[发明专利]融合邻域粗糙集和优化SVM的工控入侵检测方法及装置

说明书

本发明涉及一种融合邻域粗糙集和优化SVM的工控入侵检测方法及装置，所述方法包括基于工控入侵检测的历史数据生成数据集，将数据集划分为训练集和测试集，并对训练集和测试集进行预处理；将预处理后的训练集和测试集送入预构建的SVM算法模型，通过5折交叉验证的分类准确率的相反数作为适应度，采用量子训练样本群优化算法对SVM算法模型进行迭代训练和测试，求取目标函数的最优值确定故障分类的超平面，根据目标函数的最优值得到工控入侵检测模型；将待测数据输入工控入侵检测模型，获得入侵检测结果。本发明通过量子粒子群优化算法对SVM分类器进行参数寻优，利用优化后的SVM构建工控入侵检测模型，该工控入侵检测模型提高了入侵检测的准确率。

技术领域

本发明属于工控信息安全技术领域，具体涉及一种融合邻域粗糙集和优化SVM的工控入侵检测方法及装置。

背景技术

现有技术中，超过80％的关键基础设施均使用某些类型的工业控制系统(Industry Control System，ICS)，可见，ICS的正常保障着国民生活的正常。近年来，ICS的信息安全形式越来越越严峻，亟需有效的解决方案。入侵检测对网络入侵能进行主动防御，是一种有效的防护手段，因此，针对ICS的入侵检测成为了信息安全研究的一个热点。

入侵检测实际就是将异常数据和正常数据进行分类，常用的分类算法有决策树、神经网络、贝叶斯、支持向量机(Support Vector Machine，SVM)等。其中，SVM因其独有的优势，成为构建入侵检测系统最为常用的算法之一。基于SVM的入侵检测是否能将数据进行正确的分类主要依赖惩罚参数c和核函数参数g的选取是否合适。现存在利用训练样本群优化(Particle Swarm Optimization，PSO)算法对SVM参数进行优化，设计了一种基于PSO-SVM的ICS入侵检测模型进行异常检测，取得了良好的效果。也存在使用改进的蝙蝠算法(BatAlgorithm，BA)优化SVM的参数，提出了一种基于IBA-SVM的ICS入侵检测框架，通过仿真实验验证了算法的有效性。

但是在对邻域粗糙集删除冗余属性时，上述算法会降低邻域粗糙集的分类精度，影响入侵检测的准确率。

发明内容

有鉴于此，本发明的目的在于克服现有技术的不足，提供一种融合邻域粗糙集和优化SVM的工控入侵检测方法及装置，以解决现有技术中对邻域粗糙集删除冗余属性时，上述算法会降低邻域粗糙集的分类精度，影响入侵检测的效果准确率的问题。

为实现以上目的，本发明采用如下技术方案：一种融合邻域粗糙集和优化SVM的工控入侵检测方法，包括：

基于工控入侵检测的历史数据生成数据集，将所述数据集划分为训练集和测试集，并对所述训练集和测试集进行预处理；

将预处理后的训练集和测试集送入预构建的SVM算法模型，通过5折交叉验证的分类准确率的相反数作为适应度，采用量子训练样本群优化算法对所述SVM算法模型进行迭代训练和测试，求取目标函数的最优值确定故障分类的超平面，根据所述目标函数的最优值得到工控入侵检测模型；

将待测数据输入所述工控入侵检测模型，获得入侵检测结果。

进一步的，所述对所述训练集和测试集进行预处理，包括：

对所述训练集和测试集进行归一化处理；

将归一化处理后的训练集和测试集采取邻域粗糙集对数据进行属性约简。

进一步的，所述对所述SVM算法模型进行迭代训练和测试，包括：

将预处理后的训练集输入至预构建的SVM算法模型中，判断输出是否达到精度目标或者迭代次数是否大于最大迭代次数；