【技术实现步骤摘要】
本专利技术涉及工控系统、数据安全领域,具体涉及一种基于改进偏差网络的半监督工控入侵检测方法。
技术介绍
1、随着工业4.0的快速发展,工业控制系统的网络安全问题日益凸显。由于在工业控制系统中采用了大量专用的控制协议和软件,而这些协议和软件在设计之初缺乏安全方面的考虑,所以攻击者很容易对工控系统实施网络攻击。同时,由于工控系统的复杂性和多样性,工控系统的数据呈现出数据维度高、关联性强的特征,标注数据的获取难度比较大。然而,现有的入侵检测方法较少考虑工控系统自身场景存在的应用限制。事实上,不同种类和规模的工业场景产生的数据有较大的差异,标记大量数据的成本会非常高。同时,工业控制系统产生的数据维度高、关联性强,因此基于少量标记数据的检测模型具有实际意义。
技术实现思路
1、本专利技术的目的在于解决工控系统异常检测中的数据维度高且带标注异常数据不足的问题,提供一种基于改进偏差网络的半监督工控入侵检测方法,能够有效地能够利用少量标注数据实现异常检测模型的训练,解决工控系统异常检测中的数据维度高且带标注异常数据不足的问题,可有效实现异常行为的发现或异常数据的检测,保护工业控制系统的数据安全,能为实际工业控制生产环境中安全防护提供有力的技术支撑。
2、本专利技术提供的一种基于改进偏差网络的半监督工控入侵检测方法,首先经过数据预处理之后,构建基于信息增益和主成分分析法的ig-pca特征选择算法对工控数据的冗余特征进行消除,以实现特征降维。然后,基于改进偏差网络的半监督学习方法,采用异常
3、为实现上述目的,本专利技术的技术方案是:一种基于改进偏差网络的半监督工控入侵检测方法,包括如下步骤:
4、步骤s1、对工业控制系统的数据进行预处理;
5、步骤s2、通过ig-pca特征选择方法对预处理后的工业控制系统的数据进行冗余特征消除以实现数据降维,得到降维数据;
6、步骤s3、根据得到的降维数据,将异常样本数据和正常数据组成训练数据,通过分层抽样方法进行异常评分网络的训练;
7、步骤s4、根据中心极限定理,选择符合高斯分布的数据,构建偏差损失函数对异常评分网络进行优化;
8、步骤s5、更新网络参数,得到优化后的异常评分网络,实现正负样本在得分上存在显著偏差。
9、在本专利技术一实施例中,步骤s2中,对预处理后的工业控制系统的数据进行冗余特征消除的具体实现方式如下:
10、步骤s2a1、将无标签的工业控制系统的数据记为数据集set;
11、步骤s2a2、根据信息增益,提出一种基于熵的特征评估方法,计算数据集set中各特征属性的信息增益值;
12、步骤s2a3、去除信息增益值gain=0的特征属性得到数据集setig;
13、步骤s2a4、对处理后的数据集setig通过主成分分析法进行特征降维得到数据集d。
14、在本专利技术一实施例中,步骤s2a2中,对数据集set中各特征属性做以下计算:
15、
16、
17、式中,set是样本集合,n是样本数量,p(xi)是选择某种分类方式的概率,a是选择的特征属性,v是特征属性a中的取值,setv是set中特征属性a上的值等于v的样本集合,entropy(set)是熵值,特征a的信息增益为原信息熵值与条件信息熵值之差,即在一个条件下,信息不确定性减少的程度,以gain(set,a)表示。
18、在本专利技术一实施例中,步骤s2a4中,对处理后的数据集setig通过主成分分析法进行特征降维,具体包括以下步骤:
19、步骤s2b1、对处理后的数据集setig进行标准化;
20、步骤s2b2、计算特征数据的均值μ1、特征数据的标准差σ1以及协方差矩阵c;
21、步骤s2b3、计算协方差矩阵c的特征值λi和ui,按照特征值大小降序排序,选择k个特征向量,形成特征变换矩阵t以计算主成分的贡献率和累计贡献率。
22、在本专利技术一实施例中,步骤s3中,将异常样本数据和正常数据组成训练数据,通过分层抽样方法进行异常评分网络的训练,具体包括以下步骤:
23、步骤s31、将得到的降维数据构成的数据集d的80%的样本作为训练数据集,20%的样本作为测试数据集;
24、步骤s32、从训练数据集中标记异常样本数据作为异常数据集k,其他数据作为正常样本数据集n;
25、步骤s33、初始化神经网络参数θ;
26、步骤s34、从正常样本数据集n中随机抽取一半样本,从异常数据集k中随机抽取一半样本,形成一批训练样本;
27、步骤s35、进行异常评分网络φ(θ)的训练。
28、在本专利技术一实施例中,步骤s4中,构建偏差损失函数对异常评分网络进行优化,具体包括以下步骤:
29、步骤s41、根据中心极限定理,从正常样本数据集n(μ,σ2)中随机选择l个正常样本数据;
30、步骤s42、计算l个正常样本数据的异常分值的平均值μ和方差σ2;
31、步骤s43、定义偏差损失函数loss(x),以计算一个数据点与平均值之间的距离。
32、在本专利技术一实施例中,步骤s43中,偏差损失函数loss(x)表示如下:
33、
34、式中,ld(xi)为一个数据点与平均值之间的距离,x为训练数据集,μr和σr分别是选择的正常样本数据的异常分值的平均值和方差,φ(xi;θ)为在训练数据集上训练的异常评分网络模型;
35、
36、式中,y∈{0,1},当xi为正常样本时,y=0,当xi为异常样本时,y=1;threshold为预定义的常量。
37、在本专利技术一实施例中,步骤s5中,更新网络参数,得到优化后的异常评分网络,具体包括以下步骤:
38、步骤s51、根据偏差损失函数loss(x)的计算公式计算损失值loss;
39、步骤s52、更新异常评分网络的参数θ,得到优化后的异常评分网络也即训练好的工控系统异常检测模型。
40、本专利技术还提供了一种基于改进偏差网络的半监督工控入侵检测系统,包括存储器、处理器以及存储于存储器上并能够被处理器运行的计算机程序指令,当处理器运行该计算机程序指令时,能够实现如上所述的方法步骤。
41、本专利技术还提供了一种计算机可读存储介质,其上存储有能够被处理器运行的计算机程序指令,当处理器运行该计算机程序指令时,能够实现如上所述的方法步骤。
42、相较于现有技术,本专利技术具有以下有益效果:本专利技术面向数据维度高且带标注异常数据不足本文档来自技高网...
【技术保护点】
1.一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤S2中,对预处理后的工业控制系统的数据进行冗余特征消除的具体实现方式如下:
3.根据权利要求2所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤S2A2中,对数据集Set中各特征属性做以下计算:
4.根据权利要求2所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤S2A4中,对处理后的数据集SetIG通过主成分分析法进行特征降维,具体包括以下步骤:
5.根据权利要求1所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤S3中,将异常样本数据和正常数据组成训练数据,通过分层抽样方法进行异常评分网络的训练,具体包括以下步骤:
6.根据权利要求5所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤S4中,构建偏差损失函数对异常评分网络进行优化,具体包括以下步骤:
7.根据权利要求6所述的
8.根据权利要求6所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤S5中,更新网络参数,得到优化后的异常评分网络,具体包括以下步骤:
9.一种基于改进偏差网络的半监督工控入侵检测系统,其特征在于,包括存储器、处理器以及存储于存储器上并能够被处理器运行的计算机程序指令,当处理器运行该计算机程序指令时,能够实现如权利要求1-8任一所述的方法步骤。
10.一种计算机可读存储介质,其上存储有能够被处理器运行的计算机程序指令,当处理器运行该计算机程序指令时,能够实现如权利要求1-8任一所述的方法步骤。
...【技术特征摘要】
1.一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤s2中,对预处理后的工业控制系统的数据进行冗余特征消除的具体实现方式如下:
3.根据权利要求2所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤s2a2中,对数据集set中各特征属性做以下计算:
4.根据权利要求2所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤s2a4中,对处理后的数据集setig通过主成分分析法进行特征降维,具体包括以下步骤:
5.根据权利要求1所述的一种基于改进偏差网络的半监督工控入侵检测方法,其特征在于,步骤s3中,将异常样本数据和正常数据组成训练数据,通过分层抽样方法进行异常评分网络的训练,具体包括以下步骤:
6.根据权利要求5所述的...
【专利技术属性】
技术研发人员:刘延华,邓文涛,曾繁昊,许少康,谢飞,翁武焰,
申请(专利权)人:福州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。