CN111222133A

CN111222133A - 一种工控网络入侵检测的多级自适应耦合方法

Info

Publication number: CN111222133A
Application number: CN201911117508.9A
Authority: CN
Inventors: 陈万志; 刘天骄; 唐雨; 徐东升; 李东哲
Original assignee: Liaoning Technical University
Current assignee: Liaoning Technical University
Priority date: 2019-11-14
Filing date: 2019-11-14
Publication date: 2020-06-02

Abstract

本发明提供了一种工控网络入侵检测的多级自适应耦合方法，涉及工业控制网络安全技术领域，包括以下步骤，基于白名单技术过滤数据包中与规则库不匹配的通信行为；基于深度学习方法进行离线训练、构建分类器，实现异常通信行为的在线实时检测；本方法适用于处理海量高维的入侵检测数据；能够较好的解决样本非平衡分类问题；对于未知类型攻击具有相当的应对能力，增强检测模型泛化能力，有效降低漏报率，尤其明显提升了系统对分布稀疏的少数类入侵攻击的检测能力；采用自适应耦合方法离线构建分类器，弥补了单一检测方法的不足和盲目性。

Description

一种工控网络入侵检测的多级自适应耦合方法

技术领域

本发明涉及工业控制网络安全技术领域，尤其是涉及一种工控网络入侵检测的多级自适应耦合方法。

背景技术

工业控制系统(Industrial Control System，ICS)，是用于监控工业生产过程、收集关键生产数据的一类控制与采集系统，它被广泛应用于自动控制中。特别的，工业控制网络在先进制造以及工业通信领域具有关键性作用，它能够允许用户对工业生产进行远程监控，并且为分散的工业生产控制以及监控设施提供远程访问和控制。目前，中国大部分关键基础设施(涉及电力、石化、制造等)均通过工业控制系统和工业控制网络进行生产过程监控。可以说，工业控制系统的安全性对工业生产具有重大意义。

传统意义上，工业控制系统及其组态网络对外界隔离，不受传统IT网络漏洞和病毒的影响。随着信息化技术的提升，ICS也产生了连接IT网络、进行数据交互的需求。但是传统工业控制网络缺乏类似IT网络中成熟的网络安全技术，对于网络的恶意行为无法实施有效的防护。另外，工业控制网络与控制生产的关键设备相连，一旦遭受攻击，产生的危害将会十分严重，不仅仅破坏工业生产过程，甚至会危及人员的生命安全。

入侵检测系统(Intrusion Detection System，IDS)是针对于计算机的监视系统，是在防火墙之后又一道网络安全保护屏障。传统的入侵检测系统是基于误用检测的模式匹配检测系统，通过广泛收集入侵或攻击信息同规则模式数据库中已知的信息进行对比，匹配成功则给予预警反馈，显然该种方式缺乏对新型攻击的抵御能力。近年来，基于混合模式的检测深受研究领域的关注，该类检测不仅对现有系统的攻击类型进行分析，又能够观察可疑的新型入侵或攻击数据，具有积极的主动学习能力，被业界称为“启发式检测”。

平衡数据集指待统计分析的数据中，不同类别数据分布比例近似相同。若不同类别间数据量差别太大，某些少数类样本数量稀少，该类数据集被称为非平衡数据集。针对入侵检测系统，某些特定攻击或入侵出现频率很低，是检测过程中的少数行为，直接在此类数据集上训练学习算法，少数重要攻击类型数据不足，将直接导致入侵检测系统的漏检率升高，严重威胁系统安全，显然此种方式并不可取。在实际的检测过程中，代表少数类的入侵数据携带更多的信息点，同时更具分析研究价值。

当前，针对非平衡数据分类的解决办法分为两类：基于算法层面的方法、基于数据层面的方法。

1)算法层面的解决方法：通过改进算法的训练过程或选用多种集成训练方法，主要包括集成学习方法、代价敏感学习方法。

2)基于数据层面的方法：通过采样方法平衡数据样本分布，具体方式包括过采样和欠采样。在实现方式上，采样算法可分为随机过(欠)采样和启发式过(欠)采样。

作为研究热点，入侵检测研究领域学者提出了多种基于深度学习的检测模型，现有入侵检测模型存在的问题：海量高维数据环境下检测效果差，模型自适应能力差，数据不平衡问题。目前，基于深度学习的工控网络入侵检测研究处于起步阶段，深度学习通过其深层结构对数据特征充分学习，在分析海量高维数据时表现优秀，适宜处理稠密复杂的入侵检测数据集，将深度学习应用到工业控制系统网络入侵检测中，在实践场景中有较高探索价值和实用价值。

发明内容

本发明的目的在于提供一种工控网络入侵检测的多级自适应耦合方法，以解决现有技术中海量高维数据环境下检测效果差，模型自适应能力差，数据不平衡问题的不足，适用于处理海量高维的入侵检测数据，能够较好的解决样本非平衡分类问题，对于未知类型攻击具有相当的应对能力，有效降低漏报率，尤其明显提升了系统对分布稀疏的少数类入侵攻击的检测能力；本发明提供的诸多技术方案中的优选技术方案所能产生的诸多技术效果详见下文阐述。

为实现上述目的，本发明提供了以下技术方案：

本发明提供的一种工控网络入侵检测的多级自适应耦合方法，包括以下步骤，

步骤1：基于白名单技术过滤数据包中与规则库不匹配的通信行为；

步骤2：基于深度学习方法进行离线训练、构建分类器，实现异常通信行为的在线实时检测。

进一步，步骤1中，白名单技术过滤将提取的数据包特征信息与白名单规则库进行匹配，如果匹配成功视为安全信息则放行；否则进行异常提醒。

进一步，步骤2包括以下步骤，

步骤2.1：针对步骤1得到的数据信息进行数据预处理；

步骤2.2：神经网络模型及SDA，改进堆叠式降噪自编码器特征降维；

步骤2.3：基于深度学习的分类器构建；

步骤2.4：在线实时检测。

进一步，步骤2.1中，数据预处理首先进行数据集的高维映射，然后将数据标签进行one-hot编码；再将高维映射后的数据集进行归一化处理；最后依据已处理的数据集实际工业现场特性和协议特点判定是否进行ADASYN自适应综合过采样算法处理。

进一步，步骤2.2中，首先使用Dropout正则化与Adam优化算法对神经网络进行改进，针对其隐层层数、节点数进行设计；然后进行神经网络模型的预训练、权值微调；最后用堆叠式降噪自编码器对预处理数据集进行集成式特征提取。

进一步，步骤2.3中，将降维处理后的数据作为AMPSO-SVM-K-means++算法和GSA-AFSA-ELM两种算法的学习样本，依据网络通信数据的特征不同，采用自适应耦合方法训练样本数据，建立入侵检测模型；自适应耦合处理以样本数据中各个类别属性在该数据集中所占的百分比为判断依据；其中，AMPSO-SVM-K-means++算法用于小样本数据集，GSA-AFSA-ELM算法用于大样本数据集。

进一步，步骤2.3包括以下步骤，

步骤2.3.1：构建AMPSO-SVM-K-means++算法模型；

步骤2.3.2：构建GSA-AFSA-ELM神经网络模型；

步骤2.3.3：依据训练样本数据中各个类别属性在该数据集中所占的百分比，判别执行方法。

进一步，步骤2.3.1实现的具体过程为，首先初始化粒子群算法的参数，其次设定优化核函数和惩罚参数，进行SVM模型训练，然后判断是否达到最大迭代次数或目标精度，

若未达到，则计算适应度值，设置变异因子和变异操作，重新设定优化核函数和惩罚参数，重复SVM模型训练，循环上述步骤，直到达到最大迭代次数或目标精度；

若达到，则依次经过优化的SVM算法和K-means++算法，最后输出网络通信数据的预测值。

进一步，步骤2.3.2实现的具体过程为，首先初始化鱼群算法的参数以及公告板，依次进行改进的聚群行为、追尾行为、改进的觅食行为然后更新公告板，再判断是否达到最大迭代次数或目标精度，

若未达到，则重复进行改进的聚群行为、追尾行为、改进的觅食行为以及更新公告板，直到达到最大迭代次数或目标精度；

若达到，则将公告板上的权值和阈值带入ELM中训练，最后输出网络通信数据的预测值。

进一步，步骤2.3.3实现的具体过程为，经过步骤2.1及步骤2.2处理后的样本数据，依据各个类别属性在该数据集中所占的百分比，判别执行AMPSO-SVM-K-means++算法还是GSA-AFSA-ELM算法，若其类别属性在该数据集中所占的百分比小于设定阈值，则执行AMPSO-SVM-K-means++算法，否则执行GSA-AFSA-ELM算法。

进一步，步骤2.4中，离线训练得到的分类器模型作为在线检测过滤器，实现网络通信实时数据的在线异常检测，同时依据检测结果更新白名单规则库，实现人工手动增删和自动批量更新白名单规则库。

进一步，步骤2.2中，利用堆叠降噪自编码器进行权值微调，使用反向传播算法对深度网络模型进行有监督的权值微调，将原始数据与重构数据之间的重构误差降低至最小。采用Dropout正则化与Adam优化算法对神经网络进行改进的具体方法是，Adam优化算法步骤如下：首先，计算参数梯度值g；其次，计算矩估计m_t和v_t；最后，更新参数θ。Dropout正则化算法步骤如下：首先，随机删除网络中的一些隐藏神经元，保持输入输出神经元不变；其次，将输入通过修改后的网络进行前向传播，然后将误差通过修改后的网络进行反向传播。Dropout训练阶段与测试阶段是不同的，训练阶段：在训练阶段的神经元以概率p出现，并连接下一层权重为w的神经元单位。测试阶段：在测试阶段要求当前神经元单元并且其权重乘以p，测试阶段的输出与训练阶段的预测输出相同。

采用Dropout正则化与Adam优化算法对堆叠式降噪自编码器进行模型改进。将Adam自适应矩阵估计算法应用于深度自编码器的训练，更新神经网络的权重，能够适应性地改变学习率，缩短神经网络收敛时间，避免出现局部最优现象。采用Dropout正则化，在训练神经网络过程中随机丢弃神经元单位防止相邻神经元产生协同性特征，进而有效避免深度网络模型出现过拟合现象。

本发明提供的一种工控网络入侵检测的多级自适应耦合方法，其有益效果为：

本方法基于工业控制系统海量高维度数据特征，采用Dropout正则化与Adam优化算法对神经网络进行改进，实现海量高维数据到低维鲁棒性数据的特征重构的同时，降低深度学习网络的收敛时间，避免深度模型过拟合问题以及易陷入局部最优问题。并通过自适应耦合方法离线构建分类器，弥补了单一检测方法的不足和盲目性。实验结果表明，本方法适用于处理海量高维的入侵检测数据；能够较好的解决样本非平衡分类问题；对于未知类型攻击具有相当的应对能力，增强检测模型泛化能力，有效降低漏报率，尤其明显提升了对分布稀疏的少数类入侵攻击的检测能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实例中的实验目标工控网络拓扑图；

图2是本发明实例的工控网络入侵检测的多级自适应耦合方法的总体框图；

图3是本发明实例中的ADASYN过采样流程图；

图4是本发明实例中的SDA模型预训练与权值微调过程图；

图5是本发明实例中的自适应耦合处理过程的详细流程图；

图6是本发明实例中KDD CUP99检测率对比实验结果图；

图7是本发明实例中KDD CUP99误报率对比实验结果图；

图8是本发明实例中Gas Pipeline检测率对比实验结果图；

图9是本发明实例中Gas Pipeline误报率对比实验结果图；

图10是本发明实例中工业现场数据集适应度方差对比实验结果图；

图11是本发明实例中工业现场数据集适应度方差对比实验结果图；

图12是本发明实例中工业现场数据集检测率对比实验结果图；

图13是本发明实例中工业现场数据集误报率对比实验结果图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。

作为可选地实施方式，

实施例1：

本方法利用白名单技术一次过滤不符合白名单规则库的通信行为，其次，通过神经网络样本训练学习的结果二次过滤白名单信任通信行为中的异常通信；利用神经网络提升在信息不完备情况下的检测率，且根据神经网络检测结果不断完善白名单规则库，提高跨网异常通信检测，该实例选取KDD Cup99数据集、Gas Pipeline数据集、工业现场数据集对本发明进行说明，实验的硬件环境为DELL R610服务器，16GB内存，软件环境为Windows操作系统，Matlab 2016a、Python3.7。应当理解，此处所描述的具体实例仅用以解释本发明，并不用于限定本发明，本发明实例中的实验目标为某风力发电的工控网络拓扑图如图1所示。

下面结合附图及具体实施例对本发明的应用原理做进一步描述，本发明实例的工控网络入侵检测的多级自适应耦合方法总体框架为两级递阶处理结构，如图2所示。

步骤1：测试数据集进行第一级处理，白名单过滤。其规则是根据工控网络通信数据特征及实际生产过程中所产生的数据特征来建立包括通信协议中规定的接口标识符、源IP地址、目的IP地址、登录客户端的用户名、域名、主机名等特征信息标签，依据每个特征标签建立一条形式化的规则，汇总得到规则集合库；检测过程中预设两种动作：Pass和Alert，Action[0]为Pass，Action[1]为Alert；Pass即数据安全，可以继续通信；Alert即数据不符合白名单规则，通信需终止，中断数据通信；通信过程中，首先对通信数据包进行解析，找到数据传输的特征信息，并与白名单中规则进行匹配，如有其中一条不匹配则发出警报，动作为Action[1]。

步骤2：处理后的测试数据集进行第二级处理，具体分为以下四步：

步骤2.1：数据预处理，数据预处理过程具体步骤如下：

(1)高维特征映射

将符号型的特征转化为二进制数字型特征，将protocol_type_dict(协议类型)3种字符类型TCP-[1，0，0]，UDP-[0，1，0]，ICMP-[0，0，1]，server_type_dict(目标主机网络类型)70种，flag_dict(连接正确或错误类型)11种，字符特征转化为数字特征，使得41维特征被映射为122维特征，采用该方法处理数据，使归一化后数据范围为[0，1]，方便进行分类处理，减少与原数据间误差。

(2)One-Hot编码

将各个小类型的字符型标签替换为五种大类型标签，五种字符型的数据标签进行One-Hot编码，过程如下：将Normal映射为1，0，0，0，0；将Probe映射为0，1，0，0，0；将Dos映射为0，0，1，0，0；将R2L映射为0，0，0，1，0；将U2R映射为0，0，0，0，1。

(3)归一化

将原始数据归一化，转化到[0，1]范围的操作称为最大最小归一化。为了数据方便处理，防止大数据对小数据的覆盖，提高模型的检测性能。x为单条数据实例的特征，X_max为该特征最大值，X_min为该特征最小值，数据归一化公式：

(4)ADASYN自适应综合过采样

依据已处理的数据集实际工业现场特性和协议特点判定是否进行ADASYN自适应综合过采样算法处理。KDD Cup99数据集中数据较平衡，不需要进行ADASYN自适应综合过采样算法处理；而工业控制网络中，正常样本与异常值数量具有明显的数据不均衡情况，因此，Gas Pipeline数据集适合进行ADASYN自适应综合过采样算法处理。

假设训练集样本D包含m个样本{x_i，y_i}，i＝1，2，3，...，m，其中xi是n维特征空间X的一个样本，y_i∈Y＝{0，1，2，3，4}是类标签，y_i＝3，4时为少数样本；y_i＝0，1，2为多数类样本。这里用m_s和m_l分别表示少数类和多数类样本的数目。因此，有m_s≤m_l，且m_s+m_l＝m。ADASYN过采样流程图如图3所示，具体步骤如下所示：

(1)计算不平衡度d＝m_s/m_l，式中d∈(0，1]。如果d＜d_th，(d_th是不平衡比率进行分类的预设阈值最大容忍度)则进行过采样处理。

(2)计算合成少数样本数：G＝(m_l-m_s)*β，式中β∈[0，1]表示加入合成样本后的不平衡度。β＝1表示加入合成样本后多数类和少数类完全平衡，G等于少数类和多数类的差值。

(3)对少数类的每个样本x_i，找出它们在n维空间的K近邻，并计算其比率r_i＝Δ_i/K，i＝1，2，…，m，式中Δ_i是x_i的K近邻中多数类的数目。因此，r_i∈(0，1]。

(4)根据下述公式正则化r_i，

则r_i的概率分布

计算每个少数类样本周围多数类的情况。

(5)根据每个少数样本x_i计算合成的样本数目g_i：

式中G是合成样本的总数。

(6)在每个待合成的少数类样本x_i周围k个邻居中选择1个多数类样本x_zi，根据下列等式进行合成，λ∈[0，1]为0至1之间的随机数：s_j＝x_i+(x_zi-x_i)*。

步骤2.2：首先使用Dropout正则化与Adam优化算法对神经网络进行改进，针对其隐层层数、节点数进行设计；其中，dropout(随机失活)是对具有深度结构的人工神经网络进行优化的方法，在学习过程中通过将隐含层的部分权重或输出随机归零，降低节点间的相互依赖性(co-dependence)从而实现神经网络的正则化(regularization)，降低其结构风险；按神经网络自身的不同结构，随机失活的实现方法有差异；对多层感知器(Multi-Layer Perceptron，MLP)，随机失活通常将选中节点的输出归零；对卷积神经网络(Convolutional Neural Network，CNN)，随机失活可以随机将卷积核的部分元素归零，即随机连接失活(drop connect)，或在多通道情形下随机归零整个特征图的通道，即空间随机失活(spatial dropout)；对循环神经网络(Recurrent Neural Network，RNN)，随机失活按网络的拓扑结构可以作用于每个时间步的输入和状态矩阵；具体实现方法根据所需要优化的神经网络结构而定；

而Adam是一种可以替代传统随机梯度下降过程的一阶优化算法，它基于训练数据迭代地更新神经网络权重，Adam优化算法的基本机制为：通过计算梯度的一阶矩估计和二阶矩估计而为不同的参数设计独立的自适应性学习率。

Adam优化算法参数设置：学习率为0.001，一阶矩估计的指数衰减率为0.9，二阶矩估计的指数衰减率为0.999，常数稳定值设置为10E-8，算法具体步骤如下：

(1)计算参数的梯度值g

输入：h_n-1与h_n损失函数，数据集的小批量m；

输出：计算参数的梯度值g；

对于i＝1，2，3，...，n，

(2)计算矩估计m_t和v_t

输入：指数衰减率β₁，β₂∈[0，1]；

输出：修正后的一阶、二阶矩阵估计m_t和v_t；

当θ_t不聚合时，m_t为有偏差一阶矩估计，v_t为有偏差二阶矩估计。

m_t＝β₁·m_t-1+(1-β₁)·g_t

其中β₁，β₂∈[0，1]为控制m_t与v_t指数衰减率。对一阶矩估计和二阶矩估计进行偏差值修正，

(3)更新参数θ

其中ε为用于数值稳定的小常数，防止寻找最优梯度时发生除零现象。当参数θ没有收敛时，循环迭代更新各个部分。

Dropout正则化参数设置为0.5，各个网络层节点的参数由逐层训练进行初始化，并且逐层加入一定概率的噪声值分别为0.7，0.4，0.4，0.2。Dropout正则化过程相当于从较大网络中对子网络进行采样与选取，并将损失函数导数在子网络进行反向传播。假设具有L层隐层结构的神经网络模型，将神经网络层数l∈{1，2，...，L}，z^(l)为l层的输入向量，y^(l)表示为l层的输出向量，w^(l)和b^(l)为l层的权重与偏置，标准神经网络前馈操作如下：

在Dropout中，神经网络的前馈操作如下：

γ⁽¹⁾～Bernoulli(p)

f为激活函数，对于任意层l，r^(l)是每个概率为1或0的独立伯努利随机向量，对该向量进行采样，并与该隐藏层输出y^(l)权值与偏置再进行点积相乘处理，得出稀疏输出

然后将稀疏输出用作下一层的输入，对之后每层均做相同处理。在测试阶段，权值被缩放为

并且不对神经网络进行Dropout正则化。

采用Dropout正则化与Adam优化算法对堆叠式降噪自编码器进行模型改进。将Adam自适应矩阵估计算法应用于深度自编码器的训练，更新神经网络的权重，能够适应性地改变学习率，缩短神经网络收敛时间，避免出现局部最优现象。采用Dropout正则化，在训练神经网络过程中随机丢弃神经元单位防止相邻神经元产生协同性特征，进而有效避免深度网络模型出现过拟合现象。基于工业控制系统海量高维度数据特征，改进后的SDA模型，实现海量高维数据到低维鲁棒性数据的特征重构。可以降低深度学习网络的收敛时间，避免深度模型过拟合问题以及易陷入局部最优问题，提高入侵检测模型的检测性能。

神经网络模型训练及SDA特征降维，SDA模型预训练与权值微调过程如图4所示，具体步骤如下：

(1)逐层预训练

进行深度网络模型的权值初始化，采用无监督逐层预训练对降噪自编码器进行逐层训练。堆叠式降噪自编码器预训练的过程中，为了实现逐层进行连接，将训练完成自编码器的隐藏层作为下一层未训练自编码器的输入层。即在每一步中我们把已经训练好的前k-1层固定，将我们训练好的前k-1层作为输入，并在网络中加入第k层神经网络。训练所得权重被用来初始化最终的深度网络权重。自编码器中通常使用无监督方法。

(2)权值微调

堆叠降噪自编码器权值微调的过程中，使用反向传播算法对深度网络模型进行有监督的权值微调，将原始数据与重构数据之间的重构误差降低至最小；其中反向传播算法又称BP算法，BP网络的输入输出关系实质上是一种映射关系：一个n输入m输出的BP神经网络所完成的功能是从n维欧氏空间向m维欧氏空间中一有限域的连续映射，这一映射具有高度非线性。它的信息处理能力来源于简单非线性函数的多次复合，因此具有很强的函数复现能力；

BP算法的学习过程由正向传播过程和反向传播过程组成，在正向传播过程中，输入信息通过输入层经隐含层，逐层处理并传向输出层；如果在输出层得不到期望的输出值，则取输出与期望的误差的平方和作为目标函数，转入反向传播，逐层求出目标函数对各神经元权值的偏导数，构成目标函数对权值向量的梯度，作为修改权值的依据，网络的学习在权值修改过程中完成；误差达到所期望值时，网络学习结束。

反向传播算法主要由两个环节(激励传播、权重更新)反复循环迭代，直到网络对输入的响应达到预定的目标范围为止，

每次迭代中的传播环节包含两步：

(前向传播阶段)将训练输入送入网络以获得激励响应；

(反向传播阶段)将激励响应同训练输入对应的目标输出求差，从而获得隐层和输出层的响应误差；

对于每个突触上的权重，按照以下步骤进行更新：

将输入激励和响应误差相乘，从而获得权重的梯度；

将这个梯度乘上一个比例并取反后加到权重上。

梯度的方向指明了误差扩大的方向，因此在更新权重的时候需要对其取反，从而减小权重引起的误差。

步骤2.3：基于深度学习的分类器构建。根据各种数据类型的样本数大小采用自适应耦合方式实现AMPSO-SVM-K-means++算法和GSA-AFSA-ELM两种算法的离线训练过程，如图5所示。将降维处理后的数据作为这两种算法的学习样本，依据网络通信数据的特征不同，采用自适应耦合方法训练样本数据，从而建立入侵检测模型，自适应耦合处理以样本数据中各个类别属性在该数据集中所占的百分比为判断依据。AMPSO-SVM-K-means++算法适用于小样本数据集，GSA-AFSA-ELM算法适用于大样本数据集。

步骤2.3.1：AMPSO-SVM-K-means++算法的具体过程为，首先初始化粒子群算法的参数，其次设定优化核函数和惩罚参数，进行SVM模型训练，然后判断是否达到最大迭代次数或目标精度，

若达到，则依次经过优化的SVM算法和K-means++算法，最后输出网络通信数据的预测值；

步骤2.3.2：GSA-AFSA-ELM算法的具体过程为，首先初始化鱼群算法的参数以及公告板，依次进行改进的聚群行为、追尾行为、改进的觅食行为然后更新公告板，再判断是否达到最大迭代次数或目标精度，

步骤2.3.3：经过步骤2.1及步骤2.2处理后的样本数据，依据各个类别属性在该数据集中所占的百分比，判别执行AMPSO-SVM-K-means++算法还是GSA-AFSA-ELM算法，若其类别属性在该数据集中所占的百分比小于设定阈值，则执行AMPSO-SVM-K-means++算法，否则执行GSA-AFSA-ELM算法。

步骤2.4：在线实时检测。离线训练得到的分类器模型作为在线检测过滤器，实现网络通信实时数据的在线异常检测，同时依据检测结果更新白名单规则库，实现人工手动增删和自动批量更新白名单规则库。

需要说明的是，本发明选取KDD Cup99数据集、Gas Pipeline数据集、工业现场数据集进行对比实验，实验性能测试主要从检测率、误报率及适应度方差几个方面进行，现本实施例实验结果展示如下。

(1)KDD Cup99数据集

值得注意的是，KDD Cup99数据集中数据较平衡，不需要进行ADASYN自适应综合过采样算法处理，提取10个主成分反映的主要原始数据特性如表1所示，输出分别为Normal数据、DoS攻击、U2R攻击、R2L攻击、Probe攻击。在对经典数据集的实验中，本文对PSO优化算法中参数选择为KDD Cup99数据集最佳学习因子c₁＝c₂＝1.39，粒子数N＝80，迭代次数Inter_Max＝50。构造3层ELM神经网络，隐含层节点数目设置为30。

表1

将本发明方法与相关原始方法(方法一：AFSA-ELM算法；方法二：PSO-SVM算法；方法三：AMPSO-SVM-K-means++算法；方法四：GSA-AFSA-ELM算法。)的检测率与误报率进行对比实验，实验结果如图6和图7所示。

(2)Gas Pipeline数据集

由于工业控制网络中，正常样本与异常值数量具有明显的数据不均衡情况，因此，Gas Pipeline数据集适合进行ADASYN自适应综合过采样算法处理。GSA-AFSA-ELM和AMPSO-SVM-K-means++的输入向量均为表2所示的10个特征值，输出向量均设置为5个类别，分别是Normal正常数据、RA攻击、RI攻击、CI攻击和DoS攻击。构造3层ELM神经网络，隐含层节点数目设置为30。

表2

在Gas Pipeline数据集中DoS攻击数据样本数较少，在DoS攻击类型上，AMPSO-SVM-K-means++算法的检测率和误报率分别为65.5％和8.1％均优于GSA-AFSA-ELM算法。RI攻击数据样本数较多，GSA-AFSA-ELM算法的检测率和误报率分别为88.67％和5.1％均优于AMPSO-SVM-K-means++算法，实验结果如图8和图9所示。

(3)工控网络现场数据集

在工业现场实验中，分别提取源IP地址、目标IP地址、协议类型和数据长度4组数据特征。将获取的数据对这4组数据特征进行数据预处理，将处理后的数据作为输入节点进行输入，检测算法模型的输出节点分别为正常数据(Normal)和异常数据(Abnormal)，AMPSO算法参数设置为学习因子c₁＝c₂＝1.8；粒子群数取值N＝100；在GSA-AFSA优化算法部分，鱼群规模的选值为50，尝试次数trynumber的选值为100，视野visual的选值为2.5，拥挤度因子的选值为0.681，步长的选值为0.1。在构建ELM神经网络部分，选择的是3层单向前馈型神经网络，隐含层神经元个数30。适应度方差对比实验结果如图10、图11所示，PSO-SVM的适应度方差在迭代34次达到最优，而AMPSO-SVM在迭代13次时得到最优解；AFSA-ELM算法在迭代37时达到最优，GSA-AFSA-ELM算法在23次时达到最优。

将自适应耦合方法中的算法进行对比实验测试，在同一实验条件下，GSA-AFSA-ELM算法在测试集20条异常数据中检测出19异常数据，AMPSO-SVM算法检测出18条异常。检测率分别为95.0％、90.0％，在迭代50次时，误报率分别为0.02％和0.04％，实验结果如图12、图13所示。

综上，本发明提出了两级递阶处理结构及自适应耦合方法的整体思想，弥补了单一检测方法的不足和盲目性。并利用经典的KDD Cup99数据集、Gas Pipeline数据集和工业现场数据，对实验的可行性和有效性进行验证，实验结果显示了本方法相较于相关原始算法的优越性，对于未知类型攻击具有相当的应对能力，有效解决现有入侵检测模型存在的海量高维数据环境下检测效果差，模型自适应能力差，数据不平衡等实际问题。

值得说明的是，基于上述的工控网络入侵检测的多级自适应耦合方法，可以应用该方法构建工控网络入侵检测的多级自适应耦合系统，核心关键模块包括数据采集、数据分析和检测模型，在一定硬件环境支持下，执行计算机程序时调用上述的多级自适应耦合方法。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种工控网络入侵检测的多级自适应耦合方法，其特征在于，包括以下步骤，

2.根据权利要求1所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤1中，白名单技术过滤将提取的数据包特征信息与白名单规则库进行匹配，如果匹配成功视为安全信息则放行；否则进行异常提醒。

3.根据权利要求1所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2包括以下步骤，

步骤2.1：针对步骤1得到的数据信息进行数据预处理；

步骤2.3：基于深度学习的分类器构建；

步骤2.4：在线实时检测。

4.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.1中，数据预处理首先进行数据集的高维映射，然后将数据标签进行one-hot编码；再将高维映射后的数据集进行归一化处理；最后依据已处理的数据集实际工业现场特性和协议特点判定是否进行ADASYN自适应综合过采样算法处理。

5.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.2中，首先使用Dropout正则化与Adam优化算法对神经网络进行改进，针对其隐层层数、节点数进行设计；然后进行神经网络模型的预训练、权值微调；最后用堆叠式降噪自编码器对预处理数据集进行集成式特征提取。

6.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.3中，将降维处理后的数据作为AMPSO-SVM-K-means++算法和GSA-AFSA-ELM两种算法的学习样本，依据网络通信数据的特征不同，采用自适应耦合方法训练样本数据，建立入侵检测模型；自适应耦合处理以样本数据中各个类别属性在该数据集中所占的百分比为判断依据；其中，AMPSO-SVM-K-means++算法用于小样本数据集，GSA-AFSA-ELM算法用于大样本数据集。

7.根据权利要求3所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.4中，离线训练得到的分类器模型作为在线检测过滤器，实现网络通信实时数据的在线异常检测，同时依据检测结果更新白名单规则库，实现人工手动增删和自动批量更新白名单规则库。

8.根据权利要求6所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述自适应耦合方法包括以下步骤，

步骤2.3.1：构建AMPSO-SVM-K-means++算法模型；

步骤2.3.2：构建GSA-AFSA-ELM神经网络模型；

9.根据权利要求8所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.3.1实现的具体过程为，首先初始化粒子群算法的参数，其次设定优化核函数和惩罚参数，进行SVM模型训练，然后判断是否达到最大迭代次数或目标精度，

10.根据权利要求8所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.3.2实现的具体过程为，首先初始化鱼群算法的参数以及公告板，依次进行改进的聚群行为、追尾行为、改进的觅食行为然后更新公告板，再判断是否达到最大迭代次数或目标精度，

11.根据权利要求8所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.3.3实现的具体过程为，经过步骤2.1及步骤2.2处理后的样本数据，依据各个类别属性在该数据集中所占的百分比，判别执行AMPSO-SVM-K-means++算法还是GSA-AFSA-ELM算法，若其类别属性在该数据集中所占的百分比小于设定阈值，则执行AMPSO-SVM-K-means++算法，否则执行GSA-AFSA-ELM算法。

12.根据权利要求5所述的一种工控网络入侵检测的多级自适应耦合方法，其特征在于，所述步骤2.2中，利用堆叠降噪自编码器进行权值微调，使用反向传播算法对深度网络模型进行有监督的权值微调，将原始数据与重构数据之间的重构误差降低至最小。采用Dropout正则化与Adam优化算法对神经网络进行改进的具体方法是，Adam优化算法步骤如下：首先，计算参数梯度值g；其次，计算矩估计m_t和v_t；最后，更新参数θ。Dropout正则化算法步骤如下：首先，随机删除网络中的一些隐藏神经元，保持输入输出神经元不变；然后，将输入通过修改后的网络进行前向传播，然后将误差通过修改后的网络进行反向传播。