(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111381750.4 (22)申请日 2021.11.22 (71)申请人 码客工场工业科技 （北京） 有限公司 地址 100089 北京市海淀区宝盛南路1号院 20号楼8层101-13 (72)发明人 白宏钢　赵欣　 (74)专利代理 机构 太原科卫专利事务所(普通 合伙) 1410 0 代理人 武建云 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/00(2006.01) (54)发明名称 一种基于高斯过程的工业互联网入侵检测 方法 (57)摘要 本发明公开了一种基于高斯过程的工业互 联网入侵检测方法， 包括： 利用拉普拉斯特征映 射算法对选取的特征进行降维， 采用融合柯西变 异算子的灰狼优化算法选取最优超参数， 通过高 斯过程检测异常流量， 工控流量包含三类重要特 征： 基于时间序列、 数据包头和数据内容信息。 本 发明提出了一种新的工业互联网入侵检测方法， 可以提前发现工业互联网中的入侵行为， 进行防 御以阻止设备被攻击破坏。 权利要求书3页 说明书8页 附图2页 CN 114124517 A 2022.03.01 CN 114124517 A 1.一种基于高斯过程的工业互联网入侵检测方法， 其特 征在于： 包括以下步骤： (1)、 在工业互联网中部署监控流 量的节点， 不间断获取工控流 量数据； (2)、 将流量的特征分为三类： 基于时间序列、 数据包头、 数据内容； 按照类别选出具有 代表性的特 征； (3)、 采用拉普拉斯特 征映射算法对步骤(2)选取的特 征进行降维处 理； (4)、 采用灰狼优化 算法选取最优参数； (5)、 采用柯西变异算子以提高灰狼算法的全局搜索能力， 加大寻优范围， 获取最优超 参数； (6)、 根据步骤(5)获取的最优超参数， 采用高斯过程进行预测， 根据检测结果， 指导工 业互联网安全防护升级， 尤其对于入侵严重的节点进行加固和改造 。 2.根据权利要求1所述的一种基于 高斯过程的工业互联网入侵检测方法， 其特征在于： 步骤(3)中， 降维过程如下： 首先是构建加权无向图G： 给定高维数据集合X＝{x1,x2,...,xn}， 采用K近邻方法构造 无向图G， 令Nk(xi)表示样本xi的K近邻集， 则K近邻公式如式(1)： Nk(xi)＝{xj∈X|||xi‑xj||2≤dk(xi)}         (1) 其中， Nk(xi)表示样本xi的k近邻集， dk(xi)表示样本xi的第k距离； 其次是确定边的权 重w： 对于 权重的确定采用0 ‑1权值方法， 如式(2)所示： 其中， Nk(xj)表示样本xj的k近邻集， Nk(xi)表示样本xi的k近邻集； 最后是计算样本点的低维嵌入坐标： 计算拉普拉斯矩阵的特征值及特征向量， 设高维 数据集合X的低维嵌入映射为Y＝{y1,y2,…,yn}， LE目标是使得构造过程中损失函数最小， 如式(3)所示： 损失函数最小保证了 高维中的邻 近数据点在低维中也邻 近， 对拉普拉斯无向图进行广 义特征值分解， 如果高维数据集降至 m维空间， 则降维后的映射结果Y由最小的m个非零特征 值对应的向量组成， 则任一样本xi∈X对应的低维坐标表示 为yi＝{y1,y2,…,ym}。 3.根据权利要求1所述的一种基于 高斯过程的工业互联网入侵检测方法， 其特征在于： 步骤(4)中， 灰狼优化算法借鉴了灰狼种群的捕食机制和等级制度， 第一层是头狼， 称为α， 负责领导整个群体， 对捕猎行为、 栖息地具有决定权； 第二层被称为β， 协助头狼做出决策， 是头狼最好的接替者； 第三层称为δ， 负责放哨、 侦察任务； 最后一层为ω， 主要负责种群内 部的平衡； 在狩猎过程中首 先需要对猎物进行包围， 则灰狼与猎物之间的距离如式(4)所示： Dp＝ μ·Xp(t)‑X(t)                (4) 其中， t为迭代次数； Xp(t)为第t代猎物的位置， 即全局最优解； X(t)为第t代灰狼个体的 位置， 常数 μ为摆动因子， 如式(5)： μ＝2·r1,r1∈(0,1)                   (5)权　利　要　求　书 1/3 页 2 CN 114124517 A 2其中， r1为随机变量； 根据式(6)更新灰狼个 体的位置： X(t+1)＝Xp(t)‑A·D                      (6) 其中， X(t+1)为灰狼个体的新位置， D为灰狼与猎物之间的距离， A为收敛因子， 如式 (7)： A＝2·b·r2‑b,r2∈(0,1)                   (7) 其中， r2为随机变量， b为随迭代次数增 加值从2线性降到 0； 当灰狼包围猎物后， α 带领β和 δ指导狼群追捕猎物； 由于对猎物的位置并不清楚， 因此， 模拟灰狼的狩猎行为， 利用 α、 β和 δ三者的位置不 断逼近猎物的位置； α、 β和 δ位置的更新公 式如下： 其中， Dα、 Dβ、 Dδ分别表示α、 β 、 δ狼与其它狼群个体间的距 离； Xp(t+1)表示猎物的位置， 即 最优解； X1、 X2和X3分别表示α、 β和 δ三者的位置； Xα(t)、 Xβ(t)和Xδ(t)分别表示t时刻α、 β和 δ 三者的位置； A1、 A2和A3分别表示t时刻α、 β 和 δ三者的收敛因子； μ1、 μ2和 μ3分别表示t时刻α、 β 和 δ 三者的摆动因子 。 4.根据权利要求1所述的一种基于 高斯过程的工业互联网入侵检测方法， 其特征在于： 步骤(5)中， 基于柯西变异的灰狼优化 算法的步骤为： 首先， 执行原基本灰狼优化 算法； 其次， 进入循环迭代后， 当灰狼群体中相邻五次迭代的没有差别的最优值都作为历史 最优值被记录下来时， 认为 算法停滞， 则进行柯西变异； 最后， 变异操作： 先将最优灰狼个体的个数复制到原先种群规模， 然后进行柯西变异， 更新群体的位置， 进行二次寻优， 如式(1 1)： 其中， x0、 y0表示个体的初始位置； x'0,y'0表示添加柯西扰动 后的位置 。 5.根据权利要求1所述的一种基于 高斯过程的工业互联网入侵检测方法， 其特征在于： 步骤(6)中， 高斯 过程， X＝[x1,x2,...,xn]T为训练数据的输入变 量， 而Y＝[y1,y2,...,yn]T为 训练数据的输出变量， f(x)服从高斯分布， 对数据进行预处理， 使其均值为零， 则高斯先验 分布的输出观测值可以表示 为： 权　利　要　求　书 2/3 页 3 CN 114124517 A 3