豆豆小说阅读网,神墓辰东小说,欢乐颂小说

基于變分自編碼器和三支決策的工控入侵檢測算法

信息技術與網絡安全 6期

王晨，張迪明，韓斌

(江蘇科技大學計算機學院，江蘇鎮江212100)

摘要： 為了更精確地提取工控入侵數據集特征和更精準地分類惡意數據，使得入侵檢測方法滿足當前工業控制網絡的安全需求，提出了基于變分自編碼器(Variational Autoencoder，VAE)和三支決策理論(Three-way Decisions，TWD)的新型工業控制網絡入侵檢測算法(VAE-TWD)。該算法利用變分自編碼器強大的感知能力對高維數據進行降維映射和特征提取，再對正常和惡意數據利用三支決策理論進行即刻決策，劃分入正向決策域和負向決策域。而對于邊界域內不確定的數據，將通過不同粒度的特征，選擇適當數據構成新的訓練集并擴充到原有數據集中。然后重復決策過程，直至決策域中數據為空，規避盲目決策的風險。實驗結果表明VAE-TWD算法提升了對工控入侵檢測的特征提取能力和分類能力，且在準確率、檢出率、誤報率、F1得分等指標上均優于對比算法，有效提高了工控入侵檢測的性能。

關鍵詞： 變分自編碼器三支決策特征提取工控入侵檢測

中圖分類號： TP393
文獻標識碼： A
DOI： 10.19358/j.issn.2096-5133.2022.06.002
引用格式：王晨，張迪明，韓斌. 基于變分自編碼器和三支決策的工控入侵檢測算法[J].信息技術與網絡安全，2022，41(6)：10-17.

An industrial intrusion detection algorithm based on variational autoencoder and three-way decisions

Wang Chen，Zhang Diming，Han Bin

(School of Computer，Jiangsu University of Science and Technology，Zhenjiang 212100，China)

Abstract： In order to extract the characteristics of industrial control intrusion data set and classify malicious data more accurately, make the intrusion detection methods meet the security needs of the current industrial control network, a novel VAE-TWD algorithm based on variational auto-encoders(VAE) and three-way decisions theory(TWD) is proposed. The algorithm uses the powerful perceptive ability of variational autoencoder to reduce dimension mapping and extract feature for high-dimensional data, and then makes instant decision for normal and malicious data by using three-way decision theory, divides them into positive decision domain and negative decision domain. For the uncertain data in the boundary region, the new training set will be constructed by selecting appropriate data with different granularity features and then extended to the original data set. Then the decision-making process is repeated until the data in the decision-making domain is empty to avoid the risk of blind decision-making. The experimental results show that VAE-TWD algorithm improves feature extraction ability and classification ability of industrial control intrusion detection, is superior to the comparison algorithms in accuracy, detection rate, false positive rate, F1 score and other indicators, and effectively improves the performance of industrial control intrusion detection.

Key words : variational autoencoder；three-way decisions；feature extraction；industrial control intrusion detection

0 引言

工業控制網絡其核心是將互聯網技術同自動化控制技術相結合。隨著工業化的推進，雖然越來越多的網絡模塊和控制器優化了工控系統并提升了生產效率，但是高度復雜的工控系統同樣增加了其暴露高危漏洞的風險[1]。如今，工控安全是網絡安全領域亟待解決的熱點問題。

在工控安全的研究領域中，學者們針對不同的工業生產環境，設計出了不同的入侵檢測算法模型。趙智陽等人[2]提出了一種基于卷積神經網絡的電網工控系統入侵檢測算法，在神經網絡結構中加入級聯卷積層提升了特征提取能力。莊衛金等人[3]提出了基于特征提取的電力工控系統入侵檢測方法，通過堆疊稀疏編碼器并在訓練過程中引入遷移學習進行參數優化，提升了對數據關鍵特征提取的能力。Shang等人[4]通過一類支持向量機(One-Class Support Vector Machine，OCSVM)概念建立正常的通信行為模型，并設計粒子群優化算法對OCSVM模型參數進行優化，設計了工控系統中基于OCSVM的入侵檢測算法。Liu等人[5]使用兩級檢測結構，結合CNN特征提取來構建入侵檢測的正常狀態過程轉移模型，提出了一種基于CNN和過程狀態轉換的工業控制系統入侵檢測算法。Brugman等人[6]通過使用軟件定義網絡將流量路由到云，以使用網絡功能虛擬化進行檢查，提出了一種使用軟件定義網絡的基于云的工控入侵檢測方法。根據上述研究成果可以得到，大多數算法模型關注到了特征提取對于工控入侵檢測的重要意義，并通過相應的特征提取方法進行了實驗，取得了相應的成果。但依然存在一定的局限性：

(1)對于特征提取部分仍然有提升的空間，例如對于級聯卷積層的加入難以避免運算成本大和過擬合風險；對于堆疊稀疏編碼器的應用，編碼器只是單一地表征不同數據在隱空間的特質而忽視了其概率分布。

(2)多數算法模型的核心設計在于如何更好地進行特征提取，而忽視提取特征后的樣本分類步驟，大多采用傳統的二支決策分類器進行分類，存在盲目決策的風險。

針對上述問題，本文提出了一種基于變分自編碼器(Variational Autoencoder，VAE)和三支決策(Three-way Decisions，TWD)的工業控制網絡入侵檢測算法(VAE-TWD)。該算法利用深度學習中的變分自編碼器理論[7]，先針對輸入數據的密集表征進行學習和編碼，通過屬性映射，在降低輸入數據的同時進行特征提取。在訓練過程中，成本函數迫使編碼在隱空間內移動。然后在由均值和標準差生成的高斯分布中隨機采樣，并使用解碼器解碼成重構數據。訓練完成后，編碼器生成的數據即是降維后的特征。最后基于三支決策理論[8]對決策域中由于暫時信息不足而無法決策的數據進行延時決策，當獲得更多粒度特征后再進行決策。三支決策理論極大程度上彌補了傳統的二支決策中容錯能力差，且不能依靠特征粒度的信息來對網絡數據行為做出動態決策的缺點。

本文詳細內容請下載：http://www.viuna.cn/resource/share/2000004528

作者信息：

王晨，張迪明，韓斌

(江蘇科技大學計算機學院，江蘇鎮江212100)

微信圖片_20210517164139.jpg

原創聲明：此內容為AET網站原創，未經授權禁止轉載。

相關內容