一种航空数据总线的异常检测方法

技术领域

本发明涉及异常检测领域和多目标优化算法应用领域。

背景技术

航空数据总线连接机载电子设备，用于数据和信息传输，在飞机上有着至关重要的地位。然而，在最初设计研制阶段，航空数据总线并没有考虑到网络安全问题。这是因为过去的总线采用单向广播通信方式(如ARINC429、RS485)，只能由安全级别高的网络域向安全级别低的网络域进行数据传输，这种方式避免了大多数的网络威胁。后来出现共享一条总线的双向传输实时通信总线(如ARINC629、CAN、MIL-STD-1553B)，以及如今可灵活配置的双向通信数据总线(如AFDX、令牌环网、航空以太网)，突破了原本相互隔离的各网络域之间的界限，导致隐含的漏洞不断增多，遭受外界攻击的可能性逐步上升。

目前，异常检测问题研究上以机器学习方法为主，且在一些问题上取得了不错的效果。但实际上，由于机载设备的复杂性以及数据的保密性，很多恶意攻击不能被完整地获取和保存，分类器无法学习到各种类别的数据特征，导致离线异常检测模型的训练难度增大。比如，文献[1]针对类别高度不平衡的数据集，评估了7种经典机器学习算法检测非周期恶意攻击的能力，绝大多数算法分类失败或效果很差。另外，针对不同的机型和不同的用户，异常检测指标要求也不尽相同，如何在检测过程中适应对权重的不同需求也是要考虑的问题。

多目标优化算法将返回一组最优解集，决策者可能对各目标持不同的重视程度，而不想处理过多的最优解。以航空数据总线异常检测为例，在满足准确率要求的前提下，漏报率将比误报率的重要度高，因为任何没被发现的恶意攻击都可能对系统造成威胁，而识别错误的消息可以重新发送，第二次就可能被正确识别。但现有的多目标优化算法无法将两者的需求区别开来。

本发明涉及以下技术术语：

MSET方法：多元状态估计技术Multivariate State Estimation Technique，一种非线性非参数化的多元回归技术。

MOEA/D算法：基于分解的多目标进化算法Multi-objective EvolutionaryAlgorithm Based on Decomposition。

Pareto解集：资源分配的一种理想状态，常指一组目标函数最优解的集合。

发明内容

本发明针对现有技术的不足，提供一种基于MSET-MOEA/D的航空数据总线异常检测方法，用于解决极不均衡样本以及不同决策偏好下异常检测指标的优化问题。

为实现上述目的，本发明采用的技术方案为：

根据MSET技术测量数据观测样本和估计样本之间的偏差，得到初始预警阈值；考虑噪声或数据偶发突变的影响，在初始阈值之上设置裕量θ∈(-1，1)，以裕量为自变量，漏报数和误报数为优化目标，开展MOEA/D多目标优化，得到Pareto解集；引入模糊集理论与目标权重向量，解算目标满意度得到折中解与对应的最佳裕量。设置综合预警阈值为初始阈值与最佳裕量之和，实现基于MSET-MOEA/D的航空数据总线异常检测。

利用MSET建立初始预警模型，模型输入为经过预处理的航空数据总线的历史健康数据，输出为初始预警阈值。

在初始阈值上设置裕量形成综合预警阈值，MSET相似度测量低于综合预警阈值的为正常的健康数据，否则为异常情况，将发生报警。以裕量为自变量，以漏报数FP和误报数FN为优化目标，开展基于MOEA/D的多目标优化，得到Pareto解集。FP和FN的定义如下：

FP：实际上为异常数据，而模型识别为健康数据的样本数目。

FN：实际上为健康数据，而模型识别为异常数据的样本数目。

根据用户决策偏好确定两个目标的重要度向量，使用模糊集理论评价Pareto解集中每个解的满意度，上述计算过程如下：

步骤一：评价第k个Pareto解中每维目标在该维上的满意度

其中，

步骤二：引入目标权重向量c＝(c

其中，M为目标函数的个数，N为Pareto解集中解的个数，c

μ

本发明的有益效果：

1、本发明研究研究基于数据总线观测样本和估计样本偏差的初始预警阈值MSET评估算法，仅使用健康数据构建初始检测模型，有效解决异常样本极少的问题；

2、本发明提出一种综合考虑误报数和漏报数的综合预警阈值设置方法，以裕量为自变量，以漏报数和误报数为目标，将其转变为多目标优化问题，为异常检测领域提供新的思路；

3、本发明提出基于MOEA/D的可变目标权重的Pareto解集评价方法，获取最高满意度对应的折中解，使重要度较高的优化目标得到更优解，满足决策者的不同需求。该方法对不同重要度多目标优化任务具有普适性，可应用于其他不同领域的多目标优化中。

附图说明

图1是1553B总线数据集分布；

图2是本发明的整体流程图；

图3是某参数观测值与估计值间的偏差；

图4是MOEA/D算法优化结果

图中：(a)数据集1；(b)数据集2；(c)数据集3；

图5是单个样本的检测时间对比；

图6是数据集1获得的折中解；

具体实施方式

下面结合附图对本发明进行详细说明。

以1553B数据总线为例，其数据分布如图1，共有3个数据集，可以看到训练集中没有异常样本，测试集中异常样本比例也极低，这给入侵检测技术带来了难题，同时考虑到决策者对检测指标的不同偏好，因此基于MSET-MOEA/D对其开展异常检测研究。本发明原理如图2所示，实现如下：

步骤1：数据预处理。首先，对参数进行标准化处理。然后，采用最小-最大样本向量排序法从历史健康样本中选择合适的样本。

步骤2：基于MSET-MOEA/D的数据训练。经过预处理后的数据构建记忆矩阵D，系统某时刻的状态估计向量可以表示为：

其中X

系统正常运行时，其估计值和观测值之间的距离偏差应该在0附近波动，如果系统性能下降，偏差值将会偏离0，性能下降越多偏离越大。使用欧式距离dist来描述这种偏差，然后使用归一化相似度sim将度量值全部映射在[0，1]区间内：

MSET测量某参数观测值和估计值间的偏差，如图3所示。在0-9000时间点内偏差保持在0附近，说明这些数据是健康的。在9600和14000时间点附近，偏差出现突变。观察原始数据集标签，集中出现了两次恶意攻击，分别是9651-9747时间内与14263-15135时间内，因此通过MSET估计偏差来进行异常监测是结合理的。而图中13500时间点附近的偏差突变为状态估计错误，因此需要合理设置裕量，使此类情况在预警阈值之下，避免误报。

观测样本和估计样本之间的归一化相似度小于综合预警阈值Thre的为健康数据，否则为异常数据，将产生报警。Thre表达式为：

Thre＝min(sim)+θ

其中θ为裕量。漏报数FP和误报数FN是θ的函数，以θ为自变量，以FP和FN为目标，开展基于MOEA/D算法的多目标优化。实例中设定种群数目N＝161，其等于Pareto解集中解的个数，最大进化代数Gen＝200，相邻向量个数T＝20。

MOEA/D算法优化前沿如图4所示，本发明方法在3个数据集上都可以实现零漏报，但代价是高误报，说明训练集中存在噪声较大或数据偶发异常的情况，其虽然是健康样本，但数据表现和恶意攻击类似，出现了误报。本方法在数据集1上表现最好，Pareto解集数量最多，这是因为数据集1中异常样本比例相对较高，说明本方法在样本极不平衡下具有一定优势外，样本相对较均衡时性能会更好。

MSET-MOEA/D模型具有更低的漏报数和误报数，优于文献[1]中的所有7种机器学习方法。另外，7种机器学习方法中表现最好的是单分类支持向量机，使用Matlab2017b软件测试单个样本的检测时间，如图5所示，MSET-MOEA/D占据很大的快速性优势。

多目标优化算法得到Pareto解集，使用模糊集理论，引入目标权重向量c

步骤三：分类。以数据集1为例，在不同目标权重向量下，得到对应的折中解、最佳裕量θ、综合预警阈值Thre、以及漏报率FPR和误报率FNR如图6所示。可以看到，θ的取值至关重要，很小的差别就能引起很大的漏报率变化。至此异常检测模型构建完毕，可用于系统在线监测。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。