一种基于多新息扩展卡尔曼滤波的入侵检测方法技术

本发明专利技术公开了一种基于多新息扩展卡尔曼滤波的入侵检测方法，包括，获取原始数据集，并对其进行归一化处理；利用Fisher分值和核主成分分析算法提取原始数据集中的数据特征；将归一化处理后的数据集分为测试数据集和训练数据集；基于设置粒子的初始速度和位置建立初始的支持向量机模型，并设定交叉验证规则；通过使用多新息扩展卡尔曼滤波算法对支持向量机模型的惩罚参数和核函数参数进行寻优，并以获取到的最优参数组合建立入侵检测模型；利用测试数据集对经过训练数据集训练的入侵检测模型进行入侵检测；本发明专利技术通过对多个时刻新息的有效利用，解决了粒子群算法的局部最优问题，提高了模型的入侵检测识别率。提高了模型的入侵检测识别率。提高了模型的入侵检测识别率。

【技术实现步骤摘要】
一种基于多新息扩展卡尔曼滤波的入侵检测方法


[0001]本专利技术涉及入侵检测的
，尤其涉及一种基于多新息扩展卡尔曼滤波的入侵检测方法。

技术介绍

[0002]工业控制系统作为基础设施中的重要组成部分，被广泛应用于生产、生活和交通等各个方面。传统的工控系统利用专有的通讯协议和物理设施，确保了与外界网络的隔离，较大程度上保障了系统的物理安全。但由于其在信息化和网络化方面的不断发展，使用了更多开放的通信协议和操作系统，也不可避免的带来了更大的针对工控系统的网络安全问题，由此出现了包括“震网”病毒、“Havex”病毒和乌克兰大面积停电事件。入侵检测技术作为常用的安全防护技术，其通过对控制系统的网络信息特征和数据集进行建模和分析，以此来检测出可疑的攻击行为。
[0003]入侵检测技术作为常用的安全防护技术，其通过对控制系统的网络信息特征和数据集进行建模和分析，以此来检测出可疑的攻击行为。Beaver等利用SCADA系统入侵检测标准数据集，使用支持向量机、决策树和随机森林等算法，主要研讨了数据集中的注入攻击。张腾飞等使用支持向量机建立攻击检测模型，并将该方法应用于SCADA系统中的Modbus协议，实验结果表明其效果良好。尚文利等使用粒子群优化(Particle Swarm Optimization，PSO)算法建立SVM异常检测模型，实验以Modbus TCP通信数据为数据来源，最终实现对Modbus功能码序列的检测。李琳等通过利用主成分分析(Principal Component Analysis，PCA)法和单类支持向量机建立针对Modbus/TCP协议的入侵检测模型。王华忠等利用PCA法和粒子群优化算法建立了基于SVM的入侵检测模型，然而标准的粒子群算法易陷入局部极小问题。上述算法没有将工控系统内网络数据所具有的非线性、高维度和冗余数据多的特点全部考虑在内。除此之外，在建立SVM攻击检测模型的过程中，惩罚常数和核函数参数的选择也将对分类准确率产生很大影响。

技术实现思路

[0004]本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊，而这种简化或省略不能用于限制本专利技术的范围。
[0005]鉴于上述现有存在的问题，提出了本专利技术。
[0006]因此，本专利技术提供了一种基于多新息扩展卡尔曼滤波的入侵检测方法，能够现有入侵检测算法存在的不能结合多个时刻的数据和数据特征冗余问题而造成的检测准确度低和耗时较长的问题。
[0007]为解决上述技术问题，本专利技术提供如下技术方案：包括，将用于工控入侵检测的天然气管道控制系统数据集作为原始数据集，并对所述原始数据集进行归一化处理；利用Fisher分值和核主成分分析算法提取原始数据集中的数据特征；将归一化处理后的数据集
分为测试数据集和训练数据集；基于设置粒子的初始速度和位置建立初始的支持向量机模型，并设定交叉验证规则；通过使用多新息扩展卡尔曼滤波算法对支持向量机模型的惩罚参数C和核函数参数g进行寻优，并以获取到的最优参数组合建立入侵检测模型；利用所述测试数据集对经过训练数据集训练的入侵检测模型进行入侵检测。
[0008]作为本专利技术所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：所述归一化处理包括，将原始数据集的每个数据特征映射到[0,1]。
[0009]作为本专利技术所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：所述提取数据特征包括，计算所有数据特征的类间距离与类内距离的比值F，即所述Fisher分值：
[0010][0011]而后根据比值F的大小对特征进行降序排序，并选取分值最高的前n个特征；其中，S
b
代表不同类别样本间的距离，即所述类间距离；S
w
代表同类样本间的距离，即所述类内距离。
[0012]作为本专利技术所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：还包括，通过所述核主成分分析算法计算经过前n个特征的累计方差贡献率，并设定阈值；对超过阈值的数据特征进行保留，最终得到包含信息量最多的数据特征为所需特征。
[0013]作为本专利技术所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：设置所述粒子的初始速度和位置包括，初始化粒子的初始速度ν、初始位置χ、惯性权重ω、迭代次数k和加速度因子c1、c2、种群数s、最大迭代次数k
′
和粒子群维度d，并初始化滤波参数和设定初始的支持向量机模型为五折交叉验证。
[0014]作为本专利技术所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：还包括，输入训练数据集，根据适应度函数计算初始适应度值，并将所述初始适应度值作为支持向量机模型的初始参数，构建所述支持向量机模型。
[0015]作为本专利技术所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：所述寻优包括，设置交叉验证数并计算支持向量机模型的分类准确率，将分类准确率的返回值作为粒子群的新适应度值，得到个体极值和群体极值；判断是否满足循环终止条件，若满足，循环结束，输出支持向量机模型的最优参数，否则继续更新粒子群的速度和位置；
[0016]作为本专利技术所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：所述循环终止条件包括，迭代次数达到所述最大迭代次数k
′
。
[0017]本专利技术的有益效果：本专利技术通过利用Fisher分值和核主成分分析算法对数据特征进行有效地提取，避免了数据冗余的问题，并通过多新息扩展卡尔曼滤波算法模型获取最优的参数值，通过对多个时刻新息的有效利用，解决了粒子群算法的局部最优问题，提高了模型的入侵检测识别率。
附图说明
[0018]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本
领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：
[0019]图1为本专利技术第一个实施例所述的一种基于多新息扩展卡尔曼滤波的入侵检测方法的流程示意图；
[0020]图2为本专利技术第一个实施例所述的一种基于多新息扩展卡尔曼滤波的入侵检测方法的归一化处理和数据特征提取的流程示意图；
[0021]图3为本专利技术第一个实施例所述的一种基于多新息扩展卡尔曼滤波的入侵检测方法的支持向量机模型参数寻优和入侵检测模型建立的流程示意图。
具体实施方式
[0022]为使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本专利技术的具体实施方式做详细的说明，显然所描述的实施例是本专利技术的一部分实施例，而不是全部实施例。基于本专利技术中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术的保护的范围本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多新息扩展卡尔曼滤波的入侵检测方法，其特征在于：包括，将用于工控入侵检测的天然气管道控制系统数据集作为原始数据集，并对所述原始数据集进行归一化处理；利用Fisher分值和核主成分分析算法提取原始数据集中的数据特征；将归一化处理后的数据集分为测试数据集和训练数据集；基于设置粒子的初始速度和位置建立初始的支持向量机模型，并设定交叉验证规则；通过使用多新息扩展卡尔曼滤波算法对支持向量机模型的惩罚参数C和核函数参数g进行寻优，并以获取到的最优参数组合建立入侵检测模型；利用所述测试数据集对经过训练数据集训练的入侵检测模型进行入侵检测。2.如权利要求1所述的基于多新息扩展卡尔曼滤波的入侵检测方法，其特征在于：所述归一化处理包括，将原始数据集的每个数据特征映射到[0,1]。3.如权利要求1或2所述的基于多新息扩展卡尔曼滤波的入侵检测方法，其特征在于：所述提取数据特征包括，计算所有数据特征的类间距离与类内距离的比值F，即所述Fisher分值：而后根据比值F的大小对特征进行降序排序，并选取分值最高的前n个特征；其中，S
b
代表不同类别样本间的距离，即所述类间距离；S
w
代表同类样本间的距离，即所述类内距离。4.如权利要求3所述的基于多新息扩展卡尔曼滤波的入侵检测方法，其特征在于：还包括，通过所述...

【专利技术属性】
技术研发人员：王勇，王敏，王威，
申请(专利权)人：上海云剑信息技术有限公司，
类型：发明
国别省市：