一种基于高斯过程的工业互联网入侵检测方法技术

本发明专利技术公开了一种基于高斯过程的工业互联网入侵检测方法，包括：利用拉普拉斯特征映射算法对选取的特征进行降维，采用融合柯西变异算子的灰狼优化算法选取最优超参数，通过高斯过程检测异常流量，工控流量包含三类重要特征：基于时间序列、数据包头和数据内容信息。本发明专利技术提出了一种新的工业互联网入侵检测方法，可以提前发现工业互联网中的入侵行为，进行防御以阻止设备被攻击破坏。御以阻止设备被攻击破坏。御以阻止设备被攻击破坏。

【技术实现步骤摘要】
一种基于高斯过程的工业互联网入侵检测方法


[0001]本专利技术属于工业互联网入侵检测
，涉及高斯过程方法，具体为一种基于CGWO优化的可以识别出异常流量的方法。

技术介绍

[0002]目前，入侵检测模型可分为误用检测模型和异常检测模型(Zhu B,Sastry S.SCADA
‑
specific intrusion detection/prevention systems；a survey and taxonomy,Proc of the 1st Workshop on Secure Control Systems.2010)。误用检测模型通过与已知的异常行为间的匹配程度实现入侵检测。该检测模型误报率低，但漏报率高。对于已知的攻击，该方法能详细、准确地报告出攻击类型，但对未知攻击却效果有限，而且特征库需不断更新。异常检测模型通过与正常行为间的匹配程度实现入侵检测。由于无须对每种入侵行为进行预定义，能有效检测未知的入侵行为。工业控制系统的异常检测技术可以分为三类(Garcia
‑
Teodoro P,Diaz
‑
Verdejo J,Macia
‑
Fernandez G,et al.Anomaly
‑
based network intrusion detection:techniques,systems and challenges.Computers&Security,2009)：基于统计的方法、基于知识的方法和基于机器学习的方法。基于统计的方法包括单变量或多变量模型和时间序列模型等。基于知识的方法包括有限状态机、状态描述语言方法和规则推理等。基于机器学习的方法又可以分为贝叶斯网络、人工神经网络、模糊逻辑、遗传算法、支持向量机等方法。
[0003]MIKPSO
‑
SVM(陈冬青,张普含,王华忠.基于MIKPSO
‑
SVM方法的工业控制系统入侵检测[J].清华大学学报:自然科学版,2018)算法是陈冬青等人融合了多新息理论，着眼于KPSO算法对粒子位置信息进行预测时仅使用单个新息的局限性，提出了改进的MIKPSO算法，提升了算法的优化精度和全局优化性能。ALO
‑
SVM(陈卓,单欣欣.一种基于ALO
‑
SVM算法的入侵检测方法[J].现代电子技术,2020)算法是陈卓等人提出一种在PCA降维的基础上，基于蚁狮优化算法(The Ant Lion Optimizer，ALO)和支持向量机(Support Vector Machine，SVM)相结合的入侵检测方法，该算法的检测速度有显著提高。

技术实现思路

[0004]本专利技术目的在于克服现有技术中存在的问题，提出一种基于CGWO的能够优化高斯过程的工业互联网入侵检测方法，该方法特别适用于Modbus/TCP协议。
[0005]概括地说，本专利技术方法通过引入拉普拉斯特征映射的方法，利用微分几何中的Laplacian
‑
Beltrami算子获得相应的空间嵌入函数表示，以完成高维数据到低维空间的投影，实现数据降维；然后，通过引入基于柯西变异算子的灰狼优化算法不断优化超参数的取值；最后通过高斯过程实现工业互联网入侵系统的检测，从而提前发现入侵行为，并进行防御以阻止设备被攻击破坏。
[0006]为了实现本专利技术的目的，采用的技术方案如下：
[0007]一种基于高斯过程的工业互联网入侵检测方法，包括以下步骤：
[0008](1)、在工业互联网中部署监控流量的节点，不间断获取工控流量数据；
[0009](2)、将流量的特征分为三类：基于时间序列、数据报头、数据内容；按照类别分别选出具有代表性的特征；
[0010](3)、采用拉普拉斯特征映射算法对步骤(2)选取的特征进行降维处理；
[0011](4)、采用灰狼优化算法选取最优参数；
[0012](5)、采用柯西变异算子以提高灰狼算法的全局搜索能力，加大寻优范围，获取最优超参数；
[0013](6)、根据步骤(5)获取的最优超参数，采用高斯过程进行预测，根据检测结果，指导工业互联网安全防护升级，尤其对于入侵严重的节点进行加固和改造。
[0014]本专利技术方法根据无法通过流量直接准确识别出设备是否被攻击，同时普通机器学习易陷入局部最优，分析效果较差，而且难以准确识别实际情况，引入了灰狼优化算法，通过借鉴灰狼种群的捕食机制和等级制度，不断优化选择的参数，最后通过高斯过程分步骤识别出工业互联网是否被入侵。
[0015]其中步骤(3)，工控系统数据特征经过选择后依然是高维数据集，采用拉普拉斯特征映射进行降维(Laplacian Eigenmaps，LE)，利用微分几何中的Laplacian
‑
Beltrami算子获得相应的空间嵌入函数表示，以完成高维数据到低维空间的投影。降维过程如下：
[0016]首先是构建加权无向图G：给定高维数据集合X＝{x1,x2,...,x
n
}，采用K近邻方法构造无向图G，令N
k
(x
i
)表示样本x
i
的K近邻集，则K近邻公式如式(1)：
[0017]N
k
(x
i
)＝{x
j
∈X|||x
i
‑
x
j
||2≤d
k
(x
i
)}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
[0018]其中，N
k
(x
i
)表示样本x
i
的k近邻集，d
k
(x
i
)表示样本x
i
的第k距离。
[0019]其次是确定边的权重w：对于权重的确定采用0
‑
1权值方法，如式(2)所示：
[0020][0021]其中，N
k
(x
j
)表示样本x
j
的k近邻集，N
k
(x
i
)表示样本x
i
的k近邻集。
[0022]最后是计算样本点的低维嵌入坐标：计算拉普拉斯矩阵的特征值及特征向量，设高维数据集合X的低维嵌入映射为Y＝{y1,y2,
…
,y
n
}，LE目标是使得构造过程中损失函数最小，如式(3)所示：
[0023][0024]损失函数最小保证了高维中的邻近数据点在低维中也邻近，对拉普拉斯无向图进行广义特征值分解，如果高维数据集降至m维空间，则降维后的映射结果Y由最小的m个非零特征值对应的向量组成，则任一样本x
i
∈X对应的低维坐标表示为y
i
＝{y1,y2,
…
,y
m
}。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于高斯过程的工业互联网入侵检测方法，其特征在于：包括以下步骤：(1)、在工业互联网中部署监控流量的节点，不间断获取工控流量数据；(2)、将流量的特征分为三类：基于时间序列、数据包头、数据内容；按照类别选出具有代表性的特征；(3)、采用拉普拉斯特征映射算法对步骤(2)选取的特征进行降维处理；(4)、采用灰狼优化算法选取最优参数；(5)、采用柯西变异算子以提高灰狼算法的全局搜索能力，加大寻优范围，获取最优超参数；(6)、根据步骤(5)获取的最优超参数，采用高斯过程进行预测，根据检测结果，指导工业互联网安全防护升级，尤其对于入侵严重的节点进行加固和改造。2.根据权利要求1所述的一种基于高斯过程的工业互联网入侵检测方法，其特征在于：步骤(3)中，降维过程如下：首先是构建加权无向图G：给定高维数据集合X＝{x1,x2,...,x
n
}，采用K近邻方法构造无向图G，令N
k
(x
i
)表示样本x
i
的K近邻集，则K近邻公式如式(1)：N
k
(x
i
)＝{x
j
∈X|||x
i
‑
x
j
||2≤d
k
(x
i
)}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)其中，N
k
(x
i
)表示样本x
i
的k近邻集，d
k
(x
i
)表示样本x
i
的第k距离；其次是确定边的权重w：对于权重的确定采用0
‑
1权值方法，如式(2)所示：其中，N
k
(x
j
)表示样本x
j
的k近邻集，N
k
(x
i
)表示样本x
i
的k近邻集；最后是计算样本点的低维嵌入坐标：计算拉普拉斯矩阵的特征值及特征向量，设高维数据集合X的低维嵌入映射为Y＝{y1,y2,
…
,y
n
}，LE目标是使得构造过程中损失函数最小，如式(3)所示：损失函数最小保证了高维中的邻近数据点在低维中也邻近，对拉普拉斯无向图进行广义特征值分解，如果高维数据集降至m维空间，则降维后的映射结果Y由最小的m个非零特征值对应的向量组成，则任一样本x
i
∈X对应的低维坐标表示为y
i
＝{y1,y2,
…
,y
m
}。3.根据权利要求1所述的一种基于高斯过程的工业互联网入侵检测方法，其特征在于：步骤(4)中，灰狼优化算法借鉴了灰狼种群的捕食机制和等级制度，第一层是头狼，称为α，负责领导整个群体，对捕猎行为、栖息地具有决定权；第二层被称为β，协助头狼做出决策，是头狼最好的接替者；第三层称为δ，负责放哨、侦察任务；最后一层为ω，主要负责种群内部的平衡；在狩猎过程中首先需要对猎物进行包围，则灰狼与猎物之间的距离如式(4)所示：D
p
＝μ
·<...

【专利技术属性】
技术研发人员：白宏钢，赵欣，
申请(专利权)人：码客工场工业科技北京有限公司，
类型：发明
国别省市：