[发明专利]一种基于多新息扩展卡尔曼滤波的入侵检测方法

说明书

本发明公开了一种基于多新息扩展卡尔曼滤波的入侵检测方法，包括，获取原始数据集，并对其进行归一化处理；利用Fisher分值和核主成分分析算法提取原始数据集中的数据特征；将归一化处理后的数据集分为测试数据集和训练数据集；基于设置粒子的初始速度和位置建立初始的支持向量机模型，并设定交叉验证规则；通过使用多新息扩展卡尔曼滤波算法对支持向量机模型的惩罚参数和核函数参数进行寻优，并以获取到的最优参数组合建立入侵检测模型；利用测试数据集对经过训练数据集训练的入侵检测模型进行入侵检测；本发明通过对多个时刻新息的有效利用，解决了粒子群算法的局部最优问题，提高了模型的入侵检测识别率。

技术领域

本发明涉及入侵检测的技术领域，尤其涉及一种基于多新息扩展卡尔曼滤波的入侵检测方法。

背景技术

工业控制系统作为基础设施中的重要组成部分，被广泛应用于生产、生活和交通等各个方面。传统的工控系统利用专有的通讯协议和物理设施，确保了与外界网络的隔离，较大程度上保障了系统的物理安全。但由于其在信息化和网络化方面的不断发展，使用了更多开放的通信协议和操作系统，也不可避免的带来了更大的针对工控系统的网络安全问题，由此出现了包括“震网”病毒、“Havex”病毒和乌克兰大面积停电事件。入侵检测技术作为常用的安全防护技术，其通过对控制系统的网络信息特征和数据集进行建模和分析，以此来检测出可疑的攻击行为。

入侵检测技术作为常用的安全防护技术，其通过对控制系统的网络信息特征和数据集进行建模和分析，以此来检测出可疑的攻击行为。Beaver等利用SCADA系统入侵检测标准数据集，使用支持向量机、决策树和随机森林等算法，主要研讨了数据集中的注入攻击。张腾飞等使用支持向量机建立攻击检测模型，并将该方法应用于SCADA系统中的Modbus协议，实验结果表明其效果良好。尚文利等使用粒子群优化(Particle Swarm Optimization，PSO)算法建立SVM异常检测模型，实验以Modbus TCP通信数据为数据来源，最终实现对Modbus功能码序列的检测。李琳等通过利用主成分分析(Principal Component Analysis，PCA)法和单类支持向量机建立针对Modbus/TCP协议的入侵检测模型。王华忠等利用PCA法和粒子群优化算法建立了基于SVM的入侵检测模型，然而标准的粒子群算法易陷入局部极小问题。上述算法没有将工控系统内网络数据所具有的非线性、高维度和冗余数据多的特点全部考虑在内。除此之外，在建立SVM攻击检测模型的过程中，惩罚常数和核函数参数的选择也将对分类准确率产生很大影响。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

因此，本发明提供了一种基于多新息扩展卡尔曼滤波的入侵检测方法，能够现有入侵检测算法存在的不能结合多个时刻的数据和数据特征冗余问题而造成的检测准确度低和耗时较长的问题。

为解决上述技术问题，本发明提供如下技术方案：包括，将用于工控入侵检测的天然气管道控制系统数据集作为原始数据集，并对所述原始数据集进行归一化处理；利用Fisher分值和核主成分分析算法提取原始数据集中的数据特征；将归一化处理后的数据集分为测试数据集和训练数据集；基于设置粒子的初始速度和位置建立初始的支持向量机模型，并设定交叉验证规则；通过使用多新息扩展卡尔曼滤波算法对支持向量机模型的惩罚参数C和核函数参数g进行寻优，并以获取到的最优参数组合建立入侵检测模型；利用所述测试数据集对经过训练数据集训练的入侵检测模型进行入侵检测。

作为本发明所述的基于多新息扩展卡尔曼滤波的入侵检测方法的一种优选方案，其中：所述归一化处理包括，将原始数据集的每个数据特征映射到[0,1]。