基于迁移学习的跨协议工控入侵检测技术研究

作     者：房国庆 

作者单位：太原理工大学 

学位级别：硕士

导师姓名：陈永乐;白宏钢

授予年度：2023年

学科分类：08[工学] 0839[工学-网络空间安全] 0802[工学-机械工程] 080201[工学-机械制造及其自动化] 

主      题：工业控制 入侵检测 迁移学习 域混淆 分布自适应 

摘      要：基于机器学习的工控入侵检测技术是保护工控系统安全的有效手段,相较于传统的工控入侵检测方法,其对网络攻击有着更高的检测率,能够识别更复杂更隐蔽的攻击。机器学习是数据驱动的方法,数据的数量和质量直接影响模型的准确性和泛化能力,然而由于工控领域数据标注困难、成本昂贵以及涉及安全、隐私等问题,导致工控领域数据集匮乏。为了解决这一问题,先前的研究主要集中在半监督、无监督机器学习算法的改进和生成样本的数据增强技术研究,未注意到工控领域通信协议众多,不同协议下的流量数据采集自相同的工控领域,具有相似的特征,可以尝试跨协议使用数据。基于此,本文结合迁移学习技术构建了两种可以跨协议利用数据的工控入侵检测系统。本文首先提出了一种基于深度域混淆的跨协议工控入侵检测模型,该模型利用迁移学习的深度域混淆技术最小化不同通信协议间流量数据的分布差异,把从某一通信协议下学习到的知识迁移到另一通信协议中,仅利用另一通信协议中的少量未标注数据,即可构建出高准确率的入侵检测模型。除此之外,该模型利用长短期记忆网络算法提取流量数据的时序特征来检测更加隐蔽的攻击。最后在Electra数据集上评估了性能,实验结果证明了跨协议利用数据构建入侵检测模型的可行性。本文在上述模型的基础上进一步缩小源域和目标域的域间距离,同时减少了因欠采样导致的多数类的特征损失,提出了基于多核分布自适应的跨域工控入侵检测模型。该模型设计了多层“瓶颈适应层,对源域和目标域进行“深度适应,采用了多核核函数来计算域间距离,并综合考虑了边缘分布距离和条件分布距离,三管齐下,将源域特征空间和目标域特征空间深度对齐,进一步拉近了域间距离,提高了模型精度;同时,采用欠采样和权值均衡相结合的方法,减少了因欠采样带来的多数类样本特征的损失,缓解了因数据不平衡带来的模型学习过程中的“偏科情况。最后,在Electra数据集上验证了权值均衡、多核MMD、多适应层以及动态分布自适应的有效性,经过实验确定了最佳采样比、类平衡因子δ和最佳适应层层数,并与其他迁移学习模型对比,验证了基于多核分布自适应的跨协议工控入侵检测模型性能的优越性。