一种面向概念漂移的可适应可解释的工控系统异常检测方法技术方案

本发明专利技术涉及一种面向概念漂移的可适应可解释的工控系统异常检测方法，包括：步骤1：获取不同时期的工控数据样本，包括历史数据和新数据，训练异常检测模型，保存训练参数；步骤2：校准异常检测模型的输出结果；步骤3：漂移检测；步骤4：漂移解释；步骤5：将发生概念漂移的新样本和旧样本中没有过时的样本组合起来，重新训练异常检测模型，适应漂移；步骤6：将归一化处理后的待检测工控数据输入步骤5处理后的适应漂移的异常检测模型，输出异常检测结果。本发明专利技术判断是否发生了概念漂移。本发明专利技术适应概念漂移的过程中防止模型忘记旧分布中没有过时的样本，同时又能学习到新分布中发生概念漂移的正常样本的问题，适应漂移降低模型的误报率。率。率。

【技术实现步骤摘要】
一种面向概念漂移的可适应可解释的工控系统异常检测方法


[0001]本专利技术涉及工控系统无监督异常检测概念漂移解释和适应领域，尤其涉及一种面向概念漂移的可适应可解释的工控系统异常检测方法。

技术介绍

[0002]异常检测(Anomaly Detection)，也称为离群点检测(Outlier Detection)，是指在数据中寻找与其他数据明显不同或不符合预期行为的数据点。异常检测可以用于数据分析、工业控制、网络安全、金融欺诈检测等领域，是数据分析和机器学习中的一项重要任务。异常检测在工控领域中扮演着重要的角色。在工控领域中，存在着大量现场设备状态数据流，这些数据流可以用于检测异常行为。异常数据可能是故障或攻击的迹象，及时地识别和处理异常数据可以保证工控系统的稳定运行和安全性。近年来，基于深度学习的异常检测算法在检测的准确率和降低误报率方面取得了长足的进步，可以检测工控系统受到的攻击和潜在威胁，以便及时采取必要的措施。
[0003]机器学习算法取得巨大的成功背后是一个中心假设：训练和测试数据是从相同的基础分布中独立抽取的。在工控安全领域中，这个假设往往不成立，因为随着互联网的快速发展，以前相对封闭和独立的工业控制系统正逐渐变得开放化和互联化，会随时涌入新的攻击方式，新的绕过方式，训练集的数据分布并不等同于真实的数据分布，机器学习模型学到的决策边界并不一定适用于真实的外部环境，因此机器学习应用在工控安全领域中最大的障碍就是概念漂移问题。
[0004]由于异常检测方法通过零正例学习来得到预训练模型，即可以在没有异常数据的情况下检测到异常，因此可以免疫恶意/异常行为的漂移。但是，当正常数据的分布发生变化时，正常数据有可能会被判定为异常，从而产生更严重的影响。在实际应用中，数据的分布会以不可预测的方式随着外部环境、系统故障或者数据源本身的非平稳变化而发生变化。例如，新补丁、设备和协议的引入都有可能改变正常模式。如果这种正常数据的漂移没有被检测到并进行适应，则会导致大量误报和漏报，即原先预训练的模型或规则不再适用于当前的数据，从而影响系统的可靠性和安全性。因此，如何解决正常数据概念漂移问题成为了工控系统异常检测领域中一个重要的研究方向。
[0005]近年来针对概念漂移的问题，人们已经提出了许多方法，例如：
[0006]1.数据监测与漂移检测：及时发现概念漂移是解决问题的第一步。监测输入数据的统计特性，包括特征分布、标签分布等，以及监测模型的预测结果和性能变化。可以使用统计方法、假设检验、累积误差等技术来检测概念漂移的发生，一旦发现数据分布发生变化，就可以采取相应的措施。
[0007]2.动态模型更新：随着数据分布的变化，动态地更新模型以适应新的数据。可以采用增量学习(Incremental Learning)或在线学习(Online Learning)的方法，在保持旧知识的基础上引入新数据并更新模型参数，以反映新的数据分布。
[0008]3.定期重新训练：定期重新训练模型是解决概念漂移的一种简单有效的方法。通
过定期使用最新的数据重新训练模型，可以使模型保持对新数据的适应能力。
[0009]然而，现有的大多数研究主要关注监督学习模型上的异常行为概念漂移，而对于工控系统无监督异常检测模型上正常数据发生概念漂移的研究甚少，并且缺乏对概念漂移样本的可解释性研究，使用者只能检测到概念漂移的发生，并不能知道具体是哪些特征维度(在工控领域，即传感器或执行器)发生了变化从而导致概念漂移的发生。

技术实现思路

[0010]针对现有工控系统异常检测概念漂移解释和适应技术的不足，本专利技术提供了一种面向概念漂移的可适应可解释的工控系统异常检测方法。
[0011]本专利技术旨在解决工控系统无监督异常检测模型中正常数据发生概念漂移后，如何以无监督的方式检测概念漂移，如何从样本级别和特征级别两个维度解释检测到的漂移样本，以及如何在适应概念漂移的过程中防止模型忘记旧分布中没有过时的样本，同时又能学习到新分布中发生概念漂移的正常样本的问题。目的是为工控领域异常检测发生概念漂移时提供可解释性，同时通过适应漂移降低模型的误报率。
[0012]本专利技术首先从仅包含正常数据的历史数据集上学习一个异常检测模型，校准异常检测模型的输出结果，将模型输出的概率值转换为更准确的概率估计，强制将异常检测模型输出有意义的概率信息。通过假设检验对新旧样本分布进行统计比较，利用KL散度来衡量两个概率分布之间的差异。利用搜索优化算法寻找发生概念漂移的新样本和过时的旧样本，利用SHAP对发生概念漂移的新样本进行解释，找到发生概念漂移的特征维度。最后将发生概念漂移的新样本和旧样本中没有过时的样本组合起来，重新训练异常检测模型，适应漂移。本专利技术能够对工控异常检测中正常数据的概念漂移现象进行检测，并对漂移样本进行样本级别和特征级别的解释，同时使模型适应概念漂移。
[0013]术语解释：
[0014]1、KL散度：又称相对熵(relative entropy)，是信息论中的一个概念。KL散度用于度量两个概率分布之间的差异性，即在相同事件空间中，两个概率分布之间的信息量差异。
[0015]2、SHAP：全称为Shapley Additive Explanations，是一种用于解释机器学习模型的方法。它是基于博弈论中的Shapley值概念而提出的，旨在解释特征如何影响模型预测结果。SHAP的优点在于，它可以给出每个特征对预测结果的具体影响，而不是像一些传统的解释方法只能给出特征的重要性排序。此外，SHAP还可以针对不同的特征取值情况进行解释，帮助用户更好地理解模型的预测结果。
[0016]3、概念漂移：概念漂移(Concept Drift)是指数据分布随时间的变化，导致在预测或分类任务中模型的表现逐渐降低的现象。在机器学习和数据挖掘领域中，模型通常是在一个静态数据集上训练的，然而在现实世界中，数据往往是动态的，因此模型在部署后可能会受到数据分布变化的影响。概念漂移的发生可以是因为许多原因，例如外部环境因素的变化、新的行为模式的出现或者数据采集过程中的问题等。
[0017]4、自编码器：自编码器(Autoencoder)是一种无监督学习的神经网络模型，用于学习有效的数据表示或特征提取。它由两部分组成：编码器(Encoder)和解码器(Decoder)。编码器将输入数据压缩为低维表示，而解码器将该低维表示映射回原始输入空间。当输入数据包含异常或不寻常的模式时，自编码器可能无法准确地重构这些异常模式，从而产生较
高的重构误差。基于这个原理，可以使用自编码器进行异常检测。训练阶段，自编码器只使用正常的数据进行训练，使其学习正常数据的内在表示。然后，在测试阶段，使用已经训练好的自编码器对新的输入数据进行重构，并计算重构误差。如果重构误差超过了预先设定的阈值，就可以将其视为异常数据。
[0018]5、sklearn中的IsotonicRegression类：是scikit
‑
learn本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向概念漂移的可适应可解释的工控系统异常检测方法，其特征在于，包括：步骤1：获取不同时期的工控数据样本，包括历史数据和新数据，利用归一化处理之后的历史数据对基于深度学习的异常检测模型进行训练，保存异常检测模型的训练参数；步骤2：校准异常检测模型的输出结果，强制异常检测模型输出有意义的概率值，该概率值表示样本属于正常类别的概率；步骤3：漂移检测，通过假设检验对新旧样本分布进行统计比较，用KL散度来衡量两个概率分布之间的差异；步骤4：漂移解释，利用搜索优化算法寻找发生概念漂移的新样本和过时的旧样本，利用SHAP对发生概念漂移的新样本进行解释，找到发生概念漂移的特征维度；步骤5：将发生概念漂移的新样本和旧样本中没有过时的样本组合起来，重新训练异常检测模型，适应漂移；步骤6：将归一化处理后的待检测工控数据输入步骤5处理后的适应漂移的异常检测模型，输出异常检测结果。2.根据权利要求1所述的一种面向概念漂移的可适应可解释的工控系统异常检测方法，其特征在于，步骤1的具体实现过程包括：获取不同时期正常运行的数据，用X
o
来表示过去采集到的旧数据样本即旧样本；用X
n
来表示与旧数据相比有一定时间跨度的新数据样本即新样本；对X
o
和X
n
做归一化处理，按时间顺序分割数据集，用旧样本X
o
中一部分数据作为训练集另一部分数据作为测试集用训练集来训练一个无监督的基于深度学习的异常检测模型f，保存f的训练参数。3.根据权利要求1所述的一种面向概念漂移的可适应可解释的工控系统异常检测方法，其特征在于，异常检测模型是自编码器AutoEncoder。4.根据权利要求1所述的一种面向概念漂移的可适应可解释的工控系统异常检测方法，其特征在于，步骤2的具体实现过程包括：用旧样本X
o
中的测试集来校准异常检测模型的输出；包括：首先，用步骤1训练好的异常检测模型f来评估测试集根均方误差作为异常检测模型f的输出；其次，将未校准的输出按降序排列，未校准的输出是指异常检测模型直接输出的数值，具体是指自编码器的重构误差；将排列后的未校准的输出值作为校准器C的输入x
group
，未校准的输出值即异常检测模型输出的值，生成相应的输出y
group
；y
group
的生成方式是：通过计算每个未校准的输出值在排列后的列表中的位置，除以所有数据点的总数，得到归一化为[0,1]范围内的值；这样，y
group
反映了每个未校准概率值在排序后的列表中的相对位置；具体如式(Ⅰ)、式(II)所示：y
group
＝C(x
group
)
ꢀꢀꢀꢀ
(II)式(Ⅰ)、式(II)中，f()是异常检测模型；C()是校准器；最后，将x
group
和y
group
作为训练数据来拟合、校准异常检测模型；
进一步优选的，拟合，是指：学习生成一个单调递增的校准函数，该校准函数将未校准的概率值映射到校准后的概率值；校准，是指：根据校准模型学习到的转换函数，将模型输出映射到校准后的概率值。5.根据权利要求1所述的一种面向概念漂移的可适应可解释的工控系统异常检测方法，其特征在于，步骤3的具体实现过程包括：首先,计算旧样本X
o
中的测试集与新样本X
n
的校准输出，为了表示分布，C(f(x
o
))和C(f(x
n
))的离散分布通过K bins频率直方图来计算，得到旧分布和新分布如式(Ⅲ)和式(Ⅳ)所示：)所示：式(Ⅲ)、式(Ⅳ)中，f()是异常检测模型；C()是校准器；是计算校准输出的离散分布，通过K bins的频率直方图计算出来；P
org
代表旧样本的离散分布；Q
org
代表新样本的离散分布；然后，通过假设检验来对这两个离散分布P
org
和Q
org
进行统计比较，通过置换检验来比较这两个离散分布P
org
和Q
org
之间的差异；具体是指：原假设H0是C(f(X
o
))和C(f(X
n
))来自于同一分布即没有发生概念漂移，备择假设H1是C(f(X
o
))和C(f(X
n
))来自于不同的分布即发生了概念漂移；使用KL散度来衡量这两个离散分布P
org
和Q
org
之间的差异并作为测试统计量；使用置换检验来计算p值：首先，通过式(
Ⅵ
)计算出这两个离散分布P
org
和Q
org
之间的原始检验统计量S
org
，原始检验统计量S
org
用于衡量这两个离散分布P
org
和Q
org
之间的差异或偏移程度；然后，将旧数据样本与...

【专利技术属性】
技术研发人员：徐丽娟，韩梓昱，赵大伟，娄国庆，赵梓程，杨志，宋维钊，
申请(专利权)人：齐鲁工业大学山东省科学院，
类型：发明
国别省市：