一种基于工控网络的入侵检测方法技术

一种基于工控网络的入侵检测方法，涉及一种工业网络检测方法，本发明专利技术设计了Fedformer入侵检测模型，该模型首先引入了联邦学习框架，使得分散的工业物联网设备能够协同训练入侵检测模型，其次利用自注意力机制嵌合卷积神经网络（CNN）以及门控循环单元（GRU），使得训练在更关注数据内部相关性、降低对高特征数据依赖的同时提高工业数据环境下的模型性能。赖的同时提高工业数据环境下的模型性能。赖的同时提高工业数据环境下的模型性能。

【技术实现步骤摘要】
一种基于工控网络的入侵检测方法


[0001]本专利技术涉及一种工业网络检测方法，特别是涉及一种基于工控网络的入侵检测方法。

技术介绍

[0002]入侵检测相当于一个分类任务，包括多分类和二分类，其关键在于提高分类器的检测精度，有效地识别异常数据。但是面向工业物联网环境的入侵检测研究依然存在以下几点问题：1.数据样本不平衡，物联网与物联网之间由于政策和生产安全等考虑存在数据壁垒，由此导致的模型训练效果不理想，对于异常攻击的检测精度有待提高；2.传统串行化时序神经网络的计算量较大、训练时间长并且模型不易收敛；3.由于工业物联网具有相对固定的网络拓扑结构，所以工业网络数据集的特征少，现有的入侵检测对于低维的特征适应能力弱，不能广泛应用在工业网络环境下。

技术实现思路

[0003]本专利技术的目的在于提供一种基于工控网络的入侵检测方法，本专利技术设计了Fedformer入侵检测模型，该模型首先引入了联邦学习框架，使得分散的工业物联网设备能够协同训练入侵检测模型，其次利用自注意力机制嵌合卷积神经网络（CNN）以及门控循环单元（GRU），使得训练在更关注数据内部相关性、降低对高特征数据依赖的同时提高工业数据环境下的模型性能。
[0004]本专利技术的目的是通过以下技术方案实现的：一种基于工控网络的入侵检测方法，所述方法包括Fedformer入侵检测模型，包括数据预处理、联邦学习框架搭建、入侵检测模型搭建：（1）数据预处理基于参数的模型或者基于距离的模型需要进行特征的归一化；采用线性归一化方法，其思路是将数据映射到0和1之间，其公式如(1)所示：(1)其中，为归一化之前的值，为归一化后的数值，和是指需要进行归一化数据的最大边界和最小边界；（2）联邦学习框架搭建使用Pytorch框架搭建横向联邦学习模型，工作流程包括以下五个部分：1.服务端根据配置生成初始化模型；2.将模型发送到各客户端，各客户端接收全局模型后，通过本地多次迭代计算后
各终端将训练的模型参数或者模型参数的梯度进行加密传输然后上传到服务端；3.服务端将接收的各个客户端的模型参数进行安全聚合；4.服务端将聚合后的模型参数作为下一次更新的初始参数下发到各客户端；5.如果模型未收敛则重复第二步，直至迭代到收敛为止。
[0005]（3）入侵检测模型搭建选择编码器（Encoder）结构并对其进行调整，首先一维的输入数据经过一个全连接层的处理，将其输出转换为14x14的二维矩阵，并采用一个2*2尺度，步长为2，通道数为32的卷积，对输入数据进行特征提取，这种卷积就相当于把二维矩阵分割为独立的7*7的小切片，每个小切片的特征维度是32，然后将其拉平铺开；随机初始化一个类别编码，作为某一数据的类别编码信息，然后会和切片信息做通道拼接；通过以上处理即可输入Transformer模块中，经过Transformer的Encoder模块后，数据维度为50*32，其中，1*32是网络预测的类别信息，49*32是每个小切片的信息；后续只要单独提取出类别信息这一维度，通过全连接层（1*32转成 1*2），得到网络预测结果。
附图说明
[0006]图1为本专利技术技术路线图；图2为本专利技术训练流程图；图3为本专利技术注意力机制模块图。
具体实施方式
[0007]下面结合附图所示实施例对本专利技术进行详细说明。
[0008]Fedformer主要分为数据预处理、联邦学习框架搭建、入侵检测模型搭建三个部分。（见图技术路线图）。
[0009]（1）数据预处理基于参数的模型或者基于距离的模型都需要进行特征的归一化。连续型特征归一化有两种常用的方法：一个是线性归一化方法，另一个是标准差归一化方法。本文采用线性归一化方法，其思路是将数据映射到0和1之间，其公式如(1)所示：（1）其中，为归一化之前的值，为归一化后的数值，和是指需要进行归一化数据的最大边界和最小边界。
[0010]（2）联邦学习框架搭建本专利技术使用Pytorch框架搭建横向联邦学习模型，工作流程包括以下五个部分：1.服务端根据配置生成初始化模型；2.将模型发送到各客户端，各客户端接收全局模型后，通过本地多次迭代计算后各终端将训练的模型参数或者模型参数的梯度进行加密传输然后上传到服务端；3.服务端将接收的各个客户端的模型参数进行安全聚合；
4.服务端将聚合后的模型参数作为下一次更新的初始参数下发到各客户端；5.如果模型未收敛则重复第二步，直至迭代到收敛为止。
[0011]（见图2训练流程图）（3）入侵检测模型搭建由于传统串行化时序神经网络的计算量比较大、训练时间长而且模型不易收敛，为了解决这个问题，我们引入自注意力机制。为了使Transformer能够适应入侵检测数据一维信号数据并且实现多层堆叠，对Transformer进行了改动。模型结构如图3所示。
[0012]本专利技术只选择编码器（Encoder）结构并对其进行调整，首先一维的输入数据经过一个全连接层的处理，将其输出转换为14x14的二维矩阵，并采用一个2*2尺度，步长为2，通道数为32的卷积，对输入数据进行特征提取，这种卷积就相当于把二维矩阵分割为独立的7*7的小切片，每个小切片的特征维度是32，然后将其拉平铺开。随机初始化一个类别编码，作为某一数据的类别编码信息，然后会和切片信息做通道拼接。通过以上处理即可输入Transformer模块中，经过Transformer的Encoder模块后，数据维度为50*32，其中，1*32是网络预测的类别信息，49*32是每个小切片的信息。后续只要单独提取出类别信息这一维度，通过全连接层（1*32转成 1*2），就能得到网络预测结果。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于工控网络的入侵检测方法，其特征在于，所述方法包括Fedformer入侵检测模型，包括数据预处理、联邦学习框架搭建、入侵检测模型搭建：（1）数据预处理基于参数的模型或者基于距离的模型需要进行特征的归一化；采用线性归一化方法，其思路是将数据映射到0和1之间，其公式如(1)所示：（1）其中，为归一化之前的值，为归一化后的数值，和是指需要进行归一化数据的最大边界和最小边界；（2）联邦学习框架搭建使用Pytorch框架搭建横向联邦学习模型，工作流程包括以下五个部分：1.服务端根据配置生成初始化模型；2.将模型发送到各客户端，各客户端接收全局模型后，通过本地多次迭代计算后各终端将训练的模型参数或者模型参数的梯度进行加密传输然后上传到服务端；3.服务端将接收的各个客户端的模型参数进行安全聚合；4.服务端将聚合后的模型参数作为下一次更新的初始参数下发到...

【专利技术属性】
技术研发人员：王军，周思宇，王志明，王华琳，
申请(专利权)人：沈阳化工大学，
类型：发明
国别省市：