一种基于开集识别的工控网络未知攻击检测方法技术

本发明专利技术公开了一种基于开集识别的工控网络未知攻击检测方法，包括以下步骤：S1：对要训练的模型的结构以及超参数进行初始化；S2：设计类距离损失函数，结合交叉熵损失函数建立联合损失函数；S3：预训练模型，迭代中更新每个类的激活向量中心和网络参数；S4：在预训练模型上计算激活向量，使用正确分类的样本拟合We i bu l l分布；S5：调整已知类的激活向量，计算未知攻击的激活向量，输出测试样本属于已知类和未知攻击的概率。本方法充分挖掘攻击具有区分性和泛化性的特征，提高未知攻击的检测率，在工业控制网络存在未知攻击时，能够在正确分类已知类型样本的同时识别未知攻击，大大提高了网络安全。网络安全。网络安全。

【技术实现步骤摘要】
一种基于开集识别的工控网络未知攻击检测方法


[0001]本专利技术属于人工智能、信息安全
，尤其涉及对工业控制系统存在网络攻击威胁的
，主要涉及了一种基于开集识别的工控网络未知攻击检测方法。

技术介绍

[0002]工业控制系统指用于操作、控制自动化工业生产过程的设备、系统、网络以及控制器的集合，通常应用于电力、污水处理、油气输送、化工和交通等工业领域。随着信息化与工业化深度融合以及物联网的快速发展，工业控制系统开放的同时没有提高相应安全边界控制，导致面临严重的网络攻击威胁。
[0003]入侵检测技术通过分析从网络节点收集的信息来检测是否存在违反安全策略的行为以及网络攻击的迹象。区分正常流量和入侵行为，可以看作分类问题。由于机器学习和深度学习在分类问题上的优良性能，研究人员探索了其在入侵检测领域的应用，并证明了有效性。
[0004]大多数机器学习和深度学习算法以封闭集假设为前提，该假设指在测试阶段中的所有类都存在于训练数据中。然而，真实工控网络环境中的入侵检测并不是一个封闭式问题，面对不断增加的攻击类型，传统的基于机器学习的入侵检测算法也暴露出不足之处，它们通常在已知的攻击样本上进行训练，在训练集上已知的攻击类型上可以获得较高的检测率，但是很难检测出未知类型的攻击。

技术实现思路

[0005]本专利技术正是针对现有技术中工控网络环境对于未知类型攻击很难检测出来的问题，提供一种基于开集识别的工控网络未知攻击检测方法，包括以下步骤：S1：对要训练的模型的结构以及超参数进行初始化；S2：设计类距离损失函数，结合交叉熵损失函数建立联合损失函数；S3：预训练模型，迭代中更新每个类的激活向量中心和网络参数；S4：在预训练模型上计算激活向量，使用正确分类的样本拟合Weibull分布；S5：调整已知类的激活向量，计算未知攻击的激活向量，输出测试样本属于已知类和未知攻击的概率。本方法充分挖掘特征具有区分性和泛化性的特征，提高未知攻击的检测率，在工业控制网络存在未知攻击时，能够在正确分类已知类型样本的同时识别未知攻击，大大提高了网络安全。
[0006]为了实现上述目的，本专利技术采取的技术方案是：一种基于开集识别的工控网络未知攻击检测方法，包括以下步骤：
[0007]S1，数据初始化：使用深度神经网络作为训练模型，确定神经网络隐藏层节点数及层数，并对优化算法及超参数值进行初始化；
[0008]S2，建立联合损失函数L：设计类距离损失函数L
CD
，结合交叉熵损失函数L
CE
建立联合损失函数，所述联合损失函数的计算方法为：
[0009]L＝L
CE
+λL
CD
[0010]其中，超参数λ用于控制损失两个函数之间的关系；
[0011]S3，预训练模型：训练模型迭代中更新每个类的激活向量中心和网络参数，获得高精度的预训练模型；
[0012]S4，拟合Weibull分布：经过步骤S3迭代更新后的高精度预训练模型，在预训练模型上计算激活向量，使用正确分类的样本拟合Weibull分布；
[0013]S5，输出测试概率：在拟合Weibull分布的基础上，对已知类的激活向量进行校正并计算未知类的激活向量，输出测试样本属于已知类和未知攻击的概率。
[0014]与现有技术相比，本专利技术具有的有益效果：
[0015](1)本专利技术基于开集识别的未知攻击检测算法，通过校准各类激活向量，增加输入来自未知类的概率计算方式，同时保留对已知正常流量和已知攻击样本的判别能力，解决了当前无监督方法不能对已知攻击进行细粒度分类的问题，弥补了闭集无法检测未知攻击的缺陷。
[0016](2)本专利技术方法在训练阶段，联合类间距损失函数与交叉熵损失函数进行反向传播，能够学习具有足够区分性和泛化性的特征，提高了未知攻击的检测效果。
附图说明
[0017]图1为本专利技术检测方法的步骤流程图。
具体实施方式
[0018]下面结合附图和具体实施方式，进一步阐明本专利技术，应理解下述具体实施方式仅用于说明本专利技术而不用于限制本专利技术的范围。
[0019]实施例1
[0020]一种基于开集识别的工控网络未知攻击检测方法，如图1所示，包括以下步骤：
[0021]S1，数据初始化：使用深度神经网络作为训练模型，确定神经网络隐藏层节点数及层数，并对优化算法及超参数值进行初始化；
[0022]本实施例中，深度神经网络使用4层网络结构，包括输入层、输出层和节点数分别为32和16的两个隐含层。学习率设置为0.005，批次大小设置为256，尾部尺寸为500，需要调整的已知类数量α设置为2，调节类中心变化率的参数β设置为0.005，联合损失函数中控制类距离损失函数的比例参数λ设置为0.01。
[0023]S2，建立联合损失函数L：
[0024]首先，进行类距离损失函数(Cluster Distance Loss Function,CD loss)的设计，CD loss的前半部分考虑类内距离，要求同一类中的样本应尽量接近，这相当于最小化每一类样本和和该类中心的距离；后半部分考虑类间距离，要求不同类之间的样本应相距较远，这相当于最大化不同类中心之间的距离。所述类距离损失函数的具体计算方法为：
[0025][0026]其中，M为一个批次的样本数量；N为已知类的数量；v
i
为样本i的激活向量；为y
i
类别的激活向量中心；C
m
和C
n
分别为第m类和第n类的激活向量中心；
[0027]因为本方法使用深度神经网络作为训练模型，深度神经网络进行多分类任务时，
通常使用交叉熵损失函数(Cross Entropy Loss Function,CE loss)衡量误差：
[0028][0029]其中，M为一个批次的样本数量；N为已知类的数量；p
ij
是第i个样本属于第j类的概率；当y
i
＝＝j时，函数值为1，CE loss才有梯度回传，梯度值的大小正比于网络预测值与真值之差。
[0030]联合损失函数由CE loss和CD loss组合而成，超参数λ用于控制损失两个函数之间的关系：
[0031]L＝L
CE
+λL
CD
[0032]S3，预训练模型：训练模型迭代中更新每个类的激活向量中心和网络参数，获得高精度的预训练模型，所述步骤进一步包括：
[0033]S31，划分数据集：
[0034]使用天然气管道数据集构建未知攻击检测数据集，按7：3的比例分割已知数据，其中70％作为训练集，其余30％作为测试集；
[0035]S32,在训练集上计算大小为M批次的反向传播误差:
[0036][0037]其中，t为当前迭代次数；x
i
为第i个样本；λ为控制两个损失函数的超参数；
[0038]S本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于开集识别的工控网络未知攻击检测方法，其特征在于，包括以下步骤：S1，数据初始化：使用深度神经网络作为训练模型，确定神经网络隐藏层节点数及层数，并对优化算法及超参数值进行初始化；S2，建立联合损失函数L：设计类距离损失函数L
CD
，结合交叉熵损失函数L
CE
建立联合损失函数，所述联合损失函数的计算方法为：L＝L
CE
+λL
CD
其中，超参数λ用于控制损失两个函数之间的关系；S3，预训练模型：训练模型迭代中更新每个类的激活向量中心和网络参数，获得高精度的预训练模型；S4，拟合Weibull分布：经过步骤S3迭代更新后的高精度预训练模型，在预训练模型上计算激活向量，使用正确分类的样本拟合Weibull分布；S5，输出测试概率：在拟合Weibull分布的基础上，对已知类的激活向量进行校正并计算未知类的激活向量，输出测试样本属于已知类和未知攻击的概率。2.如权利要求1所述的一种基于开集识别的工控网络未知攻击检测方法，其特征在于：所述步骤S1中的超参数至少包括学习率、批次大小、尾部尺寸、需要调整的已知类数量α、调节类中心变化率的参数β及联合损失函数中控制类距离损失函数的比例参数λ。3.如权利要求2所述的一种基于开集识别的工控网络未知攻击检测方法，其特征在于：所述步骤S2中，类距离损失函数L
CD
为：其中，M为一个批次的样本数量；N为已知类的数量；v
i
为样本i的激活向量；为y
i
类别的激活向量中心；C
m
和C
n
分别为第m类和第n类的激活向量中心；所述交叉熵损失函数L
CE
为：其中，p
ij
是第i个样本属于第j类的概率；当y
i
＝＝j时，函数值为1。4.如权利要求3所述一种基于开集识别的工控网络未知攻击检测方法，其特征在于：所述步骤S3进一步包括：S31：划分数据集：构建未知攻击检测数据集，按比例将已知数据划分为训练集和测试集；S32：计算大小为M批次的反向传播误差:其中，t为当前迭代次数；x
i
为第i个样本；λ为控制两个损失函数的超参数；S33：基...

【专利技术属性】
技术研发人员：曹向辉，石鹏，
申请(专利权)人：东南大学，
类型：发明
国别省市：