[发明专利]基于社区特征选择的ICPS无监督在线攻击检测方法和设备

说明书

本发明公开了一种基于社区特征选择的ICPS无监督在线攻击检测方法和设备，方法为：根据ICPS的历史多源特征数集构建特征网络，并基于社区检测方法自动划分得到多个特征子集，从中选择最佳特征子集进而获取训练数据；构建基于自编码器的攻击检测模型，使用训练数据进行训练；然后使用训练好的攻击检测模型对训练数据重构以获取重构误差，并根据重构误差计算攻击检测阈值；实时在线获取ICPS的多源特征数集，将其最佳特征子集作为在线检测输入数据，并使用训练好的攻击检测模型重构，得到对应的重构误差；最终通过与攻击检测阈值进行比较，确定ICPS当前时刻是否受到攻击。本发明可以有效缩减系统数据的特征维度，并提升攻击检测的准确率。

技术领域

本发明属于工业信息物理系统技术领域，具体涉及一种基于社区特征选择的工业信息物理系统无监督在线攻击检测方法和设备。

背景技术

近年来，由于计算、通信和物联网等相关技术的进步，信息物理系统(CPS)在工业领域得到了迅猛发展，并在石油化工、水利、能源、电力等关键工业领域得到了广泛应用，成为工业信息物理系统(ICPS)。区别于相对独立的传统工业控制系统(ICS)，ICPS中信息空间和物理过程的紧密集成使得高效、节能和弹性的工业生产模式成为可能。然而，随着系统内部部件之间的互联性增加并接入外部网络环境，ICPS在开放的架构下更容易受攻击。攻击者试图通过网络层或物理层进行渗透，以破坏工艺装置或篡改关键控制器参数，导致闭环控制不稳定，并造成更严重的破坏，如经济利益的巨大损失、系统停机甚至安全人员伤亡等。近年来，针对ICPS的恶意攻击事件不断增加，造成了巨大的经济损失和严重的社会问题。ICPS的安全问题受到了前所未有的关注。

在ICPS安全研究中，攻击检测被视为保护系统免受恶意攻击的重要策略之一，其中最常用的方法是基于监控和数据采集(SCADA)系统收集的系统数据识别不符合系统预期行为的异常事件检测。近年来，随着机器学习(ML)、深度学习(DL)和强化学习(RL)等技术的迅速发展，大数据分析技术被广泛应用于基于数据驱动的攻击检测研究。事实上，开发基于人工智能算法的异常检测系统的一个重要因素就是找到合适的特征集来表征和描述系统的运行模式。否则，系统中的高通量、高维度数据很可能会导致统计模型出现指数爆炸和维度灾难等问题，也就是说，冗余和不相关的特征的存在不仅会导致模型在训练过程中计算复杂度和处理成本(包括离线训练时间和在线部署效率)的增加，还会导致分类器的性能下降。因此，特征选择是基于数据驱动的攻击检测方法的重点研究课题。

目前，尽管在特征选择方面已经有很多尝试，如粒子群优化、遗传算法和模拟退火，但通过特征选择处理冗余和无关信息仍然存在重大挑战，特别是在系统数据具有极高维度和相关性的工业场景中。事实上，ICPS的物理层通常是多变量、强耦合的复杂工业过程，系统数据具有不同程度的相关性。具有强过程敏感性的变量通常与其他变量密切相关，属于具有安全敏感性的关键变量，它们可以准确反映系统运行状态，对于系统的异常检测至关重要。因此，如何通过高维数据之间的相关性挖掘数据的潜在特征信息从而实现特征降维，对于基于数据驱动的安全检测研究具有重要的意义。