一种基于迁移学习的列车控制系统入侵检测方法及系统

本发明涉及数据识别领域。具体而言，涉及一种基于迁移学习的列车控制系统入侵检测方法及系统。

背景技术：

1、列车控制系统具有车地通信功能，可以基于无线局域网传输列车的控制命令和状态信息。然而，无线局域网的开放性使列车控制系统面临严重的信息安全风险，例如拒绝服务攻击和破解攻击。因此，保障列车控制系统中车地通信的安全性至关重要。

2、为了抵御列车控制系统遭受的攻击，现有技术提出了基于机器学习的入侵检测方法，尽管基于机器学习的入侵检测方法对列车控制系统中已知攻击具有较高的检测精度，然而，基于机器学习的入侵检测方法的性能高度依赖于特征设计，由于网络数据属性在空间和时间上的显着相关性，很难设计出能够精确表征网络数据的特征集。另外，基于机器学习的入侵检测方法无法检测到不属于知识库的新攻击，即零日攻击。因此，迫切需要为列车控制系统提出一种有效的入侵检测方法，以实现零日攻击检测。

技术实现思路

1、本发明正是基于现有技术的上述需求而提出的，本发明要解决的技术问题是提供一种基于迁移学习的列车控制系统入侵检测方法及系统以实现零日攻击检测。

2、为了解决上述问题，本发明是采用如下技术方案实现的：

3、提供了一种基于迁移学习的列车控制系统入侵检测方法，该方法包括：构建第一检测模型，包括：根据至少一个1d-cnn网络对输入数据进行空间特征提取，获得空间特征信息，所述1d-cnn网络包括1维卷积层、池化层、批正则化层和relu激活层；根据lstm网络对所述空间特征信息进行时间特征提取，获得时间特征信息；根据自适应平均池化层对所述时间特征信息进行平均池化处理，得到关键特征信息；根据交替设置的随机失活层和全连接层对所述关键特征信息进行处理，预测得到攻击类别；冻结第一检测模型中所述1d-cnn网络和所述lstm网络的参数，利用零日攻击数据集对冻结后的第一检测模型进行微调，获得训练完成的第二检测模型；取消参数冻结，根据所述第二检测模型的参数，更新第一检测模型；利用更新后的第一检测模型对列车控制系统进行实时检测。

4、优选地，所述基于迁移学习的列车控制系统入侵检测方法还包括：所述第一检测模型设置有四个1d-cnn网络。

5、优选地，所述基于迁移学习的列车控制系统入侵检测方法还包括：交替设置的随机失活层和全连接层为随机失活层-全连接层-随机失活层-全连接层。

6、优选地，所述基于迁移学习的列车控制系统入侵检测方法还包括：所述lstm网络的隐藏状态根据算法ht=lstm(ht-1,xt,w,b)进行更新，其中，ht表示在t时间步的隐藏状态，ht-1表示在t-1时间步的隐藏状态，xt表示提取的时间步长为t的空间特征信息，w表示权重，b为偏置。

7、优选地，所述基于迁移学习的列车控制系统入侵检测方法还包括：利用训练数据集对构建的第一检测模型进行训练，在训练过程中通过降低交叉熵损失函数改进第一检测模型参数，最终得到预测值与训练样本分布相近的第一检测模型，其中，k表示输入训练样本的数量，y为训练样本的真实值，为训练样本的预测值，i表示第i个训练样本，yi为第i个训练样本对应的标签真实值，表示第i个训练样本对应的预测值。

8、优选地，所述基于迁移学习的列车控制系统入侵检测方法还包括：所述第一检测模型预测得到类别的重要性为其中，fi表示类别i在训练数据集中出现的相对频率，j表示某一类别，fj表示第j个类别在训练数据集中出现的相对频率，wi表示类别i的重要性，c表示总的类别数量。

9、优选地，所述基于迁移学习的列车控制系统入侵检测方法还包括：利用模型退火算法对所述第一检测模型的超参数进行优化。

10、提供了一种基于迁移学习的列车控制系统入侵检测系统，该系统包括：

11、第一检测模型，包括：至少一个1d-cnn网络，所述1d-cnn网络对输入数据进行空间特征提取，获得空间特征信息，所述1d-cnn网络包括对输入的数据分别进行1维卷积层、池化层、批正则化层和relu激活层处理；lstm网络，所述lstm网络对所述空间特征信息进行时间特征提取，获得时间特征信息；自适应平均池化层，所述自适应平均池化层对所述时间特征信息进行平池池化处理，得到关键特征信息；交替设置的随机失活层和全连接层，对所述关键特征信息进行处理，预测得到攻击类别；第一处理模块，冻结第一检测模型中所述1d-cnn网络和所述lstm网络的参数，利用零日攻击数据集对冻结后的第一检测模型进行微调，获得训练完成的第二检测模型；第二处理模块，取消参数冻结，根据所述第二检测模型的参数，更新第一检测模型；检测模块，利用更新后的第一检测模型对列车控制系统进行实时检测。

12、一种计算机可读存储介质，其上存储有计算机程序，所述计算机可读存储介质上存储有基于迁移学习的列车控制系统入侵检测程序，所述基于迁移学习的列车控制系统入侵检测程序在被处理器执行时，实现任一所述基于迁移学习的列车控制系统入侵检测方法。

13、与现有技术相比，本发明通过提供了一种基于迁移学习的列车控制系统入侵检测方法，不用手动设计特征，而是根据构建检测模型自动从原始数据中提取空间和时间特征，从而检测得到列车控制系统中的已知攻击。另外，基于模拟退火优化算法来自动调整所述检测模型的超参数以优化模型。本发明的检测模型建立在迁移学习之上，可以通过知识迁移有效地检测零日攻击，提高了列车控制系统的安全性和可靠性。

技术特征：

1.一种基于迁移学习的列车控制系统入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的一种基于迁移学习的列车控制系统入侵检测方法，其特征在于，所述第一检测模型设置有四个1d-cnn网络。

3.根据权利要求1所述的一种基于迁移学习的列车控制系统入侵检测方法，其特征在于，交替设置的随机失活层和全连接层为随机失活层-全连接层-随机失活层-全连接层。

4.根据权利要求1所述的一种基于迁移学习的列车控制系统入侵检测方法，其特征在于，所述lstm网络的隐藏状态根据ht=lstm(ht-1,xt,w,b)进行更新，其中，ht表示在t时间步的隐藏状态，ht-1表示在t-1时间步的隐藏状态，xt表示提取的时间步长为t的空间特征信息，w表示权重，b为偏置。

5.根据权利要求1所述的一种基于迁移学习的列车控制系统入侵检测方法，其特征在于，

6.根据权利要求5所述的一种基于迁移学习的列车控制系统入侵检测方法，其特征在于，所述第一检测模型预测得到类别的重要性为其中，fi表示类别i在训练数据集中出现的相对频率，j表示某一类别，fj表示第j个类别在训练数据集中出现的相对频率，wi表示类别i的重要性，c表示总的类别数量。

7.根据权利要求5所述的一种基于迁移学习的列车控制系统入侵检测方法，其特征在于，利用模型退火算法对所述第一检测模型的超参数进行优化。

8.一种基于迁移学习的列车控制系统入侵检测系统，其特征在于，包括：

9.一种计算机可读存储介质，其上存储有计算机程序，所述计算机可读存储介质上存储有基于迁移学习的列车控制系统入侵检测程序，所述基于迁移学习的列车控制系统入侵检测程序在被处理器执行时，实现权利要求1-7中任一项所述基于迁移学习的列车控制系统入侵检测方法2。

技术总结
本发明公开了一种基于迁移学习的列车控制系统入侵检测方法及系统，包括：构建第一检测模型，根据1D‑CNN网络、LSTM网络、自适应平均池化层、交替出现的随机失活层和全连接层对输入数据处理，预测得到攻击类别；冻结第一检测模型中所述1D‑CNN网络和所述LSTM网络的参数，利用零日攻击数据集对冻结后的第一检测模型进行微调，获得训练完成的第二检测模型；取消参数冻结，根据所述第二检测模型的参数，更新第一检测模型；利用更新后的第一检测模型对列车控制系统进行实时检测。本发明根据构建检测模型自动从原始数据中提取空间和时间特征，从而检测得到列车控制系统中的已知攻击，并且可以通过知识迁移有效地检测零日攻击，提高了安全性和可靠性。

技术研发人员：于海洋,卢赫,赵亚楠,杨阳,任毅龙,崔志勇
受保护的技术使用者：北京航空航天大学
技术研发日：
技术公布日：2024/1/15