CN108763926B - 一种具有安全免疫能力的工业控制***入侵检测方法 - Google Patents

Abstract

本发明公开了一种具有安全免疫能力的工业控制***入侵检测方法，包括工业控制***数据预处理模型和工业控制***入侵检测模型，所述工业控制***数据预处理模型连接工业控制***入侵检测模型，所述工业控制***数据预处理模型包括工业控制***数据采集和工业控制***数据特征提取。本发明适用于工业控制***的入侵检测***，首先利用核主成分分析法对工业数据进行特征提取，实现对工业数据进行降维，然后具体一种具有安全免疫能力的粒子群算法对单类支持向量机进行优化，建立更为精确的入侵检测模型，此方法能够提高入侵检测模型的准确率、减低误报率和漏报率，还能减少入侵检测模型的训练时间和入侵检测模型的复杂度。

Description

一种具有安全免疫能力的工业控制***入侵检测方法

技术领域

本发明涉及一种工业控制***入侵检测方法，具体为一种具有安全免疫能力的工业控制***入侵检测方法，属于工业控制***应用技术领域。

背景技术

工业控制***是工业领域的关键基础设施，实现了工业生产的自动化操作与控制。随着近几年自动化和信息化的深度融合，现代工业控制***越来越依赖IT领域的操作***、开放协议和通信技术，这些技术将它们本身存在的脆弱性引入到工业控制***中。加之工业控制***信息安全事故的不断频发，其安全问题愈发重视，入侵检测作为主动防御的第一道屏障起了很重要的作用。工业控制***入侵检测通过对***通信行为的实时监视、分析，以检测出异常的攻击行为操作，并在攻击行为产生危害之前进行拦截、报警、***恢复等操作。根据正常行为操作与人侵攻击行为的模式差别，提取反映***行为的数据特征，并通过设计的检测算法对入侵攻击行为数据进行识别，以实现对攻击行为的异常检测。

工业控制***入侵检测可以分为两部分：第一部分是工业数据的特征提取与选择，第二部分是在第一部分特征提取后的工业数据基础上利用智能算法建立入侵检测模型，从而检测异常攻击。工业数据具有大体量、多源性、连续采样、价值密度低、复杂度高和动态性强等特点，分析难度与对分析精度的要求相对高。多源性及复杂性导致了工业大数据的高维性，为准确进行工业大数据分析与预测，需要对工业大数据降维。特征提取是一种常用的特征降维方法，其原理是利用原始的特征空间构建一个新的低维空间，消除冗余特征及不相关特征，有效降低数据的维度。对工业数据进行特征提取，降低工业数据的维度，以克服工控***的数据量大、纬度高的特点，并进一步降低后续数据建模和处理的复杂度。典型的特征提取方法有主成分分析(Principal Component Analysis,PCA)等。PCA是基于统计特征的多维正交线性变换，是一种多元统计方法，将高维空间中的多特征问题转化到低维空间中，形成新的少数的特征，利用这些新特征代替原来特征进行后续处理，由高维空间的问题转化到低维空间中去处理，PCA降维需要保证新得到的任一特征是原特征的一个线性组合；降维后得到的主成分保留了原特征的绝大多数信息；各个主成分之间线性无关。由于计算效率高，实现简单，PCA是广泛应用的降维方法。目前应用于工控***入侵检测的数据处理的特征提取主要方法也是主成分分析方法。

工业控制***入侵检测根据正常行为操作与入侵攻击行为的模式差别提取反映***行为的数据特征，实质是对工业数据的二分类，即区分正常工业数据和异常工业数据。而支持向量机(Support Vector Machine，SVM)是对数据样本进行正负分类的算法，刚好适用于工业控制***入侵检测模型，因此在算法上是广泛使用的。对工业控制***而言，工业数据的特点是维度高，关联性较强，而且多数为正常数据，故障或临界状态的数据较少，异常数据难以得到，样本少等缘故，在SVM基础上衍生出单类支持向量机OCSVM，用于解决一些只有一类样本可用于训练分类器的情况，OCSVM算法是假设坐标原点作为异常的样本，在特征空间中构建一个最优的超平面实现目标数据与坐标原点的最大间隔化。OCSVM具有较少的计算时间，较少的数据样本即可用于训练，对噪声样本数据具有鲁棒性，能建立较准确的分类模型等优点，是目前工业控制***入侵检测中使用频率最高的分类方法。基于OCSVM的工控***的入侵检测算法存在训练时间长，对未知的工业异常行为识别能力差等问题。

工业控制***数据实时性高、体量大、复杂度高等，是具有很强的非线性关系。在特征提取进行数据降维中的主成分分析法(PCA)是利用特征的协方差矩阵判断变量间的方差一致性，寻找出变量之间的最佳的线性组合，来代替特征，从而达到降维的目的，但从其定义和计算方式中就可以看出，这类方法假定数据处于高维空间的线性子空间中，是一种线性降维的方法。而现实世界复杂数据多数具有非线性特性。PCA只适合具有线性关系的数据，而针对非线性特性的工业数据而言，用PCA的线性关系就会显得低效，不能真正反映工业数据的真实特征，进而导致降维后的数据的精确度低下。本方法在线性特征提取算法的基础上引入核方法，核方法的假设是，原始空间中的数据可能是非线性的，但通过核变换将非线性结构数据投影到维度更高的核空间，数据有可能成为线性结构。虽然在核空间样本点维度更高，但由于并不需要显式使用转换后的高维样本，实际计算仍然在原始空间通过核函数或核矩阵进行。通过这种方法原空间的线性判别通过核变换扩展成为非线性判别。核主成分分析(KPCA)就是利用此方法，解决了PCA处理非线性数据的低效性和不准确性，本方法适用于工业控制***工业数据的特性。

单类支持向量机OCSVM算法中，核函数参数g以及OCSVM中权衡数据集中的正常数据与异常数据的参数v的选取至关重要，不同的参数导致不同的决策函数，直接影响着的最终检测结果，因此需要利用智能算法对两个参数进行优化。网格搜索法寻优速度慢，容易获得局部最优解，严重影响OCSVM的检测效果和检测的实时性；PSO算法比较简洁高效、容易实现、需要调整的参数并不多，可以很快的收敛到最优解，更快更好地获得优化结果，获得广泛的应用。但基本粒子群算法自身的缺陷，即随着迭代次数的增大，种群多样性减小，引起早熟现象，从而可能出现局部最优结果，容易陷入局部极小值，搜索精度不高等缺点。针对粒子群算法收敛速度慢、在收敛后期容易陷入局部最优解的缺陷，现有的工业控制***中工业数据的特征选择主要使用的是主成分分析法，其特点是效率高，实现简单，处理线性数据等，其缺点是不能很好的处理非线性数据，特别是复杂性高、非线性关系强的工业数据。现有的工业控制***入侵检测模型是用智能算法优化单类支持向量机OCSVM，如PSO-OCSVM等，但算法本身有不能克服的缺陷，即容易陷入局部极小值，搜索精度不高、收敛速度慢等缺点，建立的模型准确度不高，有一定的误报率和漏报率。因此，针对上述问题提出一种具有安全免疫能力的工业控制***入侵检测方法。

发明内容

本发明的目的就在于为了解决上述问题而提供一种具有安全免疫能力的工业控制***入侵检测方法，本方法适用于工业控制***的入侵检测***，首先利用核主成分分析法对工业数据进行特征提取，实现对工业数据进行降维，然后具体一种具有安全免疫能力的粒子群算法对单类支持向量机进行优化，建立更为精确的入侵检测模型，此方法能够提高入侵检测模型的准确率、减低误报率和漏报率，还能减少入侵检测模型的训练时间和入侵检测模型的复杂度。

本发明通过以下技术方案来实现上述目的，一种具有安全免疫能力的工业控制***入侵检测方法，包括工业控制***数据预处理模型和工业控制***入侵检测模型，所述工业控制***数据预处理模型连接工业控制***入侵检测模型，所述工业控制***数据预处理模型包括工业控制***数据采集和工业控制***数据特征提取，其检测方法包括以下步骤：

步骤A、首先，工业控制***数据采集从工业控制***现场采集相关的工业数据，对采集的原始工业数据进行特征提取，工业控制***特征提取是针对原始工作数据进行必要的降噪筛选，消除冗余特征及不相关特征，选择真正能够反映工业控制***特征的工业数据，降低后续建模的复杂度；

步骤B、工业控制***入侵检测模型建立：根据步骤A处理好的工业数据，利用智能算法建立工业控制***入侵检测模型；

步骤C、使用具有安全免疫能力的PSO-OCSVM算法建立入侵模型，其中OCSVM算法利用处理后的工业数据建立工业控制***入侵检测模型，利用PSO算法对OCSVM参数v和核函数参数g进行寻优；

步骤D、运用具有安全免疫能力的免疫算法思想对PSO进行优化，形成了基于安全免疫能力思想的PSO-OCSVM算法，从而实现对工业控制***入侵的检测。

优选的，所述步骤A中选择使用KPCA的方法进行特征提取。

检测方法包括以下步骤：

(1)读取原始工业控制***数据，即样本数据；选择核函数，选择函数核函数有线性和函数、p阶多项式核函数、高斯径向基函数核函数、多层感知器核函数；将非线性的工业数据进行核化，从而将原始非线性样本数据投射到高维空间形成线性的样本数据；

(2)对原始样本数据进行标准化处理，使得均值为0，计算标准化数据的协方差矩阵，然后计算协方差矩阵的特征值和特征向量；

(3)主成分分析法认为：对特征值按从大到小进行排序，按照累计方差贡献率大于90％选择前m项作为降维后的数据矩阵；

(4)标准化数据乘以降维矩阵，最终后的降维数据Y。

(5)根据OCSVM算法原理利用降维数据Y建立工业控制***入侵检测模型，OCSVM算法中参数g和v的选取影响着算法的性能进而影响入侵检测模型的精确度，PSO算法源于对鸟群捕食行为活动的研究，利用群体间个体信息的共享，引导整个群体向着最优解方向迁移；

(6)根据PSO算法首先进行初始化相关参数，并初始化种群位置和速度，得到粒子的初始位置和速度；

(7)计算当代抗体的适应度，亲和度用来衡量抗原抗体间的匹配程度，表征当代所求的解与最优解的接近程度；

(8)建立OCSVM模型后，计算OCSVM模型的分类准确率，并将OCSVM模型的分类准确率赋给两个极值，即每个粒子的Pbest和Gbest；判断是否达到终止条件，若是则算法结束，得到最优的参数；若否，生成免疫记忆细胞，根据亲和度的大小，选取一部分亲和度较大的抗体存入记忆库中作为免疫记忆细胞；

(9)生成免疫疫苗，选择两个亲和度最高的抗体进行相交操作，把得到的公共子集部分存入疫苗库中作为免疫疫苗；

(10)更新粒子的位置和速度，更新后会得到n个新的粒子，然后再从记忆细胞中随机选择q个抗体，组成规模为n+q个抗体的抗体群；

(11)抗体的促进或抑制；计算抗体的选择概率，依据选择概率的大小选择出n个抗体组成新的抗体群；按照一定的比例，利用免疫疫苗对亲和度较低的抗体进行免疫疫苗接种操作；

(12)免疫选择，计算接种粒子的适应度值，若该适应度值不如接种之前，则放弃该接种操作，保留原值，否则接受该接种操作；

(13)回到第(7)步重新计算新抗体的亲和度，进行下一步判断；最终得到参数最优的具有安全免疫思想能力的KPCA-PSO-OCSVM的工业控制***入侵检测模型。

优选的，步骤(1)中选择高斯径向基函数核函数。

本发明的有益效果是：

(1)本发明借鉴了免疫***中的免疫进化机理，通过引入免疫算法中的抗体浓度调节机制和免疫选择操作来提高粒子群算法中粒子种群的多样性，扩大解的搜索空间；采用免疫记忆和免疫疫苗等操作来提高PSO算法的收敛速度和精度；定义新的抗体浓度选择方法和免疫疫苗等操作，用来帮助提高算法的求解效率，改进后的算法在收敛速度和收敛精度等方面等均有明显提高。工业控制***入侵检测主要分为两大部分：一是工业控制***中工业数据的特征选择，二是工业控制***入侵检测模型的建立。

(2)利用核主成分分析法处理非线性数据的特点，将其引入到工业控制***入侵检测模型中，能够解决主成分分析法不能很好处理非线性工业数据的弊端，实现对工业控制***中工业数据的最优特征选择。

(3)提出一种具有安全免疫能力的粒子群优化OCSVM算法，能够解决粒子群算法收敛速度慢、在收敛后期容易陷入局部最优解的缺陷，该方法借鉴了免疫***中的免疫进化机理，通过引入免疫算法中的抗体浓度调节机制和免疫选择操作来提高粒子群算法中粒子种群的多样性，扩大解的搜索空间，采用免疫记忆和免疫疫苗等操作来提高PSO算法的收敛速度和精度，定义新的抗体浓度选择方法和免疫疫苗等操作，用来帮助提高算法的求解效率。此方法能够建立更为精确的入侵检测模型，提高入侵检测的准确率、减低误报率和漏报率，提高算法的收敛速度和收敛精度，还能减少了入侵检测模型的训练时间和入侵检测模型的复杂度。对现有的工业控制***入侵检测方法有一定的借鉴意义。

附图说明

图1具有安全免疫能力的KPCA-PSO-OCSVM工业控制***入侵检测模型框架图；

图2具有安全免疫能力的PSO算法对OCSVM参数进行寻优的算法框架图。

1、工业控制***数据预处理模型，2、工业控制***入侵检测模型。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-2所示，一种具有安全免疫能力的工业控制***入侵检测方法，包括工业控制***数据预处理模型(1)和工业控制***入侵检测模型(2)，所述工业控制***数据预处理模型(1)连接工业控制***入侵检测模型(2)，所述工业控制***数据预处理模型(1)包括工业控制***数据采集和工业控制***数据特征提取，其检测方法包括以下步骤：

步骤A、首先，工业控制***数据采集从工业控制***现场采集相关的工业数据，对采集的原始工业数据进行特征提取，工业控制***特征提取是针对原始工作数据进行必要的降噪筛选，消除冗余特征及不相关特征，选择真正能够反映工业控制***特征的工业数据，降低后续建模的复杂度；

步骤B、工业控制***入侵检测模型建立：根据步骤A处理好的工业数据，利用智能算法建立工业控制***入侵检测模型；

步骤C、使用具有安全免疫能力的PSO-OCSVM算法建立入侵模型，其中OCSVM算法利用处理后的工业数据建立工业控制***入侵检测模型，利用PSO算法对OCSVM参数v和核函数参数g进行寻优；

步骤D、运用具有安全免疫能力的免疫算法思想对PSO进行优化，形成了基于安全免疫能力思想的PSO-OCSVM算法，从而实现对工业控制***入侵的检测。

所述步骤A中选择使用KPCA的方法进行特征提取。

检测方法包括以下步骤：

(1)读取原始工业控制***数据，即样本数据；选择核函数，选择函数核函数有线性和函数、p阶多项式核函数、高斯径向基函数核函数、多层感知器核函数；将非线性的工业数据进行核化，从而将原始非线性样本数据投射到高维空间形成线性的样本数据；

(2)对原始样本数据进行标准化处理，使得均值为0，计算标准化数据的协方差矩阵，然后计算协方差矩阵的特征值和特征向量；

(3)主成分分析法认为：对特征值按从大到小进行排序，按照累计方差贡献率大于90％选择前m项作为降维后的数据矩阵；

(4)标准化数据乘以降维矩阵，最终后的降维数据Y。

(5)根据OCSVM算法原理利用降维数据Y建立工业控制***入侵检测模型，OCSVM算法中参数g和v的选取影响着算法的性能进而影响入侵检测模型的精确度，PSO算法源于对鸟群捕食行为活动的研究，利用群体间个体信息的共享，引导整个群体向着最优解方向迁移；

(6)根据PSO算法首先进行初始化相关参数，并初始化种群位置和速度，得到粒子的初始位置和速度；

(7)计算当代抗体的适应度，亲和度用来衡量抗原抗体间的匹配程度，表征当代所求的解与最优解的接近程度；

(8)建立OCSVM模型后，计算OCSVM模型的分类准确率，并将OCSVM模型的分类准确率赋给两个极值，即每个粒子的Pbest和Gbest；判断是否达到终止条件，若是则算法结束，得到最优的参数；若否，生成免疫记忆细胞，根据亲和度的大小，选取一部分亲和度较大的抗体存入记忆库中作为免疫记忆细胞；

(9)生成免疫疫苗，选择两个亲和度最高的抗体进行相交操作，把得到的公共子集部分存入疫苗库中作为免疫疫苗；

(10)更新粒子的位置和速度，更新后会得到n个新的粒子，然后再从记忆细胞中随机选择q个抗体，组成规模为n+q个抗体的抗体群；

(11)抗体的促进或抑制；计算抗体的选择概率，依据选择概率的大小选择出n个抗体组成新的抗体群；按照一定的比例，利用免疫疫苗对亲和度较低的抗体进行免疫疫苗接种操作；

(12)免疫选择，计算接种粒子的适应度值，若该适应度值不如接种之前，则放弃该接种操作，保留原值，否则接受该接种操作；

(13)回到第(7)步重新计算新抗体的亲和度，进行下一步判断；最终得到参数最优的具有安全免疫思想能力的KPCA-PSO-OCSVM的工业控制***入侵检测模型。

其中，步骤(1)中选择高斯径向基函数核函数。

本发明利用核主成分分析法处理非线性数据的特点，将其引入到工业控制***入侵检测模型中，能够解决主成分分析法不能很好处理非线性工业数据的弊端，实现对工业控制***中工业数据的最优特征选择。具有安全免疫能力的粒子群优化OCSVM算法，能够解决粒子群算法收敛速度慢、在收敛后期容易陷入局部最优解的缺陷，该方法借鉴了免疫***中的免疫进化机理，通过引入免疫算法中的抗体浓度调节机制和免疫选择操作来提高粒子群算法中粒子种群的多样性，扩大解的搜索空间，采用免疫记忆和免疫疫苗等操作来提高PSO算法的收敛速度和精度，定义新的抗体浓度选择方法和免疫疫苗等操作，用来帮助提高算法的求解效率。此方法能够建立更为精确的入侵检测模型，提高入侵检测的准确率、减低误报率和漏报率，提高算法的收敛速度和收敛精度，还能减少了入侵检测模型的训练时间和入侵检测模型的复杂度。对现有的工业控制***入侵检测方法有一定的借鉴意义。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (1)

1.一种具有安全免疫能力的工业控制***入侵检测方法，其特征在于：包括工业控制***数据预处理模型(1)和工业控制***入侵检测模型(2)，所述工业控制***数据预处理模型(1)连接工业控制***入侵检测模型(2)，所述工业控制***数据预处理模型(1)包括工业控制***数据采集和工业控制***数据特征提取，其检测方法包括以下步骤：

步骤A、首先，工业控制***数据采集从工业控制***现场采集相关的工业数据，对采集的原始工业数据进行特征提取，工业控制***特征提取是针对原始工作数据进行必要的降噪筛选，消除冗余特征及不相关特征，选择真正能够反映工业控制***特征的工业数据，降低后续建模的复杂度；

步骤B、工业控制***入侵检测模型建立：根据步骤A处理好的工业数据，利用智能算法建立工业控制***入侵检测模型；

步骤C、使用具有安全免疫能力的PSO-OCSVM算法建立入侵模型，其中OCSVM算法利用处理后的工业数据建立工业控制***入侵检测模型，利用PSO算法对OCSVM参数v和核函数参数g进行寻优；

步骤D、运用具有安全免疫能力的免疫算法思想对PSO进行优化，形成了基于安全免疫能力思想的PSO-OCSVM算法，从而实现对工业控制***入侵的检测；

所述步骤A中选择使用KPCA的方法进行特征提取；

检测方法包括以下步骤：

(1)读取原始工业控制***数据，即样本数据；选择核函数，选择函数核函数有线性和函数、p阶多项式核函数、高斯径向基函数核函数、多层感知器核函数；将非线性的工业数据进行核化，从而将原始非线性样本数据投射到高维空间形成线性的样本数据；

(2)对原始样本数据进行标准化处理，使得均值为0，计算标准化数据的协方差矩阵，然后计算协方差矩阵的特征值和特征向量；

(3)主成分分析法认为：对特征值按从大到小进行排序，按照累计方差贡献率大于90％选择前m项作为降维后的数据矩阵；

(4)标准化数据乘以降维矩阵，最终后的降维数据Y；

(5)根据OCSVM算法原理利用降维数据Y建立工业控制***入侵检测模型，OCSVM算法中参数g和v的选取影响着算法的性能进而影响入侵检测模型的精确度，PSO算法源于对鸟群捕食行为活动的研究，利用群体间个体信息的共享，引导整个群体向着最优解方向迁移；

(6)根据PSO算法首先进行初始化相关参数，并初始化种群位置和速度，得到粒子的初始位置和速度；

(7)计算当代抗体的适应度，亲和度用来衡量抗原抗体间的匹配程度，表征当代所求的解与最优解的接近程度；

(8)建立OCSVM模型后，计算OCSVM模型的分类准确率，并将OCSVM模型的分类准确率赋给两个极值，即每个粒子的Pbest和Gbest；判断是否达到终止条件，若是则算法结束，得到最优的参数；若否，生成免疫记忆细胞，根据亲和度的大小，选取一部分亲和度较大的抗体存入记忆库中作为免疫记忆细胞；

(9)生成免疫疫苗，选择两个亲和度最高的抗体进行相交操作，把得到的公共子集部分存入疫苗库中作为免疫疫苗；

(10)更新粒子的位置和速度，更新后会得到n个新的粒子，然后再从记忆细胞中随机选择q个抗体，组成规模为n+q个抗体的抗体群；

(11)抗体的促进或抑制；计算抗体的选择概率，依据选择概率的大小选择出n个抗体组成新的抗体群；按照一定的比例，利用免疫疫苗对亲和度较低的抗体进行免疫疫苗接种操作；

(12)免疫选择，计算接种粒子的适应度值，若该适应度值不如接种之前，则放弃该接种操作，保留原值，否则接受该接种操作；

(13)回到第(7)步重新计算新抗体的亲和度，进行下一步判断；最终得到参数最优的具有安全免疫思想能力的KPCA-PSO-OCSVM的工业控制***入侵检测模型；

步骤(1)中选择高斯径向基函数核函数。

Images