0 引言

工業(yè)控制網(wǎng)絡(luò)其核心是將互聯(lián)網(wǎng)技術(shù)同自動化控制技術(shù)相結(jié)合。隨著工業(yè)化的推進(jìn)，雖然越來越多的網(wǎng)絡(luò)模塊和控制器優(yōu)化了工控系統(tǒng)并提升了生產(chǎn)效率，但是高度復(fù)雜的工控系統(tǒng)同樣增加了其暴露高危漏洞的風(fēng)險[1]。如今，工控安全是網(wǎng)絡(luò)安全領(lǐng)域亟待解決的熱點(diǎn)問題。

在工控安全的研究領(lǐng)域中，學(xué)者們針對不同的工業(yè)生產(chǎn)環(huán)境，設(shè)計出了不同的入侵檢測算法模型。趙智陽等人[2]提出了一種基于卷積神經(jīng)網(wǎng)絡(luò)的電網(wǎng)工控系統(tǒng)入侵檢測算法，在神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中加入級聯(lián)卷積層提升了特征提取能力。莊衛(wèi)金等人[3]提出了基于特征提取的電力工控系統(tǒng)入侵檢測方法，通過堆疊稀疏編碼器并在訓(xùn)練過程中引入遷移學(xué)習(xí)進(jìn)行參數(shù)優(yōu)化，提升了對數(shù)據(jù)關(guān)鍵特征提取的能力。Shang等人[4]通過一類支持向量機(jī)(One-Class Support Vector Machine，OCSVM)概念建立正常的通信行為模型，并設(shè)計粒子群優(yōu)化算法對OCSVM模型參數(shù)進(jìn)行優(yōu)化，設(shè)計了工控系統(tǒng)中基于OCSVM的入侵檢測算法。Liu等人[5]使用兩級檢測結(jié)構(gòu)，結(jié)合CNN特征提取來構(gòu)建入侵檢測的正常狀態(tài)過程轉(zhuǎn)移模型，提出了一種基于CNN和過程狀態(tài)轉(zhuǎn)換的工業(yè)控制系統(tǒng)入侵檢測算法。Brugman等人[6]通過使用軟件定義網(wǎng)絡(luò)將流量路由到云，以使用網(wǎng)絡(luò)功能虛擬化進(jìn)行檢查，提出了一種使用軟件定義網(wǎng)絡(luò)的基于云的工控入侵檢測方法。根據(jù)上述研究成果可以得到，大多數(shù)算法模型關(guān)注到了特征提取對于工控入侵檢測的重要意義，并通過相應(yīng)的特征提取方法進(jìn)行了實(shí)驗(yàn)，取得了相應(yīng)的成果。但依然存在一定的局限性：

(1)對于特征提取部分仍然有提升的空間，例如對于級聯(lián)卷積層的加入難以避免運(yùn)算成本大和過擬合風(fēng)險；對于堆疊稀疏編碼器的應(yīng)用，編碼器只是單一地表征不同數(shù)據(jù)在隱空間的特質(zhì)而忽視了其概率分布。

(2)多數(shù)算法模型的核心設(shè)計在于如何更好地進(jìn)行特征提取，而忽視提取特征后的樣本分類步驟，大多采用傳統(tǒng)的二支決策分類器進(jìn)行分類，存在盲目決策的風(fēng)險。

針對上述問題，本文提出了一種基于變分自編碼器(Variational Autoencoder，VAE)和三支決策(Three-way Decisions，TWD)的工業(yè)控制網(wǎng)絡(luò)入侵檢測算法(VAE-TWD)。該算法利用深度學(xué)習(xí)中的變分自編碼器理論[7]，先針對輸入數(shù)據(jù)的密集表征進(jìn)行學(xué)習(xí)和編碼，通過屬性映射，在降低輸入數(shù)據(jù)的同時進(jìn)行特征提取。在訓(xùn)練過程中，成本函數(shù)迫使編碼在隱空間內(nèi)移動。然后在由均值和標(biāo)準(zhǔn)差生成的高斯分布中隨機(jī)采樣，并使用解碼器解碼成重構(gòu)數(shù)據(jù)。訓(xùn)練完成后，編碼器生成的數(shù)據(jù)即是降維后的特征。最后基于三支決策理論[8]對決策域中由于暫時信息不足而無法決策的數(shù)據(jù)進(jìn)行延時決策，當(dāng)獲得更多粒度特征后再進(jìn)行決策。三支決策理論極大程度上彌補(bǔ)了傳統(tǒng)的二支決策中容錯能力差，且不能依靠特征粒度的信息來對網(wǎng)絡(luò)數(shù)據(jù)行為做出動態(tài)決策的缺點(diǎn)。

本文詳細(xì)內(nèi)容請下載：http://www.jysgc.com/resource/share/2000004528

作者信息：

王  晨，張迪明，韓  斌

(江蘇科技大學(xué) 計算機(jī)學(xué)院，江蘇 鎮(zhèn)江212100)