[发明专利]基于多RBM网络构建基准模型的工控网络流量异常识别方法

权利要求书

1.一种基于多RBM网络构建基准模型的工控网络流量异常识别方法，其特征在于，从工控网络中提取出特征并生成训练数据集，对基准模型进行训练并得到包含多个RBM模型的工控网络正常基准模型和训练数据集中的异常数据簇，用工控网络正常基准模型进行实时网络报文评估，实现流量异常检测；

所述的基准模型包括至少一个RBM网络，该基准模型通过输入任一数据簇来完成RBM网络参数的更新且基准模型的初始参数随机设定，通过接受不同规律的数据簇完成RBM网络数量的增加；

所述的RBM网络的网络参数包括：学习速率α、迭代次数n、可见层与隐藏层节点个数、均方根误差阈值e、合并时间段Ta、时间簇的聚类时间段Tb。

2.根据权利要求1所述的方法，所述的训练是指：将数据簇输入初始化后的基准模型中，测试基准模型中的所有的RBM基准模型，计算该数据簇在基准模型的重构输出，计算重构输出与原始数据的平方根误差，根据与各个模型之间距离的大小，对训练模型参数完善或者对基准模型进行增加，直至所有训练数据集训练完毕后，得到包含多个RBM模型的工控网络正常基准模型和训练数据集中的异常数据簇。

3.根据权利要求1所述的方法，所述的训练数据集，根据工控网络的网络特性进行特征提取和归并后，以时间段划分出数据簇形式的训练数据。

4.根据权利要求3所述的方法，所述的特征提取是指：根据工控网络流量数据传输的协议，提取报文传输的时间、数量、种类等特征进行特征选择，去除数据集中的冗余特征，得到提取后的报文特征。

5.根据权利要求1或2所述的方法，根据聚类后RBM模型中的数据簇的数量设定每个数据簇的异常度，RBM模型中数据簇的数量越多，说明该模型越符合网段传输规律，对应的数据簇异常度越低，该异常数据簇对应的报文就是异常数据；

所述的异常度是模型中异常数据的百分比，由聚类后RBM模型中的数据簇的数量确定，RBM模型中数据簇的数量越多，对应的RBM模型异常度越低，它表征的是RBM模型的异常状态。

6.根据权利要求2所述的方法，所述的对基准模型进行增加是指：当训练过程中输出数据与原数据的距离全部超过设定阈值时，则说明该数据簇中的特征与现有的所有RBM网络模式均不吻合即属于新的模式类型，因此需要新建一个RBM网络并将该数据簇输入该RBM网络中进行训练并调整网络参数，最后将该新建并初始化后的RBM网络加入到基准模型中。

7.根据权利要求6所述的方法，所述的调整网络参数是指：将符合预设的异常度检测阈值的RBM模型汇总，汇总后为一个多RBM模型集，模型集对应多个RBM模型，RBM模型的个数为K，每个RBM模型对应自己的参数与数据簇。

8.根据权利要求2所述的方法，所述的训练模型参数完善是指：当训练过程中输出数据与原数据的距离部分在阈值范围内时，选定距离最小的RBM模型集，添加该数据簇所对应的原数据进入对应基准模型的训练数据集，同时重新训练RBM网路，更新模型参数。

9.根据权利要求8所述的方法，当模型的训练数据集中数据过多时，根据提前设定的数据集数据量个数随机抛弃部分冗余数据，训练新的数据集并更新对应的基准模型参数。

10.根据权利要求1所述的方法，所述的实时网络报文评估是指：将网络报文进行特征提取和归并后，以时间段划分出数据簇形式的检测数据簇并输入到工控网络正常基准模型中，测试其中所有的RBM模型并计算该检测数据簇的输出数据与原数据的距离，当距离大于异常度误差值时，则检测数据簇对应的网络报文为异常报文。