CN116318773A - 基于ae模型优化的对抗训练式无监督入侵检测系统及方法 - Google Patents

Abstract

本发明公开了一种基于自编码器模型优化的工业互联网对抗训练式无监督入侵检测系统及方法。本发明使用数据解压模块采集工业互联网系统的通讯时序流量，经过谱残差技术的数据清洗、数据归一化和数据样本化等获得输入数据集，将AE网络模型的架构和参数进行二进制编码，设计基于二进制遗传优化技术的AE网络模型离线优化平台，并利用对抗训练对个体适应度进行评估，经迭代优化后自动获得工业互联网入侵检测系统的AE网络最优模型。本发明不仅可实现用于工业互联网无监督入侵检测系统的AE模型的对抗式训练和自动优化设计，提高了工业互联网入侵检测系统的模型训练稳定性和智能化设计水平，还提升了工业互联网系统入侵检测的召回率和F₁评分等性能指标。

Description

基于AE模型优化的对抗训练式无监督入侵检测系统及方法

技术领域

本发明涉及工业互联网系统信息安全领域的智能入侵检测技术，特别涉及一种基于自编码器(Autoencoder,AE)模型优化的对抗训练式入侵检测系统及方法。

背景技术

工业互联网是以互联网为代表的新一代信息技术在工业领域的应用和发展。近年来，我国的工业互联网产业规模已突破万亿元，制造业的数字化转型提速。工业互联网产业发展迅速、前景广阔，但与此同时所面临的安全风险也日益增加。

当前工业互联网还没形成较统一的架构，标准规范缺失，产业升级带来软件环境动态变化等情况导致对入侵检测模型的适应速度提出了更高的要求，安全风险的不断变化也对入侵检测模型的检测稳定性提出了更高的标准。近年来，基于深度学习的工业互联网系统入侵检测技术已成为学术界和工业界的研发热点之一。目前，面向工业互联网系统入侵检测的绝大多数深度神经网络模型架构为专业人员手工设计研发，设计研发的周期长，难以与环境动态调整，因此当前工业互联网入侵检测系统的自动化设计水平亟待提升。

深度神经网络模型优化设计方案在应对动态变化的环境风险和平衡计算成本与提高检测率等方面有与生俱来的优势。然而，深度神经模型优化设计的现有研究成果主要集中在传统的图像识别领域，在工业互联网系统入侵检测领域的应用却鲜有研究报道。

自编码器模型作为工业互联网系统入侵检测的一类典型无监督方法，虽然具有较高的检测率，但现有自编码器模型存在训练不稳定、模型设计依赖手工设计等问题，严重制约了其在工业互联网入侵检测中的推广应用。而对抗训练(学习)作为一种新兴技术，有望解决自编码器模型训练目标单一、训练不稳定等问题，但相关技术还未见报道。基于上述情况，基于自编码器网络模型优化设计的工业互联网系统新型对抗训练式无监督入侵检测技术亟待研发。

发明内容

本发明的目的在于针对现有技术的不足，提供了一种基于AE模型优化的工业互联网对抗训练式无监督入侵检测系统及方法。

本发明的目的是通过以下技术方案来实现的：一种基于AE模型优化的工业互联网对抗训练式无监督入侵检测系统，其特征在于，该系统包括工业互联网入侵检测的数据解压模块、数据预处理模块、自编码器网络模型离线优化模块和在线检测模块；

所述工业互联网入侵检测系统的数据解压模块包括数据采集和数据清洗两个子模块，其中数据采集模块的主要功能是将工业互联网系统的实时传感器等时序数据进行收集汇总，数据清洗模块的主要功能是使用谱残差技术对工业互联网时序数据中的每一个数据特征进行数据清洗；将数据清洗后的数据集输入到数据预处理模块，

所述数据预处理模块包括数据归一化和数据样本化两个子模块，其中数据归一化模块是通过计算数据集中每一维度的极值，以消除量纲达成加速优化过程的目的；数据样本化模块将长段时序数据划分为块状数据，生成最终数据集，将生成的最终数据集作为自编码器网络模型优化模块的输入；

所述自编码器网络模型离线优化模块是针对数据预处理模块产生的最终数据集，对自编码器网络模型进行二进制编码，利用二进制遗传优化技术，联合个体适应度评估模块，经过迭代优化后获得最优自编码器网络模型的架构及参数信息；同时将其输入到在线检测模块；

所述个体适应度评估模块，从自编码器网络模型离线优化模块中获得每个个体的编码信息，构建自编码器AE以及两个判别器D₁和D₂，通过三者对抗训练，依据自编码器AE重构损失判别验证集样本，计算验证集F₁评分作为每个个体的适应度值，将每个个体的适应度值传送回自编码器网络模型离线优化模块；

所述在线检测模块，在接收到最优自编码器网络模型的架构和参数信息后，构建最优自编码器网络模型，对工业互联网实时通讯流量进行异常检测，并判别出样本是否异常；

所述系统的基于自编码器网络模型优化的工业互联网入侵检测方法，包括以下步骤：

(1)权利要求1中所述工业互联网入侵检测系统中的数据解压模块，将工业互联网系统的实时传感器等时序数据进行收集汇总，将收集的数据标记为x，并使用公式(1)、公式(2)、公式(3)对数据进行傅里叶变换得到对数振幅谱；

A(f)＝Amplitude(F(x)) (1)

P(f)＝Phrase(F(x)) (2)

L(f)＝Log(A(f)) (3)

其中F(x)表示对x的傅里叶变换；A(f)为输入序列x的振幅谱，P(f)为输入序列x的相位谱，L(f)为振幅谱A(f)的对数表示；使用公式(4)、公式(5)进行谱残差计算：

AL(f)＝h_q(f)·L(f) (4)

R(f)＝L(f)-AL(f) (5)

其中，AL(f)为对数振幅谱L(f)的平均频谱，h_q(f)为卷积操作，R(f)为谱残差；使用公式(6)利用傅里叶反变换将序列变换回空间域；

S(x)＝||F^-1(exp(R(f)+iP(f)))|| (6)

其中F^-1()表示傅里叶反变换，将数据解压模块处理后的时序数据标记为S(x)，i表示虚数单位；

权利要求1中所述工业互联网入侵检测系统中的数据预处理模块，在接收到S(x)数据后，按照公式(7)进行数据归一化处理，将归一化处理后获得的数据集标记为X；

其中，X_j表示数据集X第j维度的特征，S_j表示源数据集S中第j维度的特征，S_jmax表示源数据集S第j维度的特征的最大值，S_jmin表示源数据集S第j维度的特征的最小值，m表示数据集X的最大维度值；数据样本化是根据公式(8)使用时序滑动窗口截取一定时间段的时序数据产生时序样本Y_i，再根据公式(9)每间隔一段距离收集Y_i收录进W中；

其中，s_w表示滑动窗口长度，s_s表示滑动窗口间隔，X_i表示X中时间点i的所有维度的数据，M表示数据集X的长度。将数据样本化处理后获得的数据集标记为W；训练集标记为W_train，验证集标记为W_vali，测试集标记为W_test；

(2)设置基于自编码器网络模型优化的离线优化训练模块的参数值，所述参数值包括种群大小N、自编码器网络模型架构与超参数优化的迭代优化次数G_max、自编码器网络模型训练的轮次E、自编码器网络模型潜在空间维度LD、二进制遗传优化求解器中的交叉率β、变异率σ；

(3)随机产生包含N个个体的初始种群P₀，即P₀＝{p₁,…,p_i,…,p_N,1≤i≤N}，其中p_i表示P₀中第i个个体，p_i将待优化设计的自编码器网络模型的超参数和网络架构参数编码成一个BD维的二进制向量，p_i位置的具体编码如公式(10)所示：

p_i＝{b₁,…,b_d,…,b_D},1≤d≤BD (10)

其中，b_d表示自编码器网络模型的超参数和网络架构参数编码的第d位二进制数值，b_d∈{0,1}，将p_i位置所对应的自编码器网络模型的超参数和网络架构参数标记为q_i，即q_i表示第i个个体所对应的自编码器网络模型超参数和网络架构参数的实数向量，其组成如公式(11)所示：

其中，[B,f,η]表示自编码器网络模型所采用的超参数，B代表自编码器网络模型训练时采用的批大小，f代表自编码器网络模型训练时所采用的优化器类型，f∈{adamax,adam,rmsprop,adadelta}，adamax表示自适应矩估计最大值优化(Adaptive MomentEstimation Max,Adamax)，adam表示自适应矩估计(Adaptive Moment Estimation)，rmsprop表示均方根反向传播(Root Mean Squre Propogation)，adadelta表示在均方根反向传播的基础上，对相邻两步迭代的差值(即迭代增量)进行累计加权和的优化求解方法；η代表自编码器网络模型训练时采用的学习率大小；L_n代表自编码器网络模型中卷积层的层数，layer_j代表第j层卷积层，1≤j≤n_c，layer_j的具体组成如公式(12)所示：

layer_j＝[oc_j,ks_j,nt_j,af_j], 1≤j≤L_n (12)

其中，oc_j代表第j层卷积层的卷积核个数，ks_j代表第j层卷积层的卷积核大小，nt_j代表第j层卷积层的所接的归一化层类型，nt_j∈{batchnorm,none}，batchnorm代表批量标准化，none表示不做处理，af_j代表第j层卷积层的激活函数类型，af_j∈{sigmoid,tanh,relu,none}，sigmoid表示S型函数，tanh表示双曲正切函数，relu表示线性整流函数；

(4)对种群P₀进行性能评估，性能评估具体过程如下：将P₀中每个个体所表征的超参数和网络架构实数q_i转化为对应的自编码器网络模型AE，即利用q_i的layer_j相关卷积层参数逐层构建卷积层使其组成编码器AE_E，并利用相同的参数镜像构建反卷积层使其组成解码器AE_D；同时使用预先设定好的判别器网络架构参数构建判别器D₁和D₂，将训练数据集W_train作为每个自编码器网络模型的数据输入，进行E轮次的离线对抗训练，所述具体步骤如下：

(4.1)针对判别器D₁和编码器AE_E进行对抗式训练，样本训练集W_train传入自编码器AE中，由编码器AE_E产生样本潜在空间q(z)。将潜在空间q(z)和先验分布p(z)作为判别器D₁的输入，让D₁判断输入是先验分布p(z)还是样本潜在空间q(z)。其判断结果与真实标签对比，并依据公式(13)进行损失函数计算，再利用梯度下降技术对尽可能最大化Loss_D1，并对判别器D₁进行权重更新，其目的在于，使D₁具备区分潜在空间q(z)和先验分布p(z)的能力；

其中，z表示服从先验分布p(z)的变量，D₁()表示判别器D₁对变量的判定结果，E表示分布函数的期望值，p_d(W)为数据样本W所服从的数据分布。

(4.2)针对判别器D₂和自编码器AE进行对抗式训练，样本训练集W_train传入自编码器AE中，最终输出重构样本W'，真实样本W和重构样本W'均作为判别器D₂的输入，让判别器D₂判别输入是真实样本W还是重构样本W'。其判断结果与真实标签对比，并依据公式(14)进行损失函数计算，再利用梯度下降技术对尽可能最大化Loss_D2，并对判别器D₂进行权重更新，其目的在于，使D₂具备区分真实样本W和重构样本W'的能力；

其中，D₂()表示判别器D₂对变量的判定结果；

(4.3)采用公式(15)计算真实样本W_train和重构样本W'_train的重构损失MSE_train；

其中MSE表示均方差损失，k表示样本W的总数量；再利用公式(16)计算AE的损失函数：

利用梯度下降技术尽可能最小化Loss_AE，并对自编码器AE进行权重更新，提高自编码器AE对样本的重构能力，同时强化其最终的检测能力；针对验证集W_vali进行E₂轮次的验证测试，按照公式(15)获得每个个体对应的平均验证集重构损失MSE_vali，统计出种群P_g中所有个体的平均验证集重构损失MSE_vali，将种群P_g中最低MSE_vali对应的个体标记为种群中最优个体G_0best；

(5)设置初始迭代次数g＝1；

(6)将上一代种群P_g-1的最优个体G_(g-1)best复制进当代种群P_g中；

(7)进行竞标赛方案的选择操作，即首先使用均匀分布的概率选取上一代种群P_g-1三个个体p_a，p_b，p_c，选择p_a，p_b，p_c三个个体中适应度最高的两个个体作为父代，并将其标记为p_d和p_e；

(8)使用公式(17)均匀分布生成一串与遗传个体相同长度的随机数组r₁，数组r₁每一位r_1d的为使用正态分布产生的0～1的随机实数。对于数组r₁的每一位r_1d判断其是否小于预先设定的交叉率β，如果成立，则父母p_d和p_e的个体编码中第d位进行交叉操作，即p_d和p_e第d位的个体编码进行交换。交叉后的两个个体记为子代，并将其标记为c₁和c₂；

r₁＝{r₁₁,…,r_1d,…,r_1D},1≤d≤BD,0≤r_1d≤1 (17)

其中，r₁₁，r_1d，r_1D分别表示随机数组r₁中第1维，第d维，第BD维数值。

(9)均匀分布生成两串与遗传个体相同长度的随机数组r₂和r₃，即r₂＝{r₂₁,…,r_2d,…,r_2D},1≤d≤BD,0≤r_2d≤1，r₃＝{r₃₁,…,r_3d,…,r_3D},1≤d≤BD,0≤r_3d≤1。对于数组r₂的每一位r_2d判断其是否小于预先设定的变异率σ，如果成立，则子代c₁中第d维编码数值取反。对于数串r₃的每一位r_3d判断其是否小于预先设定的变异率σ，如果成立，则子代c₂在中第d维编码数值取反。最后将子代c₁和c₂添加进当代种群P_g中；

(10)重复步骤(6)～(9)直至当代种群P_g大小到达预先设定的种群大小N；

(11)按照步骤(4)所述的性能评估过程，对P_g中的每个个体P_g进行性能评估，获得P_g中最优个体，将其标记为G_gbest；

(12)若g<G_max,则更新g＝g+1，重复步骤(6)～步骤(11)；否则，则直接进入下一步骤；

(13)根据离线优化训练模块中最终获得的全局最优个体G_best所表征的最优模型信息，构建工业互联网入侵检测在线检测模块中的最优自编码器网络模型；

(15)利用在线检测模块运行最优自编码器网络模型，对在线检测数据集W_test进行在线入侵检测，分别按照公式(18)～(20)计算入侵检测的精准率、召回率、F₁评分等性能指标；

其中，TP表示将正常工业互联网数据样本正确地预测为正常分类的数量，TN表示将异常工业互联网数据样本正确地预测为异常分类的数量，FP表示将异常工业互联网数据样本错误地预测为正常分类的数量，FN表示将正常工业互联网数据样本错误地预测为异常分类的数量。

本专利的有益效果是：相比现有技术，采用本发明可以实现面向工业互联网入侵检测应用领域的自编码器模型的对抗式训练和自编码器模型的自动优化设计，提升了工业互联网入侵检测系统的设计稳定性和智能化设计水平；还提升了工业互联网系统入侵检测的召回率和F₁评分等性能指标。

附图说明

图1是基于自编码器模型优化的工业互联网对抗训练式入侵检测系统及方法的原理示意图；

图2是数据预处理模块中数据样本化的示例图；

图3是个体编码信息转化为对应自编码器模型的示例图；

图4是适应度评估模块中对抗训练的主要过程示意图；

图5中的(a)是本发明技术与现有依赖人工经验设计设计的GDN(Graph NeuralNetwork-Based Anomaly Detection in Multivariate Time Series)、USAD(USAD:UnSupervised Anomaly Detection on Multivariate Time Series)的召回率指标对比图、图5中的(b)是本发明技术与GDN和USAD的F₁评分指标对比图。

具体实施方式

下面结合附图对本发明进一步说明，本发明的目的和效果将更加明显。

以某工业互联网系统为实施例，图1给出了基于AE模型优化的对抗训练式入侵检测系统及方法的原理示意图。基于AE模型优化的对抗训练式无监督入侵检测系统包括工业互联网入侵检测的数据解压模块、数据预处理模块、自编码器网络模型离线优化模块和在线检测模块；

所述工业互联网入侵检测系统的数据解压模块包括数据采集和数据清洗两个子模块，其中数据采集模块的主要功能是将工业互联网系统的实时传感器等时序数据进行收集汇总，数据清洗模块的主要功能是使用谱残差技术对工业互联网时序数据中的每一个数据特征进行数据清洗；将数据清洗后的数据集输入到数据预处理模块，

所述数据预处理模块包括数据归一化和数据样本化两个子模块，其中数据归一化模块是通过计算数据集中每一维度的极值，以消除量纲达成加速优化过程的目的；数据样本化模块将长段时序数据划分为块状数据，生成最终数据集，将生成的最终数据集作为自编码器网络模型优化模块的输入；

所述自编码器网络模型离线优化模块是针对数据预处理模块产生的最终数据集，对自编码器网络模型进行二进制编码，利用二进制遗传优化技术，联合个体适应度评估模块，经过迭代优化后获得最优自编码器网络模型的架构及参数信息；同时将其输入到在线检测模块；

所述个体适应度评估模块，从自编码器网络模型离线优化模块中获得每个个体的编码信息，构建自编码器AE以及两个判别器D₁和D₂，通过三者对抗训练，依据自编码器AE重构损失判别验证集样本，计算验证集F₁评分作为每个个体的适应度值，将每个个体的适应度值传送回自编码器网络模型离线优化模块；

所述在线检测模块，在接收到最优自编码器网络模型的架构和参数信息后，构建最优自编码器网络模型，对工业互联网实时通讯流量进行异常检测，并判别出样本是否异常；

所述系统的基于AE模型优化的对抗训练式无监督工业互联网入侵检测方法，包括以下步骤：

(1)工业互联网入侵检测系统中的数据解压模块，将工业互联网系统的实时传感器等时序数据进行收集汇总，将收集的数据标记为x，并使用公式(1)、公式(2)、公式(3)对数据进行傅里叶变换得到对数振幅谱；

A(f)＝Amplitude(F(x)) (1)

P(f)＝Phrase(F(x)) (2)

L(f)＝Log(A(f)) (3)

其中F(x)表示对x的傅里叶变换；A(f)为输入序列x的振幅谱，P(f)为输入序列x的相位谱，L(f)为振幅谱A(f)的对数表示；使用公式(4)、公式(5)进行谱残差计算：

AL(f)＝h_q(f)·L(f) (4)

R(f)＝L(f)-AL(f) (5)

其中，AL(f)为对数振幅谱L(f)的平均频谱，h_q(f)为卷积操作，R(f)为谱残差；使用公式(6)利用傅里叶反变换将序列变换回空间域；

S(x)＝||F^-1(exp(R(f)+iP(f)))|| (6)

其中F^-1()表示傅里叶反变换，将数据解压模块处理后的时序数据标记为S(x)，i表示虚数单位；

工业互联网入侵检测系统中的数据预处理模块，在接收到S(x)数据后，按照公式(7)进行数据归一化处理，将归一化处理后获得的数据集标记为X；

其中，X_j表示数据集X第j维度的特征，S_j表示源数据集S中第j维度的特征，S_jmax表示源数据集S第j维度的特征的最大值，S_jmin表示源数据集S第j维度的特征的最小值，m表示数据集X的最大维度值；数据样本化是根据公式(8)使用时序滑动窗口截取一定时间段的时序数据产生时序样本Y_i，再根据公式(9)每间隔一段距离收集Y_i收录进W中；

其中滑动窗口长度为s_w＝128，滑动窗口间隔为s_s＝10。X_i表示X中时间点i的所有维度的数据，M表示数据集X的长度。数据样本化的示例图如图2所示，此示例中数据集X的长度＝13，利用滑动间隔s_s＝3，窗口长度s_w＝4的滑动窗口产生时序样本Y₁＝{X₁,X₂,X₃,X₄}，Y₄＝{X₄,X₅,X₆,X₇}，Y₇＝{X₇,X₈,X₉,X₁₀}，Y₁₀＝{X₁₀,X₁₁,X₁₂,X₁₃}，并构造数据集W＝{Y₁,Y₄,Y₇,Y₁₀}。训练集标记为W_train，验证集标记为W_vali，测试集标记为W_test；

(2)设置基于自编码器网络模型优化的离线优化训练模块的参数值，所述参数值包括种群大小N＝20、自编码器网络模型架构与超参数优化的迭代优化次数G_max＝30、自编码器网络模型训练的轮次E＝100、自编码器网络模型潜在空间维度LD＝128、二进制遗传优化求解器中的交叉率β＝0.8、变异率σ＝0.2；

(3)随机产生包含N个个体的初始种群P₀，即P₀＝{p₁,…,p_i,…,p_N,1≤i≤N}，其中p_i表示P₀中第i个个体，p_i将待优化设计的自编码器网络模型的超参数和网络架构参数编码成一个BD维的二进制向量，p_i位置的具体编码如公式(10)所示：

p_i＝{b₁,…,b_d,…,b_D},1≤d≤BD (10)

其中，b_d表示自编码器网络模型的超参数和网络架构参数编码的第d位二进制数值，b_d∈{0,1}，将p_i位置所对应的自编码器网络模型的超参数和网络架构参数标记为q_i，即q_i表示第i个个体所对应的自编码器网络模型超参数和网络架构参数的实数向量，其组成如公式(11)所示：

其中，[B,f,η]表示自编码器网络模型所采用的超参数，B代表自编码器网络模型训练时采用的批大小，f代表自编码器网络模型训练时所采用的优化器类型，f∈{adamax,adam,rmsprop,adadelta}，adamax表示自适应矩估计最大值优化(Adaptive MomentEstimation Max,Adamax)，adam表示自适应矩估计(Adaptive Moment Estimation)，rmsprop表示均方根反向传播(Root Mean Squre Propogation)，adadelta表示在均方根反向传播的基础上，对相邻两步迭代的差值(即迭代增量)进行累计加权和的优化求解方法；η代表自编码器网络模型训练时采用的学习率大小；L_n代表自编码器网络模型中卷积层的层数，layer_j代表第j层卷积层，1≤j≤n_c，layer_j的具体组成如公式(12)所示：

layer_j＝[oc_j,ks_j,nt_j,af_j], 1≤j≤n_c (12)

其中，oc_j代表第j层卷积层的卷积核个数，ks_j代表第j层卷积层的卷积核大小，nt_j代表第j层卷积层的所接的归一化层类型，nt_j∈{batchnorm,none}，batchnorm代表批量标准化，none表示不做处理，af_j代表第j层卷积层的激活函数类型，af_j∈{sigmoid,tanh,relu,none}，sigmoid表示S型函数，tanh表示双曲正切函数，relu表示线性整流函数；

(4)对种群P₀进行性能评估，性能评估具体过程如下：将P₀中每个个体所表征的超参数和网络架构实数q_i转化为对应的自编码器网络模型AE，即利用q_i的layer_j相关卷积层参数逐层构建卷积层使其组成编码器AE_E，同时利用相同的参数镜像构建反卷积层使其组成解码器AE_D，图3给出了个体编码信息转化为对应自编码器模型的示例图；同时按照预先设定的判别器网络架构参数构建判别器D₁和D₂，此实施案例中的判别器网络架构参数设定如下：层数＝6，第1到第6层的卷积核个数分别为32、64、128、256、512、1，第1到第6层的卷积核大小均为4，第1到第6层的卷积核步长分别为2、2、2、2、2、1，第1到第6层的填充大小分别为1、1、1、1、1、0；将训练数据集W_train作为每个自编码器网络模型的数据输入，进行E轮次的离线对抗训练，图4给出了对抗训练的主要过程示意图，所述具体步骤如下；

(4.1)针对判别器D₁和编码器AE_E进行对抗式训练，样本训练集W_train传入自编码器AE中，由编码器AE_E产生样本潜在空间q(z)。将潜在空间q(z)和先验分布p(z)作为判别器D₁的输入，让D₁判断输入是先验分布p(z)还是样本潜在空间q(z)。其判断结果与真实标签对比，并依据公式(13)进行损失函数计算，再利用梯度下降技术对尽可能最大化Loss_D1，并对判别器D₁进行权重更新，其目的在于，使D₁具备区分潜在空间q(z)和先验分布p(z)的能力；

其中，z表示服从先验分布p(z)的变量，D₁()表示判别器D₁对变量的判定结果，E表示分布函数的期望值，p_d(W)为数据样本W所服从的数据分布。

(4.2)针对判别器D₂和自编码器AE进行对抗式训练，样本训练集W_train传入自编码器AE中，最终输出重构样本W'，真实样本W和重构样本W'均作为判别器D₂的输入，让判别器D₂判别输入是真实样本W还是重构样本W'。其判断结果与真实标签对比，并依据公式(14)进行损失函数计算，再利用梯度下降技术对尽可能最大化Loss_D2，并对判别器D₂进行权重更新，其目的在于，使D₂具备区分真实样本W和重构样本W'的能力；

其中，D₂()表示判别器D₂对变量的判定结果；

(4.3)采用公式(15)计算真实样本W_train和重构样本W'_train的重构损失MSE_train；

其中MSE表示均方差损失，k表示样本W的总数量；再利用公式(16)计算AE的损失函数：

利用梯度下降技术尽可能最小化Loss_AE，并对自编码器AE进行权重更新，提高自编码器AE对样本的重构能力，同时强化其最终的检测能力；针对验证集W_vali进行E₂轮次的验证测试，按照公式(15)获得每个个体对应的平均验证集重构损失MSE_vali，统计出种群P_g中所有个体的平均验证集重构损失MSE_vali，将种群P_g中最低MSE_vali对应的个体标记为种群中最优个体G_0best；

(5)设置初始迭代次数g＝1；

(6)将上一代种群P_g-1的最优个体G_(g-1)best复制进当代种群P_g中；

(7)进行竞标赛方案的选择操作，即首先使用均匀分布的概率选取上一代种群P_g-1三个个体p_a，p_b，p_c，选择p_a，p_b，p_c三个个体中适应度最高的两个个体作为父代，并将其标记为p_d和p_e；

(8)使用公式(17)均匀分布生成一串与遗传个体相同长度的随机数组r₁，数组r₁每一位r_1d的为使用正态分布产生的0～1的随机实数。对于数组r₁的每一位r_1d判断其是否小于预先设定的交叉率β，如果成立，则父母p_d和p_e的个体编码中第d位进行交叉操作，即p_d和p_e第d位的个体编码进行交换。交叉后的两个个体记为子代，并将其标记为c₁和c₂；

r₁＝{r₁₁,…,r_1d,…,r_1D},1≤d≤BD,0≤r_1d≤1 (17)

其中，r₁₁，r_1d，r_1D分别表示随机数组r₁中第1维，第d维，第BD维数值。

(9)均匀分布生成两串与遗传个体相同长度的随机数组r₂和r₃，即r₂＝{r₂₁,…,r_2d,…,r_2D},1≤d≤BD,0≤r_2d≤1，r₃＝{r₃₁,…,r_3d,…,r_3D},1≤d≤BD,0≤r_3d≤1。对于数组r₂的每一位r_2d判断其是否小于预先设定的变异率σ，如果成立，则子代c₁中第d维编码数值取反。对于数串r₃的每一位r_3d判断其是否小于预先设定的变异率σ，如果成立，则子代c₂在中第d维编码数值取反。最后将子代c₁和c₂添加进当代种群P_g中；

(10)重复步骤(6)～(9)直至当代种群P_g大小到达预先设定的种群大小N；

(11)按照步骤(4)所述的性能评估过程，对P_g中的每个个体P_g进行性能评估，获得P_g中最优个体，将其标记为G_gbest；

(12)若g<G_max,则更新g＝g+1，重复步骤(6)～步骤(11)；否则，则直接进入下一步骤；

(13)根据离线优化训练模块中最终获得的全局最优个体G_best所表征的最优模型信息，构建工业互联网入侵检测在线检测模块中的最优自编码器网络模型；

(15)利用在线检测模块运行最优自编码器网络模型，对在线检测数据集W_test进行在线入侵检测，分别按照公式(18)～(20)计算入侵检测的精准率、召回率、F₁评分等性能指标；

其中，TP表示将正常工业互联网数据样本正确地预测为正常分类的数量，TN表示将异常工业互联网数据样本正确地预测为异常分类的数量，FP表示将异常工业互联网数据样本错误地预测为正常分类的数量，FN表示将正常工业互联网数据样本错误地预测为异常分类的数量。在本实施案例中，本发明技术获得的性能指标为：精确率＝0.8356，召回率＝0.9214，F₁评分＝0.8764；

通过对采用本发明技术与现有技术针对上述实施例的实验结果对比分析，如图5所示，其中，子图(a)是本发明技术与现有依赖人工经验设计设计的GDN(Graph NeuralNetwork-Based Anomaly Detection in Multivariate Time Series)、USAD(USAD:UnSupervised Anomaly Detection on Multivariate Time Series)的召回率指标对比图，子图(b)是本发明技术与GDN和USAD的F₁评分指标对比图。不难发现：相比依赖人工经验设计的GDN和USAD等现有技术，本发明技术获得的召回率和F₁评分等重要入侵检测性能指标均为最好的。

本专利的有益效果是：相比现有技术，采用本发明可以实现面向工业互联网入侵检测应用领域的自编码器模型的对抗式训练和自编码器模型的自动优化设计，提升了工业互联网入侵检测系统的设计稳定性和智能化设计水平；还提升了工业互联网系统入侵检测的召回率和F₁评分等重要性能指标。

Claims (2)

1.一种基于自编码器网络模型优化的工业互联网对抗训练式无监督入侵检测系统，其特征在于，该系统包括工业互联网入侵检测的数据解压模块、数据预处理模块、自编码器网络模型离线优化模块和在线检测模块；

所述工业互联网入侵检测系统的数据解压模块包括数据采集和数据清洗两个子模块，其中数据采集模块的主要功能是将工业互联网系统的实时传感器等时序数据进行收集汇总，数据清洗模块的主要功能是使用谱残差技术对工业互联网时序数据中的每一个数据特征进行数据清洗；将数据清洗后的数据集输入到数据预处理模块，

所述数据预处理模块包括数据归一化和数据样本化两个子模块，其中数据归一化模块是通过计算数据集中每一维度的极值，以消除量纲达成加速优化过程的目的；数据样本化模块将长段时序数据划分为块状数据，生成最终数据集，将生成的最终数据集作为自编码器网络模型优化模块的输入；

所述自编码器网络模型离线优化模块是针对数据预处理模块产生的最终数据集，对自编码器网络模型进行二进制编码，利用二进制遗传优化技术，联合个体适应度评估模块，经过迭代优化后获得最优自编码器网络模型的架构及参数信息；同时将其输入到在线检测模块；

所述个体适应度评估模块，从自编码器网络模型离线优化模块中获得每个个体的编码信息，构建自编码器AE以及两个判别器D₁和D₂，通过三者对抗训练，依据自编码器AE重构损失判别验证集样本，计算验证集F₁评分作为每个个体的适应度值，将每个个体的适应度值传送回自编码器网络模型离线优化模块；

所述在线检测模块，在接收到最优自编码器网络模型的架构和参数信息后，构建最优自编码器网络模型，对工业互联网实时通讯流量进行异常检测，并判别出样本是否异常。

2.一种应用权利要求1所述系统的基于自编码器网络模型优化的工业互联网入侵检测方法，其特征在于，包括以下步骤：

(1)权利要求1中所述工业互联网入侵检测系统中的数据解压模块，将工业互联网系统的实时传感器等时序数据进行收集汇总，将收集的数据标记为x，并使用公式(1)、公式(2)、公式(3)对数据进行傅里叶变换得到对数振幅谱；

A(f)＝Amplitude(F(x)) (1)

P(f)＝Phrase(F(x)) (2)

L(f)＝Log(A(f)) (3)

其中F(x)表示对x的傅里叶变换；A(f)为输入序列x的振幅谱，P(f)为输入序列x的相位谱，L(f)为振幅谱A(f)的对数表示；使用公式(4)、公式(5)进行谱残差计算：

AL(f)＝h_q(f)·L(f) (4)

R(f)＝L(f)-AL(f) (5)

其中，AL(f)为对数振幅谱L(f)的平均频谱，h_q(f)为卷积操作，R(f)为谱残差；使用公式(6)利用傅里叶反变换将序列变换回空间域；

S(x)＝||F^-1(exp(R(f)+iP(f)))|| (6)

其中F^-1()表示傅里叶反变换，将数据解压模块处理后的时序数据标记为S(x)，i表示虚数单位；

权利要求1中所述工业互联网入侵检测系统中的数据预处理模块，在接收到S(x)数据后，按照公式(7)进行数据归一化处理，将归一化处理后获得的数据集标记为X；

其中，X_j表示数据集X第j维度的特征，S_j表示源数据集S中第j维度的特征，S_jmax表示源数据集S第j维度的特征的最大值，S_jmin表示源数据集S第j维度的特征的最小值，m表示数据集X的最大维度值；数据样本化是根据公式(8)使用时序滑动窗口截取一定时间段的时序数据产生时序样本Y_i，再根据公式(9)每间隔一段距离收集Y_i收录进W中；

其中，s_w表示滑动窗口长度，s_s表示滑动窗口间隔，X_i表示X中时间点i的所有维度的数据，M表示数据集X的长度；将数据样本化处理后获得的数据集标记为W；训练集标记为W_train，验证集标记为W_vali，测试集标记为W_test；

(2)设置基于自编码器网络模型优化的离线优化训练模块的参数值，所述参数值包括种群大小N、自编码器网络模型架构与超参数优化的迭代优化次数G_max、自编码器网络模型训练的轮次E、自编码器网络模型潜在空间维度LD、二进制遗传优化求解器中的交叉率β、变异率σ；

(3)随机产生包含N个个体的初始种群P₀，即P₀＝{p₁,…,p_i,…,p_N,1≤i≤N}，其中p_i表示P₀中第i个个体，p_i将待优化设计的自编码器网络模型的超参数和网络架构参数编码成一个BD维的二进制向量，p_i位置的具体编码如公式(10)所示：

p_i＝{b₁,…,b_d,…,b_D},1≤d≤BD (10)

其中，b_d表示自编码器网络模型的超参数和网络架构参数编码的第d位二进制数值，b_d∈{0,1}，将p_i位置所对应的自编码器网络模型的超参数和网络架构参数标记为q_i，即q_i表示第i个个体所对应的自编码器网络模型超参数和网络架构参数的实数向量，其组成如公式(11)所示：

其中，[B,f,η]表示自编码器网络模型所采用的超参数，B代表自编码器网络模型训练时采用的批大小，f代表自编码器网络模型训练时所采用的优化器类型，f∈{adamax,adam,r msprop,adadelta}，adamax表示自适应矩估计最大值优化(Adaptive MomentEstimation Max,Adamax)，adam表示自适应矩估计(Adaptive Moment Estimation)，rmsprop表示均方根反向传播(Root Mean Squre Propogation)，adadelta表示在均方根反向传播的基础上，对相邻两步迭代的差值(即迭代增量)进行累计加权和的优化求解方法；η代表自编码器网络模型训练时采用的学习率大小；L_n代表自编码器网络模型中卷积层的层数，layer_j代表第j层卷积层，1≤j≤n_c，layer_j的具体组成如公式(12)所示：

layer_j＝[oc_j,ks_j,nt_j,af_j], 1≤j≤L_n (12)

其中，oc_j代表第j层卷积层的卷积核个数，ks_j代表第j层卷积层的卷积核大小，nt_j代表第j层卷积层的所接的归一化层类型，nt_j∈{batchnorm,none}，batchnorm代表批量标准化，none表示不做处理，af_j代表第j层卷积层的激活函数类型，af_j∈{sigmoid,tanh,relu,none}，sigmoid表示S型函数，tanh表示双曲正切函数，relu表示线性整流函数；

(4)对种群P₀进行性能评估，性能评估具体过程如下：将P₀中每个个体所表征的超参数和网络架构实数q_i转化为对应的自编码器网络模型AE，即利用q_i的layer_j相关卷积层参数逐层构建卷积层使其组成编码器AE_E，并利用相同的参数镜像构建反卷积层使其组成解码器AE_D；同时使用预先设定好的判别器网络架构参数构建判别器D₁和D₂，将训练数据集W_train作为每个自编码器网络模型的数据输入，进行E轮次的离线对抗训练，所述具体步骤如下：

(4.1)针对判别器D₁和编码器AE_E进行对抗式训练，样本训练集W_train传入自编码器AE中，由编码器AE_E产生样本潜在空间q(z)；将潜在空间q(z)和先验分布p(z)作为判别器D₁的输入，让D₁判断输入是先验分布p(z)还是样本潜在空间q(z)；其判断结果与真实标签对比，并依据公式(13)进行损失函数计算，再利用梯度下降技术对尽可能最大化Loss_D1，并对判别器D₁进行权重更新，其目的在于，使D₁具备区分潜在空间q(z)和先验分布p(z)的能力；

其中，z表示服从先验分布p(z)的变量，D₁()表示判别器D₁对变量的判定结果，E表示分布函数的期望值，p_d(W)为数据样本W所服从的数据分布；

(4.2)针对判别器D₂和自编码器AE进行对抗式训练，样本训练集W_train传入自编码器AE中，最终输出重构样本W'，真实样本W和重构样本W'均作为判别器D₂的输入，让判别器D₂判别输入是真实样本W还是重构样本W'；其判断结果与真实标签对比，并依据公式(14)进行损失函数计算，再利用梯度下降技术对尽可能最大化Loss_D2，并对判别器D₂进行权重更新，其目的在于，使D₂具备区分真实样本W和重构样本W'的能力；

其中，D₂()表示判别器D₂对变量的判定结果；

(4.3)采用公式(15)计算真实样本W_train和重构样本W'_train的重构损失MSE_train；

其中MSE表示均方差损失，k表示样本W的总数量；再利用公式(16)计算AE的损失函数：

利用梯度下降技术尽可能最小化Loss_AE，并对自编码器AE进行权重更新，提高自编码器AE对样本的重构能力，同时强化其最终的检测能力；针对验证集W_vali进行E₂轮次的验证测试，按照公式(15)获得每个个体对应的平均验证集重构损失MSE_vali，统计出种群P_g中所有个体的平均验证集重构损失MSE_vali，将种群P_g中最低MSE_vali对应的个体标记为种群中最优个体G_0best；

(5)设置初始迭代次数g＝1；

(6)将上一代种群P_g-1的最优个体G_(g-1)best复制进当代种群P_g中；

(7)进行竞标赛方案的选择操作，即首先使用均匀分布的概率选取上一代种群P_g-1三个个体p_a，p_b，p_c，选择p_a，p_b，p_c三个个体中适应度最高的两个个体作为父代，并将其标记为p_d和p_e；

(8)使用公式(17)均匀分布生成一串与遗传个体相同长度的随机数组r₁，数组r₁每一位r_1d的为使用正态分布产生的0～1的随机实数；对于数组r₁的每一位r_1d判断其是否小于预先设定的交叉率β，如果成立，则父母p_d和p_e的个体编码中第d位进行交叉操作，即p_d和p_e第d位的个体编码进行交换；交叉后的两个个体记为子代，并将其标记为c₁和c₂；

r₁＝{r₁₁,…,r_1d,…,r_1D},1≤d≤BD,0≤r_1d≤1 (17)

其中，r₁₁，r_1d，r_1D分别表示随机数组r₁中第1维，第d维，第BD维数值；

(9)均匀分布生成两串与遗传个体相同长度的随机数组r₂和r₃，即r₂＝{r₂₁,…,r_2d,…,r_2D},1≤d≤BD,0≤r_2d≤1，r₃＝{r₃₁,…,r_3d,…,r_3D},1≤d≤BD,0≤r_3d≤1；对于数组r₂的每一位r_2d判断其是否小于预先设定的变异率σ，如果成立，则子代c₁中第d维编码数值取反；对于数串r₃的每一位r_3d判断其是否小于预先设定的变异率σ，如果成立，则子代c₂在中第d维编码数值取反；最后将子代c₁和c₂添加进当代种群P_g中；

(10)重复步骤(6)～(9)直至当代种群P_g大小到达预先设定的种群大小N；

(11)按照步骤(4)所述的性能评估过程，对P_g中的每个个体P_g进行性能评估，获得P_g中最优个体，将其标记为G_gbest；

(12)若g<G_max,则更新g＝g+1，重复步骤(6)～步骤(11)；否则，则直接进入下一步骤；

(13)根据离线优化训练模块中最终获得的全局最优个体G_best所表征的最优模型信息，构建工业互联网入侵检测在线检测模块中的最优自编码器网络模型；

(15)利用在线检测模块运行最优自编码器网络模型，对在线检测数据集W_test进行在线入侵检测，分别按照公式(18)～(20)计算入侵检测的精准率、召回率、F₁评分等性能指标；

其中，TP表示将正常工业互联网数据样本正确地预测为正常分类的数量，TN表示将异常工业互联网数据样本正确地预测为异常分类的数量，FP表示将异常工业互联网数据样本错误地预测为正常分类的数量，FN表示将正常工业互联网数据样本错误地预测为异常分类的数量。

Images