本发明专利技术提供一种基于二维卷积自编码器的工控异常检测方法,其包括如下步骤:S1:采集工业控制系统数据;S2:对采集的工业控制系统数据中的正常数据进行预处理;S3:将预处理后的工业控制系统中的正常数据转换成时序数据;S4:对2维卷积自编码器模型训练;S5:确定采集工业控制系统数据中异常检测的阈值;S6:检测工业控制系统中是否存在异常,并处理结果输出。本发明专利技术可以解决现有工控异常检测技术中,正常数据和异常数据之间样本不均衡,以及流量数据大,检测维数多导致检测效率及准确率不高的问题。的问题。的问题。
【技术实现步骤摘要】
一种基于二维卷积自编码器的工控异常检测方法
[0001]本专利技术属于网络信息安全
,涉及攻击检测
领域,具体为一种基于二维卷积自编码器的工控异常检测方法。
技术介绍
[0002]工业互联网是传统工业控制系统(Industrial Control System,ICS)和互联网技术的结合,互联网技术在为工控系统提供便利的同时,也打破了传统的工业信息安全防护模式,不可避免地会将互联网自身固有的网络安全风险引入到工业互联网中。与传统互联网相比,工业互联网的特征更加复杂,涉及设备种类繁多,网点更加密集,协议相对脆弱,导致安全风险也就更多。
[0003]入侵检测从技术角度可分为误用检测和异常检测。异常检测由于对未知攻击的高效识别,受到研究人员的广泛关注,基于统计分析、基于数据挖掘、基于特征匹配和基于机器学习等方面的异常检测研究成果颇为丰富。近年,基于深度神经网络的异常检测技术逐渐成为研究热点。自动编码器网络(AE)、循环神经网络(RNN)、长短时记忆网络(LSTM)、卷积神经网络(CNN)和深度自动编码高斯混合网络(DAGMM)等深度神经网络在应用中都取得了良好的效果。然而,工业控制系统的高实时性要求检测方法准确率更高,误报率更低。同时,工业控制系统中的类别不平衡问题现象使分类器易于牺牲异常类来提高模型拟合能力,从而导致其准确率下降,泛化能力变差。
[0004]在现有技术中,基于LSTM自编码的异常检测算法对类别不均衡的数据有一定的检测能力,并能够有效的检测单特征或多特征异常的数据,但该类算法不能同时对所有特征进行异常检测,进而对某些多阶段多点攻击的数据检测效果不佳。
技术实现思路
[0005]本专利技术的
技术实现思路
在于提出一种针对工业控制系统中异常行为检测技术,其利用卷积神经网络的局部感知和参数共享特性提取工控流量数据中各特征之间和特征在时间维度之间的相关性,并结合自编码器对正常数据的重构特性,可以有效实现对异常数据的检测,并解决了现有工控异常检测技术中,正常数据和异常数据之间样本不均衡,以及流量数据大,检测维数多导致检测效率及准确率不高的问题。
[0006]为了达到上述目的,本专利技术采用的技术方案是:
[0007]本专利技术提供一种基于二维卷积自编码器的工控异常检测方法,包括以下步骤:
[0008]S1:采集工业控制系统数据;
[0009]S2:对采集的工业控制系统数据中的正常数据进行预处理;
[0010]S3:将预处理后的工业控制系统中的正常数据转换成时序数据;
[0011]S4:对2维卷积自编码器模型训练;
[0012]S5:确定采集工业控制系统数据中异常检测的阈值;
[0013]S6:检测工业控制系统中是否存在异常,并处理结果输出。
[0014]优选地,所述的一种基于二维卷积自编码器的工控异常检测方法,S1包括:在实际检测过程中采集工业控制系统中的行为数据,包括各工业传感器和工业执行器产生的多维时序数据,其维度包括不同工艺阶段中各工业执行器执行状态,和各工业传感器采集的数据。
[0015]优选的,所述的一种基于二维卷积自编码器的工控异常检测方法,S2包括:
[0016]。
[0017]对采集的数据中每维特征采用式(1)进行Z
‑
score归一化处理,其中μ为对应列特征均值,σ对应列方差,将数据转化成均值为0方差为1的形式,并保存归一化中算出的数据的均值和方差。
[0018]优选地,所述的一种基于二维卷积自编码器的工控异常检测方法,S3包括:将S2预处理后的数据按采集时间顺序排列转成二维数据,通过滑动时间窗口对采集数据按时间顺序转化成按数据特征数W,时间窗口长度为L的W
×
L的二维数据,滑动时间窗口在转化1组数据后继续按时间顺序往下转化,直至转化所有数据。
[0019]优选地,所述的一种基于二维卷积自编码器的工控异常检测方法,S4包括:将S3转换的时序数据作为训练数据,输入预设2维卷积自编码器网络模型中,预设2维卷积自编码器模型由编码器模块和解码器模型组成,该模型编码模块是在AlexNet基础上更改而来,编码器模块包括2层2维卷积层,2层2维最大池化层,2维卷积自编码器模型的解码模块是编码模块的逆运算,解码模块包括2层2维转置卷积层,2层2维上采样层,该模块以编码模块的输出作为输入,对编码数据进行重构还原,2维卷积自编码器模型根据式(2)作为优化目标来调整模型的损失函数,
[0020],
[0021]其中minimize为最小化损失Loss为优化目标,其中x
i
代表输入数据,表示模型重构输出,n代表样本数量,H代表模型权重参数,w.r.H表示通过调整权重参数H来使得损失函数Loss最小化,模型训练完成后,保存其训练权重参数。
[0022]优选地,所述的一种基于二维卷积自编码器的工控异常检测方法,S5包括:加载S4中训练好的模型权重参数,再次输入训练数据,按式(3)计算模型输入与输出之间的重构误差,其中R
e
表示模型输入和输出之间的重构误差,n代表样本数量,x
i
代表输入数据,表示模型重构输出,当R
e
为0时输入等于输出,R
e
值越大表示模型输入和输出之间相差越大,本专利技术中扰动因子δ为当前所有正常数据输入模型后计算得出的最大R
e
,故根据式(4)判断最终是否异常,
[0023],
[0024],
[0025]其中ζ可调整的松弛变量,Anomaly表示检测出异常,Normal表示当前为正常。
[0026]优选地,所述的一种基于二维卷积自编码器的工控异常检测方法,S6包括:待检测数据通过S2中保存的均值和方差做相同的归一化处理后,再通过S3时间窗口转化成时序数
据后,输入S4中训练的好的2维卷积自编码器模型,最后根据式(3)算出输入输出重构误差与式(4)确定的阈值来判断数据是否异常,若重构误差大于阈值则为异常,若重构误差小于或等于阈值则判断为正常。
[0027]本专利技术的有益效果是:
[0028]本专利技术通过将采集到的工业控制系统中正常运行状态下的各传感器和执行器的数据,相较于基于LSTM自编码器和1维CNN自编码及其他异常检测算法,本专利技术通过预设算法转换成二维数据,该技术结合各传感器和执行器之间数值关系和时序变化关系,通过2D卷积在隐藏层中的权重共享,可以进一步挖掘特征之间的高级表示,可以有效检测出单点多阶段和多点多阶段的异常数据。此外,本专利技术不需要相关异常数据作为训练数据,只需要正常数据即可实现异常检测,并能解决基于监督学习相关异常检测技术中,数据不均衡导致的模型泛化能力较差准确率下降的问题,及未知攻击检测效果差的问题。
附图说明
[0029]图1是本专利技术的算法流程图;
[0030]图2是本专利技术的数据集中各类别截取数量图;
[0031]图3是本专利技术的提取时序数据转换本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于二维卷积自编码器的工控异常检测方法,其特征在于,包括:S1:采集工业控制系统数据;S2:对采集的工业控制系统数据中的正常数据进行预处理;S3:将预处理后的工业控制系统中的正常数据转换成时序数据;S4:对2维卷积自编码器模型训练;S5:确定采集工业控制系统数据中异常检测的阈值;S6:检测工业控制系统中是否存在异常,并处理结果输出。2.如权利要求1所述的一种基于二维卷积自编码器的工控异常检测方法,其特征在于,S1包括:在实际检测过程中采集工业控制系统中的行为数据,包括各工业传感器和工业执行器产生的多维时序数据,其维度包括不同工艺阶段中各工业执行器执行状态,和各工业传感器采集的数据。3.如权利要求1所述的一种基于二维卷积自编码器的工控异常检测方法,其特征在于,S2包括:,对采集的数据中每维特征采用式(1)进行Z
‑
score归一化处理,其中μ为对应列特征均值,σ对应列方差,将数据转化成均值为0方差为1的形式,并保存归一化中算出的数据的均值和方差。4.如权利要求1所述的一种基于二维卷积自编码器的工控异常检测方法,其特征在于,S3包括:将S2预处理后的数据按采集时间顺序排列转成二维数据,通过滑动时间窗口对采集数据按时间顺序转化成按数据特征数W,时间窗口长度为L的W
×
L的二维数据,滑动时间窗口在转化1组数据后继续按时间顺序往下转化,直至转化所有数据。5.如权利要求1所述的一种基于二维卷积自编码器的工控异常检测方法,其特征在于,S4包括:将S3转换的时序数据作为训练数据,输入预设2维卷积自编码器网络模型中,预设2维卷积自编码器模型由编码器模块和解码器模型组成,该模型编码模块是在AlexNet基础上更改而来,编码器模块包括2层2维卷积层,2层2维最大池化层,2维...
【专利技术属性】
技术研发人员:尚文利,邱嘉伟,张曼,曹忠,浣沙,韦蕴珊,时昊天,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。