[发明专利]面向综合电子系统的基于深层自编码器的混合入侵检测方法

说明书

本发明公开了一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，包括：数据预处理：对综合电子系统中总线管理器所存储的数据进行预处理，具体包括数据归一化和规范化处理；特征提取：使用深层自编码器对预处理后的数据进行特征提取，通过预训练和微调权值参数方法提取特征参数权值；入侵行为判定：将特征提取阶段获得的参数权值和输入值做运算得到特征数据，将该特征数据作为集合分类器的输入，输出为正常数据和攻击数据的二分类。本发明采用深层自编码器提取出研究者无法通过简单人工计算获得的一些高阶抽象特征，降低了特征维度，从而减少了计算成本，并可以有效地区分新的变体攻击。

技术领域

本发明属于信息安全的技术领域，特别涉及一种面向综合电子系统的基于深层自编码器的混合入侵检测方法。

背景技术

综合电子系统内部无加密机制、内置元器件大众化、技术开放性、传输信道标准化等特点使其面临广泛的威胁。目前国内外信息安全事件层出不穷，安全形势非常严峻，而我国在综合电子系统应用领域，包括空间、车辆等，以往的研究多聚焦于保证其高效性和可靠性，很少关注综合电子系统的安全性，也缺乏顶层的空间信息安全标准体系、核心技术和产品。对于卫星、飞机等飞行在太空或天空的空间设备，系统内部处于“不设防”状态，容易发生被夺取控制权等攻击；就综合电子系统地面应用场景而言，也面临着相同的威胁，装甲车辆等系统内部无任何加密机制和其他安全防护技术，也容易导致该车辆被攻击者控制，从而产生严重的后果。

入侵检测技术是综合电子系统安全防护的关键，可有效检测内部攻击、外部攻击及误操作，从根本上提高综合电子系统的安全性。而随着攻击者的攻击方法越来越复杂，传统的基于机器学习方法和基于规范的入侵检测方法遵循传统的攻击逻辑，无法检测到复杂的变种攻击，不适用于综合电子系统应用场景。本发明提出了一种基于深层自编码器的混合入侵检测方法，是一种无监督方法，对变种攻击有很好的识别效果。但由于综合电子系统计算资源有限，深层自编码器所需计算资源较大，很难在星上运行该方法，因此将综合电子系统中总线管理器在1553B总线上收集的数据定期通过一定的方式传输至地面基站，在地面基站进行入侵检测，例如：飞机每次落地时，将其在这次飞行过程中的通讯数据传输至基站，然后使用基于深层自编码器的混合入侵检测方法进行检测。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，首先对总线数据进行预处理，然后通过深层自编码器提取出研究者无法通过简单计算获得的一些高阶抽象特征，最后使用集合分类器对入侵行为进行判断。本发明降低了特征的维度，从而减少了计算成本，并可以有效地区分新的变体攻击。

实现本发明目的的具体技术方案是：

一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，包括如下步骤：

步骤1：数据预处理，对综合电子系统中总线管理器所存储的各终端之间的通信流量数据进行归一化和标准化处理，得到格式规范的训练集；

步骤2：特征提取，使用深层自编码器对训练集数据进行特征提取，得到特征参数权值，使特征更具表达能力；

步骤3：入侵行为判定，将步骤2所得的参数权值与训练集数据做运算得到特征数据，输入集合分类器判断该特征是否属于攻击行为。

根据权利要求1所述的混合入侵检测方法，步骤1所述归一化指通过最小-最大归一化、对数函数归一化或反余切函数归一化算法将数据映射到[0,1]的区间中；所述标准化指通过最小-最大规范化、Z分数规范化或Sigmoid函数算法将所述数据按照比例进行缩放，使所述数据映射到对应的空间里。

根据权利要求1所述的混合入侵检测方法，步骤2所述深层自编码器具有数个隐藏层，包括编码和解码，将原始的输入转换成特征表达形式；具体为：

ⅰ)预训练阶段，使用训练集数据生成初始参数权值；