[目的/意义]越来越多的网络攻击事件表明,工业互联网早已成为网络世界攻击的靶标.工业网络流量数据的最小单位为流量包,网络流量包是一个个孤立的包,单独的包无法体现网络的流量行为特征.因此,采用简单、高效的流量数据组织粒度,合理地表达工业网络流量的行为特征,是工业网络入侵检测中的重要环节.目前,有4个公开的工业网络安全数据集用于训练和评估基于深度学习(DL)算法的网络流量安全检测模型,即UNSW-NB15、BoT-IoT、ToN-IoT和CSE-CIC-IDS2018.他们由不同的特征集组成,基于这些数据集对工业网络流量进行入侵检测时的性能往往不可靠.[方法/过程]基于网络会话流的粒度提出了一个通用的特征提取方法,用于对未来工业网络安全数据集构建标准的数据表征,以此提高基于DL的工业网络安全入侵检测模型的准确性和泛化性.[结果/结论]通用数据表征方法将新生成的数据集称为NF-UNSW-NB15-TD、NF-BoT-IoT-TD、NF-ToN-IoT-TD、NF-CSE-CIC-IDS2018-TD和NF-UQ-NIDS-TD.使用CNN-LSTM-Attention模型将他们的性能与各自的原始数据集进行比较.结果表明,使用表征方法构建的数据集,使得工业网络威胁检测精度和模型泛化能力有了很大的提高.

深度学习;数据表征方法;网络入侵检测系统;工业网络安全;数据治理

谢志奇;张玉吉;郑宝山;祁利斌;覃汐赫;时启顺

贵州乌江水电开发有限责任公司,贵州贵阳 550002;南京南自信息技术有限公司,江苏南京210031;北京天地和兴科技有限公司,北京100085

网络空间安全

[1]谢志奇;张玉吉;郑宝山;祁利斌;覃汐赫;时启顺-.一种面向工业网络入侵检测的数据表征方法)[J].网络空间安全,2022(03):11-24

数据表征方法,BoT,ToN,征集组

网络攻击事件,工业互联网,靶标,网络流量,流量数据,一个个,行为特征,数据组织,工业网络安全,安全数据集,DL,安全检测,UNSW,NB15,IoT,CSE,CIC,IDS2018,不可靠,会话,一个通,数据集构建,构建标准,安全入侵检测,入侵检测模型,泛化性,通用数据,TD,UQ,NIDS,Attention,原始数据,网络威胁,威胁检测,检测精度,模型泛化,泛化能力,网络入侵检测系统,数据治理

0.262487