文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.06.002
引用格式: 王晨,張迪明,韓斌. 基于變分自編碼器和三支決策的工控入侵檢測算法[J].信息技術與網絡安全,2022,41(6):10-17.
0 引言
工業控制網絡其核心是將互聯網技術同自動化控制技術相結合。隨著工業化的推進,雖然越來越多的網絡模塊和控制器優化了工控系統并提升了生產效率,但是高度復雜的工控系統同樣增加了其暴露高危漏洞的風險[1]。如今,工控安全是網絡安全領域亟待解決的熱點問題。
在工控安全的研究領域中,學者們針對不同的工業生產環境,設計出了不同的入侵檢測算法模型。趙智陽等人[2]提出了一種基于卷積神經網絡的電網工控系統入侵檢測算法,在神經網絡結構中加入級聯卷積層提升了特征提取能力。莊衛金等人[3]提出了基于特征提取的電力工控系統入侵檢測方法,通過堆疊稀疏編碼器并在訓練過程中引入遷移學習進行參數優化,提升了對數據關鍵特征提取的能力。Shang等人[4]通過一類支持向量機(One-Class Support Vector Machine,OCSVM)概念建立正常的通信行為模型,并設計粒子群優化算法對OCSVM模型參數進行優化,設計了工控系統中基于OCSVM的入侵檢測算法。Liu等人[5]使用兩級檢測結構,結合CNN特征提取來構建入侵檢測的正常狀態過程轉移模型,提出了一種基于CNN和過程狀態轉換的工業控制系統入侵檢測算法。Brugman等人[6]通過使用軟件定義網絡將流量路由到云,以使用網絡功能虛擬化進行檢查,提出了一種使用軟件定義網絡的基于云的工控入侵檢測方法。根據上述研究成果可以得到,大多數算法模型關注到了特征提取對于工控入侵檢測的重要意義,并通過相應的特征提取方法進行了實驗,取得了相應的成果。但依然存在一定的局限性:
(1)對于特征提取部分仍然有提升的空間,例如對于級聯卷積層的加入難以避免運算成本大和過擬合風險;對于堆疊稀疏編碼器的應用,編碼器只是單一地表征不同數據在隱空間的特質而忽視了其概率分布。
(2)多數算法模型的核心設計在于如何更好地進行特征提取,而忽視提取特征后的樣本分類步驟,大多采用傳統的二支決策分類器進行分類,存在盲目決策的風險。
針對上述問題,本文提出了一種基于變分自編碼器(Variational Autoencoder,VAE)和三支決策(Three-way Decisions,TWD)的工業控制網絡入侵檢測算法(VAE-TWD)。該算法利用深度學習中的變分自編碼器理論[7],先針對輸入數據的密集表征進行學習和編碼,通過屬性映射,在降低輸入數據的同時進行特征提取。在訓練過程中,成本函數迫使編碼在隱空間內移動。然后在由均值和標準差生成的高斯分布中隨機采樣,并使用解碼器解碼成重構數據。訓練完成后,編碼器生成的數據即是降維后的特征。最后基于三支決策理論[8]對決策域中由于暫時信息不足而無法決策的數據進行延時決策,當獲得更多粒度特征后再進行決策。三支決策理論極大程度上彌補了傳統的二支決策中容錯能力差,且不能依靠特征粒度的信息來對網絡數據行為做出動態決策的缺點。
本文詳細內容請下載:http://www.jysgc.com/resource/share/2000004528
作者信息:
王 晨,張迪明,韓 斌
(江蘇科技大學 計算機學院,江蘇 鎮江212100)
