基于深度神经网络规则提取的嵌入式系统安全检测方法
本发明涉及嵌入式工业互联网系统安全检测,特别涉及一种基于深度神经网络规则提取的嵌入式系统安全检测方法。
背景技术:
1、伴随着信息时代的到来,工业互联网的应用越来越普及,随之而来的就是越来越多的安全问题。网络互联在生产与制造中的广泛应用在为生产带来方便和提高效率的同时也带来了较多的安全隐患。整个工业互联网安全涉及到六大安全问题:设备的安全,控制的安全,网络的安全、标识解析的安全,平台的安全、数据的安全,其中平台与数据的安全,是工业互联网安全急需解决的新问题。一旦平台和数据遭受入侵攻击会对整个生产系统造成严重的危害和损失。
2、入侵检测作为一种有效的网络攻击检测手段在网络安全检测领域广泛应用。传统的入侵检测技术可分为基于误用的入侵检测技术(mids)与基于异常的入侵检测技术(aids),针对基于异常的入侵检测技术又可根据检测技术划分为基于传统机器学习的入侵检测技术、基于深度学习的入侵检测技术、基于强化学习的入侵检测技术与基于可视化分析的入侵检测技术等。基于深度学习的检测方法能更加有效的处理大规模的网络流量数据,具有更高的检测效率和精度,其中基于dbn的检测技术在网络入侵检测中的表现被研究者广泛认可,但由于深度神经网络的训练过程较为复杂,模型可解释性差,对设备计算能力要求高,且工业互联网安全不同于传统的互联网安全,工业互联网是与生产息息相关的一个实时性要求较高的网络,出现问题没有及时解决会造成重大的损失。工业互联网的广泛性决定了它不管从经济性还是实用性考虑都不会配备具有较高计算能力的互联网网关,这就使得传统网络检测方法很难直接适用于复杂的工业互联网系统。
3、嵌入式网络在当前工业互联网应用中一直占有着较大的比重,嵌入式系统作为嵌入式网络中的重要信息转发单元,是保障嵌入式网络安全的主要设备,但是从成本出发,大多嵌入式系统都没有配备较高的计算能力,这使得传统的安全检测技术很难在嵌入式系统中取得良好的表示,寻找一种在保障检测效率的同时,更利于集成入嵌入式系统的检测技术对工业互联网的发展具有重要的意义。在传统检测技术中基于深度神经网络的入侵检测技术具有较好的检测表现,但由于深度网络的构造较为复杂,其检测过程可解释性较差,计算要求较高,使得其在嵌入式系统中集成具有较大的难度。
4、针对工业互联网嵌入式系统安全检测技术的研究近年来也取得了较多的成果,yoon、man-ki等提出了一种基于多核的用于实时嵌入式系统的检测架构,该框架与新颖的监控技术相结合,通过对其执行配置文件的统计分析来分析和观察实时系统的固有属性来检测恶意活动,能够提高实时嵌入式系统的安全性。viegas、eduardo等分析了在嵌入式系统安全检测技术在decision tree(dt)、naive-bayes(nb)和k-nearest neighbors(knn)中实现的特征提取引擎和三个机器学习分类器的详细能量测量,提出一种更加节能的检测方法。tabrizi等提出了一种针对嵌入式系统内存优化的检测技术,该技术相对于可用内存最大化了安全属性的覆盖范围,可以适用于具有不同内存容量的各种嵌入式设备,在系统存在内存限制时仍能提供高检测率。虽然这些方法都在一定程度上对检测方法进行了改进,使得其更适用于嵌入式系统,但在检测精度和效率方面都有一定的不足。
技术实现思路
1、本发明针对上述现有技术存在的不足之处,提供了基于深度神经网络规则提取的嵌入式系统安全检测方法,该方法在保证嵌入式工业物联网系统的安全检测效率与准确率的同时节省了更多的计算资源,更有利于在嵌入式系统中集成,尤其适用于解决变电站工业互联网控制系统存在的网络安全问题。
2、为了实现上述目的,本发明采用如下的技术方案:
3、基于深度神经网络规则提取的嵌入式系统安全检测方法,包括:
4、s1、获取网络入侵检测数据集,对网络入侵检测数据集进行数据预处理;
5、s2、搭建基于dbn-dnn结构的深度神经网络;
6、s3、采用s2的基于dbn-dnn结构的深度神经网络对s1预处理后的网络入侵检测数据集进行训练,得到训练好的dbn-dnn深度神经网络训练入侵检测模型;
7、s4、基于训练好的dbn-dnn深度网络训练入侵检测模型构建基于规则提取的规则树检测模型。
8、进一步地,s1中网络入侵检测数据集采用kdd cup99数据集。
9、优选地,s1中数据预处理是将其中字符型特征转换为数值型特征后对特征数值进行标准化。
10、更优选地,s1中数据预处理的具体实现步骤是:
11、(1)首先求出各属性的平均值和平均绝对误差,设第i个样本的第k条属性为则样本第k条属性的均值计算如式16所示,平均绝对误差sk计算如式17所示;
12、
13、
14、式中n为样本总数;
15、(2)设标准化后的标准值为计算过程如式18所示:
16、
17、计算时若与sk其中任意一个值为0,则值也为0;
18、(3)获得标准值后对数据进行归一化处理,设为归一化之后的值,计算过程如式19所示:
19、
20、式中xmin为中最小值,xmax为中最大值。
21、进一步地,s2中搭建基于dbn-dnn结构的深度神经网络的具体实现步骤是:
22、(1)基于dbn实现输入特征的降维
23、设有训练数据集d={(x1,y1),(x2,y2)…(xn,yn)},其中n为数据集的样本个数,设每个样本输入h个特征则xnh表示第n个测试数据样本的第h个特征,搭建一个m层的rbm网络对输入样本特征进行降维,令rbm降维后的特征数为h0,用式3初始化rbm输出层特征向量数,则按式4更新第m-1层rbm的输出特征数量;
24、
25、
26、式3中a为特征降维倍率,式4中h()为取整函数,以此类推更新出每个rbm层的输出特征数量;
27、采用粒子群算法对rbm层结构进行结构优化,构造基于降维模型的平均重构误差的适应度评价函数来对rbm的层数进行优化;
28、(2)基于dnn进行有监督的训练实体分类器
29、rbm层数优化后第m层rbm的输出特征数为h0,以m层rbm的输出作为输入,搭建一个dnn实体分类器,dnn实体分类器输入层h0个神经元,输出层为对应的检测类型,使用relu函数作为激活函数,采用反向传播算法来进行权重调节,激活函数如式5所示:
30、f(x)=max(0,x) (5)
31、式中输入小于0时输出为0,输入大于0时,输出与输入相同,选取损失函数如式6所示:
32、
33、式中al与y是特征维度与输出相同的向量,||al-y||2为al-y的l2范数,选取损失函数后利用梯度下降法迭代求出各层权重。
34、进一步地,s4中构建基于规则提取的规则树检测模型的具体实现步骤是:
35、(1)基于决策树的规则提取
36、规则提取的方法是基于每个隐含层神经元的输出,设rbm层输出特征为x,检测结果为y,dnn隐藏层个数为j,每个隐含层包含k个神经元,其中hjk表示第j隐层中的第k个神经元,xi是数据集的一个样本,yi是样品xi对应的检测类型,设xi有n个特征值,则第j隐层中的第k个神经元输出如式7所示:
37、
38、式中,wm是第m个神经元的连接权,nj-1为j-1隐藏层的神经元数量,xm为第m个神经元的输入,θ为阈值;
39、计算第j隐层神经元的输出均值oj如式8所示:
40、
41、式中,nj为第j隐层神经元个数,此时可以求出xi对应的每个隐藏层的神经元均值,利用这些均值建立决策规则;
42、(2)建立输入规则树模型
43、输入规则树的数量取决于rbm第m层的输出特征等于训练后的dnn的隐藏层的数量,设xi为一个m维特征向量,此时它对应的第j个隐藏层的输出均值为用xi中第k个变量作为分割变量和分割点,定义区域r1与r2如式9与式10所示:
44、
45、
46、然后求出最优的分割变量与分割点,最优值计算如式11所示:
47、
48、式中,c1、c2为划分后两个区域的输出值,为各自区域内平方误差最小的值,其计算过程如式12、式13所示:
49、
50、
51、式中,n1为划分到区域中的样本数量,n2划分到区域中的样本数量,找到最优的切分点后,依次将输入空间划分为两个区域,接着对每个区域重复上述划分过程,直到满足停止条件为止,最终生成一颗最小二乘回归树;
52、(3)建立输出规则树模型
53、获取隐藏层神经元输出均值后利用决策树建立这些隐藏层均值与输出检测类型之间的规则,首先计算样本的隐藏层均值与输出检测类型的经验熵h(o,y),设xi对应的隐藏层输出均值向量为oi,oi为一个j维向量,j是设置的隐藏层个数,计算过程如式14所示:
54、
55、式中,n代表检测结果的类型总数,pi代表了第i种检测结果占的比例,log是以2或e为底的对数;
56、使用二分法建立规则树,设样本总个数为n,将所有样本第j个隐藏层输出均值分为oj+和oj-,设分界值为计算如式10所示:
57、
58、然后分别计算不同对数据集不同检测结果的信息增益,最后选取信息增益最大的最优分界点依次建立输出规则树模型。
59、由于采用了上述技术方案,本发明的有益技术效果是:
60、1.本发明通过提取dbn-dnn深度神经网络模型的规则建立了一个基于规则树的安全检测模型,该模型将神经网络中复杂的计算转化为嵌入式系统更加容易实现的逻辑判断,在保证检测精度的情况下节省检测成本,进一步提高了检测效率,使得其在更易于移植入工业互联网嵌入式系统和保证检测精度的同时具有更高的实时性。
61、2.本发明提出的基于深度神经网络规则提取的嵌入式系统安全检测方法的检测效果与被提取规则的神经网络的检测效果几乎接近,且会随着神经网络检测效果的提高而提高,且基于规则提取的规则树检测模型相比于深度神经网络更容易于理解和实现,也更有利于在嵌入式系统中集成。
- 还没有人留言评论。精彩留言会获得点赞!