一种基于量子机器学习的电力CPS异常入侵检测方法

技术领域

本发明涉及一种检测方法，尤其是涉及一种基于量子机器学习的电力CPS异常入侵检测方法。

背景技术

目前人们普遍使用防火墙技术，但随着电力CPS技术的发展，传统的防火墙技术已经不能阻挡入侵者的脚步。防火墙能做到的仅仅是简单地决定什么样的数据包能够或不能够进出电力CPS，而不能期望它去分析每个数据包中的内容。其次，防火墙完全不能阻止来自内部的袭击。统计表明，80％的组织的防御重点针对为外部威胁。虽然绝大部分的尝试性攻击来自外部而不是内部，但是绝大部分的外部攻击都以失败告终，而大部分内部攻击都能取得一定程度上的成功。而且对电力CPS基础设施取得的攻击大部分也都是内部攻击，内部攻击破坏性强且很难被发现。因此入侵检测(IntrusionDetection，ID)作为一种主动的电力CPS安全防御措施，不仅可以通过监测电力CPS实现对内部攻击、外部攻击和误操作的实时保护，有效地弥补防火墙的不足，而且还能结合其它电力CPS安全产品，对电力CPS安全进行全方位的保护，具有主动性和实时性的特点，是防火墙重要的和有益的补充。

将量子机器学习方法应用到入侵检测系统中，可以使系统具有更强的自适应、自学习能力和鲁棒性，是当前入侵检测研究的重要途径。入侵检测是对电力CPS的运行状态进行监控，对各种攻击企图、攻击行为或攻击结果进行检测，对保证系统资源的可用性、完整性和保密性具有重要意义。

在发明《一种基于变分自编码器的网络异常入侵检测系统和方法》中公开了一种基于变分自编码器的网络异常入侵检测系统和方法(申请号：CN202111512011.4公开号：CN114389843A)，将文本进行编码，输入最长文本串的填充，同时将数据集切分为训练集和测试集，传入模型进行优化训练。在发明《一种配电通信网络安全态势感知与异常入侵检测方法》中公开一种配电通信网络安全态势感知与异常入侵检测方法(申请号：CN202111498284.8公开号：CN114448657A)，包括数据预处理、提取关键特征指标、构建特征层森林、建立网络异常检测模型，识别网络攻击类型。在发明《一种基于改进MajorClust聚类的网络入侵行为检测方法》中公开了一种基于改进MajorClust聚类的网络入侵行为检测方法(申请号：CN201811286169.2公开号：CN109344913B)，通过在频率最高、到达率最高以及邻边权重之和最大这三种类型节点中合理选择簇核心点实现海量记录中核心异常行为的定位。然而以上技术依然存在很多不足，如主动防御功能的局限性、误报率和漏报率高、入侵检测方法的局限性。

发明内容

为了解决现有技术中的不足，本发明公开一种基于量子机器学习的电力CPS异常入侵检测方法，其技术方案如下：

基于量子机器学习的电力CPS异常入侵检测方法，其特征为：

步骤一：数据归一化处理。

获取电力CPS当前系统运行状态数据，并基于SVM的mapminmax函数进行归一化处理，将其处理成[0，1]之间的实数；

步骤二：基于IQPSO算法对SVM的参数值进行优化，优化得到最佳SVM的相关参数：正则化系数C和高斯核函数g，即建立得到IQPSO-SVM入侵检测模型；

经预处理后的数据选取部分作为SVM的训练样本，通过IQPSO算法对SVM的参数值进行优化得到最佳的SVM参数值C和g。通过匹配得出的最佳参数值作为基于IQPSO-SVM算法的入侵检测方法的最优参数，从而建立最优的网络入侵检测模型。在步骤二中基于IQPSO算法进行优化的具体过程如下所示：

(a)设定算法参数，如搜索维数、种群规模和迭代次数等，并利用式(1)初始化粒子种群：

式中，θ

(b)进行解空间变换操作，由初始适应度评价每个粒子的优劣，若粒子当前位置优于历史最优位置，用当前目标更换；若当前种群全局位置优于历史最优位置，则用当前位置更换；

式中，α

(c)对粒子的速度和位置更新，确定并记录粒子的个体最优位置、平均最优位置及种群的全局最优位置：

式中cos(Vθ

(d)判断算法是否满足迭代终止条件，若是，则执行(f)，否则执行(e)。

(e)计算种群的适应度方差，并判断s

式中，m是粒子种群规模，f为归一化因子；f

高斯扰动操作如下：

mbest(t)＝mbest(t)+τgrandn t＝1，2，...，m(5)

式中，mbest为所有粒子最优位置的均值，t表示第t次迭代，τ为常数，randn是均值为0、标准方差为1且满足高斯分布的随机数；

(f)输出个体最优位置及其适应度值，算法结束。将此时经过IQPSO算法优化得到的SVM的最优参数提取出来，得到最优检测模型；

步骤三：输入测试数据集，基于上述最佳入侵检测模型进行测试分析，评价预测结果，最后以KDD CUP99数据集为例验证基于IQPSO-SVM算法检测方法的可行性。

有益效果

(1)基于IQPSO-SVM算法模型来分析威胁信息、判断安全态势，实现入侵异常检测，提升安全监测态势感知的效率。

(2)该方法为纯数据驱动，不需要实际物理系统相关复杂的先验知识，在应用方面具有普适性、广泛性，实现过程简单。

(3)相比于其他入侵检测算法，此方法实现较为简单，通过SVM核函数的加以改进并与量子粒子群的算法相耦合，充分结合SVM算法的良好推广性、高检测率，来提高电力CPS入侵检测方法与性能。

附图说明

图1 IQPSO-SVM检测模型结构图；

图2为3种算法平均建模时间对比图。

具体实施方式

目前，量子算法库中机器学习算法发展成熟，在电力CPS入侵检测方面应用广泛。然而不同检测算法在检测效果上具备一定差异性，为了提高电力CPS入侵检测的准确性与检测效率，本发明提出了一种基于量子机器学习的电力CPS异常入侵检测方法。首先选择支持向量机(SVM)作为机器学习分类模型(基本模型定义为特征空间上的间隔最大的线性分类器，其学习策略是间隔最大化，最终可转化为一个凸二次规划问题的求解)，其次用改进的量子粒子群算法(IQPSO)对支持向量机的参数进行优化(IQPSO优化内容如步骤二的具体过程)。以此为基础，设计了一种基于IQPSO-SVM算法的电力CPS入侵检测方法，通过IQPSO算法对SVM的参数优化调整(如步骤二的具体过程)，从而提高电力CPS入侵检测系统的检测性能。最后通过相关数据检测验证，IQPSO-SVM算法相对于深度神经电力CPS算法和支持向量机算法，在电力CPS入侵的检测效率、正确率、误报率、漏报率上分别有较好的优化提升。

本发明提出一种基于量子机器学习的电力CPS异常入侵检测方法。首先提出基于改进QPSO算法的SVM参数优化方法，得到最佳SVM参数。该方法采用量子粒子群中粒子的迭代寻优实现SVM中核函数参数g、惩罚函数C的最优参数的选取，并且针对粒子聚集度不断提高使得种群多样性快速下降的问题，在平均最优位置加入高斯扰动，降低陷入局部最优的可能。与传统的实验对比法、经验法、网格搜索法和交叉验证法相比，该方法具有高效、省时的特性。然后构建基于IQPS0-SVM算法的检测模型，通过多个SVM分类器实现多类攻击类型的检测分类。最后对案例数据集合进行预处理、训练、测试、验证得出入侵检测结果。

参见图1所示，基于改进量子机器学习的电力CPS异常入侵检测技术如下：

步骤一：数据预处理。

获取电力信息物理融合系统(cyber physical system，CPS)当前运行状态数据，并基于支持向量机(Support vector machine，SVM)的

数值标准化：

其中，X′

数值归一化：

X

X

其中，X″

步骤二：基于改进的量子粒子群算法(1mproved quantum particle swarmoptimization，IQPS0)算法对SVM的参数值进行优化，优化得到最佳SVM的相关参数：正则化系数C和高斯核函数g(C是正则化系数，理解为调节优化方向中两个指标(间隔大小，分类准确度)偏好的权重，即对误差的宽容度，C越高，说明越不能容忍出现误差，容易过拟合，C越小，容易欠拟合，C过大或过小，泛化能力变差。g高斯核函数，隐含地决定了数据映射到新的特征空间后的分布，g值越大，支持向量越少，g值越小，支持向量越多。支持向量的个数影响训练与预测的速度)，即建立得到IQPSO-SVM入侵检测模型。

经预处理后的数据选取部分作为SVM的训练样本，通过IQPSO算法对SVM的参数值进行优化得到最佳的SVM参数值C和g。通过匹配得出的最佳参数值作为基于IQPSO-SVM算法的入侵检测方法的最优参数，从而建立最优的网络入侵检测模型。

在步骤二中基于IQPSO算法进行优化的具体过程如下所示：

(a)设定算法参数，如搜索维数、种群规模和迭代次数等，并利用式(1)初始化粒子种群。

式中，θ

(b)进行解空间变换操作，由初始适应度评价每个粒子的优劣，若粒子当前位置优于历史最优位置，用当前目标更换；若当前种群全局位置优于历史最优位置，则用当前位置更换，如式(2)所示。

式中，α

(c)对粒子的速度和位置更新，确定并记录粒子的个体最优位置、平均最优位置及种群的全局最优位置，如式(3)所示。

式中cos(Vθ

(d)判断算法是否满足迭代终止条件，若是，则执行(f)，否则执行(e)。

(e)根据式(4)计算种群的适应度方差，并判断s2是否大于阈值e，若是，根据公式(5)和公式(6)对种群进行高斯扰动操作，而后转向(b)

式中，m是粒子种群规模，f为归一化因子；f

高斯扰动操作如下：

mbest(t)＝mbest(t)+τgrandn(5)

式中，mbest为所有粒子最优位置的均值，t表示第t次迭代，τ为常数，randn是均值为0、标准方差为1且满足高斯分布的随机数。

(f)输出个体最优位置及其适应度值，算法结束。将此时经过IQPSO算法优化得到的SVM的最优参数提取出来，得到最优检测模型：

步骤三：输入测试数据集，基于上述IQPSO-SVM入侵检测模型进行测试分析，评价预测结果。以KDD CUP99数据集(KDD CUP99数据集是从一个模拟的美国空军局域网上采集来的9个星期的网络连接数据，分成具有标识的训练数据和未加标识的测试数据。测试数据和训练数据有着不同的概率分布，测试数据包含了一些未出现在训练数据中的攻击类型，这使得入侵检测更具有现实性。)为例验证基于IQPSO-SVM算法检测方法的可行性。

基于上步得出的最佳检测模型，对数据测试集进行测试分析。为了确保对比算法实验测试的有效性，从入侵检测方法的检测正确率、误报率、漏报率以及平均建模时间对算法进行测试分析。其中3个评价指标分别定义如下：

/>

实施例1

电力CPS异常入侵检测实例仿真分析如下：

(1)数据集的选取

选取KDD CUP99中部分数据集作为实验测试依据，该数据主要用于入侵检测方法的性能测试。它的攻击类型较为全面、典型，同时其实验结果基本接近于一个实际应用的电力CPS环境，能够保证实验的有效性和真实性。为了验证IQPSO-SVM算法的正确性和有效性，从KDD CUP99数据集随机抽取8000条记录.其中，测试数据4800条，训练数据3200条。检测结果中除Normal表示正常事件，表示入侵行为的异常(Abnormal)有4种：拒绝服务攻击(DOS)、本地权限提升攻击(U2R)、远程攻击(R2L)和探测攻击(Probe)。

(2)入侵检测结果分析

从入侵检测方法的检测正确率、误报率、漏报率以及平均建模时间对3种算法进行评判，在匹配得出最优参数值后，分别选取各自200次测试数据中的平均值作为评价指标的参考值进行对比。

检测过程中，SVM，IQPSO-SVM这两种算法以SVM作为入侵检测分类器，因此在训练阶段中，需要分别得出各自检测分类器的最优参数值，从而再进行测试阶段的性能分析。在训练过程中SVM，IQPSO-SVM这2种算法的最佳参数值如表1，3种算法评价指标对比结果见表2及图2。

表1算法的最优参数值

表2 3种算法的参数以及评价指标

/>

由表1，表2实验测试结果可以看出，相对于DNN与SVM算法，基于IQPSO-SVM算法的入侵检测方法通过优化SVM的参数值，能够很好地提高模型的泛化能力，从而不仅增强了SVM的分类性能，而且提高了入侵检测方法的检测率。

IQPSO-SVM，DNN，SVM3种算法平均建模时间对比图如图2所示。平均建模时间是指实验测试过程中建立电力CPS入侵检测系统模型所花费的时间，它的大小体现了建模与检测结果的效率。由图2可知，相比于DNN算法及SVM算法，IQPSO-SVM算法的平均建模时间明显减少，入侵检测效率更优，收敛速度更快。

本发明基于IQPSO-SVM算法模型来分析威胁信息、判断安全态势，实现入侵异常检测，提升安全监测态势感知的效率。相对于深度神经网络算法和支持向量机算法等其他入侵检测算法，在电力CPS入侵的检测效率、正确率、误报率、漏报率上分别有较好的优化提升。该此方法实现较为简单，通过SVM核函数的加以改进并与量子粒子群的算法相耦合，充分结合SVM算法的良好推广性、高检测率，来提高电力CPS入侵检测方法与性能。此外，该方法为纯数据驱动，不需要实际物理系统相关复杂的先验知识，在应用方面具有普适性、广泛性，实现过程简单。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是本发明的原理，在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明的范围内。本发明要求的保护范围由所附的权利要求书及其等同物界定。