CN110365708B - 一种基于向量自回归模型的交换机数据异常检测方法 - Google Patents

Abstract

本发明公开一种基于向量自回归模型的交换机数据异常检测方法，涉及通信处理技术领域。针对现有异常检测方法存在弊端，采用技术方案包括：实时获取交换机中登录用户的操作行为数据，存储于数据集；对数据集包含的操作行为数据进行图映射，转化为有符号图；针对有符号图，引入带有向量自回归模型的算法进行异常检测，利用格兰杰因果关系进行分析；依据分析结果，识别有符号图中的异常点，确定用户的操作属于攻击行为；锁定该用户，将锁定结果反馈给交换机控制部分，交换机控制部分取消该用户的操作权限，并采取反制裁措施。本方法可以提前发现操作的不当行为，避免错误识别正常用户，有针对性地填补了工业互联网中的安全漏洞。

Description

一种基于向量自回归模型的交换机数据异常检测方法

技术领域

本发明涉及通信处理技术领域，具体的说是一种基于向量自回归模型的交换机数据异常检测方法。

背景技术

工业交换机是应用于工业控制领域的以太网交换机设备，由于采用的网络标准，使用的是透明而统一的TCP/IP协议，以太网已经成为工业控制领域的主要通信标准。

在信息安全领域，部署了工业以太网交换机的工厂、炼油厂、港口和其他工业组织非常容易受到黑客的网络攻击。工业交换机中存在一些漏洞，可能会允许个人恶意访问网络，控制整个组织的网络甚至是对工业设施造成致命危害。

异常检测指的是通过数据挖掘手段识别数据中的“异常点”，常见的使用案例包括风控领域、网络通信领域发现异常信息流、机械加工领域识别未达标产品等等。

从数据挖掘角度看，常见的异常检测算法可以被粗略归类为概率与极值分析、线性模型、相似度模型、决策树集成、基于SVM的方法、基于神经网络的方法等各种算法，但很少有方法是专门针对动态图形的频谱分析来实现异常检测的技术。现有异常检测方法存在弊端：如果利用统计建模的方法来分析与时间序列相关联的底层架构，那么每一项任务都只能推导出单一时间点上的数据分析；另外，现有异常检测方法缺乏分析引发异常值内在和(或)外在原因的能力。

向量自回归模型简称VAR模型，是一种常用的计量经济模型，1980年由克里斯托弗·西姆斯(Christopher Sims)提出。向量自回归模型是用模型中所有当期变量对所有变量的若干滞后变量进行回归。向量自回归模型用来估计联合内生变量的动态关系，而不带有任何事先约束条件。它是AR模型的推广，此模型目前已得到广泛应用。

格兰杰(Granger)于1969年提出了一种基于“预测”的因果关系(格兰杰因果关系)，格兰杰因果检验作为一种计量方法已经被经济学家们普遍接受并广泛使用，简单来说它通过比较“已知上一时刻所有信息，这一时刻X的概率分布情况”和“已知上一时刻除Y以外的所有信息，这一时刻X的概率分布情况”，来判断Y对X是否存在因果关系。

发明内容

本发明针对目前技术发展的需求和不足之处，提供一种基于向量自回归模型的交换机数据异常检测方法，该方法利用向量自回归模型来识别所采集用户数据是否存在异常，从而大幅度降低工业交换机被黑客入侵的可能。

本发明的一种基于向量自回归模型的交换机数据异常检测方法，解决上述技术问题采用的技术方案如下：

一种基于向量自回归模型的交换机数据异常检测方法，该检测方法包括如下步骤：

步骤一、实时获取交换机中登录用户的操作行为数据，存储于数据集；

步骤二、对数据集包含的操作行为数据进行图映射，转化为有符号图；

步骤三、针对有符号图，引入带有向量自回归模型的算法进行异常检测，利用格兰杰因果关系进行分析；

步骤四、依据分析结果，识别有符号图中的异常点，确定用户的操作属于攻击行为；

步骤五、锁定该用户，将锁定结果反馈给交换机控制部分，交换机控制部分取消该用户的操作权限，并采取反制裁措施。

在步骤二中，对数据集包含的操作行为数据进行图映射，转化为有符号图，具体操作为：

1)将数据集包含的操作行为数据转化为一系列时间维度下的有符号图G_t，其中t＝1,2,…,T，此时，每一个有符号图都被视作是数据在时间点t下的映射；

2)将每一个在时间点t下的映射看作是前一个时间点t-1下的变动，与其相关联的邻接矩阵可以写成A_t＝A_t-1+E_t，其中，Et就是两个映射Gt-1和Gt的变动；

3)将数据集包含的操作行为数据作为用户正常行为的假设概率模型下的预期统计数据，当变动Et包含偏离正常行为的假设概率模型下的预期统计数据时，捕获该用户的这一操作行为数据并视为可疑事件，将视为可疑事件的操作行为数据输入带有向量自回归模型的算法。

在步骤三中，针对有符号图，引入带有向量自回归模型的算法进行异常检测，利用格兰杰因果关系进行分析，具体执行步骤包括：

Ⅰ)首先，根据数据集包含的操作行为数据，对每个映射位置的频谱坐标计算节点进行非随机性度量；

Ⅱ)其次，对每个目标节点，把所选择的临近点合并到向量自回归模型中；

Ⅲ)最后，用格兰杰因果关系来分析每个节点的非随机性时间序列，并逐步反向消除格兰杰因果关系。

在阶段1)中，对每个映射位置的频谱坐标计算节点进行非随机性度量的具体操作为：

1)计算每个网络中所有单个节点的非随机性；

2)从目标节点的临近节点集中删除未与目标节点协作的节点；

3)为每个节点建立向量自回归模型，并评估其格兰杰因果关系；

4)最终输入两个单元阵列，这两个单元阵列包括所有节点的向量自回归模型的参数，所述参数是基于格兰杰因果关系分析得到的。

在阶段II)中，对每个目标节点，把所选择的临近点合并到向量自回归模型中，具体操作为：

1)设w是一个节点，Γ(w)是有符号图中w的相邻节点，调整后的节点非随机行度量是

，

其中R(w，u)是边缘非随机性，A是向量自回归模型可观察到最近的邻接矩阵；

2)在动态OSN设置下，节点及其相关节点的过去行为合并到向量自回归模型中，从而通过数据集所包含操作行为数据的多个映射来研究异常活动的影响，并进一步提供对时间维度的分析。

对于给定的节点w，其具有一系列基于映射的可供观察的非随机性度量节点，观察到的值可能会根据节点或相邻节点的行为有所改变；通过将任何节点集的时间序列配置到向量自回归模型中，可以识别个体异常性度量之间的因果关系和依赖关系。

在阶段III)中，用格兰杰因果关系来分析每个节点的非随机性时间序列，并逐步反向消除格兰杰因果关系，具体实现步骤包括：

步骤1：带有向量自回归模型的算法采用二进制限制矩阵

并删除对应零位置的变量，rVAR(P)模型的矢量形式是：

其中，

二进制限制矩阵

是表示所需节点链接的任何矩阵链接；

A是向量自回归模型可观察到最近的邻接矩阵，用作是P∈(1，…，P)中的F_ps；

步骤2：在对每个节点和相邻节点进行rVAR模型拟合之后，分析其异常测量的依赖性和偶然关系。

步骤2-1：采用格兰杰因果检验验证通过添加额外的解释变量是否可以更好地解释当前的响应变量，对于模型：

y_t＝αy_t-1+ε_t

y_t＝αy_t-1+βx_t-1+ε_t，

假设H₀：β＝0，H₁：β≠0用于进行相互验证；

格兰杰因果检验是一种F检验，对于F检验来说：

其中，RSS₁和p_i分别是残差平方和模型i的参数个数；

a)如果假设成立，那么则具有(p₂-p1，T-1-p₂)自由度的F分布；

b)进一步，当H₁成立时，这只是暗示X_t-1“格兰杰导致”Y_t，这表示它有助于预测Y_t，但它并不认为X_t-1导致Y_t。

步骤2-2：在a)、b)两种情况下，使用模型

y_t＝αy_t-1+ε_t

y_t＝αy_t-₁+βx_t-1+ε_t，

逐个测试每个变量的滞后项，并在每个滞后项为每个节点提供更具体的因果分析；

步骤2-3：根据因果分析的结果，确定每个节点异常测量的内源性和外源性的原因，进而区分节点本身是否异常，或者区分节点本身是由相邻节点的行为所引起的异常。

本发明的一种基于向量自回归模型的交换机数据异常检测方法，与现有技术相比具有的有益效果是：

本发明引入带有向量自回归模型的算法来检测工业交换机数据受到的异常攻击，量化节点异常，提出使用逐步反向消除格兰杰随机性的方法来分析所使用向量自回归模型的节点活动的偶然关系，通过量化节点活动随机性到节点非随机性度量并分析得到的时间序列数据，以识别不同的用户操作活动，对避免工业交换机被黑客攻击起到了很好的预防作用，通过检测交换机登陆用户操作行为的异常性，提前发现操作的不当行为，避免错误识别正常用户，有针对性地填补了工业互联网中的安全漏洞，可以大幅度降低被攻击后采用相关手段进行弥补所造成的严重损失。

附图说明

附图1是本发明的方法流程图。

具体实施方式

为使本发明的技术方案、解决的技术问题和技术效果更加清楚明白，以下结合具体实施例，对本发明的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。

实施例一：

结合附图1，本实施例提出一种基于向量自回归模型的交换机数据异常检测方法，该检测方法包括如下步骤：

S10、实时获取交换机中登录用户的操作行为数据，存储于数据集。

S20、对数据集包含的操作行为数据进行图映射，转化为有符号图，其具体执行过程包括：

S21、将数据集包含的操作行为数据转化为一系列时间维度下的有符号图G_t，其中t＝1,2,…,T，此时，每一个有符号图都被视作是数据在时间点t下的映射；

S22、将每一个在时间点t下的映射看作是前一个时间点t-1下的变动，与其相关联的邻接矩阵可以写成A_t＝A_t-1+E_t，其中，Et就是两个映射Gt-1和Gt的变动；

S23、将数据集包含的操作行为数据作为用户正常行为的假设概率模型下的预期统计数据，当变动Et包含偏离正常行为的假设概率模型下的预期统计数据时，捕获该用户的这一操作行为数据并视为可疑事件，将视为可疑事件的操作行为数据输入带有向量自回归模型的算法。

S30、针对有符号图，引入带有向量自回归模型的算法进行异常检测，利用格兰杰因果关系进行分析，具体执行步骤包括：

S31)首先，根据数据集包含的操作行为数据，对每个映射位置的频谱坐标计算节点进行非随机性度量；

S32)其次，对每个目标节点，把所选择的临近点合并到向量自回归模型中；

S33)最后，用格兰杰因果关系来分析每个节点的非随机性时间序列，并逐步反向消除格兰杰因果关系。

在S31中，对每个映射位置的频谱坐标计算节点进行非随机性度量的具体操作为：

S31-1)计算每个网络中所有单个节点的非随机性；

S31-2)从目标节点的临近节点集中删除未与目标节点协作的节点；

S31-3)为每个节点建立向量自回归模型，并评估其格兰杰因果关系；

S31-4)最终输入两个单元阵列，这两个单元阵列包括所有节点的向量自回归模型的参数，所述参数是基于格兰杰因果关系分析得到的。

在S32)中，对每个目标节点，把所选择的临近点合并到向量自回归模型中，具体操作为：

S32-1)设w是一个节点，Γ(w)是有符号图中w的相邻节点，调整后的节点非随机行度量是

，

其中R(w，u)是边缘非随机性，A是向量自回归模型可观察到最近的邻接矩阵；

S32-2)在动态OSN设置下，节点及其相关节点的过去行为合并到向量自回归模型中，从而通过数据集所包含操作行为数据的多个映射来研究异常活动的影响，并进一步提供对时间维度的分析。

针对前述设定的节点w，其具有一系列基于映射的可供观察的非随机性度量节点，观察到的值可能会根据节点或相邻节点的行为有所改变；通过将任何节点集的时间序列配置到向量自回归模型中，可以识别个体异常性度量之间的因果关系和依赖关系。

在S33中，用格兰杰因果关系来分析每个节点的非随机性时间序列，并逐步反向消除格兰杰因果关系，具体实现步骤包括：

S33-1：带有向量自回归模型的算法采用二进制限制矩阵

并删除对应零位置的变量，rVAR(P)模型的矢量形式是：

其中，

二进制限制矩阵

是表示所需节点链接的任何矩阵链接；

A是向量自回归模型可观察到最近的邻接矩阵，用作是P∈(1，…，P)中的r_ps。

S33-2：在对每个节点和相邻节点进行rVAR模型拟合之后，分析其异常测量的依赖性和偶然关系。

S33-2-1：采用格兰杰因果检验验证通过添加额外的解释变量是否可以更好地解释当前的响应变量，对于模型：

y_t＝αy_t-1+ε_t

y_t＝αy_t-1+βx_t-1+ε_t，

假设H₀：β＝0，H₁：β≠0用于进行相互验证；

格兰杰因果检验是一种F检验，对于F检验来说：

其中，RSS₁和p_i分别是残差平方和模型i的参数个数；

a)如果假设成立，那么则具有(p₂-p1，T-1-p₂)自由度的F分布；

b)进一步，当H₁成立时，这只是暗示X_t-1“格兰杰导致”Y_t，这表示它有助于预测Y_t，但它并不认为X_t-1导致Y_t。

S33-2-2：在a)、b)两种情况下，使用模型

y_t＝αy_t-1+ε_t

y_t＝αy_t-1+βx_t-1+ε_t，

逐个测试每个变量的滞后项，并在每个滞后项为每个节点提供更具体的因果分析；

S33-2-3：根据因果分析的结果，确定每个节点异常测量的内源性和外源性的原因，进而区分节点本身是否异常，或者区分节点本身是由相邻节点的行为所引起的异常。

S40、依据分析结果，识别有符号图中的异常点，确定用户的操作属于攻击行为；

S50、锁定该用户，将锁定结果反馈给交换机控制部分，交换机控制部分取消该用户的操作权限，并采取反制裁措施。

综上可知，采用本发明的一种基于向量自回归模型的交换机数据异常检测方法，通过检测交换机登陆用户操作行为的异常性，可以提前发现操作的不当行为，避免错误识别正常用户，并进一步有针对性地填补了工业互联网中的安全漏洞，还可以大幅度降低被攻击后采用相关手段进行弥补所造成的严重损失。

以上应用具体个例对本发明的原理及实施方式进行了详细阐述，这些实施例只是用于帮助理解本发明的核心技术内容，并不用于限制本发明的保护范围。基于本发明的上述具体实施例，本技术领域的技术人员在不脱离本发明原理的前提下，对本发明所作出的任何改进和修饰，皆应落入本发明的专利保护范围。

Claims (6)

1.一种基于向量自回归模型的交换机数据异常检测方法，其特征在于,该检测方法包括如下步骤：

步骤一、实时获取交换机中登录用户的操作行为数据，存储于数据集；

步骤二、对数据集包含的操作行为数据进行图映射，转化为有符号图，具体操作为：

1)将数据集包含的操作行为数据转化为一系列时间维度下的有符号图G_t，其中t＝1,2,…,T，此时，每一个有符号图都被视作是数据在时间点t下的映射，

2)将每一个在时间点t下的映射看作是前一个时间点t-1下的变动，与其相关联的邻接矩阵可以写成A_t＝A_t-1+E_t，其中，Et就是两个映射Gt-1和Gt的变动，

3)将数据集包含的操作行为数据作为用户正常行为的假设概率模型下的预期统计数据，当变动Et包含偏离正常行为的假设概率模型下的预期统计数据时，捕获该用户的这一操作行为数据并视为可疑事件，将视为可疑事件的操作行为数据输入带有向量自回归模型的算法；

步骤三、针对有符号图，引入带有向量自回归模型的算法进行异常检测，利用格兰杰因果关系进行分析，具体执行步骤包括：

Ⅰ)首先，根据数据集包含的操作行为数据，对每个映射位置的频谱坐标计算节点进行非随机性度量，

Ⅱ)其次，对每个目标节点，把所选择的临近点合并到向量自回归模型中，

Ⅲ)最后，用格兰杰因果关系来分析每个节点的非随机性时间序列，并逐步反向消除格兰杰因果关系；

步骤四、依据分析结果，识别有符号图中的异常点，确定用户的操作属于攻击行为；

步骤五、锁定该用户，将锁定结果反馈给交换机控制部分，交换机控制部分取消该用户的操作权限，并采取反制裁措施。

2.根据权利要求1所述的一种基于向量自回归模型的交换机数据异常检测方法，其特征在于，在阶段1)中，对每个映射位置的频谱坐标计算节点进行非随机性度量的具体操作为：

1)计算每个网络中所有单个节点的非随机性；

2)从目标节点的临近节点集中删除未与目标节点协作的节点；

3)为每个节点建立向量自回归模型，并评估其格兰杰因果关系；

4)最终输入两个单元阵列，这两个单元阵列包括所有节点的向量自回归模型的参数，所述参数是基于格兰杰因果关系分析得到的。

3.根据权利要求2所述的一种基于向量自回归模型的交换机数据异常检测方法，其特征在于，在阶段Ⅱ)中，对每个目标节点，把所选择的临近点合并到向量自回归模型中，具体操作为：

1)设w是一个节点，Γ(w)是有符号图中w的相邻节点，调整后的节点非随机行度量是

，

其中R(w,u)是边缘非随机性，A是向量自回归模型可观察到最近的邻接矩阵；

2)在动态OSN设置下，节点及其相关节点的过去行为合并到向量自回归模型中，从而通过数据集所包含操作行为数据的多个映射来研究异常活动的影响，并进一步提供对时间维度的分析。

4.根据权利要求3所述的一种基于向量自回归模型的交换机数据异常检测方法，其特征在于，对于给定的节点w，其具有一系列基于映射的可供观察的非随机性度量节点，观察到的值可能会根据节点或相邻节点的行为有所改变；通过将任何节点集的时间序列配置到向量自回归模型中，可以识别个体异常性度量之间的因果关系和依赖关系。

5.根据权利要求3所述的一种基于向量自回归模型的交换机数据异常检测方法，其特征在于，在阶段Ⅲ)中，用格兰杰因果关系来分析每个节点的非随机性时间序列，并逐步反向消除格兰杰因果关系，具体实现步骤包括：

步骤1：带有向量自回归模型的算法采用二进制限制矩阵

并删除对应零位置的变量，rVAR(P)模型的矢量形式是：

其中，

二进制限制矩阵

是表示所需节点链接的任何矩阵链接；

A是向量自回归模型可观察到最近的邻接矩阵，用作是P∈(1,…，P)中的r_ps；

步骤2：在对每个节点和相邻节点进行rVAR模型拟合之后，分析其异常测量的依赖性和偶然关系。

6.根据权利要求5所述的一种基于向量自回归模型的交换机数据异常检测方法，其特征在于，所述步骤2又包括：

步骤2-1：采用格兰杰因果检验验证通过添加额外的解释变量是否可以更好地解释当前的响应变量，对于模型：

y_t＝αy_t-1+ε_t

y_t＝αy_t-1+βx_t-1+ε_t，

假设H₀：β＝0,H₁：β≠0用于进行相互验证；

格兰杰因果检验是一种F检验，对于F检验来说：

其中，RSS₁和p_i分别是残差平方和模型i的参数个数；

a)如果假设成立，那么则具有(p₂-p1,T-1-p₂)自由度的F分布；

b)进一步，当H₁成立时，这只是暗示X_t-1“格兰杰导致”Y_t，这表示它有助于预测Y_t，但它并不认为X_t-1导致Y_t。

步骤2-2：在a)、b)两种情况下，使用模型

y_t＝αy_t-1+ε_t

y_t＝αy_t-1+βx_t-1+ε_t，

逐个测试每个变量的滞后项，并在每个滞后项为每个节点提供更具体的因果分析；

步骤2-3：根据因果分析的结果，确定每个节点异常测量的内源性和外源性的原因，进而区分节点本身是否异常，或者区分节点本身是由相邻节点的行为所引起的异常。

Images