一种工业控制系统异常类型检测方法、系统、装置、介质

本发明属于工业控制系统安全检测，具体涉及一种工业控制系统异常类型检测方法、系统、装置、介质。

背景技术：

1、近年来，工业互联网、智能制造、物联网等各种创新应用发展迅速，工业控制系统（industrial control systems，ics）的网络化控制设备和数据交换设施在增多，以及数据接入方式多样，这些变化使得工业控制设备在运行时更容易遭受各种各样的网络攻击。

2、目前，采用支持向量机（svm）的入侵检测系统（(intrusion detection system，ids）能够对网络数据传输进行监控，通过分析数据发现异常行为。但svm会受到数据集大小的影响，由于内存不足或长时间的训练而导致系统故障。在现实生活中，数据通常具有大量不相关或过时的特征，而svm缺乏立即拥有特征重要性的能力，这会显著增加计算难度并可能导致预测准确性较弱。

技术实现思路

1、为解决背景技术提出的问题，本发明提供一种工业控制系统异常类型检测方法、系统、装置、介质。

2、本发明的技术方案如下：

3、本发明提供一种工业控制系统异常类型检测方法，包括以下步骤：

4、s1：获取工业控制系统运行数据，包括：标签、命令地址、响应地址、命令内存计数、通信读取功能、响应写入功能、子功能、设定点、控制模式、控制方案、测量值，计算工业控制系统运行数据中特征的标准差，删除标准差为零的特征，将特征缩放为均值为零且方差为1的特征后，进行降维处理，构建特征数据集；

5、s2：基于特征数据集，经多目标粒子群优化算法，得到特征子集和支持向量机的最优参数，具体为：

6、s21：初始化多目标粒子群优化算法的参数，所述参数包括粒子的位置、速度、变异率指数、预设迭代次数，粒子群中每个粒子的位置均为支持向量机的参数组合及从特征数据集中选择的特征；不同粒子的位置，具有不同值的参数组合及不同的特征组合；

7、s22：根据分类精度和特征分数构造适应度值向量，基于粒子的位置，计算粒子的适应度值向量；

8、s23：若粒子的适应度值向量优于该粒子历史最优适应度值向量，则根据粒子的适应度值向量，更新粒子最优位置；

9、若粒子的适应度值向量不优于该粒子历史最优适应度值向量，则不更新粒子最优位置；

10、s24：根据粒子最优位置，确定非支配解；

11、若存储库未满，则将非支配解直接添至存储库；

12、若存储库已满，则计算存储库中非支配解的拥挤度，移除拥挤度最大的非支配解，将新的非支配解添至存储库；

13、s25：将存储库中拥挤度最小的非支配解的粒子的位置，作为粒子群最优位置；

14、s26：根据当前轮次粒子的速度、粒子最优位置及粒子群最优位置，更新粒子的速度，得到更新的粒子的速度；

15、根据更新的粒子的速度和当前轮次粒子的位置，更新粒子的位置，得到粒子的第一位置；

16、s27：根据粒子的第一位置、变异率指数、预设迭代次数、当前轮次，得到变异概率，基于变异概率，生成一个随机数；

17、若随机数小于变异概率，则对粒子的第一位置进行变异操作，得到更新的粒子的位置；

18、若随机数不小于变异概率，则不进行变异操作，将粒子的第一位置作为更新的粒子的位置；

19、s28：若达到预设条件，则根据粒子群最优位置，得到特征子集和支持向量机的最优参数；

20、若未达到预设条件，则执行s22，直至达到预设条件，根据粒子群最优位置，得到特征子集和支持向量机的最优参数；

21、s3：将最优参数匹配至支持向量机，基于二叉树理论，构建二叉树支持向量机，经特征子集进行训练后，得到工控系统异常检测模型；

22、s4：获取待检测的工业控制系统运行数据，经工控系统异常检测模型进行检测后，输出类型检测结果。

23、所述s22中根据分类精度和特征分数构造适应度向量，基于粒子的位置，计算粒子的适应度值向量，具体为：

24、根据公式：，计算粒子的适应度值向量；

25、式中，为粒子的适应度值向量，为分类精度，为特征分数。

26、所述分类精度，为根据公式：，计算分类精度；

27、式中，为真阴性，正确预测为负类的样本数；为真阳性，正确预测为正类的样本数；为假阴性，错误预测为负类的正类样本数；为假阳性，错误预测为正类的负类样本数；

28、所述特征分数，为根据公式：，计算特征分数；

29、式中，为从特征数据集中选择的特征数量，为特征数据集中特征总数量。

30、所述s26中根据当前轮次粒子的速度、粒子最优位置及粒子群最优位置，更新粒子的速度，得到更新的粒子的速度，具体为：

31、根据公式：，更新粒子的速度，得到更新的粒子的速度；

32、式中，k为迭代轮次；为第i个粒子在第k+1轮次的速度；为第i个粒子在第k轮次的速度；为第i个粒子的最优位置；为第i个粒子在第k轮次的位置；为惯性权重，用于控制粒子移动的惯性；为第一认知系数，表示粒子自身经验的权重；为第二认知系数，表示粒子群体经验的权重；和均为0到1之间的随机数；为粒子群最优位置。

33、所述s26中根据更新的粒子的速度和当前轮次粒子的位置，更新粒子的位置，得到粒子的第一位置，具体为：

34、根据公式：，更新粒子的位置；

35、式中，为第i个粒子在第k+1轮次的位置；为第i个粒子在第k轮次的位置；为第i个粒子在第k+1轮次的速度。

36、所述s27中根据粒子的第一位置、变异率指数、预设迭代次数、当前轮次，得到变异概率，为根据公式：，得到变异概率；

37、式中，为变异概率，为变异率指数，为预设迭代次数，为当前轮次。

38、所述s1中将特征缩放为均值为零且方差为1的特征，具体为：

39、根据公式：，将特征缩放为均值为零且方差为1的特征；

40、式中，为标准化后的特征值，为原始特征值；为原始特征值的均值；为原始特征值的标准差。

41、本发明还提供一种工业控制系统异常类型检测系统，包括：

42、特征数据集构建模块：用于获取工业控制系统运行数据，包括：标签、命令地址、响应地址、命令内存计数、通信读取功能、响应写入功能、子功能、设定点、控制模式、控制方案、测量值，计算工业控制系统运行数据中特征的标准差，删除标准差为零的特征，将特征缩放为均值为零且方差为1的特征后，进行降维处理，构建特征数据集；

43、优化模块：基于特征数据集，经多目标粒子群优化算法，得到特征子集和支持向量机的最优参数，具体为：

44、初始化多目标粒子群优化算法的参数，所述参数包括粒子的位置、速度、变异率指数、预设迭代次数，粒子群中每个粒子的位置均为支持向量机的参数组合及从特征数据集中选择的特征；不同粒子的位置，具有不同值的参数组合及不同的特征组合；

45、根据分类精度和特征分数构造适应度值向量，基于粒子的位置，计算粒子的适应度值向量；

46、若粒子的适应度值向量优于该粒子历史最优适应度值向量，则根据粒子的适应度值向量，更新粒子最优位置；

47、若粒子的适应度值向量不优于该粒子历史最优适应度值向量，则不更新粒子最优位置；

48、根据粒子最优位置，确定非支配解；

49、若存储库未满，则将非支配解直接添至存储库；

50、若存储库已满，则计算存储库中非支配解的拥挤度，移除拥挤度最大的非支配解，将新的非支配解添至存储库；

51、将存储库中拥挤度最小的非支配解的粒子的位置，作为粒子群最优位置；

52、根据当前轮次粒子的速度、粒子最优位置及粒子群最优位置，更新粒子的速度，得到更新的粒子的速度；

53、根据更新的粒子的速度和当前轮次粒子的位置，更新粒子的位置，得到粒子的第一位置；

54、根据粒子的第一位置、变异率指数、预设迭代次数、当前轮次，得到变异概率，基于变异概率，生成一个随机数；

55、若随机数小于变异概率，则对粒子的第一位置进行变异操作，得到更新的粒子的位置；

56、若随机数不小于变异概率，则不进行变异操作，将粒子的第一位置作为更新的粒子的位置；

57、若达到预设条件，则根据粒子群最优位置，得到特征子集和支持向量机的最优参数；

58、若未达到预设条件，则重新计算粒子的适应度值向量，直至达到预设条件，根据粒子群最优位置，得到特征子集和支持向量机的最优参数；

59、工控系统异常检测模型建立模块：用于将最优参数匹配至支持向量机，基于二叉树理论，构建二叉树支持向量机，经特征子集进行训练后，得到工控系统异常检测模型；

60、类型检测模块：用于获取待检测的工业控制系统运行数据，经工控系统异常检测模型进行检测后，输出类型检测结果。

61、本发明还提供一种工业控制系统异常类型检测装置，包括处理器和存储器，其中，所述处理器执行所述存储器中保存的计算机程序时实现所述的工业控制系统异常类型检测方法。

62、本发明还提供一种工业控制系统异常类型检测介质，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现所述的工业控制系统异常类型检测方法。

63、有益效果：本发明提供的工业控制系统异常类型检测方法，先对特征进行标准化及降维处理，以减小计算机运行压力，再利用多目标粒子群优化算法优化支持向量机的参数和选择特征，从而既得到支持向量机的最优参数，又得到与异常类型相关的特征子集；根据支持向量机的最优参数和特征子集得到的工控系统异常检测模型，运行效率高且类型预测的准确率高，能够对工业控制系统中不同类别的攻击进行准确分类。