一种基于共形预测的高可靠入侵检测方法与流程

技术特征：
1.一种基于共形预测的高可靠入侵检测方法，其特征在于，包括以下步骤：步骤1：采集工业控制系统的网络入侵检测数据，并对入侵检测数据进行预处理；将入侵检测数据进行离散特征数值化，然后进行归一化处理，最后进行数据降维，将降维后的数据分为训练集、校准集和测试集；步骤2：初始化训练集中数据的权值分布，赋予训练集中每个样本一个权重，构成权重向量d
v
＝(w
v1
，w
v2
，...，w
vn
)，其中n为训练集样本数，v＝1，...，m，m为迭代次数，使用支持向量机svm对训练集中的样本数据进行训练；根据训练集中的样本数据构造k个svm模型，其中k表示样本数据标签的数量，每个模型负责区分标签数据为f的数据和标签数据不为f的数据，其中f＝1，...，k；步骤3：使用cp算法构造不一致测量函数a
n
，得到衡量不一致程度的得分α，并计算校准集的不一致得分α
n
′
：α
n
′
＝a
n
({(x1，y1)，...，(x
n
′‑1，y
n
′‑1)，(x
n
′
，y
n
′
)})其中n为训练集样本数，n
′
为校准集样本数；设o1，o2，...，o
s
是svm算法输出数据实例x属于每个标签的概率，满足构造cp框架下的不一致函数：其中σ∈[0，1]，α均随着o
q
的增大而减小；步骤4：计算训练集中每条数据的不一致得分α
j
，并分别与校准集的不一致得分α
n
′
计算进行比较，获得校准集的不一致得分集α
cali
，其中cali＝1，...，t，t为校准集的数量，同时建立改进p-value公式，计算每条训练数据对应的p-value值将α
j
分别与α
cali
进行比较进而计算数据实例的p-value，改进p-value公式如下：其中，表示x
j
对应标签为y
q
∈y时的不一致得分，τ是抖动系数，τ∈[0，1]，表示满足条件的cali的数量；步骤5：根据p-value值计算对应的每条训练数据可信度与置信值；步骤6：当置信值大于等于设定阈值时，认为该数据预测成功，当前数据置信值为该条数据的最终置信值；反之，当置信值小于设定阈值时，认为该数据预测失败；步骤7：计算弱分类器h的分类误差率e
v
，以及弱分类器h在强分类器中所占的权重，其中强分类器是由m个弱分类器组成的，m为提升迭代的次数；步骤8：依据步骤6的预测结果对数据权重d
v
＝(w
v1
，w
v2
，...，w
vn
)进行更新，降低预测正确的数据权重，提高预测错误的数据权重，并根据上一次训练结果更新训练样本的权值分布d
v 1
：其中q
y
为归一化常数，
步骤9：重复步骤2至步骤8，进行m次循环，得到m个弱分类器；步骤10：按照弱分类器的权重β
v
组合各个弱分类器g(x)得到最终的强分类器h
final
：：步骤11：将测试数据集输入至强分类器h
final
，输出预测结果，根据预测结果判断测试数据集的数据类型，若该数据为normal类型数据，则存储在数据库中，反之，则发出预警并将其剔除。2.根据权利要求1所述的一种基于共形预测的高可靠入侵检测方法，其特征在于，步骤1中所述归一化处理，公式如下：其中u＝i，...，n，u是入侵检测数据的每条数据，z
u
是每条数据归一化的结果，x
u
是观测值，e(x)是特征数据的均值，d(x)是特征数据的方差；所述数据进行降维采用pca算法，设入侵检测数据高维样本的矩阵表示为：其中，n表示样本数量，m表示样本维度，确定输入的样本数据x后，对样本的特征进行均值运算：其中x
j
是样本x的第j行向量，计算x的协方差矩阵c：其中ll
t
是m维方阵，将矩阵ll
t
的特征向量按照对应特征值由大到小的顺序排列成矩阵，根据贡献率取该矩阵的前ξ行组成矩阵p，ξ＜m，根据矩阵p，计算降维后的目标矩阵y：3.根据权利要求2所述的一种基于共形预测的高可靠入侵检测方法，其特征在于，所述贡献率μ为：式中，π
c
是矩阵ll
t
的第c个特征值。4.根据权利要求1所述的一种基于共形预测的高可靠入侵检测方法，其特征在于，所述步骤2具体包括以下步骤：步骤2.1：初始化训练集中数据的权值分布，设训练集带有标签的样本为z＝{(x
i
，y
i
)，i
＝1，...，n}，x
i
是第i个训练样本的特征向量，y
i
∈y，其中y是标签集合，设定每个样本的初始权重w
vi
都相等；步骤2.2：构造adaboost算法中的弱分类器h，即非线性svm模型，其分类超平面为：f(x)＝η
t
φ(x) b其中，η为超平面法向量，x表示为特征变量，φ(x)表示x映射后的特征向量，b为常数；将数据样本根据标签取值分为两个数据子集z1＝{(x
i
，y
i
)|y
i
＝r1}和z2＝z-z1，其中r1是标签集合y中的一种设定标签，根据z1构造带约束条件的凸二次规划问题如下：s.t.y
i
(η
t
φ(x
i
) b)≥1，i＝1，2，...，n步骤2.3：引入拉格朗日乘子λ
i
，i＝1，...，n，构造拉格朗日函数：λ
i
≥0，i＝1，2，...，n，j＝1，2，...，n采用径向基核函数对高维空间中的内积进行计算：步骤2.4：通过kkt条件求解拉格朗日函数，得到乘子λ
i
，i＝1，...，n，对应(y
i
＝r1)vs(y
i
≠r1)的分类函数如下：式中b1为常数，将训练集按照标签取下一个值，即y
i
＝r2重新分成两个子集，其中r2是标签集合y中的另一种设定标签，并重复步骤2.2到步骤2.4，得到第二个分类函数f2(x)；步骤2.5：重复步骤2.2到步骤2.4，直至得到所有分类函数，f1(x)，...，f
s
(x)，其中s＝|y|表示标签类别的数量。5.根据权利要求1所述的一种基于共形预测的高可靠入侵检测方法，其特征在于，步骤5中所述可信度c
r
定义为：置信值c
o
定义为：其中，6.根据权利要求1所述的一种基于共形预测的高可靠入侵检测方法，其特征在于，步骤7中所述所述弱分类器h的分类误差率e
v
：其中v＝1，...，m，m为提升迭代的次数；i＝1，...，n，n为训练样本数；h
v
为第v个基本分类器，i(
·
)为判断分类器类型的概率函数，计算弱分类器在强分类器中所占权重β
v
：

技术总结
本发明提供一种基于共形预测的高可靠入侵检测方法，涉及网络安全入侵检测技术领域。借助共型预测方法具有评估预测结果置信度的属性，将Adaboost(Adaptive boosting)算法与共形预测(conformal prediction,CP)算法相结合，首先对工业控制系统网络连接记录的数据进行数字化、标准化和降维预处理，然后在CP框架下使用Adaboost算法训练分类模型，利用CP算法来保证分类结果的可靠性。通过使用本方法对工业控制系统网络数据的高可靠性监控，提前感知系统的入侵病毒，将会大大提高工业系统的安全性，减少系统由于入侵病毒导致的系统瘫痪及异常，提高了企业工作的效率与质量。提高了企业工作的效率与质量。提高了企业工作的效率与质量。


技术研发人员：金海波 赵欣越
受保护的技术使用者：辽宁工程技术大学
技术研发日：2021.10.19
技术公布日：2022/1/18