面向综合电子系统的基于深层自编码器的混合入侵检测方法技术方案

本发明专利技术公开了一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，包括：数据预处理：对综合电子系统中总线管理器所存储的数据进行预处理，具体包括数据归一化和规范化处理；特征提取：使用深层自编码器对预处理后的数据进行特征提取，通过预训练和微调权值参数方法提取特征参数权值；入侵行为判定：将特征提取阶段获得的参数权值和输入值做运算得到特征数据，将该特征数据作为集合分类器的输入，输出为正常数据和攻击数据的二分类。本发明专利技术采用深层自编码器提取出研究者无法通过简单人工计算获得的一些高阶抽象特征，降低了特征维度，从而减少了计算成本，并可以有效地区分新的变体攻击。

Hybrid Intrusion Detection Method Based on Deep Self-Encoder for Integrated Electronic Systems

The invention discloses a hybrid intrusion detection method based on deep self-encoder for integrated electronic system, which includes data preprocessing: data preprocessing: data stored by bus manager in integrated electronic system, including data normalization and normalization processing; feature extraction: data preprocessed by deep self-encoder is extracted by feature preprocessing, and data preprocessed by pre-processing. Training and fine-tuning weight parameter method extracts feature parameter weights; intrusion behavior determination: feature data is obtained by calculating the parameter weights and input values obtained in feature extraction stage, and the feature data is used as the input of set classifier, and the output is two classifications of positive constant data and attack data. The invention adopts deep self-encoder to extract some high-order abstract features that researchers can not obtain by simple manual calculation, reduces the feature dimension, thus reduces the calculation cost, and can effectively distinguish new variant attacks.

【技术实现步骤摘要】
面向综合电子系统的基于深层自编码器的混合入侵检测方法
本专利技术属于信息安全的
，特别涉及一种面向综合电子系统的基于深层自编码器的混合入侵检测方法。
技术介绍
综合电子系统内部无加密机制、内置元器件大众化、技术开放性、传输信道标准化等特点使其面临广泛的威胁。目前国内外信息安全事件层出不穷，安全形势非常严峻，而我国在综合电子系统应用领域，包括空间、车辆等，以往的研究多聚焦于保证其高效性和可靠性，很少关注综合电子系统的安全性，也缺乏顶层的空间信息安全标准体系、核心技术和产品。对于卫星、飞机等飞行在太空或天空的空间设备，系统内部处于“不设防”状态，容易发生被夺取控制权等攻击；就综合电子系统地面应用场景而言，也面临着相同的威胁，装甲车辆等系统内部无任何加密机制和其他安全防护技术，也容易导致该车辆被攻击者控制，从而产生严重的后果。入侵检测技术是综合电子系统安全防护的关键，可有效检测内部攻击、外部攻击及误操作，从根本上提高综合电子系统的安全性。而随着攻击者的攻击方法越来越复杂，传统的基于机器学习方法和基于规范的入侵检测方法遵循传统的攻击逻辑，无法检测到复杂的变种攻击，不适用于综合电子系统应用场景。本专利技术提出了一种基于深层自编码器的混合入侵检测方法，是一种无监督方法，对变种攻击有很好的识别效果。但由于综合电子系统计算资源有限，深层自编码器所需计算资源较大，很难在星上运行该方法，因此将综合电子系统中总线管理器在1553B总线上收集的数据定期通过一定的方式传输至地面基站，在地面基站进行入侵检测，例如：飞机每次落地时，将其在这次飞行过程中的通讯数据传输至基站，然后使用基于深层自编码器的混合入侵检测方法进行检测。
技术实现思路
本专利技术的目的在于克服现有技术的缺点与不足，提供一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，首先对总线数据进行预处理，然后通过深层自编码器提取出研究者无法通过简单计算获得的一些高阶抽象特征，最后使用集合分类器对入侵行为进行判断。本专利技术降低了特征的维度，从而减少了计算成本，并可以有效地区分新的变体攻击。实现本专利技术目的的具体技术方案是：一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，包括如下步骤：步骤1：数据预处理，对综合电子系统中总线管理器所存储的各终端之间的通信流量数据进行归一化和标准化处理，得到格式规范的训练集；步骤2：特征提取，使用深层自编码器对训练集数据进行特征提取，得到特征参数权值，使特征更具表达能力；步骤3：入侵行为判定，将步骤2所得的参数权值与训练集数据做运算得到特征数据，输入集合分类器判断该特征是否属于攻击行为。根据权利要求1所述的混合入侵检测方法，步骤1所述归一化指通过最小-最大归一化、对数函数归一化或反余切函数归一化算法将数据映射到[0,1]的区间中；所述标准化指通过最小-最大规范化、Z分数规范化或Sigmoid函数算法将所述数据按照比例进行缩放，使所述数据映射到对应的空间里。根据权利要求1所述的混合入侵检测方法，步骤2所述深层自编码器具有数个隐藏层，包括编码和解码，将原始的输入转换成特征表达形式；具体为：ⅰ)预训练阶段，使用训练集数据生成初始参数权值；ⅱ)微调阶段，对所有神经元使用随机梯度下降的优化方法进行参数权值调整。根据权利要求1所述的混合入侵检测方法，步骤2所述使特征更具表达能力，是通过微调阶段对特征参数进行迭代调整，过滤干扰特征，提取与行为判定有关联的特征。根据权利要求1所述的混合入侵检测方法，步骤3所述做运算即将所述训练集中的数据与步骤2中所述特征参数相乘，目的是对所述训练集数据进行降维处理。根据权利要求1所述的混合入侵检测方法，步骤3所述集合分类器包括但不限于XGBoost。本专利技术的有益效果如下：本专利技术面向计算资源有限的综合电子系统提出了一种基于无人监督的深度自编码器和集合分类器相结合的混合入侵检测方法，降低了特征的维度，显著减少了内存和计算需求，能识别出新的变体攻击。附图说明图1为本专利技术流程图；图2为本专利技术深层自编码器拓扑结构图；图3为本专利技术深层自编码器的误差图；图4为堆积受限玻尔兹曼机器结构图；图5为本专利技术对入侵行为的判定过程示意图。具体实施方式结合以下具体实施例和附图，对本专利技术作进一步的详细说明。实施本专利技术的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本专利技术没有特别限制内容。参阅图1，本专利技术包括如下步骤：步骤1：数据预处理，对综合电子系统中总线管理器所存储的各终端之间通信流量数据进行归一化和标准化处理，得到格式规范的训练集；步骤2：特征提取，使用深层自编码器对训练集数据进行特征提取，得到特征参数权值，使特征更具表达能力；步骤3：入侵行为判定，将步骤2所得的参数权值与训练集数据做运算得到特征数据，输入集合分类器判断该特征是否属于攻击行为。在步骤1中，由于本专利技术直接使用了来自总线管理器的流量数据，不再人工定义特征，因此需要对该数据进行预处理，具体包括映射、离散化和标准化操作。所述归一化指通过算法将数据映射到[0,1]的区间中，常见算法包括最小-最大归一化、对数函数归一化、反余切函数归一化等；所述标准化指通过算法将所述数据按照比例进行缩放，使所述数据映射到对应的空间里面，常见算法包括最小-最大规范化、Z分数规范化、Sigmoid函数等。在步骤2中，本专利技术提出的自编码器具有多个隐藏层，且深层次的自编码器比浅层次的自编码器具有更好的效果，但深层次的自动编码器对初始值较敏感，需要一个良好的初始节点。本专利技术提出的深层自编码器的拓扑结构如图2所示。在自编码器的编码过程中，通过多层结构学习到输入数据的隐含特征，然后在解码过程中使用学习到的隐含特征重构原始输入数据。自编码器的误差图如图3所示，将输入映射到隐藏层：y＝f(x)＝s(wi*x+bi)其中x是输入向量，x∈Rd*1,d为输入数据的维数。y是输出向量，y∈Rr*1，r为隐含层神经元的数量。wi是隐含层的权重，wi∈Rr*d。bi是隐含层的输入偏置，bi∈Rr*1。s为激活函数。激活函数用于两层之间节点的激活，通常是非线性函数，常见激活函数有Sigmoid函数、Relu函数等。本专利技术以LeakyRelu函数为例。解码器是将y映射回原始的x，表达式为：x＝h(y)＝s(wi*y+bi)其中wi∈Rr*d，bi∈Rd*1。损失函数表达式为：L(w,b)＝||xi-h(f(xi))||2因此，自编码器的目标函数可表达为：其中N为样本总数，nl表示该自编码器的层数，sl是每层的神经元数。损失函数和目标函数确定后，使用随机梯度下降法求解模型的最优解，使损失函数最小，随机梯度下降是最小化每条数据的损失函数，虽然不是每次得到的损失函数都向着全局最优，但总体来说，是向着全局最优。主要通过随机梯度下降优化神经元之间的连接权值矩阵以及偏置矩阵向量。更新表达式为：其中η为学习速率。深层自编码器的训练包括两个阶段，其一是预训练，目的是为了让深层自编码器有良好的初始值；其二是微调，对深层自编码器的所有神经元使用随机梯度下降的优化方法进行调整。预训练自编码器和获得初始化权值的两种最常见的技术是堆积受限玻尔兹曼机器(RBM)和堆叠式消噪自编码器。本专利技术以RBM为例进行说明，其结构如图本文档来自技高网...

【技术保护点】
1.一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，其特征在于，包括如下步骤：步骤1：数据预处理，对综合电子系统中总线管理器所存储的各终端之间的通信流量数据进行归一化和标准化处理，得到格式规范的训练集；步骤2：特征提取，使用深层自编码器对训练集数据进行特征提取，得到特征参数权值，使特征更具表达能力；步骤3：入侵行为判定，将步骤2所得的参数权值与训练集数据做运算得到特征数据，输入集合分类器判断该特征是否属于攻击行为。

【技术特征摘要】
1.一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，其特征在于，包括如下步骤：步骤1：数据预处理，对综合电子系统中总线管理器所存储的各终端之间的通信流量数据进行归一化和标准化处理，得到格式规范的训练集；步骤2：特征提取，使用深层自编码器对训练集数据进行特征提取，得到特征参数权值，使特征更具表达能力；步骤3：入侵行为判定，将步骤2所得的参数权值与训练集数据做运算得到特征数据，输入集合分类器判断该特征是否属于攻击行为。2.根据权利要求1所述的混合入侵检测方法，其特征在于，步骤1所述归一化指通过最小-最大归一化、对数函数归一化或反余切函数归一化算法将数据映射到[0,1]的区间中；所述标准化指通过最小-最大规范化、Z分数规范化或Sigmoid函数算法将所述数据按照比例进行缩放，使所述数据映射...

【专利技术属性】
技术研发人员：何道敬，乔琪，郑佳佳，齐维孔，王灏宇，李明，
申请(专利权)人：华东师范大学，中国空间技术研究院，
类型：发明
国别省市：上海,31