王 晨，張迪明，韓 斌

(江蘇科技大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 鎮(zhèn)江212100)

0 引言

工業(yè)控制網(wǎng)絡(luò)其核心是將互聯(lián)網(wǎng)技術(shù)同自動(dòng)化控制技術(shù)相結(jié)合。隨著工業(yè)化的推進(jìn)，雖然越來越多的網(wǎng)絡(luò)模塊和控制器優(yōu)化了工控系統(tǒng)并提升了生產(chǎn)效率，但是高度復(fù)雜的工控系統(tǒng)同樣增加了其暴露高危漏洞的風(fēng)險(xiǎn)[1]。如今，工控安全是網(wǎng)絡(luò)安全領(lǐng)域亟待解決的熱點(diǎn)問題。

在工控安全的研究領(lǐng)域中，學(xué)者們針對(duì)不同的工業(yè)生產(chǎn)環(huán)境，設(shè)計(jì)出了不同的入侵檢測(cè)算法模型。趙智陽等人[2]提出了一種基于卷積神經(jīng)網(wǎng)絡(luò)的電網(wǎng)工控系統(tǒng)入侵檢測(cè)算法，在神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中加入級(jí)聯(lián)卷積層提升了特征提取能力。莊衛(wèi)金等人[3]提出了基于特征提取的電力工控系統(tǒng)入侵檢測(cè)方法，通過堆疊稀疏編碼器并在訓(xùn)練過程中引入遷移學(xué)習(xí)進(jìn)行參數(shù)優(yōu)化，提升了對(duì)數(shù)據(jù)關(guān)鍵特征提取的能力。Shang 等人[4]通過一類支持向量機(jī)(One-Class Support Vector Machine，OCSVM)概念建立正常的通信行為模型，并設(shè)計(jì)粒子群優(yōu)化算法對(duì)OCSVM 模型參數(shù)進(jìn)行優(yōu)化，設(shè)計(jì)了工控系統(tǒng)中基于OCSVM 的入侵檢測(cè)算法。Liu 等人[5]使用兩級(jí)檢測(cè)結(jié)構(gòu)，結(jié)合CNN 特征提取來構(gòu)建入侵檢測(cè)的正常狀態(tài)過程轉(zhuǎn)移模型，提出了一種基于CNN 和過程狀態(tài)轉(zhuǎn)換的工業(yè)控制系統(tǒng)入侵檢測(cè)算法。Brugman 等人[6]通過使用軟件定義網(wǎng)絡(luò)將流量路由到云，以使用網(wǎng)絡(luò)功能虛擬化進(jìn)行檢查，提出了一種使用軟件定義網(wǎng)絡(luò)的基于云的工控入侵檢測(cè)方法。根據(jù)上述研究成果可以得到，大多數(shù)算法模型關(guān)注到了特征提取對(duì)于工控入侵檢測(cè)的重要意義，并通過相應(yīng)的特征提取方法進(jìn)行了實(shí)驗(yàn)，取得了相應(yīng)的成果。但依然存在一定的局限性：

(1)對(duì)于特征提取部分仍然有提升的空間，例如對(duì)于級(jí)聯(lián)卷積層的加入難以避免運(yùn)算成本大和過擬合風(fēng)險(xiǎn)；對(duì)于堆疊稀疏編碼器的應(yīng)用，編碼器只是單一地表征不同數(shù)據(jù)在隱空間的特質(zhì)而忽視了其概率分布。

(2)多數(shù)算法模型的核心設(shè)計(jì)在于如何更好地進(jìn)行特征提取，而忽視提取特征后的樣本分類步驟，大多采用傳統(tǒng)的二支決策分類器進(jìn)行分類，存在盲目決策的風(fēng)險(xiǎn)。

針對(duì)上述問題，本文提出了一種基于變分自編碼器(Variational Autoencoder，VAE)和三支決策(Threeway Decisions，TWD)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)算法(VAE-TWD)。該算法利用深度學(xué)習(xí)中的變分自編碼器理論[7]，先針對(duì)輸入數(shù)據(jù)的密集表征進(jìn)行學(xué)習(xí)和編碼，通過屬性映射，在降低輸入數(shù)據(jù)的同時(shí)進(jìn)行特征提取。在訓(xùn)練過程中，成本函數(shù)迫使編碼在隱空間內(nèi)移動(dòng)。然后在由均值和標(biāo)準(zhǔn)差生成的高斯分布中隨機(jī)采樣，并使用解碼器解碼成重構(gòu)數(shù)據(jù)。訓(xùn)練完成后，編碼器生成的數(shù)據(jù)即是降維后的特征。最后基于三支決策理論[8]對(duì)決策域中由于暫時(shí)信息不足而無法決策的數(shù)據(jù)進(jìn)行延時(shí)決策，當(dāng)獲得更多粒度特征后再進(jìn)行決策。三支決策理論極大程度上彌補(bǔ)了傳統(tǒng)的二支決策中容錯(cuò)能力差，且不能依靠特征粒度的信息來對(duì)網(wǎng)絡(luò)數(shù)據(jù)行為做出動(dòng)態(tài)決策的缺點(diǎn)。

本文提出的VAE-TWD 入侵檢測(cè)算法模型主要優(yōu)勢(shì)在于：

(1)在特征提取部分利用變分自編碼器在損失函數(shù)中添加一個(gè)正則項(xiàng)，并返回?cái)?shù)據(jù)在隱空間中的概率分布，進(jìn)而將隱空間組織得更好，解決了僅僅描述單一數(shù)據(jù)屬性而導(dǎo)致的隱空間不規(guī)則性，使提取的特征包含更多的數(shù)據(jù)屬性。

(2)采用三支決策分類器，避免傳統(tǒng)決策器的盲目分類以滿足工控網(wǎng)絡(luò)的安全性要求。

1 相關(guān)理論

1.1 變分自編碼器

變分自編碼器是自動(dòng)編碼器的一個(gè)重要分支。但變分自編碼與其他編碼器相比，具有獨(dú)特的優(yōu)勢(shì)：(1)VAE 是概率自動(dòng)編碼器，這就表明當(dāng)神經(jīng)網(wǎng)絡(luò)訓(xùn)練以后，VAE 的輸出會(huì)部分由概率決定(這點(diǎn)與降噪自編碼器在訓(xùn)練過程中僅僅依靠隨機(jī)性相反)；(2)VAE 是生成式自動(dòng)編碼器，這意味著VAE 生成的數(shù)據(jù)與原始數(shù)據(jù)的重構(gòu)誤差很小，即非常接近原始數(shù)據(jù)。

這兩個(gè)屬性使變分自編碼器與受限玻爾茲曼機(jī)(Restricted Boltzmann Machine，RBM)[9]類似，但是VAE 的優(yōu)點(diǎn)在于訓(xùn)練適用性更強(qiáng)，同時(shí)采樣過程所花的時(shí)間成本更少。在使用RBM 時(shí)，網(wǎng)絡(luò)“熱平衡”穩(wěn)定的限制條件將迫使新實(shí)例的采樣時(shí)間大幅度提高。同時(shí)變分自編碼器執(zhí)行變分貝葉斯推理，這是執(zhí)行近似貝葉斯推理的有效方法。圖1 顯示了變分自編碼器的基本結(jié)構(gòu)，在基礎(chǔ)自動(dòng)編碼的結(jié)構(gòu)上，變分自編碼對(duì)編碼器部分進(jìn)行了改進(jìn)，通過編碼器在隱空間中生成平均值μ 和標(biāo)準(zhǔn)差σ，然后實(shí)際編碼是從均值μ 和標(biāo)準(zhǔn)差σ 的高斯分布中隨機(jī)采樣得到的，而不是將原始輸入進(jìn)行直接編碼。最后，解碼器進(jìn)行相反的逆操作即可將編碼通過解碼得到重構(gòu)數(shù)據(jù)。

圖1 變分自編碼器結(jié)構(gòu)

由圖1 可得，雖然輸入的數(shù)據(jù)可能繁多且復(fù)雜，但是變分自動(dòng)編碼器會(huì)通過均值和標(biāo)準(zhǔn)差來生成從高斯分布中隨機(jī)采樣的編碼：在訓(xùn)練過程中，首先從先驗(yàn)概率分布pθ(z)中采樣得到樣本z，成本函數(shù)迫使編碼逐漸地在編碼空間內(nèi)移動(dòng)，最終看起來像高斯點(diǎn)云，而后在高斯分布中采樣一個(gè)隨機(jī)編碼，根據(jù)條件概率分布函數(shù)pθ(Xi|z)解碼即可得到重構(gòu)出的新的網(wǎng)絡(luò)樣本實(shí)例。由于解碼參數(shù)θ、隱變量z和隱變量z 的后驗(yàn)概率pθ(z|Xi)無法直接得到，因此，VAE 的主要思想是通過一個(gè)網(wǎng)絡(luò)qφ(z|Xi)去逼近。

根據(jù)邊緣概率公式，對(duì)于單個(gè)數(shù)據(jù)樣本的似然函數(shù)可以表示成：

其中：

稱之為變分下界，這就是變分自編碼器網(wǎng)絡(luò)的損失函數(shù)(loss function)。式(1)中第一項(xiàng)即為KL 散度[10]，可以通過優(yōu)化KL 散度來達(dá)到防止模型的過擬合；第二項(xiàng)為重構(gòu)損失函數(shù)項(xiàng)，其作用是衡量原始數(shù)據(jù)與重構(gòu)后數(shù)據(jù)之間的差異。

1.2 三支決策理論

三支決策理論[8]是由粗糙集理論衍生而來的，相較于傳統(tǒng)的二支決策問題，三支決策在正向決策域和負(fù)向決策域的基礎(chǔ)上(可用狀態(tài)集Ω={X，}來表示)加入了邊界決策域。

通過D={DP，DN，DB}來指代三支決策的決策集，其中DP表示正向決策域，DN表示負(fù)向決策域，DB表示邊界域。對(duì)于劃分?jǐn)?shù)據(jù)對(duì)象屬于指定區(qū)域的標(biāo)準(zhǔn)取決于有限條件集，滿足接受條件的劃分入正向決策域，滿足拒接條件的劃分入負(fù)向決策域，而對(duì)于低于接受條件而又高于拒絕條件的對(duì)象，則劃分入邊界域。在整個(gè)三支決策的決策過程中，針對(duì)邊界域中的數(shù)據(jù)對(duì)象，在獲取其他信息以后，將重新即時(shí)決定是否劃分入DP或DN中，對(duì)于當(dāng)前不符合條件的對(duì)象，將繼續(xù)存放在DB中，然后重復(fù)決策過程，直至所有數(shù)據(jù)對(duì)象劃分入DP或DN中為止。

根據(jù)上述兩個(gè)可能的狀態(tài)和三個(gè)可能的決策，列出相應(yīng)的決策損失函數(shù)，如表1 所示。

表1 決策損失函數(shù)

假 定0 ≤λPP≤λBP＜λNP，0 ≤λNN≤λBP＜λPN，式(3)和式(4)中的閾值計(jì)算公式可根據(jù)文獻(xiàn)[11]的推倒證明而得到。

其中，0≤β≤α＜1。根據(jù)工業(yè)控制網(wǎng)絡(luò)環(huán)境，設(shè)置如下三條檢測(cè)策略：

(1)如果P(X|[x])＞α，將該數(shù)據(jù)劃分入正向決策域，并認(rèn)定該數(shù)據(jù)行為是入侵行為；

(2)如果P(X|[x])＜β，將該數(shù)據(jù)劃分入負(fù)向決策域，并認(rèn)定該數(shù)據(jù)行為是正常行為；

(3)如果β≤P(X|[x])≤α，將該數(shù)據(jù)劃分入邊界域，即表示當(dāng)前的信息缺乏，不足以對(duì)該數(shù)據(jù)行為進(jìn)行正負(fù)域的即時(shí)決策。

其中，屬性集中樣本的等價(jià)類通過[x]進(jìn)行表示，P(X|[x])指將等價(jià)類[x]分為X 的概率。

將三支決策與工控入侵檢測(cè)結(jié)合，可以避免當(dāng)目前的信息不足以支持做出明確的決策定論時(shí)而產(chǎn)生的誤分類情況。顯然，在工業(yè)控制網(wǎng)絡(luò)的入侵檢測(cè)中，如果將惡意的網(wǎng)絡(luò)數(shù)據(jù)錯(cuò)分決策域，將導(dǎo)致致命性的后果。

2 入侵檢測(cè)模型VAE-TWD

2.1 算法整體流程

VAE-TWD 算法的整體流程圖如圖2 所示，主要包括三個(gè)模塊：數(shù)據(jù)預(yù)處理模塊、變分自編碼器特征提取模塊和三支決策分類模塊。

VAE-TWD 算法的具體步驟如算法1 所示。

算法1：VAE-TWD 算法

輸入：數(shù)據(jù)X={x1，x2，…，xn}；三支決策閾值α，β。

輸出：網(wǎng)絡(luò)數(shù)據(jù)分類結(jié)果。

初始化：網(wǎng)絡(luò)參數(shù)φ，θ；代 價(jià)函數(shù)λPP，λPN，λNP，姿BP，姿BN，姿NN。

圖2 基于VAE 和TWD 的工控入侵檢測(cè)算法流程圖

(1)數(shù)據(jù)預(yù)處理；

(2)訓(xùn)練變分自編碼器，訓(xùn)練結(jié)束后編碼器部分輸出提取的特征；

(3)將步驟(2)中提取的特征輸入三支決策分類模塊；

(4)訓(xùn)練三支決策分類器，計(jì)算出每個(gè)數(shù)據(jù)樣本屬于正向決策域、負(fù)向決策域和邊界域的具體概率p；

(5)將概率P(X|[x])同三支決策的閾值 琢，茁進(jìn)行比較得出相應(yīng)的決策結(jié)果，劃分?jǐn)?shù)據(jù)進(jìn)入對(duì)應(yīng)的決策域中；

(6)當(dāng)邊界域中不為空時(shí)，重復(fù)步驟(2)～(5)。

2.2 VAE 特征提取算法

變分自編碼器利用概率理論將隱空間中經(jīng)過編碼后的特征概率表示出來，所以VAE 中的編碼器職責(zé)轉(zhuǎn)化為將輸入的數(shù)據(jù)通過編碼轉(zhuǎn)換為在隱空間的概率分布，而不是單一地描述每個(gè)數(shù)據(jù)在隱空間的屬性。

學(xué)習(xí)過程中將解碼得到的重構(gòu)數(shù)據(jù)與原數(shù)據(jù)進(jìn)行比較，然后利用梯度下降法動(dòng)態(tài)地調(diào)整VAE 中網(wǎng)絡(luò)的權(quán)重和偏置，實(shí)現(xiàn)降低網(wǎng)絡(luò)損失函數(shù)的目的，迫使VAE 進(jìn)一步減小重構(gòu)誤差。學(xué)習(xí)完成后，所需的低維特征就是經(jīng)過編碼器降維后的數(shù)據(jù)。

選用SELU 函數(shù)作為VAE 網(wǎng)絡(luò)的激活函數(shù)，RMSprop 為優(yōu)化器，針對(duì)VAE 網(wǎng)絡(luò)的權(quán)重參數(shù)通過梯度下降法來進(jìn)行動(dòng)態(tài)更新。

特征提取模塊算法如下所示。

算法2：變分自編碼器特征提取算法

輸入：數(shù)據(jù)集X；網(wǎng)絡(luò)循環(huán)次數(shù)M。

輸出：X′(輸入數(shù)據(jù)X 的低維特征數(shù)據(jù))。

(1)隨機(jī)初始化網(wǎng)絡(luò)參數(shù) 漬，θ。

(2) For i=1:M

將獲得的數(shù)據(jù)以概率p(k)傳遞給第k 個(gè)網(wǎng)絡(luò)，計(jì)算相應(yīng)的均值 滋漬與方差 滓漬；

計(jì)算后驗(yàn)分布q漬(z|Xi)；

計(jì) 算KL 散 度DKL[q漬(z|Xi)||pθ(z|Xi)]；

從q漬(z|Xi)中采樣z；

計(jì)算重構(gòu)誤差損失Eq漬[logpθ(Xi|z)]；

計(jì)算損失函數(shù)L(漬，θ，Xi)；

使用梯度下降法更新參數(shù) 漬，θ；

End for

(3)根據(jù)步驟(1)～(2)得到網(wǎng)絡(luò)參數(shù)，獲取高維特征的低維表示，完成特征提取。

2.3 TWD 分類算法

當(dāng)降維后的特征進(jìn)入三支決策分類器時(shí)，通過設(shè)定好的閾值琢，茁對(duì)不同的特征進(jìn)行即時(shí)決策，劃分入對(duì)應(yīng)的決策域中。同時(shí)，參照文獻(xiàn)[12]定義三支決策域中關(guān)于損失函數(shù)的經(jīng)驗(yàn)值，如表2 所示。

根據(jù)表2 所示的經(jīng)驗(yàn)值，可以推導(dǎo)出式(3)和式(4)的相關(guān)閾值 琢，茁。

假設(shè)所有的數(shù)據(jù)樣本集為X={x1，x2，…，xn}，則需要計(jì)算出數(shù)據(jù)xi屬于正向決策域的概率P(POS|xi)，其中i=1，2，…，n。并將閾值 琢，茁 與p 值加以對(duì)比：如果p＞琢，則將其分入正向決策域；假如p＜茁，則將其分入負(fù)向決策域；若茁≤p≤琢，則分入邊界域。

表2 損失函數(shù)的經(jīng)驗(yàn)值

隨著迭代次數(shù)的不斷增多，編碼器部分獲取的特征將含括更多的信息來支撐三支決策分類器的決策，所以在VAE 中加入一個(gè)多粒度特征結(jié)構(gòu)，用于提取更多的特征信息進(jìn)一步提升分類器的決策速度。

如果邊界域中的數(shù)據(jù)樣本依然存在，將繼續(xù)重復(fù)該過程，直至域內(nèi)數(shù)據(jù)清空。

具體算法步驟如算法3 所示。

算法3：三支決策理論分類算法

輸入：訓(xùn)練集Tx，測(cè)試集Ty。

輸出：正向決策域POS，負(fù)向決策域NEG。

(1)初始化參數(shù)：VAE 特征提取方式G；初始化分類器f；三支決策閾值 琢，茁；正向決策域(POS)=負(fù)向決策域(NEG)=邊界域(BND)=?。

(2)Do

Tx=G(Tx)；Ty=G(Ty)；

根據(jù)Tx訓(xùn)練模型f：

Until 測(cè)試集Ty為空

(3)輸出：正向決策域POS，負(fù)向決策域NEG

3 實(shí)驗(yàn)分析

3.1 實(shí)驗(yàn)環(huán)境

本文提及的所有實(shí)驗(yàn)均在Ubuntu 16.04.7 系統(tǒng)上完成，具體硬件配置為：GPU GV100GL[Tesla V100S Pcle 32 GB]，軟件配置為：Python 3.9.2。

3.2 數(shù)據(jù)集介紹

為了評(píng)估VAE-TWD 算法在工控入侵檢測(cè)中的綜合性能，本文采用美國橡樹嶺國家實(shí)驗(yàn)室發(fā)布的天然氣真實(shí)網(wǎng)絡(luò)數(shù)據(jù)集[13]。該數(shù)據(jù)集的網(wǎng)絡(luò)流量數(shù)據(jù)分別來自7 種惡意的網(wǎng)絡(luò)攻擊數(shù)據(jù)和正常的工控網(wǎng)絡(luò)數(shù)據(jù)，在這其中已經(jīng)定義好了1 個(gè)標(biāo)簽以及26 個(gè)特征。數(shù)據(jù)集中不同類別的數(shù)據(jù)具體分布如表3 所示。

表3 數(shù)據(jù)集描述

在實(shí)驗(yàn)中，將所有的正常數(shù)據(jù)作為負(fù)類，所有異常數(shù)據(jù)作為正類(即需要被檢測(cè)出的類)。本文所有實(shí)驗(yàn)均在相同數(shù)據(jù)集和相同實(shí)驗(yàn)環(huán)境中進(jìn)行，同時(shí)，每個(gè)實(shí)驗(yàn)均重復(fù)進(jìn)行5 次，并對(duì)得到的數(shù)據(jù)取均值，最終得到相應(yīng)的實(shí)驗(yàn)結(jié)果。

3.3 數(shù)據(jù)預(yù)處理及評(píng)估指標(biāo)

實(shí)驗(yàn)前進(jìn)行如下數(shù)據(jù)預(yù)處理：

(1)刪除缺失率高于0.7 的特征避免信息冗余和資源消耗。

(2)刪去唯一值的特征。

(3)通過標(biāo)準(zhǔn)化處理來避免因數(shù)據(jù)差異較大導(dǎo)致的誤差，并采用式(5)將特征值歸一化至[0，1]區(qū)間。

其中，x 為原始值，x′為規(guī)范化值。

(4)生成特征向量。

(5)實(shí)行獨(dú)熱編碼。

實(shí)驗(yàn)選用在入侵檢測(cè)領(lǐng)域代表綜合性能的誤報(bào)率(False Positive Rate，F(xiàn)PR)[14]、準(zhǔn)確率(Accuracy，ACC)、檢出率(Detection Rate，DR)、精確率(Precison Rate，PR)以及F1-得分(F1-score，F(xiàn)1)[15]作為算法性能的評(píng)估指標(biāo)，公式分別如下：

式中，TN 代表正常的網(wǎng)絡(luò)行為被正確劃分的數(shù)量；TP 代表惡意的網(wǎng)絡(luò)行為被正確劃分的數(shù)量；FP 表示正常的網(wǎng)絡(luò)行為被錯(cuò)誤劃分的數(shù)量；FN 表示惡意的網(wǎng)絡(luò)行為被錯(cuò)誤劃分的數(shù)量。

3.4 實(shí)驗(yàn)過程及結(jié)果分析

為了體現(xiàn)VAE-TWD 算法模型對(duì)比其他算法模型的性能優(yōu)勢(shì)，本文進(jìn)行了3 個(gè)實(shí)驗(yàn)。實(shí)驗(yàn)一：限定特征提取方式為VAE 進(jìn)行提取，對(duì)比不同決策分類器(二支決策與三支決策)的分類表現(xiàn)；實(shí)驗(yàn)二：限定TWD 為決策分類器進(jìn)行分類，對(duì)比主流的特征提取方法與VAE 進(jìn)行特征提取時(shí)的性能差異；實(shí)驗(yàn)三：對(duì)比VAE-TWD 算法模型與學(xué)術(shù)領(lǐng)域中其他研究人員所提出的幾種算法模型之間的性能差異。

(1)實(shí)驗(yàn)一

此實(shí)驗(yàn)中，主要研究工控入侵檢測(cè)和三支決策分類結(jié)合進(jìn)行尋找惡意網(wǎng)絡(luò)數(shù)據(jù)的優(yōu)勢(shì)，在確保變分自編碼器不變的前提下，對(duì)比三支決策分類器與二支決策分類器：K 最近 鄰(K-Nearest Neighbor，KNN)，支持向量機(jī)(Support Vector Machine，SVM)，深度神經(jīng)網(wǎng)絡(luò)(Deep Neural Networks，DNN)和隨機(jī)森林(Random Forest，RF)[16]在工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域?qū)崿F(xiàn)網(wǎng)絡(luò)監(jiān)測(cè)的綜合性能。

表4 列出了在本文使用的數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)的性能對(duì)比結(jié)果。

表4 不同決策方法的實(shí)驗(yàn)結(jié)果對(duì)比

通過表4 的結(jié)果可得，相較于傳統(tǒng)的基于二支決策方法，本文提出的VAE-TWD 算法模型在工控入侵檢測(cè)領(lǐng)域，在準(zhǔn)確率、檢出率、精確率和F1 分?jǐn)?shù)上具有明顯優(yōu)勢(shì)。從上述結(jié)果可以看出將三支決策理論應(yīng)用于工控安全入侵檢測(cè)具有積極意義。

圖3 顯示了上述方法的ROC 曲線圖。從圖中結(jié)果發(fā)現(xiàn)，本文提出的VAE-TWD 算法模型的曲線更加接近(0，1)點(diǎn)，且VAE-TWD 算法模型的曲線下方面積明顯大于其他的幾種方法，進(jìn)一步表明了三支決策理論在分類上的優(yōu)越性。

圖3 不同決策方法的ROC 曲線圖

(2)實(shí)驗(yàn)二

此實(shí)驗(yàn)中，主要探究限定TWD 為決策分類器進(jìn)行分類的前提下，當(dāng)前主流的特征提取方法與VAE進(jìn)行特征提取時(shí)的性能差異。對(duì)比的特征提取方法有奇異值分解(Singular Value Decomposition，SVD)[17]、核主成分分析(Kernel Principal Component Analysis，KPCA)[18]和深度信念網(wǎng)絡(luò)(Deep Belief Network，DBN)。實(shí)驗(yàn)結(jié)果如表5 所示。

表5 不同特征提取模型的實(shí)驗(yàn)結(jié)果對(duì)比

通過觀察表5 可得，本文所提算法VAE-TWD 有更高的準(zhǔn)確率、檢出率、精確率以及F1 得分。結(jié)果表明，通過變分自編碼器中的編碼器來描述每個(gè)隱屬性的概率分布并提取特征的方法優(yōu)于其他特征提取方法。

圖4 的ROC 曲線對(duì)比圖清楚地顯示了上述特征提取方法的性能對(duì)比，從中可以看出，VAE-TWD算法模型的AUC 面積最大，進(jìn)一步表明VAE-TWD

圖4 不同特征提取模型的ROC 曲線圖

算法模型能更加精確地進(jìn)行特征提取。

(3)實(shí)驗(yàn)三

此實(shí)驗(yàn)中，主要對(duì)比VAE-TWD 算法模型和在工控入侵領(lǐng)域中其他研究人員研究的算法模型之間的性能差異。選用的算法模型包括：文獻(xiàn)[4]提出的基于OCSVM 的工控入侵檢測(cè)算法，文獻(xiàn)[5]提出的基于CNN 和過程狀態(tài)轉(zhuǎn)換的工控入侵檢測(cè)算法，文獻(xiàn)[19]提出的改進(jìn)TPOT 的工控入侵檢測(cè)方法和文獻(xiàn)[20]提出的DRL-IDS——基于深度強(qiáng)化學(xué)習(xí)的工業(yè)物聯(lián)網(wǎng)入侵檢測(cè)方法。

表6 顯示了在實(shí)驗(yàn)數(shù)據(jù)集上，本文算法模型與其他算法模型的性能對(duì)比。

表6 不同工控入侵檢測(cè)算法的實(shí)驗(yàn)結(jié)果對(duì)比

從表6 的結(jié)果可以得到，基于VAE-TWD 的算法模型在準(zhǔn)確率、檢出率、誤報(bào)率以及F1 得分上均表現(xiàn)優(yōu)秀，特別在檢出準(zhǔn)確率上，遠(yuǎn)遠(yuǎn)地超過了其他算法模型(所有實(shí)驗(yàn)均使用同一數(shù)據(jù)集和相同實(shí)驗(yàn)環(huán)境)。盡管在精確率上存在較小劣勢(shì)，但是在總體綜合性能上還是占據(jù)較大的優(yōu)勢(shì)。

本文提出的VAE-TWD 算法與對(duì)比算法的ROC曲線如圖5 所示。

圖5 不同工控入侵檢測(cè)算法的ROC 曲線圖

從圖5 中可以看出，VAE-TWD 算法模型的ROC 曲線相較于其他對(duì)比模型更加接近于左上角的(0，1)點(diǎn)。同時(shí)，在圖5 中VAE-TWD 算法模型的AUC 面積大于其他算法模型的AUC 面積。綜合上述結(jié)果，進(jìn)一步佐證了VAE-TWD 算法模型在工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域所具有的綜合性能優(yōu)勢(shì)。

4 結(jié)論

提升工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)的特征提取能力和分類準(zhǔn)確率，對(duì)于工控入侵檢測(cè)具有重要意義。本文提出的基于變分自編碼器和三支決策的工業(yè)控制網(wǎng)絡(luò)入侵防御檢測(cè)算法，在特征提取部分利用變分自編碼器在損失函數(shù)中添加正則項(xiàng)來返回高維數(shù)據(jù)在隱空間中的概率分布，再提取成低維抽象特征。在三支決策理論的基礎(chǔ)上，劃分經(jīng)過提取的特征進(jìn)入相應(yīng)的決策域中，彌補(bǔ)了使用傳統(tǒng)二支決策器分類的缺點(diǎn)。經(jīng)過在真實(shí)天然氣數(shù)據(jù)集上的多次實(shí)驗(yàn)可得，本文提出的VAE-TWD 算法的綜合性能對(duì)比文中其他工控入侵檢測(cè)算法的表現(xiàn)更優(yōu)。但是，通過實(shí)驗(yàn)一與實(shí)驗(yàn)二的結(jié)果可知，VAE-TWD 算法在誤報(bào)率方面存在一定劣勢(shì)。在后續(xù)的工作中，將嘗試加強(qiáng)數(shù)據(jù)間的相關(guān)性分析以及擴(kuò)充負(fù)樣本數(shù)量來降低誤報(bào)率。未來工作的重點(diǎn)在于如何降低邊界域決策時(shí)的時(shí)間成本，進(jìn)一步提升決策速率和對(duì)更多數(shù)據(jù)集的泛化適用性。