侵检测1. 神经网烙的概念神经网络的研究在很

2、早的时候就已经开始. 到现如今，神经网络已经成为r 个多学科交叉 的领域.涵盖了神经科学、计算机科学、信息科 学、工程科学、蜃学统订学等。冲经网络是在现 代神经科学研究成果的根底上提出的，由大量处 理单元互联组成的非线性,自适应信息处理系统。 神经网络是通过模拟大脑神经网络处理、记忆信 息的方式进行信息处理的2. bp算法描连bp ( error liacklagation )算法是迄今最成 功的神经网络算法"l在该学习方法中.学习过 程由信号的正向传播和误差的反向传播组成：常 见的三层bpm络模型如图1所示：ffl 1三sbp网络模型对于训练例(”以)，假定神经网络的输 出为，力=

3、(听必，.，弃)，叩笃=灿-盼 那么神经网络在s，时上的均方误差为皈=捉"(乃-寸)2(2)bp算法按照误差函数e的负梯度修改权 值，权值得更新公式可表示为/i = 6? + ao? = 6? ng' (3)其中. i表示迭代次数.(慕金工程i本文待到四川省府等教。人才堵苏质址和教学改苹顼日“暴jn化救育人才培养恢式的构建和研究” ug20xx-1168)；教，部科技开展中心产学研创ss城金顼口 w于大致抠和人工智能的个性化tttjxht技木研究”力1&03007)； 中国轻工业底今会教曾工作分会20xx笊课3! ”根于人工智能技术的技能fijwffr研究与实践” (

4、qgjy20i902co ；叫川工食职业 技术学院院找教育教学矣课题一留/时代救育人才埒养饨式的构也和研究-(20xxjy04) 资助:(作者简介«»(1983-).-47 -基于bp神经网绪的工控系统入侵检测, 3e .妒=蔼1。=心对于输出层神经元权值的更 新公式为3"=戒广哇=3" 0e 也 °y；|*/烦笊岫y慕7 x j =练广11跄(- l)/(net*)o; = u)f + nefc/(netfc)oy =也 + n&g (4)二、实睑验证1.实验原理在工控系统中.可以将物理状态划分为多个 区域并提取区域的功能特征以观察每

5、个区域中的 关谜状态。通过交叉比拟区域间的关键状态与趋 势和误差的标准.可以有效监测异常基于区域 划分的异常检测方法，即使在多个区域同时受到 攻击的情况下，也可以有效检测和未知网络 攻击。这里将粮个水箱系统划分为3个区域，分别 构造区域两数以描述姓个分区中的关键状态，并 使用了 bp神经网络.最后进行异常检测的分析。 三个水箱中的液位.阀门开度.压力、温度.流 量数据被按照如下方式划分：区域l水箱1液位、 水箱1温度、1#阀门开i度；区域2：水箱2液位、 水箱2温度、压力、2#阀门开度；x域3：水箱 3液位、水液3温度、流垦、3#阀门开度、4#阀按照上述方式划分区域.就可以也行区域间 的异常检

6、测“如果”以通过分析某些区域的状态 来得到片1乂域的状态，那么就可以通过这种方 式比拟所预测区域的数据和实际数据.准确地定 位发生异常的区域。2.试验弦证经过反夏的胎证，霎试了使用液位的变化率 而不是液位来退行推导的方式，训练数据集一共 有8000组正常运行状态的数据 可以使液位1, 液位2,液位3为妇、0、如；液位】、液位2、 液位3的变化率分别为m、%、dl3；液位1, 液位2.液位3的二次方根分别为s小sl2. s/3： 阀门1,阀门2的开度为0、“2；其平方为刃2, 22：压强为p ”3 .救据集谓练泣程本实验构建了一个单独隐藏层的bp神经网 络,激活函数使用的是切此优化器使用'

7、;adam二 损失函数使用'mean.squared.errof ,将训练样本 和期望输出导入，并使用python绘出仿央曲线和 实际曲线。实验一共训练了 3坦模型。第1组使用 slv vp 推导水箱2的变化率以2；第2组 使用如 口2, p，以2推导水箱的变化率以第3组使用p，dl2. l2.巧)推导水箱3的 变化率d如4.实验结果3组实验的推导结果和实际结果如图3所示: m中，蓝色线是实际值，黄色线是预测信x皿y |图3网，力，d，推导这3组数据推导的是变化率.水箱液位的变 化是根据控制台输入的设定值的变化而变化的， 而控制算法使用的是p1d控制,由图4可知,尽 管变化率的波动较大

8、.不是很平秘.但是预测值 和实际值拟合得很好,在1830s处.dll和出2的 实际值和预测值出现偏差，说明水箱1和水箱2 出现异常。3组数据部能很好地拟合出与实际 值 那么如果系统收到了攻击.就能够判断出系 统的那此局部出现了异常。三、结束语本实验采用bp神经网络对系统区域之间的 状态进行推导，可以较好地拟合出各个区域特征 数据的变化情况：表达出了工控系统各个局部之 间的关系，当工控系统出现异常时.使用这种方 法可以准确地判断出受攻击的位置，帮助系统管 理员快速排除问题.有效地降低了平安隐患,对 系统采用了区域划分.通过比拟区域间的状态就 能有效检测异常，并能处理多个区域同时受到攻 击情况下的

9、异常检测问题依据以上原理设计实 验,结论是该方法能有效检测出各个区域的异常 状态，准确地检测到攻击，参考文献】hijh.3019 4全国公共安企通信学术研讨会优秀论丈 集icj.中国通信学会:中国通信学会.20xxa牛彪.填于神及网络的庞用异常数据itt检测系统|i）1.武仪:隼中科技大学017.（3|罗就.bp神投网胳散字识别的madab实现|脸均电子技术与牧件工程.20xx必0）：1处-1年20xx-1030.（4|m络的理自燃卸发®测研究jq1j.煤炭工桦.20xx10）：113-1】71孙410-301.5 wnng liang. guangwci wang. xiaojun

10、 ning. jianliung zhangyanjiang u.chunhc jiang»nan zhang.appliojliixi c< bp dcug»1 nclwork to the pcedictioei rf cod ash meiting charactefistic iemperature|j）. fuel.2030.260.based on bp neural network intrusion detection of industrial control systemxiao zheng（sichuan technology & bus

11、iness college. chengdu 611830, china >abstract: the intrusion detection method based on support vector machine is helpful to deal with the increasingly updated attack methods. from the perspective of data source and analysis, intrusion deiection model can be divided into four categories: based on industrial traffic, industrial process, user behavior and malicious files. in the experiment. bp neural network is used to predict the state of each region of the system.