[发明专利]一种网络物理系统入侵检测方法

说明书

一种网络物理系统入侵检测方法，对入侵检测数据集进行数据预处理，数据预处理包括字符型数据数值化处理、数据归一化处理和数据不平衡处理；通过二元灰狼优化算法对预处理完的入侵检测数据集进行最优特征子集选取；根据选取的最优特征子集对教师网络模型进行预训练；入侵检测模型训练过程：初始化入侵模型参数，确定学生网络模型的结构；基于最优特征子集将两组不同类别的网络流量输入入侵检测模型进行训练；根据知识蒸馏损失调整K折交叉训练过程的误差，直到学生网络模型达到收敛；对入侵检测模型进行测试，得到每条数据的分类结果。本发明实现轻量级、实时性和无监督等特性的物联网入侵检测，降低对标签的过度依赖，提示泛化能力。

技术领域

本发明属于工业网络技术领域，具体涉及一种网络物理系统入侵检测方法。

背景技术

网络物理系统(CPS)是一种机制，这种机制是基于计算机算法的控制或监控，整个系统与网络整合在一起，网络物理系统通常被称为大规模、地理分散、复杂和异构的物联网。近年来，各种类型的网络物理系统的发展和部署呈指数式增长，给日常生活的方方面面都带来了巨大的影响，例如，在电网、运输系统、医疗保健设备和家用电器等方面。许多这样的系统被部署在关键的基础设施、生命支持设备，或者对我们日常生活极其重要的地方。

然而，在物联网中跨网络部署的CPS应用程序的多样性，使其容易受到不同级别系统之间的网络攻击和物理攻击，特别是在智能制造过程中的消息传输方面。这样便在CPS应用程序引入了安全隐患，导致程序变得失控，并且伤害到依赖该程序的人。工业CPS高度重视通信和网络能力，它通过网络和接口实时采集到物理世界对象状态数据并发送到服务器，服务器在接收到数据之后作出相应的处理，再返回给物理末端设备作出相应的变化。通常，攻击者会入侵CANbus网络并劫持发送到服务器的数据，从而危害到工业CPS的设备，监控和数据采集(SCADA)系统涉及监控和收集跨网络产生的信号(如振动、温度和TXRX包数据)，其中部署了基于深度学习(DL)的异常检测模块来识别异常。

入侵检测系统(IDS)可以检测到其他安全机制无法阻止的入侵行为，其作为第二道防线，在保护CPS方面发挥着重要作用。根据数据来源的不同，可以将入侵检测系统分为：基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测只监视主机，需要安装在每个主机上，且无法观测到网络流量,无法分析与网络相关的行为信息。而基于网络的入侵检测观察并分析实时网络流量和监视多个主机，旨在收集数据包信息，并查看其中内容，以检测网络中的入侵行为。现代人工智能技术，包括智能传感、智能控制等，被广泛应用于智能制造中的行为监测。然而，在工业CPS中检测异常流量仍存在一些挑战。首先，用云设施构建的混合网络物理环境是一个大型而复杂的分布式系统，因此有大量的工业数据流(如指令、加速度计、视频、图像等)是通过各种物理系统和传感器生成的。另一个关键问题是，此类异常事件在现实世界中发生的概率很低，因此导致缺乏良好的标记数据用于模型训练。不仅如此，监控数据的缺失，可能是由不同的因素造成的，如传感器故障、数据传输错误等，会给数据采集和模型训练带来更多的困难，难以实现异常检测。此外，物联网网络中的节点大多数被部署在资源有限的设备中，例如，功率有限、计算、通信和存储能力有限等等。而为了减轻工业CPS中恶意攻击造成的损害，通常需要高精度、及时性的实时异常检测，以便于基于跨系统不同级别分布式节点获得和传输的数据流的整体性能监控。

综上所述，如何在不降低入侵检测模型效率的同时压缩模型的大小，提升模型的泛化能力具有现实意义。

发明内容

为此，本发明提供一种基于自监督学习和自知识蒸馏的物联网入侵检测方法，实现轻量级、实时性和无监督等特性的物联网入侵检测，降低对标签的过度依赖，提示泛化能力。

为了实现上述目的，本发明提供如下技术方案：一种网络物理系统入侵检测方法，包括：

(1)对入侵检测数据集进行数据预处理，所述数据预处理包括字符型数据数值化处理、数据归一化处理和数据不平衡处理；

(2)通过二元灰狼优化算法对预处理完的入侵检测数据集进行最优特征子集选取；