《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 設(shè)計(jì)應(yīng)用 > 基于變分自編碼器和三支決策的工控入侵檢測(cè)算法
基于變分自編碼器和三支決策的工控入侵檢測(cè)算法
信息技術(shù)與網(wǎng)絡(luò)安全 6期
王 晨,張迪明,韓 斌
(江蘇科技大學(xué) 計(jì)算機(jī)學(xué)院,江蘇 鎮(zhèn)江212100)
摘要: 為了更精確地提取工控入侵?jǐn)?shù)據(jù)集特征和更精準(zhǔn)地分類惡意數(shù)據(jù),使得入侵檢測(cè)方法滿足當(dāng)前工業(yè)控制網(wǎng)絡(luò)的安全需求,提出了基于變分自編碼器(Variational Autoencoder,VAE)和三支決策理論(Three-way Decisions,TWD)的新型工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)算法(VAE-TWD)。該算法利用變分自編碼器強(qiáng)大的感知能力對(duì)高維數(shù)據(jù)進(jìn)行降維映射和特征提取,再對(duì)正常和惡意數(shù)據(jù)利用三支決策理論進(jìn)行即刻決策,劃分入正向決策域和負(fù)向決策域。而對(duì)于邊界域內(nèi)不確定的數(shù)據(jù),將通過(guò)不同粒度的特征,選擇適當(dāng)數(shù)據(jù)構(gòu)成新的訓(xùn)練集并擴(kuò)充到原有數(shù)據(jù)集中。然后重復(fù)決策過(guò)程,直至決策域中數(shù)據(jù)為空,規(guī)避盲目決策的風(fēng)險(xiǎn)。實(shí)驗(yàn)結(jié)果表明VAE-TWD算法提升了對(duì)工控入侵檢測(cè)的特征提取能力和分類能力,且在準(zhǔn)確率、檢出率、誤報(bào)率、F1得分等指標(biāo)上均優(yōu)于對(duì)比算法,有效提高了工控入侵檢測(cè)的性能。
中圖分類號(hào): TP393
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2022.06.002
引用格式: 王晨,張迪明,韓斌. 基于變分自編碼器和三支決策的工控入侵檢測(cè)算法[J].信息技術(shù)與網(wǎng)絡(luò)安全,2022,41(6):10-17.
An industrial intrusion detection algorithm based on variational autoencoder and three-way decisions
Wang Chen,Zhang Diming,Han Bin
(School of Computer,Jiangsu University of Science and Technology,Zhenjiang 212100,China)
Abstract: In order to extract the characteristics of industrial control intrusion data set and classify malicious data more accurately, make the intrusion detection methods meet the security needs of the current industrial control network, a novel VAE-TWD algorithm based on variational auto-encoders(VAE) and three-way decisions theory(TWD) is proposed. The algorithm uses the powerful perceptive ability of variational autoencoder to reduce dimension mapping and extract feature for high-dimensional data, and then makes instant decision for normal and malicious data by using three-way decision theory, divides them into positive decision domain and negative decision domain. For the uncertain data in the boundary region, the new training set will be constructed by selecting appropriate data with different granularity features and then extended to the original data set. Then the decision-making process is repeated until the data in the decision-making domain is empty to avoid the risk of blind decision-making. The experimental results show that VAE-TWD algorithm improves feature extraction ability and classification ability of industrial control intrusion detection, is superior to the comparison algorithms in accuracy, detection rate, false positive rate, F1 score and other indicators, and effectively improves the performance of industrial control intrusion detection.
Key words : variational autoencoder;three-way decisions;feature extraction;industrial control intrusion detection

0 引言

工業(yè)控制網(wǎng)絡(luò)其核心是將互聯(lián)網(wǎng)技術(shù)同自動(dòng)化控制技術(shù)相結(jié)合。隨著工業(yè)化的推進(jìn),雖然越來(lái)越多的網(wǎng)絡(luò)模塊和控制器優(yōu)化了工控系統(tǒng)并提升了生產(chǎn)效率,但是高度復(fù)雜的工控系統(tǒng)同樣增加了其暴露高危漏洞的風(fēng)險(xiǎn)[1]。如今,工控安全是網(wǎng)絡(luò)安全領(lǐng)域亟待解決的熱點(diǎn)問(wèn)題。

在工控安全的研究領(lǐng)域中,學(xué)者們針對(duì)不同的工業(yè)生產(chǎn)環(huán)境,設(shè)計(jì)出了不同的入侵檢測(cè)算法模型。趙智陽(yáng)等人[2]提出了一種基于卷積神經(jīng)網(wǎng)絡(luò)的電網(wǎng)工控系統(tǒng)入侵檢測(cè)算法,在神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中加入級(jí)聯(lián)卷積層提升了特征提取能力。莊衛(wèi)金等人[3]提出了基于特征提取的電力工控系統(tǒng)入侵檢測(cè)方法,通過(guò)堆疊稀疏編碼器并在訓(xùn)練過(guò)程中引入遷移學(xué)習(xí)進(jìn)行參數(shù)優(yōu)化,提升了對(duì)數(shù)據(jù)關(guān)鍵特征提取的能力。Shang等人[4]通過(guò)一類支持向量機(jī)(One-Class Support Vector Machine,OCSVM)概念建立正常的通信行為模型,并設(shè)計(jì)粒子群優(yōu)化算法對(duì)OCSVM模型參數(shù)進(jìn)行優(yōu)化,設(shè)計(jì)了工控系統(tǒng)中基于OCSVM的入侵檢測(cè)算法。Liu等人[5]使用兩級(jí)檢測(cè)結(jié)構(gòu),結(jié)合CNN特征提取來(lái)構(gòu)建入侵檢測(cè)的正常狀態(tài)過(guò)程轉(zhuǎn)移模型,提出了一種基于CNN和過(guò)程狀態(tài)轉(zhuǎn)換的工業(yè)控制系統(tǒng)入侵檢測(cè)算法。Brugman等人[6]通過(guò)使用軟件定義網(wǎng)絡(luò)將流量路由到云,以使用網(wǎng)絡(luò)功能虛擬化進(jìn)行檢查,提出了一種使用軟件定義網(wǎng)絡(luò)的基于云的工控入侵檢測(cè)方法。根據(jù)上述研究成果可以得到,大多數(shù)算法模型關(guān)注到了特征提取對(duì)于工控入侵檢測(cè)的重要意義,并通過(guò)相應(yīng)的特征提取方法進(jìn)行了實(shí)驗(yàn),取得了相應(yīng)的成果。但依然存在一定的局限性:

(1)對(duì)于特征提取部分仍然有提升的空間,例如對(duì)于級(jí)聯(lián)卷積層的加入難以避免運(yùn)算成本大和過(guò)擬合風(fēng)險(xiǎn);對(duì)于堆疊稀疏編碼器的應(yīng)用,編碼器只是單一地表征不同數(shù)據(jù)在隱空間的特質(zhì)而忽視了其概率分布。

(2)多數(shù)算法模型的核心設(shè)計(jì)在于如何更好地進(jìn)行特征提取,而忽視提取特征后的樣本分類步驟,大多采用傳統(tǒng)的二支決策分類器進(jìn)行分類,存在盲目決策的風(fēng)險(xiǎn)。

針對(duì)上述問(wèn)題,本文提出了一種基于變分自編碼器(Variational Autoencoder,VAE)和三支決策(Three-way Decisions,TWD)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)算法(VAE-TWD)。該算法利用深度學(xué)習(xí)中的變分自編碼器理論[7],先針對(duì)輸入數(shù)據(jù)的密集表征進(jìn)行學(xué)習(xí)和編碼,通過(guò)屬性映射,在降低輸入數(shù)據(jù)的同時(shí)進(jìn)行特征提取。在訓(xùn)練過(guò)程中,成本函數(shù)迫使編碼在隱空間內(nèi)移動(dòng)。然后在由均值和標(biāo)準(zhǔn)差生成的高斯分布中隨機(jī)采樣,并使用解碼器解碼成重構(gòu)數(shù)據(jù)。訓(xùn)練完成后,編碼器生成的數(shù)據(jù)即是降維后的特征。最后基于三支決策理論[8]對(duì)決策域中由于暫時(shí)信息不足而無(wú)法決策的數(shù)據(jù)進(jìn)行延時(shí)決策,當(dāng)獲得更多粒度特征后再進(jìn)行決策。三支決策理論極大程度上彌補(bǔ)了傳統(tǒng)的二支決策中容錯(cuò)能力差,且不能依靠特征粒度的信息來(lái)對(duì)網(wǎng)絡(luò)數(shù)據(jù)行為做出動(dòng)態(tài)決策的缺點(diǎn)。




本文詳細(xì)內(nèi)容請(qǐng)下載http://ihrv.cn/resource/share/2000004528




作者信息:

王  晨,張迪明,韓  斌

(江蘇科技大學(xué) 計(jì)算機(jī)學(xué)院,江蘇 鎮(zhèn)江212100)




微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。