文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.06.002
引用格式: 王晨,,張迪明,韓斌. 基于變分自編碼器和三支決策的工控入侵檢測算法[J].信息技術(shù)與網(wǎng)絡安全,,2022,,41(6):10-17.
0 引言
工業(yè)控制網(wǎng)絡其核心是將互聯(lián)網(wǎng)技術(shù)同自動化控制技術(shù)相結(jié)合,。隨著工業(yè)化的推進,雖然越來越多的網(wǎng)絡模塊和控制器優(yōu)化了工控系統(tǒng)并提升了生產(chǎn)效率,,但是高度復雜的工控系統(tǒng)同樣增加了其暴露高危漏洞的風險[1],。如今,工控安全是網(wǎng)絡安全領域亟待解決的熱點問題,。
在工控安全的研究領域中,,學者們針對不同的工業(yè)生產(chǎn)環(huán)境,設計出了不同的入侵檢測算法模型,。趙智陽等人[2]提出了一種基于卷積神經(jīng)網(wǎng)絡的電網(wǎng)工控系統(tǒng)入侵檢測算法,,在神經(jīng)網(wǎng)絡結(jié)構(gòu)中加入級聯(lián)卷積層提升了特征提取能力。莊衛(wèi)金等人[3]提出了基于特征提取的電力工控系統(tǒng)入侵檢測方法,,通過堆疊稀疏編碼器并在訓練過程中引入遷移學習進行參數(shù)優(yōu)化,,提升了對數(shù)據(jù)關(guān)鍵特征提取的能力。Shang等人[4]通過一類支持向量機(One-Class Support Vector Machine,OCSVM)概念建立正常的通信行為模型,,并設計粒子群優(yōu)化算法對OCSVM模型參數(shù)進行優(yōu)化,,設計了工控系統(tǒng)中基于OCSVM的入侵檢測算法。Liu等人[5]使用兩級檢測結(jié)構(gòu),,結(jié)合CNN特征提取來構(gòu)建入侵檢測的正常狀態(tài)過程轉(zhuǎn)移模型,,提出了一種基于CNN和過程狀態(tài)轉(zhuǎn)換的工業(yè)控制系統(tǒng)入侵檢測算法。Brugman等人[6]通過使用軟件定義網(wǎng)絡將流量路由到云,,以使用網(wǎng)絡功能虛擬化進行檢查,,提出了一種使用軟件定義網(wǎng)絡的基于云的工控入侵檢測方法。根據(jù)上述研究成果可以得到,,大多數(shù)算法模型關(guān)注到了特征提取對于工控入侵檢測的重要意義,,并通過相應的特征提取方法進行了實驗,取得了相應的成果,。但依然存在一定的局限性:
(1)對于特征提取部分仍然有提升的空間,,例如對于級聯(lián)卷積層的加入難以避免運算成本大和過擬合風險;對于堆疊稀疏編碼器的應用,,編碼器只是單一地表征不同數(shù)據(jù)在隱空間的特質(zhì)而忽視了其概率分布,。
(2)多數(shù)算法模型的核心設計在于如何更好地進行特征提取,而忽視提取特征后的樣本分類步驟,,大多采用傳統(tǒng)的二支決策分類器進行分類,,存在盲目決策的風險。
針對上述問題,,本文提出了一種基于變分自編碼器(Variational Autoencoder,,VAE)和三支決策(Three-way Decisions,TWD)的工業(yè)控制網(wǎng)絡入侵檢測算法(VAE-TWD),。該算法利用深度學習中的變分自編碼器理論[7],,先針對輸入數(shù)據(jù)的密集表征進行學習和編碼,通過屬性映射,,在降低輸入數(shù)據(jù)的同時進行特征提取,。在訓練過程中,成本函數(shù)迫使編碼在隱空間內(nèi)移動,。然后在由均值和標準差生成的高斯分布中隨機采樣,,并使用解碼器解碼成重構(gòu)數(shù)據(jù)。訓練完成后,,編碼器生成的數(shù)據(jù)即是降維后的特征,。最后基于三支決策理論[8]對決策域中由于暫時信息不足而無法決策的數(shù)據(jù)進行延時決策,當獲得更多粒度特征后再進行決策,。三支決策理論極大程度上彌補了傳統(tǒng)的二支決策中容錯能力差,,且不能依靠特征粒度的信息來對網(wǎng)絡數(shù)據(jù)行為做出動態(tài)決策的缺點,。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000004528
作者信息:
王 晨,張迪明,,韓 斌
(江蘇科技大學 計算機學院,,江蘇 鎮(zhèn)江212100)