[发明专利]一种基于多层特征融合神经网络的工控网络入侵检测方法

说明书

本发明公开一种基于多层特征融合神经网络的工控网络入侵检测方法，包括：获取工控网络信息管理层的原始数据；对所述原始数据中的非数值特征进行数值编码，得到第一数据；对所述原始数据中的数值特征进行归一化处理，得到第二数据；构建多层特征融合金字塔神经网络；利用训练集和测试集对所述神经网络进行训练和测试，得到神经网络模型；将所述第一数据和第二数据输入神经网络模型，得到检测结果。本发明能够解决神经网络中深层特征稀疏性过大，细节特征丢失严重的问题，提高检测精度。

技术领域

本发明涉及工控网络安全技术领域，特别是涉及一种基于多层特征融合神经网络的工控网络入侵检测方法。

背景技术

工控网络安全是网络安全重要的组成部分，相比于互联网网络安全，工控网络安全问题所造成的损失更为巨大。不仅如此，工控网络安全更多的是国家与国家之间的攻防战，例如针对伊朗核电站的“震网”病毒，就是通过修改参数让设备的损坏率提升，造成巨大的损失。在多变的国际形式下，各国之间的国际关系都很复杂，工控网络安全的研究意义尤为重大。

目前基于机器学习的入侵检测算法已经广泛的应用在了工控网络安全领域。近年来，深度学习已经逐渐成为机器学习算法的主流研究方向。相比于传统机器学习算法，深度学习使用了更深的网络模型以及更大的训练集，在图像、语音等诸多领域达到了更优的效果。并且在诸多的领域都已验证，深度更大的网络模型可以取得更好的效果。因为增加深度可以增加网络的参数数量以及非线性拟合能力。当数据集可以达到一定数量级后，深度更高的模型效果更好。但是在面向工控网络信息管理层的深度神经网络入侵检测模型中，整体的网络模型都很稀疏，即在神经网络隐藏层的特征中存在大量的0，这样会降低预测结果的精度。

发明内容

本发明的目的是提供一种基于多层特征融合神经网络的工控网络入侵检测方法，能够有效地解决特征层稀疏性过大导致的特征丢失严重问题，提高检测精度。

为实现上述目的，本发明提供了如下技术方案：

一种基于多层特征融合神经网络的工控网络入侵检测方法，包括：

获取工控网络信息管理层的原始数据；

对所述原始数据中的非数值特征进行数值编码，得到第一数据；

对所述原始数据中的数值特征进行归一化处理，得到第二数据；

构建多层特征融合金字塔神经网络；

利用训练集和测试集对所述神经网络进行训练和测试，得到神经网络模型；

将所述第一数据和第二数据输入神经网络模型，得到检测结果。

可选的，所述对原始数据中的非数值特征进行数值编码，得到第一数据，包括：

采用One-hot编码对原始数据中的非数值特征进行数值编码。

可选的，所述对原始数据中的数值特征进行归一化处理，得到第二数据，包括：

采用公式将所述数值特征的数值大小全部映射到[0,1]区间；

其中，x为原始数据中的某一个数值特征，x的取值范围不为[0,1]，x_new为映射后特征的数值，x为原始特征的数值，x_min为原始特征中数值的最小值，x_max为原始特征中数值的最大值。

可选的，所述构建多特征融合金字塔神经网络，包括：

获取传统神经网络模型中隐藏层的第一层的特征向量，记为第一特征向量，所述第一特征向量的维数为2ⁿ，其中，所述隐藏层的第一层连接输出层；

将所述第一特征向量的维数扩展为2ⁿ⁺¹，得到第二特征向量；