基于CVAE-CatBoost的工业控制网络异常流量检测研究

为解决工业控制网络异常流量检测中存在的数据分布不均衡、现有模型检测率低的问题,提出一种基于条件变分自编码器(CVAE)和CatBoost算法的异常流量检测模型.CVAE引入标签信息作为约束条件,控制生成样本的类别.CatBoost算法通过引入无偏估计克服梯度偏差,提高预测的准确性,同时采用多种树的生长方式降低过拟合的风险.使用CVAE进行数据增强,扩充稀有攻击样本,构建分布均匀的平衡数据集.将CatBoost算法作为异常流量检测模型,对Dos、Fuzzers等攻击样本进行精确识别并输出分类结果.实验结果表明:在UNSW-NB15数据集上,利用CVAE进行数据增强后,CatBoost算法对少数类样本的F1值平均提升了25.16个百分点,整体精确率、召回率和F1值分别达到87.85％、87.87％和87.86％;在ZYELL_NCTU NetTraffic_1.0数据集上,利用CVAE进行数据增强后,CatBoost算法对少数类样本的F1值平均提升了16.32％,整体精确率、召回率和F1值均达到99.85％.该模型能够有效避免数据不均衡问题,相较K近邻、随机森林、卷积神经网络等机器学习和深度学习算法具有更好的检测性能和泛化能力.