[发明专利]基于高斯径向基函数分类器的网络化数控系统中间人攻击检测方法

摘要

一种基于高斯径向基函数分类器的网络化数控系统中间人攻击检测方法，首先，从控制层面的角度出发，分析数控系统的物理传感器信息；接着，从数据驱动的角度出发，认为工控系统在离线情况下的数据为正常工况数据，并以此为参照进一步分析在线情况下的工况数据；将在线情况下的工况数据与历史工况数据的偏差程度作为样本数据；然后，从统计学的角度出发，将均值和方差作为样本数据的特征信息；最后，从机器学习方法的角度出发，基于高斯径向基函数的支持向量机训练得到分类器，实现对攻击的正确分类。本发明能够解决传统IT安全检测方案难以检测的专业性攻击；理论框架简单，易于实现且具有良好的泛化能力。

主权项

1.一种基于高斯径向基函数分类器的网络化数控系统中间人攻击检测方法，其特征在于，所述方法包括以下步骤：1)获取n个周期的历史数据，每个周期的长度为L，采集系统在离线情况下的正常工况数据并记录为X_j(k)＝X_j0(k)+v(k),k∈[1,L],j∈[1,n]        (1)此时得到的是历史数据的时域信息,其中X_j表示传感器的输出信息，X_j0是系统的真实信息，v表示高斯白噪声；2)针对步骤1)获得的时域信息，利用离散傅里叶变换得到其相应的频域信息；其中，历史数据的时域信息为X_j，经过傅里叶变换之后的频域信息为Y_j，表示转换矩阵，传感器的输出信号X_j是带有高斯白噪声的，它的数学期望为0，求所得频域信息Y_j的数学期望，3)利用均值滤波对步骤2)所得的频域信息去噪其中，M表示均值信息，n表示所选取的工况周期个数，n越大去噪的效果越好；4)记录系统在线情况下的工况数据并对其进行傅里叶变换获得相应的频域信息X′_j(k)＝X′_j0(k)+v(k)                (5)其中，X′_j表示系统在线情况下的传感器输出信息，X′_j0是系统在线情况下的真实信息，v表示高斯白噪声；其中，系统在线情况下的工况数据经过傅里叶变换之后的频域信息为Y′_j，表示转换矩阵；5)求系统在线情况下的工况数据偏离历史工况数据均值的程度D_j(k)＝|Y′_j(k)‑M(k)|               (7)其中，D_j(k)表示两者的偏离程度；6)特征提取：根据步骤5)得到的一个周期内每个点与历史工况数据的偏离程度，选择均值和方差作为其特征量；其中，S_1j表示第j个周期的第一个特征量，S_2j表示第j个周期的第二个特征量；7)利用步骤6)所得特征量训练支持向量机模型对于给定的训练向量S,j＝1,…,n，标记y∈{1,‑1}ⁿ,其中1为有中间人攻击情况，‑1为正常工作情况，支持向量分类的原始问题为它的对偶问题为其中，w和b表示待整定的参数向量，C＞0表示正则化系数，表示松弛变量，e是单位向量，Q是n×n的半正定矩阵，Q_ij＝y_iy_jK(S_i,S_j)，K(S_i,S_j)＝φ(S_i)^Tφ(S_j)是一个核函数,将训练向量从低维空间映射到高维空间，核函数选为高斯核函数；其中，z和σ分别表示核函数的均值和方差；8)利用训练好的分类器对系统未来在线运行过程中每个周期进行分类预测其中，S_m表示待预测的输入特征,和b^*表示训练得到的参数向量，y_j表示类别标签，f(S_m)表示高斯径向基函数分类器的分类结果。