一种基于自动机器学习的工控网络入侵检测模型构建方法技术

本发明专利技术公开了一种基于自动机器学习的工控网络入侵检测模型构建方法，包括如下步骤：S1：构建自动机器学习框架；S2：将获取的工控网络入侵检测数据进行数据清洗处理，导入自动机器学习框架；S3：将目标工控网络数据输入至自动机器学习框架后，进行自动化特征工程处理；S4：自动地遍历分类机器学习模型，运用遗传编程的方法对每个机器学习模型进行超参的迭代优化；S5：选择训练模型进行遗传编程的自动超参优化，并进行交叉验证；S6：利用测试集进行验证，筛选出最优的入侵检测模型，并进行保存；S7：加载/部署构建完成的入侵检测模型，本发明专利技术能够有效提升工控入侵检测模型的效果，大大缩短模型构建的时间。短模型构建的时间。短模型构建的时间。

【技术实现步骤摘要】
一种基于自动机器学习的工控网络入侵检测模型构建方法


[0001]本专利技术涉及工控网络入侵检测
，尤其涉及一种基于自动机器学习的工控网络入侵检测模型构建方法。

技术介绍

[0002]工业控制系统在不断地引入互联网技术，也逐渐向智能化，工业互联网化转型。自主机器人、大数据、物联网、增强现实都得到了大力的发展，在电力、石油甚至是核能源都部署有大量的工控系统和工控网络。但是这些工控系统在部署之初主要是为了实现其功能性和应用性，忽略了工业控制的安全性。如今，工控系统作为高价值的攻击对象，相应的攻击行为也越来越多，因此对于工控安全的研究保护也同样变得极为重要。
[0003]目前，将人工智能技术应用于入侵检测模型构建的方法，主要是科研人员经验性选择模型以及超参优化，而这个过程要消耗大量的时间与精力，费时费力，而且由于不同的科研人员的认知程度不同，构建的模型效果也会存在较大差异，不够精确。因此，急需开发一种基于自动机器学习的工控网络入侵检测模型构建方法以解决上述技术问题。
[0004]有鉴于此，特提出本专利技术。

技术实现思路

[0005]本专利技术的目的是提供一种基于自动机器学习的工控网络入侵检测模型构建方法，能够有效提升工控入侵检测模型的效果，大大缩短模型构建的时间，可以节约时间让科研人员去钻研更有意义的方向，具有广阔的应用前景，有利于推广应用。
[0006]为了实现上述目的，本专利技术提供的一种基于自动机器学习的工控网络入侵检测模型构建方法，包括如下步骤：
[0007]S1：构建自动机器学习框架；
[0008]S2：将获取的工控网络入侵检测数据进行数据清洗处理，导入自动机器学习框架；
[0009]S3：将目标工控网络数据输入至自动机器学习框架后，进行自动化特征工程处理，主要包括特征预处理、特征分解以及特征选择；
[0010]S4：自动地遍历分类机器学习模型，运用遗传编程的方法对每个机器学习模型进行超参的迭代优化；
[0011]S5：选择训练模型进行遗传编程的自动超参优化，并进行交叉验证，直至达到预设的迭代次数或者达到交叉验证预设的入侵检测标准；
[0012]S6：利用测试集进行验证，筛选出最优的入侵检测模型，并进行保存；
[0013]S7：加载/部署构建完成的入侵检测模型。
[0014]所述S1中，具体包括如下步骤：
[0015]S101：构建自动机器学习框架，包括常见的十余种分类机器学习算法在内的数十种机器学习算法和遗传编程的参数优化方法，如随机森林、决策树、梯度提升、Ridge分类、K
‑
近邻、线性判别分析、逻辑回归、AdaBoost、LightGBM和朴素贝叶斯；
[0016]S102：运用遗传编程的方法使其能够对各个分类机器学习算法的参数进行自动优化。
[0017]所述S2中，具体包括如下步骤：
[0018]S201：对工控网络入侵检测数据进行数据清洗主要包括，对缺失值、异常值进行去除、补全或修改，该步骤需手动判断后进行操作；
[0019]S202：将清洗后的数据集划分为训练集和测试集，将训练集导入到自动机器学习框架中。
[0020]所述S3中，具体包括如下步骤：
[0021]S301：特征预处理包括标准缩放、多项式特征、二值化、Min
‑
Max缩放器、最大绝对值缩放器；
[0022]S302：特征分解主要是采用主成分分析法来进行降维处理；
[0023]S303：特征选择包括特征选择、Top
‑
K最佳特征选择、方差阈值选择策略。
[0024]所述S4中，具体包括如下步骤：
[0025]S401：自动机器学习框架中机器学习方法包括KNN、逻辑回归、支持向量机、决策树、随机森林、XGBoost、GBDT；
[0026]S402：使用自动机器学习框架中所有的机器学习方法及其默认参数初步构建入侵检测模型。
[0027]所述S5中，具体包括如下步骤：
[0028]S501：对每个初步构建的模型中每一个参数以概率pm进行随机改变，即进行参数的变异操作；然后对进行过变异操作的模型以概率pc进行参数交叉操作，最后利用交叉验证，检测模型的预测效果；
[0029]S502：使用自动化的方式遍历与迭代步骤S401的操作，进行参数的不断优化，直到达到预设的入侵检测标准或者到达预测的迭代次数，并保留每个机器学习方法中效果最好的模型。
[0030]所述S6中，选择排名前10的入侵检测模型，利用测试集对这10个模型进行入侵检测效果对比，选择入侵检测标准中最高标准占据最多且迭代优化参数时间最短的模型，即为最优的入侵检测模型。
[0031]所述S7中，将自动机器学习构建完成的工控网络入侵检测模型部署在相应的工控网络防护设备上，用于检测访问行为。
[0032]本专利技术提供的一种基于自动机器学习的工控网络入侵检测模型构建方法，具有如下有益效果。
[0033]本专利技术通过自动化构建工控入侵检测模型，能够显著地降低基于人工智能技术的入侵检测模型构建门槛，同时免除了人工智能安全专家进行多次手动迭代以及试错才能构建优良的工控入侵检测模型的情况，节省了大量时间。另外，由于本专利技术使用自动机器学习的方法，因此可根据攻击数据的变化，及时地构建更为精准的入侵检测模型。
附图说明
[0034]图1为本专利技术实施例中自动机器学习构建的工控网络入侵检测模型的步骤流程图；
[0035]图2为本专利技术实施例中工控网络入侵检测模型自动化构建的工作流程图；
[0036]图3为本专利技术实施例中工控网络入侵检测模型构建中超参选择的自动化流程图；
[0037]图4为本专利技术实施例中自动机器学习构建工控网络入侵检测模型数据集中特征重要性排名前10的特征；
[0038]图5为本专利技术实施例中自动机器学习构建的最优模型随机森林的交叉验证曲线；
[0039]图6为本专利技术实施例中自动机器学习构建的工控网络入侵检测模型中对于随机森林模型评估指标的柱状图。
具体实施方式
[0040]下面结合具体实施例和附图对本专利技术做进一步说明，以助于理解本专利技术的内容。
[0041]如图1所示，为本专利技术实施例中自动机器学习构建的工控网络入侵检测模型的步骤流程图。该基于自动机器学习的工控网络入侵检测模型构建方法，包括如下步骤：
[0042]S1：构建自动机器学习框架；
[0043]S2：将获取的工控网络入侵检测数据进行数据清洗处理，导入自动机器学习框架；
[0044]S3：将目标工控网络数据输入至自动机器学习框架后，进行自动化特征工程处理，主要包括特征预处理、特征分解以及特征选择；
[0045]S4：自动地遍历分类机器学习模型，运用遗传编程的方法对每个机器学习模型进行超参的迭代优化；
[0046]S5：选择训练模型进行遗传编程的自动超参优化，并进行交叉验证，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于自动机器学习的工控网络入侵检测模型构建方法，其特征在于，包括如下步骤：S1：构建自动机器学习框架；S2：将获取的工控网络入侵检测数据进行数据清洗处理，导入自动机器学习框架；S3：将目标工控网络数据输入至自动机器学习框架后，进行自动化特征工程处理，主要包括特征预处理、特征分解以及特征选择；S4：自动地遍历分类机器学习模型，运用遗传编程的方法对每个机器学习模型进行超参的迭代优化；S5：选择训练模型进行遗传编程的自动超参优化，并进行交叉验证，直至达到预设的迭代次数或者达到交叉验证预设的入侵检测标准；S6：利用测试集进行验证，筛选出最优的入侵检测模型，并进行保存；S7：加载/部署构建完成的入侵检测模型。2.根据权利要求1所述的一种基于自动机器学习的工控网络入侵检测模型构建方法，其特征在于，所述S1中，具体包括如下步骤：S101：构建自动机器学习框架，包括常见的十余种分类机器学习算法在内的数十种机器学习算法和遗传编程的参数优化方法，如随机森林、决策树、梯度提升、Ridge分类、K
‑
近邻、线性判别分析、逻辑回归、AdaBoost、LightGBM和朴素贝叶斯；S102：运用遗传编程的方法使其能够对各个分类机器学习算法的参数进行自动优化。3.根据权利要求1所述的一种基于自动机器学习的工控网络入侵检测模型构建方法，其特征在于，所述S2中，具体包括如下步骤：S201：对工控网络入侵检测数据进行数据清洗主要包括，对缺失值、异常值进行去除、补全或修改，该步骤需手动判断后进行操作；S202：将清洗后的数据集划分为训练集和测试集，将训练集导入到自动机器学习框架中。4.根据权利要求1所述的一种基于自动机器学习的工控网络入侵检测模型构建方法，其特征在于，所述S3中，具体包括如下步骤：S301：特征预...

【专利技术属性】
技术研发人员：杨瑞君，何立君，胡雪琦，
申请(专利权)人：上海应用技术大学，
类型：发明
国别省市：