本发明涉及医疗检测技术领域,具体为一种基于改进特征选择算法的电厂工控系统入侵检测方法。
背景技术:
工业控制系统是由工业生产智能操作组件与工业电脑设备构成的智能制造系统,随着“工业4.0”和“工业互联网”战略的相继推出,工业领域迎来了一轮倡导智能制造的工业革命。然而,随着工业化、自动化向着网络化、信息化的发展,越来越多的工业控制系统必须连接外部网络,工业控制系统原有的封闭性被彻底打破,各种不安全因素,如病毒、木马等会随着正常的信息流进入工业控制网络,引起信息泄露、指令篡改等安全问题,威胁工业生产的安全。入侵检测技术作为一种主动的安全防御技术,可以检测网络中未经允许的操作或非法入侵。
目前,工业网络入侵检测的方法一般分为基于知识的工业网络入侵检测方法、基于协议的工业网络入侵检测方法、以及基于设备的工业网络入侵检测方法等。在实际中工业网络数据中存在大量冗余数据,为了去除数据中的冗余,减少模型训练的时间,往往需要对原始数据进行特征获取。
特征获取通常包括特征提取和特征选择,特征提取广义上是一种变换,它将高维空间的样本通过映射或变换转换到低维空间,来达到降维的目的;特征选择是从一组特征中去掉冗余或不相关的特征来进行降维。它可以从原始特征中找到最优特征,这些被选择出的特征保留了数据集的主要信息,为分析高维的特征问题提供了便于,避免或减少原始特征中不相关的信息所带来的识别过程复杂化。传统的特征选择算法按照每个特征或正交过程中的向量与所有特征求相关系数,势必会给识别过程增加一些冗余信息,使得识别结果适得其反。
技术实现要素:
为了解决上述问题,本发明提供如下技术方案:一种基于改进特征选择算法的电厂工控系统入侵检测方法,包括以下步骤:
步骤一,获取工控系统数据,选取工控入侵检测标准数据集作为入侵检测数据集;
步骤二,对入侵检测数据集进行数据预处理;
步骤三,采用改进后的特征选择算法对预处理后的入侵检测数据集数据进行特征选择,得出入侵检测数据集降维后的特征子集;
步骤四,将特征子集的数据输入svm支持向量机分类器,并对svm输出的结果进行评价。
优选的,在步骤二中,对入侵检测数据集的数据预处理包括归一化处理,其结果值映射区间为[0,1],转换函数如下:
其中,xi、x*i分别表示数据归一化前后的值,xmin、xmax分别表示样本数据中的最小、最大值。
设入侵检测数据集为f,
则f={x1,x2,...,xn},每个样本有n个特征;
第k个样本特征向量为:[x1(k),x2(k),...,xn(k)];
所有样本的第j个向量为:xj=[xj(1),xj(2),...,xj(n)]t。
改进后的特征选择算法从样本的第n各特征中选取d个特征构成一个子集:sf={s1,s2,...,sd}={xi1,xi2,...,xid};其选择的特征可以代表原始特征,当求得所有特征n与一个特征向量的n各相关系数以后,选取其中较大的n0个,并求出平均值。
改进的特征选择算法框架如下:
begin
定义二次相关系数函数sc(x,y)
利用函数sc(x,y)计算c[i,j;1],对i的不同取值所得的n个c[i,j;1]进行排序,取其中最大的n0个,求其平均值如下
c[i,j;1]=sc(xi,xj),i,j=1,2,...,n
(3)确定剩余需选择的特征。设aj为未被选择的特征,计算
(4)根据函数sc(x,y)计算c[i,j;m],对的不同取值所得的个c[i,j;m]进行排序,取其中最大的n0个,求平均值如下
然后确定qm及zm
(5)如果m<d,返回第(3)步,否则,算法结束;
end
优选的,svm的分类函数为:
其中,l为样本数目,x为待分类的特征向量,xi、yi为第i个样本的属性向量和类别标志,k(xi,x)表示核函数,ai、b表示模型参数。
优选的,通过几下以下二次规划问题求解参数ai
优选的,入侵检测的二分类模型方程如下:
g(x)=w·x b;
设置阈值为0,则:
与现有技术相比,本发明的有益效果是:
1)该基于改进特征选择算法的电厂工控系统入侵检测方法,对特征选择算法进行了改进,从而可在特征选择中可获取代表性高的特征。从而实现了对不相关特征信息的干扰,且突出了大多数特征在识别过程中所起到的重要作用,提高了工控系统入侵识别的准确率。
2)该基于改进特征选择算法的电厂工控系统入侵检测方法,采用支持向量机分类器对特征子集的数据进行分类,其具有良好的泛化能力,能够依据结构风险最小化原理寻找最优的分类间隔,对数据分类的准确度起到了保证。
具体实施方式
下面对本发明实施例中的技术方案进行清楚、完整地描述。
本发明提供以下种技术方案:
实施例一
一种基于改进特征选择算法的电厂工控系统入侵检测方法,包括以下步骤:
步骤一,获取工控系统数据,选取工控入侵检测标准数据集作为入侵检测数据集;
步骤二,对入侵检测数据集进行数据预处理;
步骤三,采用改进后的特征选择算法对预处理后的入侵检测数据集数据进行特征选择,得出入侵检测数据集降维后的特征子集;
步骤四,将特征子集的数据输入svm支持向量机分类器,并对svm输出的结果进行评价。
其中,在步骤二中,对入侵检测数据集的数据预处理包括归一化处理,其结果值映射区间为[0,1],转换函数如下:
其中,xi、x*i分别表示数据归一化前后的值,xmin、xmax分别表示样本数据中的最小、最大值。
设入侵检测数据集为f,
则f={x1,x2,...,xn},每个样本有n个特征;
第k个样本特征向量为:[x1(k),x2(k),...,xn(k)];
所有样本的第j个向量为:xj=[xj(1),xj(2),...,xj(n)]t。
改进后的特征选择算法从样本的第n各特征中选取d个特征构成一个子集:sf={s1,s2,...,sd}={xi1,xi2,...,xid};其选择的特征可以代表原始特征,当求得所有特征n与一个特征向量的n各相关系数以后,选取其中较大的n0个,并求出平均值。
改进的特征选择算法框架如下:
begin
定义二次相关系数函数sc(x,y)
利用函数sc(x,y)计算c[i,j;1],对i的不同取值所得的n个c[i,j;1]进行排序,取其中最大的n0个,求其平均值如下
c[i,j;1]=sc(xi,xj),i,j=1,2,...,n
(3)确定剩余需选择的特征。设aj为未被选择的特征,计算
(4)根据函数sc(x,y)计算c[i,j;m],对的不同取值所得的个c[i,j;m]进行排序,取其中最大的n0个,求平均值如下
然后确定qm及zm
(5)如果m<d,返回第(3)步,否则,算法结束;
end
其中,svm的分类函数为:
其中,l为样本数目,x为待分类的特征向量,xi、yi为第i个样本的属性向量和类别标志,k(xi,x)表示核函数,ai、b表示模型参数。
其中,通过几下以下二次规划问题求解参数ai
其中,入侵检测的二分类模型方程如下:
g(x)=w·x b;
设置阈值为0,则:
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
1.一种基于改进特征选择算法的电厂工控系统入侵检测方法,其特征在于,包括以下步骤:
步骤一,获取工控系统数据,选取工控入侵检测标准数据集作为入侵检测数据集;
步骤二,对入侵检测数据集进行数据预处理;
步骤三,采用改进后的特征选择算法对预处理后的入侵检测数据集数据进行特征选择,得出入侵检测数据集降维后的特征子集;
步骤四,将特征子集的数据输入svm支持向量机分类器,并对svm输出的结果进行评价。
2.根据权利要求1所述的一种基于改进特征选择算法的电厂工控系统入侵检测方法,其特征在于,在步骤二中,对入侵检测数据集的数据预处理包括归一化处理,其结果值映射区间为[0,1],转换函数如下:
其中,xi、x*i分别表示数据归一化前后的值,xmin、xmax分别表示样本数据中的最小、最大值。
3.根据权利要求1所述的一种基于改进特征选择算法的电厂工控系统入侵检测方法,其特征在于,设入侵检测数据集为f,
则f={x1,x2,...,xn},每个样本有n个特征;
第k个样本特征向量为:[x1(k),x2(k),...,xn(k)];
所有样本的第j个向量为:xj=[xj(1),xj(2),...,xj(n)]t。
4.根据权利要求1所述的一种基于改进特征选择算法的电厂工控系统入侵检测方法,其特征在于,改进后的特征选择算法从样本的第n各特征中选取d个特征构成一个子集:sf={s1,s2,...,sd}={xi1,xi2,...,xid};其选择的特征可以代表原始特征,当求得所有特征n与一个特征向量的n各相关系数以后,选取其中较大的n0个,并求出平均值。
5.根据权利要求1所述的一种基于改进特征选择算法的电厂工控系统入侵检测方法,其特征在于,svm的分类函数为:
其中,l为样本数目,x为待分类的特征向量,xi、yi为第i个样本的属性向量和类别标志,k(xi,x)表示核函数,ai、b表示模型参数。
6.根据权利要求5所述的一种基于改进特征选择算法的电厂工控系统入侵检测方法,其特征在于,通过几下以下二次规划问题求解参数ai
7.根据权利要求5所述的一种基于改进特征选择算法的电厂工控系统入侵检测方法,其特征在于,入侵检测的二分类模型方程如下:
g(x)=w·x b;
设置阈值为0,则:
