CN114124517B - 一种基于高斯过程的工业互联网入侵检测方法 - Google Patents
一种基于高斯过程的工业互联网入侵检测方法 Download PDFInfo
- Publication number
- CN114124517B CN114124517B CN202111381750.4A CN202111381750A CN114124517B CN 114124517 B CN114124517 B CN 114124517B CN 202111381750 A CN202111381750 A CN 202111381750A CN 114124517 B CN114124517 B CN 114124517B
- Authority
- CN
- China
- Prior art keywords
- wolf
- data
- delta
- beta
- alpha
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 230000008569 process Effects 0.000 title claims abstract description 29
- 241000282461 Canis lupus Species 0.000 claims abstract description 66
- 238000005457 optimization Methods 0.000 claims abstract description 28
- 238000013507 mapping Methods 0.000 claims abstract description 15
- 230000035772 mutation Effects 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 14
- 238000009826 distribution Methods 0.000 claims description 11
- 241000282421 Canidae Species 0.000 claims description 10
- 230000009467 reduction Effects 0.000 claims description 10
- 239000011159 matrix material Substances 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 238000000354 decomposition reaction Methods 0.000 claims description 3
- 230000007423 decrease Effects 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000011946 reduction process Methods 0.000 claims description 3
- 238000002407 reforming Methods 0.000 claims description 3
- 230000003014 reinforcing effect Effects 0.000 claims description 3
- 239000013598 vector Substances 0.000 claims description 3
- 230000009545 invasion Effects 0.000 claims 1
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 19
- 239000000523 sample Substances 0.000 description 14
- 238000004891 communication Methods 0.000 description 5
- 238000012706 support-vector machine Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 241001465754 Metazoa Species 0.000 description 1
- 241001206881 Myrmeleon inconspicuus Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于高斯过程的工业互联网入侵检测方法,包括:利用拉普拉斯特征映射算法对选取的特征进行降维,采用融合柯西变异算子的灰狼优化算法选取最优超参数,通过高斯过程检测异常流量,工控流量包含三类重要特征:基于时间序列、数据包头和数据内容信息。本发明提出了一种新的工业互联网入侵检测方法,可以提前发现工业互联网中的入侵行为,进行防御以阻止设备被攻击破坏。
Description
技术领域
本发明属于工业互联网入侵检测技术领域,涉及高斯过程方法,具体为一种基于CGWO优化的可以识别出异常流量的方法。
背景技术
目前,入侵检测模型可分为误用检测模型和异常检测模型(Zhu B,SastryS.SCADA-specific intrusion detection/prevention systems;a survey andtaxonomy,Proc of the 1st Workshop on Secure Control Systems.2010)。误用检测模型通过与已知的异常行为间的匹配程度实现入侵检测。该检测模型误报率低,但漏报率高。对于已知的攻击,该方法能详细、准确地报告出攻击类型,但对未知攻击却效果有限,而且特征库需不断更新。异常检测模型通过与正常行为间的匹配程度实现入侵检测。由于无须对每种入侵行为进行预定义,能有效检测未知的入侵行为。工业控制***的异常检测技术可以分为三类(Garcia-Teodoro P,Diaz-Verdejo J,Macia-Fernandez G,et al.Anomaly-based network intrusion detection:techniques,systems andchallenges.Computers&Security,2009):基于统计的方法、基于知识的方法和基于机器学习的方法。基于统计的方法包括单变量或多变量模型和时间序列模型等。基于知识的方法包括有限状态机、状态描述语言方法和规则推理等。基于机器学习的方法又可以分为贝叶斯网络、人工神经网络、模糊逻辑、遗传算法、支持向量机等方法。
MIKPSO-SVM(陈冬青,张普含,王华忠.基于MIKPSO-SVM方法的工业控制***入侵检测[J].清华大学学报:自然科学版,2018)算法是陈冬青等人融合了多新息理论,着眼于KPSO算法对粒子位置信息进行预测时仅使用单个新息的局限性,提出了改进的MIKPSO算法,提升了算法的优化精度和全局优化性能。ALO-SVM(陈卓,单欣欣.一种基于ALO-SVM算法的入侵检测方法[J].现代电子技术,2020)算法是陈卓等人提出一种在PCA降维的基础上,基于蚁狮优化算法(The Ant Lion Optimizer,ALO)和支持向量机(Support VectorMachine,SVM)相结合的入侵检测方法,该算法的检测速度有显著提高。
发明内容
本发明目的在于克服现有技术中存在的问题,提出一种基于CGWO的能够优化高斯过程的工业互联网入侵检测方法,该方法特别适用于Modbus/TCP协议。
概括地说,本发明方法通过引入拉普拉斯特征映射的方法,利用微分几何中的Laplacian-Beltrami算子获得相应的空间嵌入函数表示,以完成高维数据到低维空间的投影,实现数据降维;然后,通过引入基于柯西变异算子的灰狼优化算法不断优化超参数的取值;最后通过高斯过程实现工业互联网入侵***的检测,从而提前发现入侵行为,并进行防御以阻止设备被攻击破坏。
为了实现本发明的目的,采用的技术方案如下:
一种基于高斯过程的工业互联网入侵检测方法,包括以下步骤:
(1)、在工业互联网中部署监控流量的节点,不间断获取工控流量数据;
(2)、将流量的特征分为三类:基于时间序列、数据报头、数据内容;按照类别分别选出具有代表性的特征;
(3)、采用拉普拉斯特征映射算法对步骤(2)选取的特征进行降维处理;
(4)、采用灰狼优化算法选取最优参数;
(5)、采用柯西变异算子以提高灰狼算法的全局搜索能力,加大寻优范围,获取最优超参数;
(6)、根据步骤(5)获取的最优超参数,采用高斯过程进行预测,根据检测结果,指导工业互联网安全防护升级,尤其对于入侵严重的节点进行加固和改造。
本发明方法根据无法通过流量直接准确识别出设备是否被攻击,同时普通机器学习易陷入局部最优,分析效果较差,而且难以准确识别实际情况,引入了灰狼优化算法,通过借鉴灰狼种群的捕食机制和等级制度,不断优化选择的参数,最后通过高斯过程分步骤识别出工业互联网是否被入侵。
其中步骤(3),工控***数据特征经过选择后依然是高维数据集,采用拉普拉斯特征映射进行降维(Laplacian Eigenmaps,LE),利用微分几何中的Laplacian-Beltrami算子获得相应的空间嵌入函数表示,以完成高维数据到低维空间的投影。降维过程如下:
首先是构建加权无向图G:给定高维数据集合X={x1,x2,...,xn},采用K近邻方法构造无向图G,令Nk(xi)表示样本xi的K近邻集,则K近邻公式如式(1):
Nk(xi)={xj∈X|||xi-xj||2≤dk(xi)} (1)
其中,Nk(xi)表示样本xi的k近邻集,dk(xi)表示样本xi的第k距离。
其次是确定边的权重w:对于权重的确定采用0-1权值方法,如式(2)所示:
其中,Nk(xj)表示样本xj的k近邻集,Nk(xi)表示样本xi的k近邻集。
最后是计算样本点的低维嵌入坐标:计算拉普拉斯矩阵的特征值及特征向量,设高维数据集合X的低维嵌入映射为Y={y1,y2,…,yn},LE目标是使得构造过程中损失函数最小,如式(3)所示:
损失函数最小保证了高维中的邻近数据点在低维中也邻近,对拉普拉斯无向图进行广义特征值分解,如果高维数据集降至m维空间,则降维后的映射结果Y由最小的m个非零特征值对应的向量组成,则任一样本xi∈X对应的低维坐标表示为yi={y1,y2,…,ym}。
其中步骤(4),灰狼优化算法借鉴了灰狼种群的捕食机制和等级制度,第一层是头狼,称为α,负责领导整个群体,对捕猎行为、栖息地具有决定权;第二层被称为β,协助头狼做出决策,是头狼最好的接替者;第三层称为δ,负责放哨、侦察任务;最后一层为ω,主要负责种群内部的平衡。
在狩猎过程中首先需要对猎物进行包围,则灰狼与猎物之间的距离如式(4):
Dp=μ·Xp(t)-X(t) (4)
其中,t为迭代次数;Xp(t)为第t代猎物的位置,即全局最优解;X(t)为第t代灰狼个体的位置,常数μ为摆动因子,如式(5):
μ=2·r1,r1∈(0,1) (5)
其中,r1为随机变量;
根据式(6)更新灰狼个体的位置:
X(t+1)=Xp(t)-A·D (6)
其中,X(t+1)为灰狼个体的新位置,D为灰狼与猎物之间的距离,A为收敛因子,如式(7):
A=2·b·r2-b,r2∈(0,1) (7)
其中,r2为随机变量,b为随迭代次数增加值从2线性降到0。
当灰狼包围猎物后,α带领β和δ指导狼群追捕猎物;由于对猎物的位置(最优解)并不清楚,因此,模拟灰狼的狩猎行为,利用α、β和δ三者的位置不断逼近猎物的位置;α、β和δ位置的更新公式如下:
其中,Dα、Dβ、Dδ分别表示α、β、δ狼与其它狼群个体间的距离,Xp(t+1)表示猎物的位置(最优解)。X1、X2和X3分别表示α、β和δ三者的位置。Xα(t)、Xβ(t)和Xδ(t)分别表示t时刻α、β和δ三者的位置,A1、A2和A3分别表示t时刻α、β和δ三者的收敛因子,μ1、μ2和μ3分别表示t时刻α、β和δ三者的摆动因子。
其中步骤(5)中,基于柯西变异的灰狼优化算法的步骤为:
首先,执行原基本灰狼优化算法;
其次,进入循环迭代后,当灰狼群体中相邻五次迭代的没有差别的最优值都作为历史最优值被记录下来时,认为算法停滞,则进行柯西变异;
最后,变异操作:先将最优灰狼个体的个数复制到原先种群规模,然后进行柯西变异,更新群体的位置,进行二次寻优,如式(11):
其中,x0、y0表示个体的初始位置;x′0,y′0表示添加柯西扰动后的位置。
其中步骤(6),高斯过程,X=[x1,x2,...,xn]T为训练数据的输入变量,而Y=[y1,y2,...,yn]T为训练数据的输出变量,f(x)函数服从高斯分布,对数据进行预处理,使其均值为零,则高斯先验分布的输出观测值可以表示为:
其中y为噪声污染后的观测值,噪声K为满足对称正定要求的n阶协方差矩阵,In为单位矩阵;
采用平方指数协方差函数,其公式如下:
其中,l2为方差尺度,为信号方差,/>为噪音方差,δxx'为符号函数。
与现有技术相比,本发明的优势在于:
1、本发明引入了灰狼优化算法模型,与柯西变异算子相结合,避免了参数陷入局部最优的情况。
2、本发明将高斯过程应用到了工业互联网流量检测,该方法与神经网络、支持向量机相比,具有易实现、超参数自适应获取、非参数推断灵活以及输出具有概率意义等优势。
3、本发明提高了工业互联网入侵检测的检测准确率以及降低了其漏报率与误报率。
本发明设计合理,提出的一种新的工业互联网入侵检测方法,可以提前发现工业互联网中的入侵行为,进行防御以阻止设备被攻击破坏。
附图说明
图1表示本发明方法的CGWO-GP模型框架图。
图2表示Modbus/TCP报文格式。
图3表示狼群等级结构。
图4表示高斯过程。
具体实施方式
以下结合附图通过具体实施例详细说明本发明,但不构成对本发明的限制。
一种基于高斯过程的工业互联网入侵检测方法,在本实施例中,包括:流量数据预处理和构建CGWO-GP模型。其中,CGWO-GP模型分为两个部分:结合柯西变异算子的灰狼优化算法、高斯过程。CGWO-GP模型框架图如图1所示。
具体包括以下步骤:
步骤(1)、在工业互联网中部署监控流量的节点,不间断获取工控流量数据。
本实施例中,获取流量数据:模拟多种攻击模式攻击采用了Modbus/TCP协议的工业控制***获取流量数据。Modbus/TCP是Modbus系列通信协议的派生协议,在TCP/IP上进行Modbus报文传输,协议的用途是为PLC模块、I/O模块提供通信服务,广泛应用于工控领域。Modbus/TCP采用典型的主从通信结构。每次通信都是客户端先发送指令,可以是广播,或是向特定服务端的单播,服务端响应指令,并按要求应答,或者报告异常。当客户端不发送请求时,服务端不会发出数据,服务端和服务端之间不能直接通信。Modbus/TCP报文格式如图2所示。
把“数据采集探针”(数据来集探针是专门用于获取网络链路流量数据的硬件设备,属现有技术)部署在站控层的汇聚交换机旁,通过端口镜像方式复制该工业以太网中的通讯报文。通过Wireshark工具对获取的数据进行综合分析。
步骤(2)、在对特征进行选择时,需要先进行数据的清理,选择出合适的特征值;将流量的特征分为三类:基于时间序列、数据报头、数据内容;按照类别选出具有代表性的特征。
步骤(3)、采用拉普拉斯特征映射算法对步骤(2)选取的特征进行降维处理。
本实施例中,数据预处理:工控***数据特征经过选择后依然是高维数据集,在高维数据情形下会出现数据样本稀疏,距离计算困难的问题。因此,需要对其进行降维,采用拉普拉斯特征映射进行降维(Laplacian Eigenmaps,LE),利用微分几何中的Laplacian-Beltrami算子获得相应的空间嵌入函数表示,以完成高维数据到低维空间的投影。相比于流形学习的其他几种典型算法,LE含有更多的结构信息,更能发现数据内在规律,尤其对于不均匀的数据也能找出其中在低维的流形结构,具有良好的鲁棒性。根据工控***数据的特点,在特征选择的基础上,采用拉普拉斯特征映射算法对数据特征进行提取实现数据的降维。具体降维过程如下:
首先是构建加权无向图G:给定高维数据集合X={x1,x2,...,xn},采用K近邻方法构造无向图G,令Nk(xi)表示样本xi的K近邻集,则K近邻公式如式(1):
Nk(xi)={xj∈X|||xi-xj||2≤dk(xi)} (1)
其中,Nk(xi)表示样本xi的k近邻集,dk(xi)表示样本xi的第k距离。
其次是确定边的权重w:对于权重的确定采用0-1权值方法,如式(2)所示:
最后是计算样本点的低维嵌入坐标:计算拉普拉斯矩阵的特征值及特征向量,设高维数据集合X的低维嵌入映射为Y={y1,y2,…,yn},LE目标是使得构造过程中损失函数最小,如式(3)所示:
损失函数最小保证了高维中的邻近数据点在低维中也邻近,对拉普拉斯无向图进行广义特征值分解,如果高维数据集降至m维空间,则降维后的映射结果Y由最小的m个非零特征值对应的向量组成,则任一样本xi∈X对应的低维坐标表示为yi={y1,y2,…,ym}。
然后根据降维后的流量特征,利用CGWO-GP算法对工控流量数据进行异常检测,识别出异常数据。
构建CGWO-GP模型:GWO算法具有全局搜索能力强、收敛速度快而且参数少易实现的特点,此外,它简单、易用、灵活、可扩展,并且具有在搜索过程中在探索与开发之间达到适当平衡的特殊功能,从而带来了良好的融合。GWO算法借鉴了灰狼种群的捕食机制和等级制度。灰狼属于群居性动物,一般种群数量为5至12只。严格的等级制度使得灰狼个体有着明确的分工。如图3所示狼群的等级结构。尽管灰狼优化算法的性能优于其他算法,但也存在着后期易陷入局部最优的问题。在具体实例中采用柯西变异算子以提高灰狼算法的全局搜索能力,加大寻优范围。超参数的取值是直接影响预测结果的。高斯过程是将多元高斯分布扩展为无限数量的随机变量。它可以看作是随机函数的分布,具体高斯过程如图4所示。是一种非参数非线性的贝叶斯预测模型,适用于处理具有高维度、小样本、非线性特征的数据集。而且该模型无需指定输入数据集的大小和参数数量,对输入数据集具有良好的适应性。
步骤(4)、采用灰狼优化算法选取最优参数。
灰狼优化算法借鉴了灰狼种群的捕食机制和等级制度,一般种群数量为5至12只,第一层是头狼,称为α,负责领导整个群体,对捕猎行为、栖息地等具有决定权;第二层被称为β,协助头狼做出决策,是头狼最好的接替者;第三层称为δ,负责放哨、侦察等任务;最后一层为ω,主要负责种群内部的平衡。
灰狼优化算法模型为模拟灰狼群的狩猎行为。在狩猎过程中首先需要对猎物进行包围,则灰狼与猎物之间的距离如式(4)所示:
Dp=μ·Xp(t)-X(t) (4)
其中,t为迭代次数;Xp(t)为第t代猎物的位置(全局最优解);X(t)为第t代灰狼个体的位置,常数μ为摆动因子,如式(5):
μ=2·r1,r1∈(0,1) (5)
其中,r1为随机变量。
根据式(6)更新灰狼个体的位置:
X(t+1)=Xp(t)-A·D (6)
其中,X(t+1)为灰狼个体的新位置,D为灰狼与猎物之间的距离,A为收敛因子,如式(7):
A=2·b·r2-b,r2∈(0,1) (7)
其中,r2为随机变量,b为随迭代次数增加值从2线性降到0。
当灰狼包围猎物后,α带领β和δ指导狼群追捕猎物;由于对猎物的位置(最优解)并不清楚,因此,模拟灰狼的狩猎行为,利用α、β和δ三者的位置不断逼近猎物的位置;α、β和δ位置的更新公式如下:
其中,Dα、Dβ、Dδ分别表示α、β、δ狼与其它狼群个体间的距离,Xp(t+1)表示猎物的位置(最优解)。X1、X2和X3分别表示α、β和δ三者的位置。Xα(t)、Xβ(t)和Xδ(t)分别表示t时刻α、β和δ三者的位置,A1、A2和A3分别表示t时刻α、β和δ三者的收敛因子,μ1、μ2和μ3分别表示t时刻α、β和δ三者的摆动因子。
步骤(5)、采用柯西变异算子以提高灰狼算法的全局搜索能力,加大寻优范围,获取最优超参数。
如式(14)所示为柯西分布的概率密度函数:
基于柯西变异的灰狼优化算法的步骤为:
首先,执行原基本灰狼优化算法;
其次,进入循环迭代后,当灰狼群体中相邻五次迭代的没有差别的最优值都作为历史最优值被记录下来时,认为算法停滞,则进行柯西变异;
最后,变异操作:先将最优灰狼个体的个数复制到原先种群规模,然后进行柯西变异,更新群体的位置,进行二次寻优,如式(11):
其中,x0、y0表示个体的初始位置;x′0,y′0表示添加柯西扰动后的位置。
步骤(6)、根据步骤(5)获取的最优超参数,采用高斯过程进行预测(其性质由协方差函数来确定,协方差函数如式(13))。
其中,高斯过程,X=[x1,x2,...,xn]T为训练数据的输入变量,而Y=[y1,y2,...,yn]T为训练数据的输出变量,f(x)服从高斯分布,为了方便计算,通常会对数据进行预处理,使其均值为零,则高斯先验分布的输出观测值可以表示为:
其中y为噪声污染后的观测值,噪声K为满足对称正定要求的n阶协方差矩阵,In为单位矩阵;
一般采用平方指数协方差函数,其公式如下:
其中,l2为方差尺度,为信号方差,/>为噪音方差,δxx'为符号函数。
最后根据检测结果,指导工业互联网安全防护升级,尤其对于入侵严重的节点进行加固和改造。
总之,本发明所述的基于高斯过程的工业互联网入侵检测方法,利用拉普拉斯特征映射算法对选取的特征进行降维,采用融合柯西变异算子的灰狼优化算法选取最优超参数,通过高斯过程检测异常流量。工控流量包含三类重要特征:基于时间序列、数据包头和数据内容信息。特征选择后采用拉普拉斯特征映射利用微分几何中的Laplacian-Beltrami算子获得相应的空间嵌入函数表示,以完成高维数据到低维空间的投影。灰狼优化算法借鉴了灰狼种群的捕食机制和等级制度。严格的等级制度使得灰狼个体有着明确的分工,融合柯西变异算子不断优化超参数。高斯过程是将多元高斯分布扩展为无限数量的随机变量。它可以看作是随机函数的分布,而且该模型无需指定输入数据集的大小和参数数量,对输入数据集具有良好的适应性。最终通过高斯过程以识别出是否为异常流量。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照本发明实施例进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明的技术方案的精神和范围,其均应涵盖本发明的权利要求保护范围中。
Claims (1)
1.一种基于高斯过程的工业互联网入侵检测方法,其特征在于:包括以下步骤:
(1)、在工业互联网中部署监控流量的节点,不间断获取工控流量数据;
(2)、将流量的特征分为三类:基于时间序列、数据包头、数据内容;按照类别选出具有代表性的特征;
(3)、采用拉普拉斯特征映射算法对步骤(2)选取的特征进行降维处理;
具体降维过程如下:
首先是构建加权无向图G:给定高维数据集合X={x1,x2,...,xn},采用K近邻方法构造无向图G,令Nk(xi)表示样本xi的K近邻集,则K近邻公式如式(1):
Nk(xi)={xj∈X|||xi-xj||2≤dk(xi)} (1)
其中,Nk(xi)表示样本xi的k近邻集,dk(xi)表示样本xi的第k距离;
其次是确定边的权重w:对于权重的确定采用0-1权值方法,如式(2)所示:
其中,Nk(xj)表示样本xj的k近邻集,Nk(xi)表示样本xi的k近邻集;
最后是计算样本点的低维嵌入坐标:计算拉普拉斯矩阵的特征值及特征向量,设高维数据集合X的低维嵌入映射为Y={y1,y2,…,yn},LE目标是使得构造过程中损失函数最小,如式(3)所示:
损失函数最小保证了高维中的邻近数据点在低维中也邻近,对拉普拉斯无向图进行广义特征值分解,如果高维数据集降至m维空间,则降维后的映射结果Y由最小的m个非零特征值对应的向量组成,则任一样本xi∈X对应的低维坐标表示为yi={y1,y2,…,ym};
(4)、采用灰狼优化算法选取最优参数;
灰狼优化算法借鉴了灰狼种群的捕食机制和等级制度,第一层是头狼,称为α,负责领导整个群体,对捕猎行为、栖息地具有决定权;第二层被称为β,协助头狼做出决策,是头狼最好的接替者;第三层称为δ,负责放哨、侦察任务;最后一层为ω,主要负责种群内部的平衡;
在狩猎过程中首先需要对猎物进行包围,则灰狼与猎物之间的距离如式(4)所示:
Dp=μ·Xp(t)-X(t) (4)
其中,t为迭代次数;Xp(t)为第t代猎物的位置,即全局最优解;X(t)为第t代灰狼个体的位置,常数μ为摆动因子,如式(5):
μ=2·r1,r1∈(0,1) (5)
其中,r1为随机变量;
根据式(6)更新灰狼个体的位置:
X(t+1)=Xp(t)-A·D (6)
其中,X(t+1)为灰狼个体的新位置,D为灰狼与猎物之间的距离,A为收敛因子,如式(7):
A=2·b·r2-b,r2∈(0,1) (7)
其中,r2为随机变量,b为随迭代次数增加值从2线性降到0;
当灰狼包围猎物后,α带领β和δ指导狼群追捕猎物;由于对猎物的位置并不清楚,因此,模拟灰狼的狩猎行为,利用α、β和δ三者的位置不断逼近猎物的位置;α、β和δ位置的更新公式如下:
其中,Dα、Dβ、Dδ分别表示α、β、δ狼与其它狼群个体间的距离;Xp(t+1)表示猎物的位置,即最优解;X1、X2和X3分别表示α、β和δ三者的位置;Xα(t)、Xβ(t)和Xδ(t)分别表示t时刻α、β和δ三者的位置;A1、A2和A3分别表示t时刻α、β和δ三者的收敛因子;μ1、μ2和μ3分别表示t时刻α、β和δ三者的摆动因子;
(5)、采用柯西变异算子以提高灰狼算法的全局搜索能力,加大寻优范围,获取最优超参数;
基于柯西变异的灰狼优化算法的步骤为:
首先,执行原基本灰狼优化算法;
其次,进入循环迭代后,当灰狼群体中相邻五次迭代的没有差别的最优值都作为历史最优值被记录下来时,认为算法停滞,则进行柯西变异;
最后,变异操作:先将最优灰狼个体的个数复制到原先种群规模,然后进行柯西变异,更新群体的位置,进行二次寻优,如式(11):
其中,x0、y0表示个体的初始位置;x'0,y'0表示添加柯西扰动后的位置;
(6)、根据步骤(5)获取的最优超参数,采用高斯过程进行预测,根据检测结果,指导工业互联网安全防护升级,尤其对于入侵严重的节点进行加固和改造;
其中,高斯过程,X=[x1,x2,...,xn]T为训练数据的输入变量,而Y=[y1,y2,...,yn]T为训练数据的输出变量,f(x)服从高斯分布,对数据进行预处理,使其均值为零,则高斯先验分布的输出观测值可以表示为:
其中y为噪声污染后的观测值,噪声K为满足对称正定要求的n阶协方差矩阵,In为单位矩阵;
采用平方指数协方差函数,其公式如下:
其中,l2为方差尺度,为信号方差,/>为噪音方差,δxx'为符号函数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111381750.4A CN114124517B (zh) | 2021-11-22 | 2021-11-22 | 一种基于高斯过程的工业互联网入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111381750.4A CN114124517B (zh) | 2021-11-22 | 2021-11-22 | 一种基于高斯过程的工业互联网入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114124517A CN114124517A (zh) | 2022-03-01 |
CN114124517B true CN114124517B (zh) | 2024-05-28 |
Family
ID=80398163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111381750.4A Active CN114124517B (zh) | 2021-11-22 | 2021-11-22 | 一种基于高斯过程的工业互联网入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114124517B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116582301B (zh) * | 2023-04-17 | 2024-02-02 | 华中科技大学 | 基于拉普拉斯金字塔的工控网络异常流量检测方法、***及计算机可读存储介质 |
CN117014224B (zh) * | 2023-09-12 | 2024-01-30 | 联通(广东)产业互联网有限公司 | 基于高斯过程回归的网络攻击防御方法及*** |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103974311A (zh) * | 2014-05-21 | 2014-08-06 | 哈尔滨工业大学 | 基于改进高斯过程回归模型的状态监测数据流异常检测方法 |
CN106971240A (zh) * | 2017-03-16 | 2017-07-21 | 河海大学 | 一种变量选择与高斯过程回归的短期负荷预测方法 |
CN108520272A (zh) * | 2018-03-22 | 2018-09-11 | 江南大学 | 一种改进苍狼算法的半监督入侵检测方法 |
CN109492265A (zh) * | 2018-10-18 | 2019-03-19 | 南京林业大学 | 基于高斯过程回归的动态非线性pls软测量建模方法 |
CN110095788A (zh) * | 2019-05-29 | 2019-08-06 | 电子科技大学 | 一种基于灰狼优化算法的rbpf-slam改进方法 |
CN110880031A (zh) * | 2019-11-18 | 2020-03-13 | 贵州大学 | 基于融合随机黑洞策略的灰狼优化算法的特征选择方法 |
CN111507393A (zh) * | 2020-04-14 | 2020-08-07 | 艾瑞思检测技术(苏州)有限公司 | 一种基于拉普拉斯特征映射学习的显卡接口机器测试方法 |
CN112257688A (zh) * | 2020-12-17 | 2021-01-22 | 四川圣点世纪科技有限公司 | 一种基于gwo-oselm的非接触式手掌活体检测方法及装置 |
CN112348080A (zh) * | 2020-11-06 | 2021-02-09 | 北京石油化工学院 | 基于工控异常检测的rbf改进方法、装置和设备 |
CN112581263A (zh) * | 2020-12-23 | 2021-03-30 | 百维金科(上海)信息科技有限公司 | 一种基于灰狼算法优化广义回归神经网络的信用评估方法 |
CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现*** |
CN113434856A (zh) * | 2021-07-06 | 2021-09-24 | 中国人民解放军空军工程大学 | 一种基于psogwo-svm算法的网络入侵检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11151463B2 (en) * | 2020-03-16 | 2021-10-19 | Sas Institute Inc. | Distributable event prediction and machine learning recognition system |
-
2021
- 2021-11-22 CN CN202111381750.4A patent/CN114124517B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103974311A (zh) * | 2014-05-21 | 2014-08-06 | 哈尔滨工业大学 | 基于改进高斯过程回归模型的状态监测数据流异常检测方法 |
CN106971240A (zh) * | 2017-03-16 | 2017-07-21 | 河海大学 | 一种变量选择与高斯过程回归的短期负荷预测方法 |
CN108520272A (zh) * | 2018-03-22 | 2018-09-11 | 江南大学 | 一种改进苍狼算法的半监督入侵检测方法 |
CN109492265A (zh) * | 2018-10-18 | 2019-03-19 | 南京林业大学 | 基于高斯过程回归的动态非线性pls软测量建模方法 |
CN110095788A (zh) * | 2019-05-29 | 2019-08-06 | 电子科技大学 | 一种基于灰狼优化算法的rbpf-slam改进方法 |
CN110880031A (zh) * | 2019-11-18 | 2020-03-13 | 贵州大学 | 基于融合随机黑洞策略的灰狼优化算法的特征选择方法 |
CN111507393A (zh) * | 2020-04-14 | 2020-08-07 | 艾瑞思检测技术(苏州)有限公司 | 一种基于拉普拉斯特征映射学习的显卡接口机器测试方法 |
CN112348080A (zh) * | 2020-11-06 | 2021-02-09 | 北京石油化工学院 | 基于工控异常检测的rbf改进方法、装置和设备 |
CN112257688A (zh) * | 2020-12-17 | 2021-01-22 | 四川圣点世纪科技有限公司 | 一种基于gwo-oselm的非接触式手掌活体检测方法及装置 |
CN112581263A (zh) * | 2020-12-23 | 2021-03-30 | 百维金科(上海)信息科技有限公司 | 一种基于灰狼算法优化广义回归神经网络的信用评估方法 |
CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现*** |
CN113434856A (zh) * | 2021-07-06 | 2021-09-24 | 中国人民解放军空军工程大学 | 一种基于psogwo-svm算法的网络入侵检测方法 |
Non-Patent Citations (3)
Title |
---|
Laplacian Eigenmaps From Sparse, Noisy Similarity Measurements;Keith Levin;《IEEE Transactions on Signal Processing 》;全文 * |
基于改进型柯西变异灰狼优化算法训练的多层感知器;王栎桥;《计算机工程与科学》;正文第1-4 * |
拉普拉斯特征映射的时空数据划分方法;夏慧琼;《测绘科学》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114124517A (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111585997B (zh) | 一种基于少量标注数据的网络流量异常检测方法 | |
US9910980B2 (en) | Cyber security | |
CN114124517B (zh) | 一种基于高斯过程的工业互联网入侵检测方法 | |
Sahin et al. | Fault diagnosis for airplane engines using Bayesian networks and distributed particle swarm optimization | |
CN102098180B (zh) | 一种网络安全态势感知方法 | |
CN104869126A (zh) | 一种网络入侵异常检测方法 | |
US10367843B1 (en) | Securing a network | |
Zhou et al. | Credibilistic clustering: the model and algorithms | |
Levchuk et al. | Learning and detecting patterns in multi-attributed network data | |
Katar | Combining multiple techniques for intrusion detection | |
CN117461034A (zh) | 用于工业网络安全事件的自动分析的方法和*** | |
Ren et al. | Captar: Causal-polytree-based anomaly reasoning for scada networks | |
Siraj et al. | Intelligent alert clustering model for network intrusion analysis | |
Singh et al. | ACO based comprehensive model for software fault prediction | |
Gajda et al. | Machine learning methods for anomaly detection in computer networks | |
Siraj et al. | Intelligent clustering with PCA and unsupervised learning algorithm in intrusion alert correlation | |
CN118133146B (zh) | 基于人工智能的物联网风险入侵识别方法 | |
Strelnikoff et al. | Causanom: Anomaly Detection With Flexible Causal Graphs | |
Siraj et al. | Network intrusion alert aggregation based on PCA and Expectation Maximization clustering algorithm | |
Cai et al. | Machine learning-based threat identification of industrial internet | |
Hormann et al. | Analysis of Security Events in Industrial Networks Using Self-Organizing Maps by the Example of Log4j. | |
Diligenti et al. | Enhancing Embedding Representations of Biomedical Data using Logic Knowledge | |
Renners et al. | Concept and Practical Evaluation for Adaptive and Intelligible Prioritization for Network Security Incidents. | |
CN118133146A (zh) | 基于人工智能的物联网风险入侵识别方法 | |
CN116668045A (zh) | 一种多维度的网络安全综合预警方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |