[发明专利]基于多分类GoogLeNet-LSTM模型的工控入侵检测方法

权利要求书

1.基于多分类GoogLeNet-LSTM模型的工控入侵检测系统，其特征在于：该系统包括数据采集模块、数据读写模块、网络包分类模块、入侵检测模块和检测结果多分类模块；其中，数据采集模块与数据读写模块相连，数据读写模块与网络包分类模块相连，网络包分类模块与入侵检测模块相连，入侵检测模块与检测结果多分类模块相连，检测结果多分类模块与数据读写模块相连；

首先通过数据采集模块是对生产过程中的数据进行采集，使用SCADA系统进行采集；采集的数据不仅包括通过读取传感器得到的系统状态数据，还包括来自主机的控制数据；将采集到的携带数据的网络包和作为请求、确认作用的不携带数据的网络包均保存到缓存序列中，用于之后的数据存储；

对于缓存序列中的网络包，使用数据读写模块进行保存；先从缓存序列中提取网络包，再对这些网络包添加附加标识信息，再将添加标识信息后的网络包按照Modbus协议通信过程中的网络包顺序存入日志文件或数据库中；当入侵检测需要提取网络包时，使用数据读写模块从日志文件或数据库中依序提取，并根据时间戳等信息进行网络包替换操作；

在进行入侵检测之前，使用网络包分类模块判断网络包类别并确定使用的入侵检测方法；对于不携带信息的网络包，仅起到请求或确认的作用，检测比较简单，不必调用复杂的网络模型即可做出准确的检测；对于携带信息的网络包，由于其携带工控数据，需要调用网络模型来进行特征提取和时序检测来做出准确的检测；首先总结Modbus协议中具有不同作用的网络包的关键字段值比如功能码、长度等，然后根据不同的关键字段值对网络包进行分类，进行后续的入侵检测；

确定网络包的基本类别后，即可调用入侵检测模块使用不同的入侵检测方法进行检测；该入侵检测模块由模板对比子模块、检测序列构造子模块、特征提取子模块和时序检测子模块构成；其中，模板对比子模块与网络包分类模块相连；检测序列构造子模块与网络包分类模块相连，特征提取子模块与检测序列构造子模块相连，时序检测子模块与特征提取子模块相连；

对于不携带信息的网络包，由于其只具有某些具有固定值的关键字段，使用模板对比的方法进行检测；模板对比子模块在训练过程中，总结正常网络包中的关键字段值组合，并建立网络包模板；模板对比子模块在检测过程中，将待检测网络包中的关键字段值与模板中的关键字段值进行对比即可做出检测；

对于携带信息的网络包，使用GoogLeNet-LSTM模型进行入侵检测；

检测序列构造子模块首先通过数据读写模块提取携带信息历史网络包构造初始网络包序列；其中，对于记录为入侵包的网络包根据时间戳选择最近时间节点的正常同类型网络包进行替换，保证序列反映正常的数据变化；然后对序列中相邻的携带不同信息的网络包进行组合得到新网络包；新网络包中包含了一个完整通信过程中的所有信息，保证提取的特征向量的完整；经过组合后，原序列转化为最终的入侵检测序列；

构造得到检测序列后，需要进行特征提取得到特征向量用于之后的检测；特征提取子模块首先对检测序列中的每个网络包进行独热编码，将网络包转化为可以输入网络中的形式；然后使用GoogLeNet进行特征提取，通过卷积、池化以及多层Inception计算后得到高维特征向量；序列中每个网络包均进行该操作，得到特征向量序列；

之后使用时序检测子模块进行时序检测；该时序检测子模块依照时间步数将特征向量序列依次输出LSTM网络中，使用输入门、遗忘门、输出门进行计算；为了解决长序列的梯度消失和信息丢失问题，添加attention机制来辅助检测；保留每个时间步数的隐藏状态，并使用attention计算得到attention向量，并与LSTM网络最后一个时间步数的输出组合作为最终的检测结果；

检测完成后，使用检测结果多分类模块对于检测出的入侵进行多分类，以指导操作员或主机做出合适的应对方法；对于不携带信息的网络包，该模块总结不同种类入侵的关键字段值变化规律；在检测出入侵后，根据网络包中具体的关键字段值，确定具体的入侵类型；对于携带信息的网络包，该模块通过在GoogLeNet-LSTM模型最后添加一个softmax分类器输出一组概率值；在模型训练过程中，使用训练数据来训练该分类器；在检测过程中，选择输出概率值中最大值的索引作为最终的具体入侵类型。