[发明专利]一种基于自动机器学习的工控网络入侵检测模型构建方法

说明书

本发明公开了一种基于自动机器学习的工控网络入侵检测模型构建方法，包括如下步骤：S1：构建自动机器学习框架；S2：将获取的工控网络入侵检测数据进行数据清洗处理，导入自动机器学习框架；S3：将目标工控网络数据输入至自动机器学习框架后，进行自动化特征工程处理；S4：自动地遍历分类机器学习模型，运用遗传编程的方法对每个机器学习模型进行超参的迭代优化；S5：选择训练模型进行遗传编程的自动超参优化，并进行交叉验证；S6：利用测试集进行验证，筛选出最优的入侵检测模型，并进行保存；S7：加载/部署构建完成的入侵检测模型，本发明能够有效提升工控入侵检测模型的效果，大大缩短模型构建的时间。

技术领域

本发明涉及工控网络入侵检测技术领域，尤其涉及一种基于自动机器学习的工控网络入侵检测模型构建方法。

背景技术

工业控制系统在不断地引入互联网技术，也逐渐向智能化，工业互联网化转型。自主机器人、大数据、物联网、增强现实都得到了大力的发展，在电力、石油甚至是核能源都部署有大量的工控系统和工控网络。但是这些工控系统在部署之初主要是为了实现其功能性和应用性，忽略了工业控制的安全性。如今，工控系统作为高价值的攻击对象，相应的攻击行为也越来越多，因此对于工控安全的研究保护也同样变得极为重要。

目前，将人工智能技术应用于入侵检测模型构建的方法，主要是科研人员经验性选择模型以及超参优化，而这个过程要消耗大量的时间与精力，费时费力，而且由于不同的科研人员的认知程度不同，构建的模型效果也会存在较大差异，不够精确。因此，急需开发一种基于自动机器学习的工控网络入侵检测模型构建方法以解决上述技术问题。

有鉴于此，特提出本发明。

发明内容

本发明的目的是提供一种基于自动机器学习的工控网络入侵检测模型构建方法，能够有效提升工控入侵检测模型的效果，大大缩短模型构建的时间，可以节约时间让科研人员去钻研更有意义的方向，具有广阔的应用前景，有利于推广应用。

为了实现上述目的，本发明提供的一种基于自动机器学习的工控网络入侵检测模型构建方法，包括如下步骤：

S1：构建自动机器学习框架；

S2：将获取的工控网络入侵检测数据进行数据清洗处理，导入自动机器学习框架；

S3：将目标工控网络数据输入至自动机器学习框架后，进行自动化特征工程处理，主要包括特征预处理、特征分解以及特征选择；

S4：自动地遍历分类机器学习模型，运用遗传编程的方法对每个机器学习模型进行超参的迭代优化；

S5：选择训练模型进行遗传编程的自动超参优化，并进行交叉验证，直至达到预设的迭代次数或者达到交叉验证预设的入侵检测标准；

S6：利用测试集进行验证，筛选出最优的入侵检测模型，并进行保存；

S7：加载/部署构建完成的入侵检测模型。

所述S1中，具体包括如下步骤：

S101：构建自动机器学习框架，包括常见的十余种分类机器学习算法在内的数十种机器学习算法和遗传编程的参数优化方法，如随机森林、决策树、梯度提升、Ridge分类、K-近邻、线性判别分析、逻辑回归、AdaBoost、LightGBM和朴素贝叶斯；

S102：运用遗传编程的方法使其能够对各个分类机器学习算法的参数进行自动优化。

所述S2中，具体包括如下步骤：

S201：对工控网络入侵检测数据进行数据清洗主要包括，对缺失值、异常值进行去除、补全或修改，该步骤需手动判断后进行操作；

S202：将清洗后的数据集划分为训练集和测试集，将训练集导入到自动机器学习框架中。