CN112348080A - 基于工控异常检测的rbf改进方法、装置和设备 - Google Patents

Abstract

本发明涉及工控异常检测技术领域，具体涉及一种基于工控异常检测的RBF改进方法、装置和设备，所述方法包括采集工业控制系统的网络数据，对网络数据进行预处理得到样本网络数据，基于减聚类算法，在样本网络数据中确定隐节点的聚类中心，并根据聚类中心确定隐节点的扩展常数，基于灰狼算法，进一步确定隐节点的输出权重，根据聚类中心、扩展常数和输出权重确定改进后的RBF优化模型。本发明提供的技术方案，通过减聚类算法与灰狼优化算法优化RBF模型的聚类中心、扩展常数和输出权重等网络参数，避免陷入极小值，提高运算效率与分类正确度，适用于高维冗余的工控数据集，能够快速判断工业控制系统的网络行为是否存在异常，避免网络攻击带来的损失。

Description

基于工控异常检测的RBF改进方法、装置和设备

技术领域

本发明涉及工控异常检测技术领域，具体涉及一种基于工控异常检测的RBF改进方法、装置和设备。

背景技术

工业控制系统(ICS)逐渐朝着网络化、开放式体系结构发展，原有的封闭性被打破，漏洞、病毒、木马、APT等网络威胁也随正常的信息流进入工业控制系统。目前，制造业已经成为最容易受到网络攻击的行业，ICS和制造业的计算机的入侵数量占所有攻击的三分之一。一旦ICS遭受攻击，损失将不可估量。异常检测是一种通过安全监控和异常报警的方式确保ICS安全的防护技术，即通过采集设备和网络相关信息，并对其加以分析识别，进而判断系统中是否存在异常行为。RBF网络能够逼近任意的非线性函数，可以处理系统内在的难以解析的规律性，并且具有很快的学习收敛速度，在异常检测中得到广泛的应用。

为调整RBF的网络结构，更好适用于复杂场景，人们提出一种基于改进k-means的RBF神经网络学习算法，消除聚类的敏感性，降低时间复杂度。但由于RBF网络局部激活函数，虽然能够逼近任意非线性的函数，但也存在大样本数据易陷入局部最优的问题。而后人们提出的粒子群算法优化神经网络参数、遗传算法(GA)用来优化RBF网络的权值和网络层元数等结构参数和基于蚁群算法的RBF神经网络模型的实验等优化方案，依旧无法解决这一问题。例如，粒子群算法优化神经网络参数，虽然解决随机选取RBF网络初始参数引起的收敛速度慢的问题，但时间复杂度增大，且更容易陷入局部最优；遗传算法(GA)用来优化RBF网络的权值和网络层元数等结构参数，由于遗传算法参数的选择带有主观性，使得收敛速度慢，并且容易陷入早熟收敛；基于蚁群算法的RBF神经网络模型的实验，精度提高,收敛速度加快，但该算法需搜索路径,计算开销很大。

因此，目前依旧存在针对属性冗余、相关性差的工控网络数据集，变量权重难以确定，易导致RBF网络出现局部最优的问题。

发明内容

有鉴于此，本发明的目的在于提供一种基于工控异常检测的RBF改进方法、装置和设备，以克服目前依旧存在针对属性冗余、相关性差的工控网络数据集，变量权重难以确定，易导致RBF网络出现局部最优的问题。

为实现以上目的，本发明采用如下技术方案：

一种基于工控异常检测的RBF改进方法，包括：

采集工业控制系统的网络数据；

对所述网络数据进行预处理，得到预处理后的样本网络数据；

基于减聚类算法，在所述样本网络数据中确定隐节点的聚类中心，并根据所述聚类中心确定所述隐节点的扩展常数；

将初始权重值作为初始权重输入项进行权重迭代处理；其中，所述权重迭代处理过程包括：根据权重输入项、所述聚类中心、所述扩展常数和预先设置的维度信息确定RBF模型；将所述样本网络数据输入到所述RBF模型中，得到网络误差值；将所述网络误差值作为适应度值输入到灰狼优化算法模型中，得到所述灰狼优化算法模型输出的优化结果；将所述优化结果作为下一次迭代的权重输入项；

当检测到所述权重迭代处理过程中，所述当前网络误差值为最小网络误差值时停止迭代；

将所述最小网络误差值对应的优化结果作为所述隐节点的输出权重；

根据所述聚类中心、所述扩展常数和所述输出权重确定改进后的RBF优化模型。

进一步地，以上所述的基于工控异常检测的RBF改进方法，所述对所述网络数据进行预处理，得到预处理后的样本网络数据，包括：

对所述网络数据进行样本标准化处理，得到所述样本标准化处理后的标准网络数据；

基于KPCA非线性特征提取算法，对所述标准网络数据进行降维处理，得到所述样本网络数据。

进一步地，以上所述的基于工控异常检测的RBF改进方法，所述对所述网络数据进行样本标准化处理，得到所述样本标准化处理后的标准网络数据，包括：

对所述网络数据进行数据清洗处理、类型转换处理和数据归约处理，得到所述标准网络数据。

进一步地，以上所述的基于工控异常检测的RBF改进方法，所述基于减聚类算法，在所述样本网络数据中确定隐节点的聚类中心，包括：

根据所述样本网络数据，确定初始聚类中心；

将所述初始聚类中心作为初始中心输入项进行中心迭代处理；其中，所述中心迭代处理的过程包括：计算所有所述样本网络数据与中心输入项的距离，按照最小距离原则进行分类；重新计算各类的新聚类中心，将所述新聚类中心作为下一次迭代的中心输入项；

当检测到所述中心迭代处理过程中所述新聚类中心稳定时，停止迭代；

将稳定的新聚类中心作为所述隐节点的聚类中心。

进一步地，以上所述的基于工控异常检测的RBF改进方法，所述初始聚类中心包括多个子初始聚类中心；

所述根据所述样本网络数据，确定初始聚类中心，包括：

将所述样本网络数据作为初始样本输入项，进行聚类迭代处理；其中，所述聚类迭代处理的过程包括：计算初始样本输入项的密度指标；将所述密度指标中最大数据对应的点作为子初始聚类中心，将所有所述子初始聚类中心从当前迭代的样本输入项中分离，得到下一次迭代的样本输入项；

当检测到所述聚类迭代处理过程中，当前子初始聚类中心密度指标与第一个子初始聚类中心的密度指标的比值在预设值内时停止迭代；

将所述聚类迭代处理中的所有所述子初始聚类中心组合为所述初始聚类中心。

进一步地，以上所述的基于工控异常检测的RBF改进方法，所述根据所述聚类中心确定所述隐节点的扩展常数，包括：

计算多个所述聚类中心的距离；

根据所述聚类中心的距离，确定所述扩展常数。

进一步地，以上所述的基于工控异常检测的RBF改进方法，所述根据初始权重值、所述聚类中心、所述扩展常数和预先设置的维度信息确定RBF迭代模型之前，还包括：

确定一组随机数作为所述初始权重值。

进一步地，以上所述的基于工控异常检测的RBF改进方法，所述得到所述灰狼优化算法模型输出的优化结果之前，还包括：

将所述初始权重值作为所述灰狼优化算法模型中人工狼的初始位置向量。

本发明还提供了一种基于工控异常检测的RBF改进装置，包括：

采集模块，用于采集工业控制系统的网络数据；

预处理模块，用于对所述网络数据进行预处理，得到预处理后的样本网络数据；

确定模块，用于基于减聚类算法，在所述样本网络数据中确定隐节点的聚类中心，并根据所述聚类中心确定所述隐节点的扩展常数；

迭代模块，用于将初始权重值作为初始权重输入项进行权重迭代处理；其中，所述权重迭代处理过程包括：根据权重输入项、所述聚类中心、所述扩展常数和预先设置的维度信息确定RBF模型；将所述样本网络数据输入到所述RBF模型中，得到网络误差值；将所述网络误差值作为适应度值输入到灰狼优化算法模型中，得到所述灰狼优化算法模型输出的优化结果；将所述优化结果作为下一次迭代的权重输入项；

检测模块，用于当检测到所述权重迭代处理过程中，所述当前网络误差值为最小网络误差值时停止迭代；

所述确定模块，还用于将所述最小网络误差值对应的优化结果作为所述隐节点的输出权重；

所述确定模块，还用于根据所述聚类中心、所述扩展常数和所述输出权重确定改进后的RBF优化模型。

本发明还提供了一种基于工控异常检测的RBF改进设备，包括处理器和存储器，所述处理器与所述存储器相连：

其中，所述处理器，用于调用并执行所述存储器中存储的程序；

所述存储器，用于存储所述程序，所述程序至少用于执行以上任一项所述的基于工控异常检测的RBF改进方法。

本发明的基于工控异常检测的RBF改进方法、装置和设备，所述方法包括采集工业控制系统的网络数据，对网络数据进行预处理，得到预处理后的样本网络数据，基于减聚类算法，在样本网络数据中确定隐节点的聚类中心，并根据聚类中心确定隐节点的扩展常数，将初始权重值作为初始权重输入项进行权重迭代处理。其中，权重迭代处理过程包括：根据权重输入项、聚类中心、扩展常数和预先设置的维度信息确定RBF模型；将样本网络数据输入到RBF模型中，得到网络误差值；将网络误差值作为适应度值输入到灰狼优化算法模型中，得到灰狼优化算法模型输出的优化结果；将优化结果作为下一次迭代的权重输入项。当检测到权重迭代处理过程中，当前网络误差值为最小网络误差值时停止迭代，将最小网络误差值对应的优化结果最为隐节点的输出权重，根据聚类中心、扩展常数和输出权重确定改进后的RBF优化模型。本发明提供的技术方案，通过减聚类算法与灰狼优化算法优化RBF模型的聚类中心、扩展常数和输出权重等网络参数，避免陷入极小值，提高运算效率与分类正确度，适用于高维冗余的工控数据集，能够快速判断工业控制系统的网络行为是否存在异常，避免网络攻击带来的损失。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明基于工控异常检测的RBF改进方法一种实施例提供的流程图；

图2是本发明一种实施例提供的特征向量贡献率柱状图；

图3是本发明一种实施例提供的聚类中心的确定流程图；

图4是本发明一种实施例提供的RBF神经网络的拓扑结构图；

图5是本发明一种实施例提供的灰狼算法的社会等级制度示意图；

图6是本发明一种实施例提供的灰狼算法狩猎过程图；

图7是本发明一种实施例提供的新加坡数据降维前后样本特征对比图；

图8是本发明一种实施例提供的密西西比数据降维前后特征对比图；

图9是本发明一种实施例提供的鸢尾花数据降维前后特征对比图；

图10是本发明一种实施例提供的新加坡数据集算法正确率对比图；

图11是本发明一种实施例提供的密西西比数据集各算法正确率对比图；

图12是本发明一种实施例提供的鸢尾花数据集各算法正确率对比图；

图13是本发明基于工控异常检测的RBF改进装置一种实施例提供的结构示意图；

图14是本发明基于工控异常检测的RBF改进设备一种实施例提供的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。

图1是本发明基于工控异常检测的RBF改进方法一种实施例提供的流程图。请参阅图1，本实施例可以包括以下步骤：

S1O1、采集工业控制系统的网络数据。

工业控制系统即工控设备，包括PLC、变频器等设备。本实施例中，可以采集工业控制系统的网络数据。

S1O2、对网络数据进行预处理，得到预处理后的样本网络数据。

由于现场情况复杂，会出现数据类型混乱，属性冗余，存在缺失值和离群值的情况，不能直接适用于预测模型，需对数据进行预处理。

本实施例的预处理包括两个步骤，一是对网络数据进行样本标准化处理，得到样本标准化处理后的标准网络数据，二是基于KPCA非线性特征提取算法，对标准网络数据进行降维处理，得到样本网络数据。

其中，对网络数据进行数据清洗处理、类型转换处理和数据归约处理，得到标准网络数据。具体地，工业控制系统的网络数据缺失的概率是随机的，比如变频器或传感器由于断电断网等，在某个时段采集数据为空或产生噪声数据。由于该情况是小概率事件，且发生频率不高，记录占比低，可直接采用删除缺失值所在样本进行数据清洗处理。网络数据的类型可以简单划分为数值型和标签型，由于标签型数据是不能用在网络模型的数学等式中的，因此，需要类型转换处理，把标签值转换为数值。为了消除数据特征之间的量纲影响，需要对网络数据的特征进行归一化处理，即数据归约处理，使不同指标之间具有可比性，在后续使用优化目标函数求解时，在不同特征上更新速度趋于一致，可以加快模型收敛速度。由于本实施例的网络数据具有非线性特点，可以采用Z-score标准化：

X＝(X^*-μ)/σ (1)

其中μ为单维度所有网络数据的均值，σ为单维度所有网络数据的标准差。

此外，可以按照如下步骤提取样本网络数据：

具体地，假设标准化处理后的标准网络数据的样本集合为X＝[x₁,x₂,…,x_N]，是一个d×N矩阵，代表输入的数据有N个，每个样本的维度为d。现将X映射到更高维空间，引入非线性映射函数Φ(x)，即得：

两边同时乘以Φ(x_i)^T，得到：

令k(x_i,x_i)＝Φ(x_i)^T·Φ(x_i)

可得：Kα＝λα (3)

其中K为k对应的核矩阵，α为空间中的特征向量，λ为对应的特征值。

以下是几种常见的核函数：

线性核：k(x,y)＝x^Ty+c

多项式核：k(x,y)＝(ax^Ty+c)^d

高斯核：k(x,y)＝exp(-γ||x-y||²)

根据设定的累积贡献率，选取前q(q＜N)个特征值对应的特征向量为α₁,α₂,…,α_q。

图2是本发明提供的一种特征向量贡献率柱状图。如图2所示，以鸢尾花数据集为例，选定线性核进行高维映射后，前两个特征值的贡献率达到96％左右，故保留其对应的特征向量。

将映射至高维空间的样本点Φ(x_i)在V_r上进行投影，求得的非线性主成分分量为：

具体操作步骤为：

读取标准网络数据，得到测试样本X，并写成d*N的数据矩阵；

选定高斯径向核函数中的参数，再由k(x_i,x_i)＝Φ(x_i)^T·Φ(x_i)，计算核矩阵K；

计算K的特征值(λ₁,λ₂,λ₃,…,λ_n)，即对应的特征向量(α₁,α₂,…,α_n)；

特征值按降序排序(通过选择排序)，并对特征向量进行相应调整；

通过斯密特正交化方法单位正交化得到的特征向量(α₁,α₂,…,α_n)。

由公式(2)可以得到高维空间的一组基w_i(i＝1,2,…,d)，这组基可以构成高维空间的一个子空间；

最终得到测试样本X在子空间中的线性表示，也就是降维之后的向量M，构成样本网络数据。

S1O3、基于减聚类算法，在样本网络数据中确定隐节点的聚类中心，并根据聚类中心确定隐节点的扩展常数。

可以根据样本网络数据，确定初始聚类中心，其中，初始聚类中心包括多个子初始聚类中心。

图3是本发明一种实施例提供的聚类中心的确定流程图，如图3所示，可以按照如下步骤确定初始聚类中心：

S1031、将样本网络数据作为初始样本输入项，进行聚类迭代处理。

其中，聚类迭代处理的过程包括：计算初始样本输入项的密度指标；将密度指标中最大数据对应的点作为子初始聚类中心，将所有子初始聚类中心从当前迭代的样本输入项中分离，得到下一次迭代的样本输入项。

具体地，聚类迭代处理的第一次迭代过程为：

将经过降维后的样本网络数据M(n×p)作为初始样本输入项，计算初始样本输入项中每个数据点的密度，得到密度指标：

找到密度指标最大的数据对应的点作为第一个子初始聚类中心，将第一个子初始聚类中心从初始样本输入项中分离，得到第二次迭代的样本输入项。

聚类迭代处理的第二次迭代过程为：

计算第二次迭代的样本输入项中所有数据点的密度：

其中，τ₁为m_i的邻域半径；τ₂表示为一个密度指标函数显著减少的邻域。τ₂＝ητ₁，本实施例中，η＝1.5。

确定第二次迭代过程中密度指标最大的数据对应的点作为第二个子初始聚类中心，将第二个子初始聚类中心从第二次迭代的样本输入项中分离，得到第三次迭代的样本输入项。本实施例中，可以按照如此步骤进行循环往复的迭代处理。

S1032、当检测到聚类迭代处理过程中，当前子初始聚类中心密度指标与第一个子初始聚类中心的密度指标的比值在预设值内时停止迭代。

在迭代过程中，检测到满足条件D_ci/D_c1≤ε，则迭代停止，记聚类个数为h。

其中，D_ci是当前子初始聚类中心密度指标，D_c1是第一个子初始聚类中心的密度指标，ε为常数，可以根据实际需求设定，在一种具体地实施方式中ε取0.99。

S1033、将聚类迭代处理中的所有子初始聚类中心组合为初始聚类中心。

进一步地，确定初始聚类中心后，可以对初始聚类中心进行进一步地处理，得到隐节点的聚类中心。如图3所示，可以根据如下步骤确定隐节点的聚类中心。

S1034、将初始聚类中心作为初始中心输入项进行中心迭代处理。

其中，中心迭代处理的过程包括：将初始聚类中心作为初始中心输入项，计算所有样本网络数据与中心输入项的距离，按照最小距离原则进行分类；重新计算各类的新聚类中心，将新聚类中心作为下一次迭代的中心输入项。

具体地，中心迭代处理的第一次迭代过程为：

将初始聚类中心作为初始中心输入项，计算所有样本网络数据与初始中心输入项的距离，按照最小距离原则进行分类：

重新计算各类的新聚类中心，将新聚类中心作为第二次迭代的中心输入项，本实施例中，可以按照如此步骤进行循环往复的迭代处理。

S1035、当检测到中心迭代处理过程中新聚类中心稳定时，停止迭代。

S1036、将稳定的新聚类中心作为隐节点的聚类中心。

进一步地，确定聚类中心后，可以确定聚类中心之间的距离：

根据各聚类中心之间的距离确定各隐节点的扩展常数，即：

δ_i＝κd_i (9)

其中κ称为重叠系数，本实施例中，取κ＝1。

S104、将初始权重值作为初始权重输入项进行权重迭代处理。

RBF网络模型的确定即优化求解隐节点的数据中心、扩展常数、输出权重c,σ,ω三个网络参数的过程。其中c和σ已经由上述步骤中的减聚类算法确定，但由于径向基函数关于N维空间的一个中心点具有径向对称性，而且神经元的输入离该中心点越远，神经元的激活程度就越低，被称之为“局部特性”。为解决RBF神经网络结构的局部特性，本实施例采用灰狼算法进行全局收敛优化。

具体地，可以确定一组随机数作为初始权重值，然后将初始权重值作为初始权重输入项进行权重迭代处理。权重迭代处理过程包括：

根据权重输入项、聚类中心、扩展常数和预先设置的维度信息确定RBF模型；将样本网络数据输入到RBF模型中，得到网络误差值；将网络误差值作为适应度值输入到灰狼优化算法模型中，得到灰狼优化算法模型输出的优化结果；将优化结果作为下一次迭代的权重输入项。

权重迭代处理的第一次迭代过程为：

根据权重输入项、聚类中心、扩展常数和预先设置的维度信息确定RBF模型。具体地，图4是本发明一种实施例提供的RBF神经网络的拓扑结构图。如图4所示，RBF神经网络是一种三层前向网络，输入矢量是直接映射到隐含层的，隐含层空间到输出空间的映射是线性的，即网络的输出是隐单元输出的线性加权和，此处的权即为网络可调参数。这样，网络由输入到输出的映射是非线性的，而网络输出对可调参数而言却又是线性的，网络的权就可由线性方程组直接解出，从而大大加快学习速度。

径向基神经网络的激活函数可表示为：

根据线性加权和，可得到网络的输出为：

网络总误差为：

其中m_p为第p个输入样本，c_i为第i个中心点，σ_i为对应第i个径向基函数的宽度，h为隐含层的节点数，d(m_p)为期望输出，y(m_p)为实际输出，m是输出的分类数。

将网络误差值作为适应度值，将RBF神经网络隐层到输出层的权值矩阵W映射成人工灰狼的位置向量：

W＝[ω₁₁,ω₁₂,…,ω_1n,ω₂₁,…,ω_hp] (13)

图5是本发明一种实施例提供的狼算法的社会等级制度示意图。如图5所示，将狼群中适应度最好的三匹灰狼依次标记为α、β、δ，而剩下的灰狼标记为ω。

灰狼捜索猎物时会逐渐地接近猎物并包围它，该行为的数学模型如下：

式中：t为当前迭代次数；

和

是协同系数向量；

表示猎物的位置向量；

表示当前灰狼的位置向量；

和

是[0，1]中的随机向量。

在每次迭代过程中，保留当前种群中的最好三只灰狼(α、β、δ)，然后根据它们的位置信息来更新ω的位置。该行为的数学模型可表示如下：

式中：

分别表示当前种群中α、β、δ的位置向量；

表示灰狼的位置向量；

分别表示当前候选灰狼与最优三条狼之间的距离。

图6是本发明一种实施例提供的灰狼算法狩猎过程图。如图6所示，α、β、δ需首先预测出猎物(潜在最优解)的大致位置，然后ω狼在当前最优三只狼的指引下在猎物附近随机地更新它们的位置，达到最大迭代次数或者位置均值达到精度，则停止迭代。此时可以计算最优狼的位置，最优狼的位置即优化结果作为第二次迭代的权重输入项，再次计算网络误差值，如此往复进行权重迭代处理计算。

S105、当检测到权重迭代处理过程中，当前网络误差值为最小网络误差值时停止迭代。

检测权重迭代处理过程中的当前网络误差值，当检测到权重迭代处理过程中，当前网络误差值为最小网络误差值时停止迭代。

S106、将最小网络误差值对应的优化结果作为隐节点的输出权重。

将最小网络误差值对应的灰狼算法的优化结果作为隐节点的输出权重。

S107、根据聚类中心、扩展常数和输出权重确定改进后的RBF优化模型。

RBF网络模型的确定即优化求解隐节点的数据中心、扩展常数、输出权重c,σ,ω三个网络参数的过程。那么，本实施例已经确定聚类中心、扩展常数和输出权重，那么即确定了改进后的RBF优化模型。

进一步地，本实施例选择新加坡水厂数据集、密西西比天然气数据集(两种公开工控数据集)，以及经典的UCI数据集的鸢尾花数据集(低维小样本数据集)等进行算法验证，并针对优化算法选择粒子群优化RBF、减聚类优化RBF等算法进行对比验证。

新加坡数据集，主要是使用EPANET模拟系统动态建立的估计用水量的数据记录，跨越了492小时的时间步长，包含七次攻击，使用物理攻击，干扰了系统操作，导致油箱溢出，泵速降低，异常激活/停用泵等异常现象。此外，攻击者通过添加随时间变化的偏移量来更改传感器发送给SCADA的信号。

密西西比数据集，是密西西比州立大学关键基础设施保护中心提出的用于工控系统入侵检测评估的数据集，收集的信息是SCADA天然气管道中远程终端单元(RTU)与主控制单元(MTU)之间的网络事务，用于模拟天然气管道上的实际攻击和操作员活动。

Iris鸢尾花数据集是一个经典UCI数据集，该数据集共收集了三类鸢尾花，即Setosa、Versicolour和Virginica鸢尾花，每条记录都有4项特征：花萼长度、花萼宽度、花瓣长度、花瓣宽度。

具体数据集详情，如表1所示。

表1

本实施例的实验环境如下：

操作系统：Windows 10 64位，处理器：英特尔Core i7-8750H@2.20GHz六核，硬盘：256GB/固态硬盘，编译环境Python 3.7.4，运行软件：PyCharm2020。

本实施例的实验过程如下：

第一，关于KPCA降维。

选择合适的核函数，确定非线性主成分个数，进而提取出非线性主成分。

图7是本发明一种实施例提供的新加坡数据降维前后样本特征对比图，图8是本发明一种实施例提供的密西西比数据降维前后特征对比图，图9是鸢尾花数据降维前后特征对比图。

由图7、图8和图9可以看出，KPCA性能的好坏主要取决于合适的核函数，根据既要提取出非线性的主成分，又可以使分类效果明显的原则，本实施例的实验主要采取线性核进行特征提取与降维。

第二，关于RBF优化模型。

本实施例的实验所用到的参数设置如下：

邻域半径：τ₁＝2，τ₂＝4；狼群数量：n＝20；最大迭代次数t_max＝10；随机量上下限：ub＝10；lb＝0.01。

由于新加坡水厂数据集以及密西西比天然气数据集的正负样本比例不均衡，聚类算法在进行聚类时，尤其二分类时，极易将两个数据中心同时聚类到正样本的位置，忽略负样本的作用，导致分类效果极差。在此基础上，加入粒子群算法更易陷入局部最优，增加运算时间外，还会抑制网络收敛速度，效果不佳。而灰狼算法通过建立分散模型，随机赋值给搜索系数，极大程度提高了全局搜索的能力，避免减聚类算法的局限性，分类正确率有所提高。

图10是本发明一种实施例提供的新加坡数据集算法正确率对比图，图11是本发明一种实施例提供的密西西比数据集各算法正确率对比图。由图10和图11可以看出，针对高维大样本的工控数据集，本实施例的算法(GWO-Jian-RBF)所预测的正确率能够稳定在90％左右，比粒子群优化RBF(PSO-RBF)、灰狼优化RBF(GWO-RBF)与传统学习构建的RBF的正确率明显提高。同时，从图中的趋势可以看出，传统RBF利用梯度下降法的变化趋势复杂，且收敛很慢；粒子群优化虽可提高搜索到极值的速度，但容易陷入局部最优，正确率得不到提高；而灰狼算法迭代到2-3代即可达到稳定，搜索能力的加强使收敛速度加快，走势比其他算法更稳定，分类效果得到增强。

图12是本发明一种实施例提供的鸢尾花数据集各算法正确率对比图，如12所示，针对鸢尾花数据集，各类算法的准确率整体都表现良好，但从图中可以看出，GWO-RBF算法准确率稍逊色一些，RBF算法与PSO-RBF算法在第6代左右趋于稳定，而本实施例的算法在前2代即可找到全局最优值，收敛速度与稳定性明显更为优异，表明本实施例的算法同样适用于低维小样本数据集。

在本实施例的优化算法的基础上，增加KPCA的非线性特征提取，降维约简数据结构后，能够明显提高运算效率，数据集的维度越高，时间成本节省越明显，如新加坡数据集训练时间缩短了50倍左右。具体算法的实验结果评价指标如表2所示。

表2

由上表可以看出，本实施例算法在三种数据集上正确率上均能达到99％左右，比其他三种对比算法的运算效率与收敛速度都有明显的提高，解决传统RBF权重训练易陷入局部最优，初始值敏感导致数据中心与径向基宽度不合适的问题，表明改进算法在异常入侵检测中的有效性，在分类效果上有所提升并且更加稳定。

本发明还提供了一种基于工控异常检测的RBF改进装置，用于实现上述方法实施例。图13是本发明基于工控异常检测的RBF改进装置一种实施例提供的结构示意图。如图13所示，本实施例的装置包括：

采集模块11，用于采集工业控制系统的网络数据；

预处理模块12，用于对网络数据进行预处理，得到预处理后的样本网络数据；

确定模块13，用于基于减聚类算法，在样本网络数据中确定隐节点的聚类中心，并根据聚类中心确定隐节点的扩展常数；

迭代模块14，用于将初始权重值作为初始权重输入项进行权重迭代处理；其中，权重迭代处理过程包括：根据权重输入项、聚类中心、扩展常数和预先设置的维度信息确定RBF模型；将样本网络数据输入到RBF模型中，得到网络误差值；将网络误差值作为适应度值输入到灰狼优化算法模型中，得到灰狼优化算法模型输出的优化结果；将优化结果作为下一次迭代的权重输入项；

检测模块15，用于当检测到权重迭代处理过程中，当前网络误差值为最小网络误差值时停止迭代；

确定模块13，还用于将最小网络误差值对应的优化结果作为隐节点的输出权重；

确定模块13，还用于根据聚类中心、扩展常数和输出权重确定改进后的RBF优化模型。

具体地，本实施例的基于工控异常检测的RBF改进装置，通过减聚类算法与灰狼优化算法优化RBF模型的聚类中心、扩展常数和输出权重等网络参数，避免陷入极小值，提高运算效率与分类正确度，适用于高维冗余的工控数据集，能够快速判断工业控制系统的网络行为是否存在异常，避免网络攻击带来的损失。

进一步地，本实施例的基于工控异常检测的RBF改进装置，预处理模块12，具体用于对网络数据进行样本标准化处理，得到样本标准化处理后的标准网络数据，基于KPCA非线性特征提取算法，对标准网络数据进行降维处理，得到样本网络数据。

进一步地，本实施例的基于工控异常检测的RBF改进装置，预处理模块12，具体还用于对网络数据进行数据清洗处理、类型转换处理和数据归约处理，得到标准网络数据。

进一步地，本实施例的基于工控异常检测的RBF改进装置，确定模块13，具体用于根据样本网络数据，确定初始聚类中心；将初始聚类中心作为初始中心输入项进行中心迭代处理；其中，中心迭代处理的过程包括：计算所有样本网络数据与中心输入项的距离，按照最小距离原则进行分类；重新计算各类的新聚类中心，将新聚类中心作为下一次迭代的中心输入项；当检测到中心迭代处理过程中新聚类中心稳定时，停止迭代；将稳定的新聚类中心作为隐节点的聚类中心。

进一步地，本实施例的基于工控异常检测的RBF改进装置，初始聚类中心包括多个子初始聚类中心；

确定模块13，具体还用于将样本网络数据作为初始样本输入项，进行聚类迭代处理；其中，聚类迭代处理的过程包括：计算初始样本输入项的密度指标；将密度指标中最大数据对应的点作为子初始聚类中心，将所有子初始聚类中心从当前迭代的样本输入项中分离，得到下一次迭代的样本输入项；当检测到聚类迭代处理过程中，当前子初始聚类中心密度指标与第一个子初始聚类中心的密度指标的比值在预设值内时停止迭代；将聚类迭代处理中的所有子初始聚类中心组合为初始聚类中心。

进一步地，本实施例的基于工控异常检测的RBF改进装置，确定模块13，具体还用于计算多个聚类中心的距离，根据聚类中心的距离，确定扩展常数。

进一步地，本实施例的基于工控异常检测的RBF改进装置，确定模块13，还用于确定一组随机数作为初始权重值。

进一步地，本实施例的基于工控异常检测的RBF改进装置，确定模块13，还用于将初始权重值作为灰狼优化算法模型中人工狼的初始位置向量。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本发明还提供了一种基于工控异常检测的RBF改进设备，用于实现上述方法实施例。图14是本发明基于工控异常检测的RBF改进设备一种实施例提供的结构示意图。如图14所示，本实施例的基于工控异常检测的RBF改进设备包括处理器21和存储器22，处理器21与存储器22相连。其中，处理器21用于调用并执行存储器22中存储的程序；存储器22用于存储程序，程序至少用于执行以上实施例中的基于工控异常检测的RBF改进方法。

可以理解的是，上述各实施例中相同或相似部分可以相互参考，在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。

需要说明的是，在本发明的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是指至少两个。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种基于工控异常检测的RBF改进方法，其特征在于，包括：

采集工业控制系统的网络数据；

对所述网络数据进行预处理，得到预处理后的样本网络数据；

基于减聚类算法，在所述样本网络数据中确定隐节点的聚类中心，并根据所述聚类中心确定所述隐节点的扩展常数；

将初始权重值作为初始权重输入项进行权重迭代处理；其中，所述权重迭代处理过程包括：根据权重输入项、所述聚类中心、所述扩展常数和预先设置的维度信息确定RBF模型；将所述样本网络数据输入到所述RBF模型中，得到网络误差值；将所述网络误差值作为适应度值输入到灰狼优化算法模型中，得到所述灰狼优化算法模型输出的优化结果；将所述优化结果作为下一次迭代的权重输入项；

当检测到所述权重迭代处理过程中，所述当前网络误差值为最小网络误差值时停止迭代；

将所述最小网络误差值对应的优化结果作为所述隐节点的输出权重；

根据所述聚类中心、所述扩展常数和所述输出权重确定改进后的RBF优化模型。

2.根据权利要求1所述基于工控异常检测的RBF改进方法，其特征在于，所述对所述网络数据进行预处理，得到预处理后的样本网络数据，包括：

对所述网络数据进行样本标准化处理，得到所述样本标准化处理后的标准网络数据；

基于KPCA非线性特征提取算法，对所述标准网络数据进行降维处理，得到所述样本网络数据。

3.根据权利要求2所述基于工控异常检测的RBF改进方法，其特征在于，所述对所述网络数据进行样本标准化处理，得到所述样本标准化处理后的标准网络数据，包括：

对所述网络数据进行数据清洗处理、类型转换处理和数据归约处理，得到所述标准网络数据。

4.根据权利要求1所述基于工控异常检测的RBF改进方法，其特征在于，所述基于减聚类算法，在所述样本网络数据中确定隐节点的聚类中心，包括：

根据所述样本网络数据，确定初始聚类中心；

将所述初始聚类中心作为初始中心输入项进行中心迭代处理；其中，所述中心迭代处理的过程包括：计算所有所述样本网络数据与中心输入项的距离，按照最小距离原则进行分类；重新计算各类的新聚类中心，将所述新聚类中心作为下一次迭代的中心输入项；

当检测到所述中心迭代处理过程中所述新聚类中心稳定时，停止迭代；

将稳定的新聚类中心作为所述隐节点的聚类中心。

5.根据权利要求1所述基于工控异常检测的RBF改进方法，其特征在于，所述初始聚类中心包括多个子初始聚类中心；

所述根据所述样本网络数据，确定初始聚类中心，包括：

将所述样本网络数据作为初始样本输入项，进行聚类迭代处理；其中，所述聚类迭代处理的过程包括：计算初始样本输入项的密度指标；将所述密度指标中最大数据对应的点作为子初始聚类中心，将所有所述子初始聚类中心从当前迭代的样本输入项中分离，得到下一次迭代的样本输入项；

当检测到所述聚类迭代处理过程中，当前子初始聚类中心密度指标与第一个子初始聚类中心的密度指标的比值在预设值内时停止迭代；

将所述聚类迭代处理中的所有所述子初始聚类中心组合为所述初始聚类中心。

6.根据权利要求4所述基于工控异常检测的RBF改进方法，其特征在于，所述根据所述聚类中心确定所述隐节点的扩展常数，包括：

计算多个所述聚类中心的距离；

根据所述聚类中心的距离，确定所述扩展常数。

7.根据权利要求1所述基于工控异常检测的RBF改进方法，其特征在于，所述根据初始权重值、所述聚类中心、所述扩展常数和预先设置的维度信息确定RBF迭代模型之前，还包括：

确定一组随机数作为所述初始权重值。

8.根据权利要求1所述基于工控异常检测的RBF改进方法，其特征在于，所述得到所述灰狼优化算法模型输出的优化结果之前，还包括：

将所述初始权重值作为所述灰狼优化算法模型中人工狼的初始位置向量。

9.一种基于工控异常检测的RBF改进装置，其特征在于，包括：

采集模块，用于采集工业控制系统的网络数据；

预处理模块，用于对所述网络数据进行预处理，得到预处理后的样本网络数据；

确定模块，用于基于减聚类算法，在所述样本网络数据中确定隐节点的聚类中心，并根据所述聚类中心确定所述隐节点的扩展常数；

迭代模块，用于将初始权重值作为初始权重输入项进行权重迭代处理；其中，所述权重迭代处理过程包括：根据权重输入项、所述聚类中心、所述扩展常数和预先设置的维度信息确定RBF模型；将所述样本网络数据输入到所述RBF模型中，得到网络误差值；将所述网络误差值作为适应度值输入到灰狼优化算法模型中，得到所述灰狼优化算法模型输出的优化结果；将所述优化结果作为下一次迭代的权重输入项；

检测模块，用于当检测到所述权重迭代处理过程中，所述当前网络误差值为最小网络误差值时停止迭代；

所述确定模块，还用于将所述最小网络误差值对应的优化结果作为所述隐节点的输出权重；

所述确定模块，还用于根据所述聚类中心、所述扩展常数和所述输出权重确定改进后的RBF优化模型。

10.一种基于工控异常检测的RBF改进设备，其特征在于，包括处理器和存储器，所述处理器与所述存储器相连：

其中，所述处理器，用于调用并执行所述存储器中存储的程序；

所述存储器，用于存储所述程序，所述程序至少用于执行权利要求1-8任一项所述的基于工控异常检测的RBF改进方法。

Images