基于变分自编码器和三支决策的工控入侵检测算法-AET-电子技术应用

基于变分自编码器和三支决策的工控入侵检测算法

信息技术与网络安全 6期

王晨，张迪明，韩斌

(江苏科技大学计算机学院，江苏镇江212100)

摘要： 为了更精确地提取工控入侵数据集特征和更精准地分类恶意数据，使得入侵检测方法满足当前工业控制网络的安全需求，提出了基于变分自编码器(Variational Autoencoder，VAE)和三支决策理论(Three-way Decisions，TWD)的新型工业控制网络入侵检测算法(VAE-TWD)。该算法利用变分自编码器强大的感知能力对高维数据进行降维映射和特征提取，再对正常和恶意数据利用三支决策理论进行即刻决策，划分入正向决策域和负向决策域。而对于边界域内不确定的数据，将通过不同粒度的特征，选择适当数据构成新的训练集并扩充到原有数据集中。然后重复决策过程，直至决策域中数据为空，规避盲目决策的风险。实验结果表明VAE-TWD算法提升了对工控入侵检测的特征提取能力和分类能力，且在准确率、检出率、误报率、F1得分等指标上均优于对比算法，有效提高了工控入侵检测的性能。

关键词： 变分自编码器三支决策特征提取工控入侵检测

中图分类号： TP393
文献标识码： A
DOI： 10.19358/j.issn.2096-5133.2022.06.002
引用格式：王晨，张迪明，韩斌. 基于变分自编码器和三支决策的工控入侵检测算法[J].信息技术与网络安全，2022，41(6)：10-17.

An industrial intrusion detection algorithm based on variational autoencoder and three-way decisions

Wang Chen，Zhang Diming，Han Bin

(School of Computer，Jiangsu University of Science and Technology，Zhenjiang 212100，China)

Abstract： In order to extract the characteristics of industrial control intrusion data set and classify malicious data more accurately, make the intrusion detection methods meet the security needs of the current industrial control network, a novel VAE-TWD algorithm based on variational auto-encoders(VAE) and three-way decisions theory(TWD) is proposed. The algorithm uses the powerful perceptive ability of variational autoencoder to reduce dimension mapping and extract feature for high-dimensional data, and then makes instant decision for normal and malicious data by using three-way decision theory, divides them into positive decision domain and negative decision domain. For the uncertain data in the boundary region, the new training set will be constructed by selecting appropriate data with different granularity features and then extended to the original data set. Then the decision-making process is repeated until the data in the decision-making domain is empty to avoid the risk of blind decision-making. The experimental results show that VAE-TWD algorithm improves feature extraction ability and classification ability of industrial control intrusion detection, is superior to the comparison algorithms in accuracy, detection rate, false positive rate, F1 score and other indicators, and effectively improves the performance of industrial control intrusion detection.

Key words : variational autoencoder；three-way decisions；feature extraction；industrial control intrusion detection

0 引言

工业控制网络其核心是将互联网技术同自动化控制技术相结合。随着工业化的推进，虽然越来越多的网络模块和控制器优化了工控系统并提升了生产效率，但是高度复杂的工控系统同样增加了其暴露高危漏洞的风险[1]。如今，工控安全是网络安全领域亟待解决的热点问题。

在工控安全的研究领域中，学者们针对不同的工业生产环境，设计出了不同的入侵检测算法模型。赵智阳等人[2]提出了一种基于卷积神经网络的电网工控系统入侵检测算法，在神经网络结构中加入级联卷积层提升了特征提取能力。庄卫金等人[3]提出了基于特征提取的电力工控系统入侵检测方法，通过堆叠稀疏编码器并在训练过程中引入迁移学习进行参数优化，提升了对数据关键特征提取的能力。Shang等人[4]通过一类支持向量机(One-Class Support Vector Machine，OCSVM)概念建立正常的通信行为模型，并设计粒子群优化算法对OCSVM模型参数进行优化，设计了工控系统中基于OCSVM的入侵检测算法。Liu等人[5]使用两级检测结构，结合CNN特征提取来构建入侵检测的正常状态过程转移模型，提出了一种基于CNN和过程状态转换的工业控制系统入侵检测算法。Brugman等人[6]通过使用软件定义网络将流量路由到云，以使用网络功能虚拟化进行检查，提出了一种使用软件定义网络的基于云的工控入侵检测方法。根据上述研究成果可以得到，大多数算法模型关注到了特征提取对于工控入侵检测的重要意义，并通过相应的特征提取方法进行了实验，取得了相应的成果。但依然存在一定的局限性：

(1)对于特征提取部分仍然有提升的空间，例如对于级联卷积层的加入难以避免运算成本大和过拟合风险；对于堆叠稀疏编码器的应用，编码器只是单一地表征不同数据在隐空间的特质而忽视了其概率分布。

(2)多数算法模型的核心设计在于如何更好地进行特征提取，而忽视提取特征后的样本分类步骤，大多采用传统的二支决策分类器进行分类，存在盲目决策的风险。

针对上述问题，本文提出了一种基于变分自编码器(Variational Autoencoder，VAE)和三支决策(Three-way Decisions，TWD)的工业控制网络入侵检测算法(VAE-TWD)。该算法利用深度学习中的变分自编码器理论[7]，先针对输入数据的密集表征进行学习和编码，通过属性映射，在降低输入数据的同时进行特征提取。在训练过程中，成本函数迫使编码在隐空间内移动。然后在由均值和标准差生成的高斯分布中随机采样，并使用解码器解码成重构数据。训练完成后，编码器生成的数据即是降维后的特征。最后基于三支决策理论[8]对决策域中由于暂时信息不足而无法决策的数据进行延时决策，当获得更多粒度特征后再进行决策。三支决策理论极大程度上弥补了传统的二支决策中容错能力差，且不能依靠特征粒度的信息来对网络数据行为做出动态决策的缺点。

本文详细内容请下载：http://www.chinaaet.com/resource/share/2000004528

作者信息：

王晨，张迪明，韩斌

(江苏科技大学计算机学院，江苏镇江212100)

微信图片_20210517164139.jpg

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容