文献标识码:A
DOI:10.19358/j.issn.2096-5133.2022.06.002
引用格式: 王晨,张迪明,韩斌. 基于变分自编码器和三支决策的工控入侵检测算法[J].信息技术与网络安全,2022,41(6):10-17.
0 引言
工业控制网络其核心是将互联网技术同自动化控制技术相结合。随着工业化的推进,虽然越来越多的网络模块和控制器优化了工控系统并提升了生产效率,但是高度复杂的工控系统同样增加了其暴露高危漏洞的风险[1]。如今,工控安全是网络安全领域亟待解决的热点问题。
在工控安全的研究领域中,学者们针对不同的工业生产环境,设计出了不同的入侵检测算法模型。赵智阳等人[2]提出了一种基于卷积神经网络的电网工控系统入侵检测算法,在神经网络结构中加入级联卷积层提升了特征提取能力。庄卫金等人[3]提出了基于特征提取的电力工控系统入侵检测方法,通过堆叠稀疏编码器并在训练过程中引入迁移学习进行参数优化,提升了对数据关键特征提取的能力。Shang等人[4]通过一类支持向量机(One-Class Support Vector Machine,OCSVM)概念建立正常的通信行为模型,并设计粒子群优化算法对OCSVM模型参数进行优化,设计了工控系统中基于OCSVM的入侵检测算法。Liu等人[5]使用两级检测结构,结合CNN特征提取来构建入侵检测的正常状态过程转移模型,提出了一种基于CNN和过程状态转换的工业控制系统入侵检测算法。Brugman等人[6]通过使用软件定义网络将流量路由到云,以使用网络功能虚拟化进行检查,提出了一种使用软件定义网络的基于云的工控入侵检测方法。根据上述研究成果可以得到,大多数算法模型关注到了特征提取对于工控入侵检测的重要意义,并通过相应的特征提取方法进行了实验,取得了相应的成果。但依然存在一定的局限性:
(1)对于特征提取部分仍然有提升的空间,例如对于级联卷积层的加入难以避免运算成本大和过拟合风险;对于堆叠稀疏编码器的应用,编码器只是单一地表征不同数据在隐空间的特质而忽视了其概率分布。
(2)多数算法模型的核心设计在于如何更好地进行特征提取,而忽视提取特征后的样本分类步骤,大多采用传统的二支决策分类器进行分类,存在盲目决策的风险。
针对上述问题,本文提出了一种基于变分自编码器(Variational Autoencoder,VAE)和三支决策(Three-way Decisions,TWD)的工业控制网络入侵检测算法(VAE-TWD)。该算法利用深度学习中的变分自编码器理论[7],先针对输入数据的密集表征进行学习和编码,通过属性映射,在降低输入数据的同时进行特征提取。在训练过程中,成本函数迫使编码在隐空间内移动。然后在由均值和标准差生成的高斯分布中随机采样,并使用解码器解码成重构数据。训练完成后,编码器生成的数据即是降维后的特征。最后基于三支决策理论[8]对决策域中由于暂时信息不足而无法决策的数据进行延时决策,当获得更多粒度特征后再进行决策。三支决策理论极大程度上弥补了传统的二支决策中容错能力差,且不能依靠特征粒度的信息来对网络数据行为做出动态决策的缺点。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000004528
作者信息:
王 晨,张迪明,韩 斌
(江苏科技大学 计算机学院,江苏 镇江212100)