【技术实现步骤摘要】
本专利技术属于信息安全检测、网络安全及化工流程一体化以及复杂工业互联系统过程安全,具体是一种融合nsga-ii和ds证据论的网络攻击检测方法。
技术介绍
1、网络攻击检测技术是目前工业控制系统安全控制的关键技术,随着网络信息技术的发展,恶意攻击者可以通过网络攻击设备层上传的数据,致使运行控制器给出错误的控制指令;攻击者也可以通过网络攻击运行层下传控制指令。两种攻击都会导致设备层控制器给出错误的反馈控制信号,造成设备层系统运行在非经济工况,甚至失稳。故而造成了网络攻击下工业控制系统输出难测量、数据可靠性难保障等问题。
2、为解决这些难题,工业控制系统中的网络攻击检测技术日益完善,目前市场上主要存在入侵检测系统(ids)、防火墙技术、安全信息与事件管理(siem)等方法。入侵检测系统(ids)通过监控网络流量和系统活动来检测潜在的攻击,可以分为网络入侵检测系统(nids)和主机入侵检测系统(hids)。防火墙技术被广泛应用于监控和控制进出网络的流量,防止未经授权的访问,它们可以配置为识别和阻止潜在的攻击。安全信息与事件管理(siem)通过收集、分析和报告有关网络活动的信息,实现帮助组织迅速检测到潜在的安全威胁。
3、虽然众多技术不断出现在人们的视野中,由于国内该
仍相较国外受限,目前国内化工安全控制仍存在检测精度低,检测滞后、基于行为的入侵检测常常出现高误报、检测受制于攻击的随机性和不确定性等问题,为更好提高工业控制系统中网络检测的准确率,开展基于nsga-ii和证据论的网络攻击技术对化工过程互联控制系
4、由鉴于此,需要提供一种新的技术,以期解决上述至少部分问题。
技术实现思路
1、针对现有的网络攻击检测技术问题存在检测精度不高、局部最优等问题,本专利技术提出了一种融合nsga-ii和ds证据论的网络攻击检测方法,通过采取数据集,结合ds证据论对数据集进行特征提取,经过计算时间同步网络物理质量函数及决策函数的评估,使用多目标遗传算法对特征子集进行优化,将优化后的特征子集进行多层感知机分类(mlp),通过麻雀搜索算法计算mlp每层的神经网络对应的神经元,通过迭代输出最优神经元,直到检测率满足性能指标结束程序。
2、本专利技术采取的技术方案是:一种融合nsga-ii和ds证据论的网络攻击检测方法,其包括如下步骤:
3、s1:通过采取的工业网络数据集,对工业控制系统进行特征提取,构建网络物理入侵检测系统idna-m模型;
4、s2:基于idna-m模型提出基于登普斯特组合规则的质量函数计算方法,通过计算随机网络物理参数质量函数,得到不同攻击情况下,不同类型的信念质量分布;
5、s3:根据网络物理质量函数计算结果,计算belief、plausibility得分并引入皮格尼概率函数作为函数决策标准,根据上述步骤对提出的基于位置和域融合的网络物理数据融合架构进行性能评估;
6、s4:分析性能评估的结果,将系统扩展为一个特征选择无约束优化算法,引入多目标遗传算法形成特征选择算法,从而提高特征子集准确性,提取数据的最优特征子集,输入下一步骤s5;
7、s5:基于原始以及优化后的特征子集使用多层感知机对降维之后的数据特征集合进行训练,为避免出现局部最优情况,通过麻雀搜索算法,搜索多层感知机中每层神经网络对应的神经元参数,通过不断迭代寻优,将最优神经元参数返回mlp直到满足检测性能指标,实现良好的网络攻击检测功能。
8、进一步的,所述步骤s1中,基于邓普斯特-谢弗证据论理论,将数据流进行变换的同时将额外信息嵌入到数据中,构建网络物理入侵检测系统idna-m模型。
9、更进一步的,构建基于邓普斯特-谢弗证据论理论的组合数据规则包括:
10、s1-1:为构建网络物理入侵检测系统idna-m模型,采用ω指代系统识别框架,也表示系统相互排斥的穷举假设,并引入ds证据论中的基本信念分配函数(bba)和质量分布函数(m)将信念分布在识别框架的幂集上,同时为使信息聚合,采用drc中的吸取规则对组合进行归一化融合,表达式为:
11、
12、其中而ω的所有可能子集集合,包括空集o,都称为幂集,表示为2ω,如果存在m(a)>0,则被称为m的焦点集,权力集包括所有可能的假设或所谓的焦点集元素;
13、s1-2:在drc中对收集到的网络攻击证据进行量化和汇总,计算共性函数q和权函数ω;
14、其中共性函数表达为:
15、
16、假设b的共性函数q表示为假设b与子集aj交集的质量函数之和,
17、权函数表达式为:
18、
19、其中:为偶自然数的集合,权函数分子描述a与b之间的相似性,分母描述衡量证据a与b的贡献程度。
20、进一步的,所述步骤s2中设计的质量函数计算方法包括:
21、根据提出的网络攻击检测框架,利用得到的检测概率分数并执行基于均值的时间同步计算质量分布函数,即根据概率得分计算质量分布,给出给定的ids问题的识别框架分为{attack},{no_attack},{attack,no_attack};{空},如果数据点t的入侵概率为a,那么信念质量分布设为:
22、
23、
24、
25、mt(attack,no_attack)=m(ω)=ε*(1-ε)
26、其中第一个质量信念分布量化了不确定性;
27、mt(attack)表示攻击发生的信念度;
28、mt(no_attack)表示没有攻击发生的信念度;
29、mt(attack,no_attack)表示同时考虑攻击和没有攻击的信念度;
30、且考虑到大部分部分信念状态不是完美的,引入非教条式信念函数m(ω)处理不确定性和不完备信息。
31、进一步的,所述步骤s3包括:
32、s3-1:根据计算得到融合后的质量函数后,计算belief、plausibility得分,公式为:
33、
34、
35、其中:假设b的信念是a和ai的子集的元素质量的和,似然性是与集合b相交的所有集合ai的质量之和;
36、s3-2:为做出更合理的决策,额外通过广义皮格尼变换将信念转化为皮格尼概率函数,皮格尼变化基于以下等式:
37、
38、其中:|a|是集合a中存在的事件数,x是辨别框架中的其他组成部分。
39、进一步的,所述步骤s4包括:
40、s4-1:采用优化技术进行特征约简,使用ngsa-ii算法让不确定性传递到适应度值上,使用遗传算法中元启发的方式进行特征选择;
41、s4-2:通过随机选择的特征染色体初始化种群pt,在迭代t次后将准确度和特征数量作为目标函数得到不同的证本文档来自技高网...
【技术保护点】
1.一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于包括如下步骤:
2.根据权利要求1所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,所述步骤S1中,基于邓普斯特-谢弗证据论理论,将数据流进行变换的同时将额外信息嵌入到数据中,构建网络物理入侵检测系统IDNA-M模型。
3.根据权利要求2所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,构建基于邓普斯特-谢弗证据论理论的组合数据规则包括:
4.根据权利要求1所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,所述步骤S2中设计的质量函数计算方法包括:
5.根据权利要求1所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,所述步骤S3包括:
6.根据权利要求1所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,所述步骤S4包括:
7.根据权利要求1所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,所述步骤S5包括:>
8.根据权利要求7所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,所述步骤S5-1中,使用的MLP算法包含一个输入层,2个隐藏层,一个输出层,其中输入特征为x1,x2,...,xn;
9.根据权利要求7所述的一种融合NSGA-II和DS证据论的网络攻击检测方法,其特征在于,所述步骤S5-3中,首先利用当前解在搜索空间中搜索新的解从而计算新解的适应度,如果新解的适应度优于当前解,则更新当前解为新解更新方式如下:
...【技术特征摘要】
1.一种融合nsga-ii和ds证据论的网络攻击检测方法,其特征在于包括如下步骤:
2.根据权利要求1所述的一种融合nsga-ii和ds证据论的网络攻击检测方法,其特征在于,所述步骤s1中,基于邓普斯特-谢弗证据论理论,将数据流进行变换的同时将额外信息嵌入到数据中,构建网络物理入侵检测系统idna-m模型。
3.根据权利要求2所述的一种融合nsga-ii和ds证据论的网络攻击检测方法,其特征在于,构建基于邓普斯特-谢弗证据论理论的组合数据规则包括:
4.根据权利要求1所述的一种融合nsga-ii和ds证据论的网络攻击检测方法,其特征在于,所述步骤s2中设计的质量函数计算方法包括:
5.根据权利要求1所述的一种融合nsga-ii和ds证据论的网络攻击检测方法,其特征在于,...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。