一種網絡物理系統入侵檢測方法，對入侵檢測數據集進行數據預處理，數據預處理包括字符型數據數值化處理、數據歸一化處理和數據不平衡處理；通過二元灰狼優化算法對預處理完的入侵檢測數據集進行最優特征子集選取；根據選取的最優特征子集對教師網絡模型進行預訓練；入侵檢測模型訓練過程：初始化入侵模型參數，確定學生網絡模型的結構；基于最優特征子集將兩組不同類別的網絡流量輸入入侵檢測模型進行訓練；根據知識蒸餾損失調整K折交叉訓練過程的誤差，直到學生網絡模型達到收斂；對入侵檢測模型進行測試，得到每條數據的分類結果。本發明實現輕量級、實時性和無監督等特性的物聯網入侵檢測，降低對標簽的過度依賴，提示泛化能力。

技術領域

本發明屬于工業網絡技術領域，具體涉及一種網絡物理系統入侵檢測方法。

背景技術

網絡物理系統(CPS)是一種機制，這種機制是基于計算機算法的控制或監控，整個系統與網絡整合在一起，網絡物理系統通常被稱為大規模、地理分散、復雜和異構的物聯網。近年來，各種類型的網絡物理系統的發展和部署呈指數式增長，給日常生活的方方面面都帶來了巨大的影響，例如，在電網、運輸系統、醫療保健設備和家用電器等方面。許多這樣的系統被部署在關鍵的基礎設施、生命支持設備，或者對我們日常生活極其重要的地方。

然而，在物聯網中跨網絡部署的CPS應用程序的多樣性，使其容易受到不同級別系統之間的網絡攻擊和物理攻擊，特別是在智能制造過程中的消息傳輸方面。這樣便在CPS應用程序引入了安全隱患，導致程序變得失控，并且傷害到依賴該程序的人。工業CPS高度重視通信和網絡能力，它通過網絡和接口實時采集到物理世界對象狀態數據并發送到服務器，服務器在接收到數據之后作出相應的處理，再返回給物理末端設備作出相應的變化。通常，攻擊者會入侵CANbus網絡并劫持發送到服務器的數據，從而危害到工業CPS的設備，監控和數據采集(SCADA)系統涉及監控和收集跨網絡產生的信號(如振動、溫度和TXRX包數據)，其中部署了基于深度學習(DL)的異常檢測模塊來識別異常。

入侵檢測系統(IDS)可以檢測到其他安全機制無法阻止的入侵行為，其作為第二道防線，在保護CPS方面發揮著重要作用。根據數據來源的不同，可以將入侵檢測系統分為：基于主機的入侵檢測和基于網絡的入侵檢測。基于主機的入侵檢測只監視主機，需要安裝在每個主機上，且無法觀測到網絡流量,無法分析與網絡相關的行為信息。而基于網絡的入侵檢測觀察并分析實時網絡流量和監視多個主機，旨在收集數據包信息，并查看其中內容，以檢測網絡中的入侵行為。現代人工智能技術，包括智能傳感、智能控制等，被廣泛應用于智能制造中的行為監測。然而，在工業CPS中檢測異常流量仍存在一些挑戰。首先，用云設施構建的混合網絡物理環境是一個大型而復雜的分布式系統，因此有大量的工業數據流(如指令、加速度計、視頻、圖像等)是通過各種物理系統和傳感器生成的。另一個關鍵問題是，此類異常事件在現實世界中發生的概率很低，因此導致缺乏良好的標記數據用于模型訓練。不僅如此，監控數據的缺失，可能是由不同的因素造成的，如傳感器故障、數據傳輸錯誤等，會給數據采集和模型訓練帶來更多的困難，難以實現異常檢測。此外，物聯網網絡中的節點大多數被部署在資源有限的設備中，例如，功率有限、計算、通信和存儲能力有限等等。而為了減輕工業CPS中惡意攻擊造成的損害，通常需要高精度、及時性的實時異常檢測，以便于基于跨系統不同級別分布式節點獲得和傳輸的數據流的整體性能監控。

綜上所述，如何在不降低入侵檢測模型效率的同時壓縮模型的大小，提升模型的泛化能力具有現實意義。

發明內容

為此，本發明提供一種基于自監督學習和自知識蒸餾的物聯網入侵檢測方法，實現輕量級、實時性和無監督等特性的物聯網入侵檢測，降低對標簽的過度依賴，提示泛化能力。

為了實現上述目的，本發明提供如下技術方案：一種網絡物理系統入侵檢測方法，包括：

(1)對入侵檢測數據集進行數據預處理，所述數據預處理包括字符型數據數值化處理、數據歸一化處理和數據不平衡處理；

(2)通過二元灰狼優化算法對預處理完的入侵檢測數據集進行最優特征子集選取；