基于多元时间序列预测的工业控制网络异常检测方法

本发明涉及网络安全，尤其涉及一种基于多元时间序列预测的工业控制网络异常检测方法。

背景技术：

1、随着互联网行业的快速发展，工业互联网这个名词已经开始走进越来越多人的生活中。工业互联网将工业制造和互联网紧密融合，通过利用互联网作为枢纽将工厂、车间、设备、员工以及客户等连接在一起，推动工业的智能化，实现不同行业之间的联系和资源共享，为电子装备、钢铁、采矿、电力等工业制造业带来了便捷和利益。

2、然而，随着各种移动终端和工厂车间的接入，工业互联网群体变得日益庞大，相关的安全问题也日益突出。随着工业互联网的广泛发展和应用，其所受到的恶意攻击也越来越多，给工业互联网带来了各种安全隐患，更严重的情况还可能导致工厂车间瘫痪和整个生态系统失衡。

3、现在大多数检测算法偏向于使用网络数据检测入侵行为；而对于工业控制网络，其状态可以由网络内部传感器数值所体现。一旦有入侵行为发生，其传感器数值必然发生变化，所以，我们可以通过检测传感器的时间序列发现入侵行为。对于传感器的时间序列的检测不仅可以发现网络入侵行为，也可以发现生产过程中的异常行为，这对于保障工业控制网络安全同样至关重要。

技术实现思路

1、针对上述工业控制网络中存在的问题，本发明提出一种基于多元时间序列预测的工业控制网络异常检测方法。基于多元时间序列预测的工业控制网络异常检测方法具有鲁棒性高，检测性强，误报率低的特点，能够有效地提高对工业控制网络入侵检测和异常检测的效果。与其他现有时间序列异常检测算法相比，本发明显式地引入了工业控制网络中周期性强的特点，同时吸收了不同优秀算法的优点，引入了transformer机制，更有效地捕捉了时间序列的隐层特征，能够有效地预测时间序列中短期输出，进一步提高检测效果。

2、本发明的技术方案如下：一种基于多元时间序列预测的工业控制网络异常检测方法，通过改进的格兰杰因果算法获取多元时间序列中各时间序列的格兰杰因果关系，生成格兰杰因果图的邻近矩阵；再根据季节分解算法对各时间序列进行分解，得到对应时间序列的趋势分量子序列r(t)、周期分量子序列c(t)和残差分量子序列i(t)共3个子序列，最终得到全部传感器的时间序列xstl∈rn×t×3，n表示传感器数量，t表示时间序列采样数，3表示每条时间序列分解成3条子序列；全部传感器的时间序列xstl∈rn×t×3输入至图卷积模块进行嵌入表示，通过图卷积模块的图注意力机制结合所述格兰杰因果关系图的邻近矩阵发掘不同序列间潜在关系，得到嵌入后的时间序列向量使用改进的transformer编码器-解码器模块对嵌入后的时间序列向量进行学习，生成预测值使用mse损失函数对图卷积模块和transformer编码器-解码器模块进行优化，获得优化后的图卷积模块和改进的transformer编码器-解码器模块，用于工业控制网络异常检测；

3、所述改进的格兰杰因果算法基于现有格兰杰因果算法使用l2正则化对求解速度进行改进。

4、所述多元时间序列中各时间序列的格兰杰因果关系获取过程如下：

5、多元时间序列x(t)分量间的格兰杰因果关系由辨识矩阵a(k)中非0元素检验，k＝1,2,…,p，p表示滞后阶数；目标变量y和驱动变量x间的线性表示公式如下：

6、y＝xa(k)+e

7、其中，

8、y＝[y1,y2,...,yn]

9、yi＝[xi(p+1),xi(p+2),...,xi(t)]

10、x＝[x1,x2,...,xn]

11、

12、y是目标变量，yi是y的第i个分量，xj是驱动变量，xj(t)表示第j个变量在t时刻的值，e表示误差矩阵，t表示时间序列采样数，n表示变量数量；使用附加l2正则化的最小二乘法求解辨识矩阵a(k)，公式如下：

13、

14、其中||·||2表示l2范数；

15、当辨识矩阵a(k)的第i行j列元素有|a(k)ij-0|≤0.1，则变量xi和xj间不存在格兰杰因果关系，否则，变量xi和xj间存在格兰杰因果关系；

16、为了将a(k)转化成格兰杰因果关系图的邻近矩阵，先生成与a(k)同型的全0矩阵然后做下述操作：变量xi和xj间不存在格兰杰因果关系，令变量xi和xj间存在格兰杰因果关系，令得到格兰杰因果关系图的邻近矩阵

17、所述图卷积模块采用图卷积算法对全部传感器的时间序列xstl∈rn×t×3进行嵌入表示，由一个线性层进行线性变换，再进行一次非线性变换，由下面公式表示，

18、

19、其中，we表示嵌入表示线性层的参数，be表示嵌入表示线性层的偏置，relu表示非线性变换，表示嵌入后的时间序列表示向量，te表示变换后的维度。

20、所述图注意力机制的公式如下：

21、

22、其中，relu表示非线性函数，表示的第i个子序列，w表示图注意力机制的学习参数，||表示横向连接操作，ni表示节点i的所有邻居节点，即对于序列i存在格兰杰因果关系的所有序列，表示某一个与序列i存在格兰杰因果关系的序列，eij表示序列i和j的相关性；

23、

24、αij表示eij的归一化结果，leakyrelu表示另一种非线性函数，表示对序列i的所有存在格兰杰因果关系的序列求和；

25、

26、αii表示序列i与其自身的相关系数，zi表示通过图注意力机制后的第i个序列的向量。

27、所述改进的transformer编码器-解码器模块中编码器结构如下：

28、h1＝transformerencoder1(z)

29、其中，h1表示transformer中编码器的第1层输出，transformerencoder1表示transformer中编码器的第1层，z表示图注意力机制的输出向量，作为改进的transformer编码器-解码器模块的输入；

30、hi＝transformerencoderi(hi-1)

31、hi表示编码器第i层输出，transformerencoderi表示编码器的第i层，hi-1表示第i-1层的输出；

32、将所有编码器层的输出进行纵向连接作为解码器的输入，挖掘时序间关系：

33、hencoder＝stack[h1,h2,...,hl]

34、stack表示纵向连接，l表示transformer中编码器共l层，hencoder为全部编码器层输出连接后的向量；

35、使用卷积层代替传统transformer中解码器部分；

36、改进的transformer编码器-解码器模块中解码器结构如下：

37、hconv＝conv(hencoder)∈rl×t

38、hconv表示解码器卷积层的输出结果，conv表示卷积操作；最后通过一个线性层输出预测结果；

39、

40、其中，表示预测结果的第t个时间点结果，linear表示线性层操作；

41、最后，使用mse损失函数衡量真实值与预测值的误差，优化图卷积模块和改进的transformer编码器-解码器模块；

42、

43、其中xt表示t时刻多元时间序列x的真实值，表示x的第n个子序列的t时刻的真实值、表示序列的第n个子序列的预测值。

44、本发明的有益效果是：本发明提供的是一种基于多元时间序列预测的工业控制网络异常检测方法。该方法不仅可以检测各传感器中异常状态，也可以通过传感器状态推断出当前是否存在网络入侵行为。本发明通过实验，验证了该算法在准确率，召回率以及f1值上优于现有时间序列异常检测算法。