一种基于对抗性域适应的工控入侵检测系统构建方法技术方案

本发明专利技术属于工控入侵检测技术领域，具体是一种基于对抗性域适应的工控入侵检测系统构建方法。包括以下步骤，S100～在两个不同的工业控制通讯网络中抓取流量数据，并对流量数据的类型进行标签，将其中一个工控网络中的流量数据作为源域数据，另一个作为目标域数据；S200～对标签后的流量数据进行数值化预处理；S300～对预处理后的流量数据构造同构特征空间；S400～构建多视图特征提取器，提取源域数据和目标域数据的特征向量；S500～在特征向量中引入注意力机制模型；S600～量化标签预测器损失函数；S700～针对抓取的流量数据标签设计多个域判别器；S800～量化整个对抗性域适应网络的损失函数，完成模型训练。完成模型训练。完成模型训练。

【技术实现步骤摘要】
一种基于对抗性域适应的工控入侵检测系统构建方法


[0001]本专利技术属于工控入侵检测
，具体是一种基于对抗性域适应的工控入侵检测系统构建方法。

技术介绍

[0002]在工控系统中，入侵检测技术能够通过对系统通信行为的实时监视、分析，检测出异常的攻击行为，并在攻击行为产生危害之前进行拦截、报警、系统恢复等操作。机器学习以及深度网络模型在特征提取及拟合上的优势使入侵检测系统的检测效率得到了改进，这类算法使模型在带有标签的流量训练数据集上进行学习，训练后的模型用于预测未来样本的标签，即识别出正常流量和异常流量。早期，Beaver等人就评估了一些有监督机器学习方法在天然气管道入侵检测系统的可行性以及检测能力（Beaver J M, Borges
‑
Hink R C, Buckner M A. An Evaluation of Machine Learning Methods to Detect Malicious SCADA Communications, Proc. of IEEE ICMLA, 2014）。之后，Hou等人采用模型层次更深的门控循环单元（GRU）构建入侵检测系统，并获得了更低的误报率以及更好的实时性（Hou J, Liu F, Zhuang X. A New Intrusion Detection Model Based on GRU and Salient Feature Approach.2019）。然而，上述有监督学习算法的模型训练需要大量标签化的数据的支撑，这样的数据往往处于不同的网络层，并具有不同的数据分布和标签类型，对这些数据重新抓取、标签化以及模型的重新训练、部署都需要花费昂贵的代价。为了解决这一问题，迁移学习算法被引入工控入侵检测系统的构建中，主要包括Fine
‑
tune和对抗性域适应两种方法。其中，Fine
‑
tune指的是在带有标签的源域数据中进行模型的预训练，然后将预训练模型置于不带标签的目标域中进行微调。Singla等人使用Fine
‑
tune方法将网络流量包中一种攻击流量数据以及部分正常流量数据作为目标域数据，其余数据作为源域数据（Singla A,Bertino E,Verma D. Overcoming the Lack of Labeled Data: Training Intrusion Detection Models Using Transfer Learning, Proc. of IEEE SMARTCOMP, 2019），然而，Fine
‑
tune的效果与源域数据的数量以及源域和目标域数据的相似度紧密相关，应用场景十分受限。域适应是迁移学习的一个分支，目的是将源域和目标域通过特征提取器映射到同一个特征空间，对抗域适应在此基础上，将提取到的特征输入到标签预测器和域判别器中，通过对抗性训练使标签预测器在能够正确预测出源域数据类别的同时，域判别器无法识别域信息。Zhang等人利用对抗性域适应方法训练了一个健壮的入侵检测系统在智能电网中检测恶意攻击（Zhang Y, Yan J. Domain
‑
Adversarial Transfer Learning for Robust Intrusion Detection in the Smart Grid, Proc. IEEE SmartGridComm, 2019）。类似地，Singla等人利用对抗性域适应在目标域数据集中标记样本非常小的情况下构建了高精度的入侵检测系统（Singla A, BertinoE, Verma D. Preparing network intrusion detection deep learning models with minimal data using adversarial domain adaptation, Proc. ACM ASIACCS, 2020）。然而，他们的设置过于理想化，忽略了跨域数据分布的多模式结构，并且他们的方法针对流量数据的作用非
常有限。

技术实现思路

[0003]本专利技术为了解决上述问题，提供一种基于对抗性域适应的工控入侵检测系统构建方法。
[0004]本专利技术采取以下技术方案：一种基于对抗性域适应的工控入侵检测系统构建方法，包括以下步骤，S100～在两个不同的工业控制通讯网络中抓取流量数据，并对流量数据的类型进行标签，将其中一个工控网络中的流量数据作为源域数据，另一个作为目标域数据；S200～对标签后的流量数据进行数值化预处理；S300～对预处理后的流量数据构造同构特征空间；S400～构建多视图特征提取器，提取源域数据和目标域数据的特征向量；S500～在特征向量中引入注意力机制模型；S600～量化标签预测器损失函数；S700～针对抓取的流量数据标签设计多个域判别器；S800～量化整个对抗性域适应网络的损失函数，完成模型训练。
[0005]步骤S100的具体过程为，选择两个不同的工业控制通讯网络，抓取其SCADA网络层流量数据，分析流量数据的属性值、数据特征以及攻击类型，然后对流量数据进行标签化，其中包括K
‑
1种攻击类型以及1种正常流量，流量数据的标签数量为K。
[0006]步骤S200包括以下步骤，S201～数据清洗，包括对数据进行去重，更正数据中的错误标签，如果数据中有属性值缺失的情况，就填充，否则就不做处理；S202～数值化处理，采用独热编码将属性值中的字符型的数据数值化处理，使用Label
‑
Encoding对标签进行数值化处理；S203～标准化处理，数值化后的数据集中的属性值为离散和连续数值混合，将不同规格的数据转换到同一规格下，标准化公式为，其中，是经过标准化处理后的属性值，x为标准化处理前的属性值，为属性值的均值，为属性值的标准差。
[0007]步骤S300采用自编码器对预处理后的流量数据进行降维，构造同构特征空间，分别将预处理后的源域数据和目标域数据输入编码器，经过解码器解码输出相同维度的源域数据和目标域数据。自编码器包括编码器和解码器，假设输入为F维的数据，即，编码器就是学习函数，完成对输入数据的编码，解码器就是学习函数，对编码的特征进行解码重构出输入特征，在自编码器的训练过程中，控制控制输入特征和重构的输入特征的误差最小。
[0008]步骤S400将特征提取器构建为CNN
‑
BiLSTM网络结构，利用CNN来进行特征提取并用BiLSTM来聚合不同视图的信息，具体过程为：S401～将S300处理后的源域数据和目标域数据输入全连接层，将全连接层输出渲染到V个不同的视图，这些视图都将被视为序列，并使用CNN从不同视图中提取特征；S402～CNN从不同视图中提取的特征传递给BiLSTM，BiLSTM来聚合这些特征，再向后传递给全连接层；S403～利用全连接层对来特征进行求和，即为所提取的特征向量。
[0009]步骤S500中的注意力机制模型为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于对抗性域适应的工控入侵检测系统构建方法，其特征在于：包括以下步骤，S100～在两个不同的工业控制通讯网络中抓取流量数据，并对流量数据的类型进行标签，将其中一个工控网络中的流量数据作为源域数据，另一个作为目标域数据；S200～对标签后的流量数据进行数值化预处理；S300～对预处理后的流量数据构造同构特征空间；S400～构建多视图特征提取器，提取源域数据和目标域数据的特征向量；S500～在特征向量中引入注意力机制模型；S600～量化标签预测器损失函数；S700～针对抓取的流量数据标签设计多个域判别器；S800～量化整个对抗性域适应网络的损失函数，完成模型训练。2.根据权利要求1所述的基于对抗性域适应的工控入侵检测系统构建方法，其特征在于：所述的步骤S100的具体过程为，选择两个不同的工业控制通讯网络，抓取其SCADA网络层流量数据，分析流量数据的属性值、数据特征以及攻击类型，然后对流量数据进行标签化，其中包括K
‑
1种攻击类型以及1种正常流量，流量数据的标签数量为K。3.根据权利要求1所述的基于对抗性域适应的工控入侵检测系统构建方法，其特征在于：所述的步骤S200包括以下步骤，S201～数据清洗，包括对数据进行去重，更正数据中的错误标签，如果数据中有属性值缺失的情况，就填充，否则就不做处理；S202～数值化处理，采用独热编码将属性值中的字符型的数据数值化处理，使用Label
‑
Encoding对标签进行数值化处理；S203～标准化处理，数值化后的数据集中的属性值为离散和连续数值混合，将不同规格的数据转换到同一规格下，标准化公式为，其中，是经过标准化处理后的属性值，x为标准化处理前的属性值，为属性值的均值，为属性值的标准差。4.根据权利要求1或3所述的基于对抗性域适应的工控入侵检测系统构建方法，其特征在于：所述的步骤S300采用自编码器对预处理后的流量数据进行降维，构造同构特征空间，分别将预处理后的源域数据和目标域数据输入编码器，经过解码器解码输出相同维度的源域数据和目标域数据。5.根据权利要求4所述的基于对抗性域适应的工控入侵检测系统构建方法，其特征在于：所述的步骤S400将特征提取器构建为CNN
‑
BiLSTM网络结构，利用CNN来进行特征提取并用BiLSTM来...

【专利技术属性】
技术研发人员：于丹，苏思达，郝晓燕，马垚，陈永乐，
申请(专利权)人：太原理工大学，
类型：发明
国别省市：