面向综合电子系统的基于深层自编码器的混合入侵检测方法与流程

本发明属于信息安全的技术领域，特别涉及一种面向综合电子系统的基于深层自编码器的混合入侵检测方法。

背景技术：

综合电子系统内部无加密机制、内置元器件大众化、技术开放性、传输信道标准化等特点使其面临广泛的威胁。目前国内外信息安全事件层出不穷，安全形势非常严峻，而我国在综合电子系统应用领域，包括空间、车辆等，以往的研究多聚焦于保证其高效性和可靠性，很少关注综合电子系统的安全性，也缺乏顶层的空间信息安全标准体系、核心技术和产品。对于卫星、飞机等飞行在太空或天空的空间设备，系统内部处于“不设防”状态，容易发生被夺取控制权等攻击；就综合电子系统地面应用场景而言，也面临着相同的威胁，装甲车辆等系统内部无任何加密机制和其他安全防护技术，也容易导致该车辆被攻击者控制，从而产生严重的后果。

入侵检测技术是综合电子系统安全防护的关键，可有效检测内部攻击、外部攻击及误操作，从根本上提高综合电子系统的安全性。而随着攻击者的攻击方法越来越复杂，传统的基于机器学习方法和基于规范的入侵检测方法遵循传统的攻击逻辑，无法检测到复杂的变种攻击，不适用于综合电子系统应用场景。本发明提出了一种基于深层自编码器的混合入侵检测方法，是一种无监督方法，对变种攻击有很好的识别效果。但由于综合电子系统计算资源有限，深层自编码器所需计算资源较大，很难在星上运行该方法，因此将综合电子系统中总线管理器在1553b总线上收集的数据定期通过一定的方式传输至地面基站，在地面基站进行入侵检测，例如：飞机每次落地时，将其在这次飞行过程中的通讯数据传输至基站，然后使用基于深层自编码器的混合入侵检测方法进行检测。

技术实现要素：

本发明的目的在于克服现有技术的缺点与不足，提供一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，首先对总线数据进行预处理，然后通过深层自编码器提取出研究者无法通过简单计算获得的一些高阶抽象特征，最后使用集合分类器对入侵行为进行判断。本发明降低了特征的维度，从而减少了计算成本，并可以有效地区分新的变体攻击。

实现本发明目的的具体技术方案是：

一种面向综合电子系统的基于深层自编码器的混合入侵检测方法，包括如下步骤：

步骤1：数据预处理，对综合电子系统中总线管理器所存储的各终端之间的通信流量数据进行归一化和标准化处理，得到格式规范的训练集；

步骤2：特征提取，使用深层自编码器对训练集数据进行特征提取，得到特征参数权值，使特征更具表达能力；

步骤3：入侵行为判定，将步骤2所得的参数权值与训练集数据做运算得到特征数据，输入集合分类器判断该特征是否属于攻击行为。

根据权利要求1所述的混合入侵检测方法，步骤1所述归一化指通过最小-最大归一化、对数函数归一化或反余切函数归一化算法将数据映射到[0,1]的区间中；所述标准化指通过最小-最大规范化、z分数规范化或sigmoid函数算法将所述数据按照比例进行缩放，使所述数据映射到对应的空间里。

根据权利要求1所述的混合入侵检测方法，步骤2所述深层自编码器具有数个隐藏层，包括编码和解码，将原始的输入转换成特征表达形式；具体为：

ⅰ)预训练阶段，使用训练集数据生成初始参数权值；

ⅱ)微调阶段，对所有神经元使用随机梯度下降的优化方法进行参数权值调整。

根据权利要求1所述的混合入侵检测方法，步骤2所述使特征更具表达能力，是通过微调阶段对特征参数进行迭代调整，过滤干扰特征，提取与行为判定有关联的特征。

根据权利要求1所述的混合入侵检测方法，步骤3所述做运算即将所述训练集中的数据与步骤2中所述特征参数相乘，目的是对所述训练集数据进行降维处理。

根据权利要求1所述的混合入侵检测方法，步骤3所述集合分类器包括但不限于xgboost。

本发明的有益效果如下：本发明面向计算资源有限的综合电子系统提出了一种基于无人监督的深度自编码器和集合分类器相结合的混合入侵检测方法，降低了特征的维度，显著减少了内存和计算需求，能识别出新的变体攻击。

附图说明

图1为本发明流程图；

图2为本发明深层自编码器拓扑结构图；

图3为本发明深层自编码器的误差图；

图4为堆积受限玻尔兹曼机器结构图；

图5为本发明对入侵行为的判定过程示意图。

具体实施方式

结合以下具体实施例和附图，对本发明作进一步的详细说明。实施本发明的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本发明没有特别限制内容。

参阅图1，本发明包括如下步骤：

步骤1：数据预处理，对综合电子系统中总线管理器所存储的各终端之间通信流量数据进行归一化和标准化处理，得到格式规范的训练集；

步骤2：特征提取，使用深层自编码器对训练集数据进行特征提取，得到特征参数权值，使特征更具表达能力；

步骤3：入侵行为判定，将步骤2所得的参数权值与训练集数据做运算得到特征数据，输入集合分类器判断该特征是否属于攻击行为。

在步骤1中，由于本发明直接使用了来自总线管理器的流量数据，不再人工定义特征，因此需要对该数据进行预处理，具体包括映射、离散化和标准化操作。所述归一化指通过算法将数据映射到[0,1]的区间中，常见算法包括最小-最大归一化、对数函数归一化、反余切函数归一化等；所述标准化指通过算法将所述数据按照比例进行缩放，使所述数据映射到对应的空间里面，常见算法包括最小-最大规范化、z分数规范化、sigmoid函数等。

在步骤2中，本发明提出的自编码器具有多个隐藏层，且深层次的自编码器比浅层次的自编码器具有更好的效果，但深层次的自动编码器对初始值较敏感，需要一个良好的初始节点。本发明提出的深层自编码器的拓扑结构如图2所示。在自编码器的编码过程中，通过多层结构学习到输入数据的隐含特征，然后在解码过程中使用学习到的隐含特征重构原始输入数据。

自编码器的误差图如图3所示，将输入映射到隐藏层：

y＝f(x)＝s(wⁱ*x+bⁱ)

其中x是输入向量，x∈r^d*1,d为输入数据的维数。y是输出向量，y∈r^r*1，r为隐含层神经元的数量。wⁱ是隐含层的权重，wⁱ∈r^r*d。bⁱ是隐含层的输入偏置，bⁱ∈r^r*1。s为激活函数。激活函数用于两层之间节点的激活，通常是非线性函数，常见激活函数有sigmoid函数、relu函数等。本发明以leakyrelu函数为例。

解码器是将y映射回原始的x，表达式为：

x＝h(y)＝s(wⁱ*y+bⁱ)

其中wⁱ∈r^r*d，bⁱ∈r^d*1。

损失函数表达式为：

l(w,b)＝||xⁱ-h(f(xⁱ))||²

因此，自编码器的目标函数可表达为：

其中n为样本总数，nl表示该自编码器的层数，sl是每层的神经元数。

损失函数和目标函数确定后，使用随机梯度下降法求解模型的最优解，使损失函数最小，随机梯度下降是最小化每条数据的损失函数，虽然不是每次得到的损失函数都向着全局最优，但总体来说，是向着全局最优。主要通过随机梯度下降优化神经元之间的连接权值矩阵以及偏置矩阵向量。更新表达式为：

其中η为学习速率。

深层自编码器的训练包括两个阶段，其一是预训练，目的是为了让深层自编码器有良好的初始值；其二是微调，对深层自编码器的所有神经元使用随机梯度下降的优化方法进行调整。

预训练自编码器和获得初始化权值的两种最常见的技术是堆积受限玻尔兹曼机器(rbm)和堆叠式消噪自编码器。本发明以rbm为例进行说明，其结构如图4所示。具体是以逐层贪心的方式训练，其中一个训练rbm的输出被用作下一个rbm块的输入。每个rbm块可堆叠在彼此的顶部，形成深层自编码器的拓扑结构。以每层的最优值逼近全局最优值，每个隐含层单独训练使得前一层的误差不会影响下一层，解决神经网络中所有层共同训练出现的梯度弥散的问题。

微调阶段从预训练中获得初始权重并用于初始化深度自编码器，参数调整以迭代方式进行。本方法使用反向传播算法，对深层自编码器的每个神经元进行微调。

在步骤3中，以xgboost集合分类器为例进行说明。综合电子系统通信数据通过上述预训练阶段，得到输入层至中间层的参数w和b，利用参数重新将特征数据计算出来，具体是将训练集数据与自编码器网络的参数相乘即可得到降维后的数据，并传至xgboost分类器进行分类，主要分为正常和异常两类，判定过程如图5所示。

本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下，本领域技术人员能够想到的变化和优点都被包括在本发明中，并且以所附的权利要求书为保护范围。