耿志强，曾荣甫，徐圆，韩永明，顾祥柏，3

（1 北京化工大学信息科学与技术学院，北京100029； 2 智能过程系统工程教育部工程研究中心，北京100029；3 中石化炼化工程（集团）股份有限公司，北京100029）

引 言

近几年来，信息化浪潮席卷全球，信息通信技术与制造技术两方面交叉融合。在工业方面，随着信息化和工业化的融合互补，工业控制系统逐渐地使用标准化的网络协议和公开化的应用软件，这给了不法分子可乘之机，也为入侵检测和故障诊断带来了新挑战[1-4]。以伊朗爆发的“震网(Stuxnet)”病毒为例，各国或多或少地出现了工业控制系统遭到破坏的情况[5-6]；因而入侵检测技术开始成为工控信息安全防护技术的重要构成之一，为国内外研究人员所重视[7]。在对入侵进行检测的过程中，检测算法往往要面对体量大、维度高的数据集，因而检测出不正常数据的过程往往伴随着较大的计算复杂度，并需要较大的硬件容量[8]。然而并不是所有数据特征对检测都是有帮助的，因此对数据特征进行选择是一种提高检测效率的有效方法[9-11]。优化算法常被用于解决特征选择问题。常用的优化算法有遗传(genetic algorithm, GA)算法[12-13]、二进制粒子群优化(binary particle swarm optimization, BPSO)算 法[14]、蚁群优化(ant colony optimization, ACO)算法[15]、飞蛾扑火优化(moth-flame optimization, MFO)算法[16]等。但这些算法在特征选取中随机性较大或者容易陷入局部最优[17]。

灰狼优化(grey wolf optimization,GWO)算法是由Mirjalili 等[18]在2014 年提出的一种元启发式生物智能算法，通过模拟狼群捕食机制对最优值进行求解。在实际应用中，由于寻优种群的各个候选解是根据3 匹头狼的位置进行确定，所以会出现陷入局部最优的情况。为解决这个问题，Zhou 等[19]使用差分进化算法对GWO 算法的种群进行初始化，通过增强初始种群多样性来加强算法的局部搜索能力。Li等[20]通过融合非线性收敛因子和自适应位置更新策略，对GWO 算法的位置更新过程进行优化，扩大了GWO 算法的搜索范围。Wu等[21]引进了精英对抗学习策略来避免GWO 算法的过早收敛，使GWO 算法的性能得到了提升，这些方法在实际应用中还是有点不足。

因而，本文提出了一种融合随机黑洞策略的灰狼优化(grey wolf optimization integrated random black hole, RBHGWO)算法，通过随机黑洞策略对种群的候选解的扰动，使灰狼优化算法跳出局部最优解的能力得到加强。然后通过标准测试函数验证，与粒子群优化(particle swarm optimization, PSO)算法、随机黑洞粒子群优化(particle swarm optimization integrated random black hole,RBHPSO)算法、GWO 算法和优胜劣汰的灰狼优化(survival of fitness grey wolf optimization, SFGWO)算法对比，收敛速度较快和寻优精度较好。算法应用于工控系统入侵检测过程中，通过对检测数据特征的优化选择，以提高工控系统入侵检测的效率。

1 融合随机黑洞策略的灰狼优化算法

1.1 随机黑洞策略

2008 年，Zhang 等[22]基于黑洞模型提出了随机黑洞(random black hole,RBH)策略，并将其应用于粒子群优化算法，使其得到了更好的优化效果。RBH策略模拟自然界的黑洞对周围物质的吸引过程，依据自然界的黑洞模型，种群中的粒子有可能会被黑洞吸引，同时也具备一定的概率从黑洞中逃逸；在搜索种群中，将当前全局最优粒子周围的一个粒子当作黑洞，其他粒子则被当作相对应的星体，这些粒子的适应度被视为相对应的引力。黑洞模型如图1所示。

图1 随机黑洞模型Fig.1 Random black hole model

其中，r 为黑洞的半径；X(t)为当前搜索粒子；X(t+1)为下一代搜索粒子；XgB为当前全局最优粒子；l为区间[0,1]的随机数；s为粒子距离黑洞的距离；p为人为设置的区间[0,1]的常数阈值，表示黑洞吸引X(t+1)的概率，通常设置为0.1 或0.3 能够得到较好的结果[22]。在每一次的迭代过程中，以XgB作为中心形成黑洞，如果l≤p，则该粒子被黑洞吸引，反之则按照原来的方式进行更新。当粒子被黑洞吸引时，位置更新公式如下

其中，X(t+1)为更新后的粒子位置向量；Xbest为当前全局最优粒子位置向量；r1为一个[0,1]的随机数，用于控制更新粒子的位置。

1.2 GWO算法

GWO 算法模拟了自然界里灰狼种群面对猎物时的捕猎机制和领导等级制。在一个灰狼种群中，根据严格的等级制度将灰狼种群分为4部分：α、β、δ和γ。同时，整个灰狼种群狩猎过程分为3 个阶段：搜寻猎物、围捕猎物和攻击猎物。

在灰狼种群的狩猎过程中，根据上述等级制度建立对应的算法数学模型，选定α狼为狼群最优解，β 狼和δ 狼分别为次优解和季优解，而γ 狼设定为灰狼种群的候选解。在表现最好的3 匹狼α、β 和δ(通常称为头狼)的领导下，候选解γ 狼向最优区域逼近并搜索最优解。每轮迭代中，不断通过α、β 和δ 这3个解来更新候选解γ 的位置，从而预测最优解可能存在的位置。搜索猎物过程中，灰狼种群追逐位置更新如下

其中，Xp表示当前猎物的位置向量；X 表示灰狼的位置向量；A 是随着系数a 变化的随机变量，用于控制灰狼种群的扩大与缩小；C 表示更新位置时对猎物(最优解)预测位置的扰动系数，表达公式如下

其中，r2和r3是在[0,1]范围内的随机数；系数a是在[0,2]范围内随着迭代次数增加而线性递减的控制系数；l 为当前迭代次数；maxiter 为最大迭代次数。

在GWO 算法开始阶段，以式(2)～式(5)为基础，首先对3 匹头狼的位置进行更新。3 匹头狼的位置在算法模型中被视为当前最有可能成为猎物位置，也就是狼群搜索中的最好解。每次迭代过程中，通过更新3 匹头狼的位置，并求解3 匹头狼与剩下的γ狼之间的相对距离，对剩下的γ狼的位置进行调整。相对位置的求解公式如下

其中，Xα、Xβ和Xδ分别是指3 匹头狼当前的位置；dα、dβ和dδ分别是通过求解得到的当前γ 狼(当前解)位置向3 匹头狼(当前最好解)位置趋近的近似距离。通过该距离可以进一步得到当前解更新后的位置，求解公式如下

其中，t 为当前迭代次数。式(12)通过当前表现最好的3 匹头狼所在的位置来估计猎物所在的区域，即在算法模型中通过当前的3 个最好解的值来预测最优解的值。和其他元启发式生物智能算法相比，3 匹头狼的综合考虑要比单个粒子的估计要好，这在很大程度上有效地降低了种群在前期陷入局部极值的可能性。

1.3 适应度函数

特征选择是为了尽可能减少冗余特征和噪音对结果的影响，从而达到既提升算法的速度又提升算法的准确率的目的。传统方法通常直接使用准确率accuracy 作为适应度值，这缺乏对特征个数的探究。当使用优化算法对特征进行选择时，有可能出现由于函数维度的原因，只出现个位数甚至只有一个特征的结果；这种结果在进行入侵检测的仿真实验中，显然是不符合实际的。本文第二部分实验使用文献[23]的方法构造了一个适应度函数，同时反映特征个数和准确率之间的关系，具体公式如下

其中，fitness 表示适应度函数的结果，λ 表示分类算法使用的特征个数。

1.4 融合算法具体流程

RBHGWO算法的流程描述如下。

(1)初始化灰狼种群。根据式(4)、式(5)初始化系数向量a、A和C，随机生成灰狼种群位置。

(2)计算种群的适应度值，选择当前适应度值相对较小的3匹狼作为α、β和δ狼。

(3)融合RBH策略更新狼群位置。使用式(6)～式(11)计算各参数的值，根据计算得到进入随机黑洞的概率，通过式(1)或式(12)更新γ狼的位置。

(4)更新GWO算法的参数系数向量a、A和C。

(5)判断算法是否达到迭代终止条件。如果达到终止条件，结束搜索并将α狼作为最优解输出；反之返回步骤(2)继续搜索。

2 仿真实验

2.1 测试函数实验

为验证本文提出的RBHGWO 算法的优化性能，首先选择了6个经典的单多峰测试函数，对该算法进行测试实验并将实验结果和PSO 算法、RBHPSO 算 法、GWO 算 法 和SFGWO 算 法 相 比 较。表1 列出了用于实验的测试函数，f1、f2和f3是单峰标准测试函数，f4、f5、f6是多峰标准测试函数。

表1 测试函数参数表Table 1 Test function parameter table

用于实验的5种智能种群优化算法的初始种群数量均为30，测试函数的维度均为30，PSO 算法的参数参考文献[24]。表2 列出了用于仿真实验各算法的参数设置，其中SFGWO 算法狼群优劣的边界Bound=0.618；本文提出的RBHGWO 算法的黑洞吸引概率p=0.1，黑洞半径R=0.01。

依照上述初始条件对6种测试函数进行仿真实验，5 种优化算法互不干扰地迭代500 次，实验结果如图2 所示。从图2 可以看出，与PSO、RBHPSO、GWO 和SFGWO 算法相比，本文提出的RBHGWO 算法能够达到最优的迭代精度，并表现出了更快的收敛速度。其中在多峰二次的Rastrigin函数和具有大量局部最优值的多峰Griewank 函数测试中，RBHGWO 算法分别在200代和130代左右便收敛到实际最优值，体现了其优越性。

表2 算法参数表Table 2 Algorithm parameter table

为得到更加易于对比的数值结果，将上述实验重复进行30次，对实验结果求平均值和标准差。表3 和表4 分别展示了5 种优化算法迭代结果的平均值和标准差。从表中实验结果可以看出，本文提出的RBHGWO 算法可以使测试函数寻优的精度提高。在测试函数维度为30 的前提下，对f1函数的测试平均值要优于GWO 算法26 个数量级，对f2函数的测试平均值要优于GWO算法14个数量级，对f6函数的测试平均值要优于GWO 算法3 个数量级。尤其在对多峰函数f4和f6的实验中，RBHGWO 算法的结果很快收敛于0。实验结果说明，本文提出的RBHGWO 算法有着较好的收敛精度和稳定性，并且具有跳出局部最优解的能力。

2.2 模拟隐蔽攻击实验

田纳西-伊斯曼(Tennessee-Eastman,TE)过程由Downs等[25]在1993年提出并创建。其原型为一个真实的化工流程，过程中的主要部件包括分析器、反应器、冷凝器、汽提塔、压缩机和气液分离器等。各个部件之间的反应和协同工作包含12个操纵变量，并产生41 个测量变量，这也导致TE 过程是一个多变量，数据维度高的复杂控制系统。本实验使用的是由Ricker 提出的MATLAB 仿真模型[26]，控制策略按照文献[27]的描述进行。仿真数据由SIMULINK模块产生，仿真时间设为50 h，每小时产生100 组数据，共5000 组数据。TE 过程具体的工艺流程如图3所示。

表3 实验结果平均值Table 3 Average of experimental results

图2 优化函数迭代结果Fig.2 Iterative results of optimization algorithm

表4 实验结果标准差Table 4 Standard deviation of experimental results

图3 TE过程工艺流程图Fig.3 TE process flow chart

本文实验使用的隐蔽攻击方式来自文献[28]使用的隐蔽攻击模型，如

其中，c 为常数，说明偏置注入的程度；si(t)为t时间段的状态，类型为偏置注入的隐蔽攻击模型在SIMULINK 中实现。为了模拟隐蔽攻击，在反应器温度控制回路中添加了一个时间设置为20 h 的延时模块，并选用c=1 时的反应器温度变化作为测试数据。在运行到20 h 时，反应器遭到了来自偏置注入信号的攻击，温度从123℃左右突然降至122℃左右，随后稳定在122℃左右继续进行反应，变化过程如图4 所示。模拟上述偏置注入攻击后，随着反应器温度的变化，其他测量变量也随之变化，由此得到了对应的仿真实验数据集。

图4 反应器温度变化的过程Fig.4 Process of reactor temperature change

用于仿真实验的各优化算法参数设置见表2，5种智能种群优化算法的初始种群数量均为10，互不干扰地迭代50 次。实验选用了常用的机器学习算法作为检测异常的分类器：KNN[29]、NBC[30]和DT[31]，表5～表7 分别记录着5 种优化算法对3 种分类器进行特征选择后的实验结果，仿真实验进行的次数为20次。

表5 KNN分类器的实验结果Table 5 Experimental results of KNN classifier

表6 NBC分类器的实验结果Table 6 Experimental results of NBC classifier

表7 DT分类器的实验结果Table 7 Experimental results of DT classifier

2.3 实验结果讨论

本文第一部分实验使用PSO、RBHPSO、GWO、SFGWO、RBHGWO 共5 种优化算法，通过对6 种测试函数进行测试。实验结果表明，本文提出RBHGWO 算法在保持GWO 算法较快的收敛速度的同时，又能跳出局部最优解的陷阱，具有较好的收敛精度和全局搜索能力。

第二部分实验使用上述5 种优化算法，分别采用KNN、NBC、DT三种分类器，利用模拟隐蔽攻击的入侵检测数据集进行仿真实验。实验证明了RBHGWO 算法相对于传统的PSO 算法，能够大幅度缩短运行时间。而对于GWO 算法而言，在采用DT 分类器进行实验时，虽然RBHGWO 算法的运行时间略长于GWO 算法，但求解效果却要好于GWO算法，因而，改进算法具有较好的收敛精度和稳定性。

3 结 论

文本提出了一种融合随机黑洞策略的灰狼优化算法，通过随机黑洞策略对每一次种群位置更新进行扰动，增强了迭代过程中的种群多样性，弥补了GWO 算法在迭代过程中缺乏全局搜索能力、易早熟而收敛于局部最优解的缺点。结合工控系统入侵检测的仿真实验，实验结果也表明RBHGWO算法在收敛精度、稳定性和运行效率上具有较好的效果。因此本文提出的RBHGWO 算法在工控系统入侵检测中具有较好的实用性和有效性。