[发明专利]基于注意力机制的工业控制系统网络流量异常检测方法

权利要求书

1.基于注意力机制的工业控制系统网络流量异常检测方法，其特征在于，包括如下的处理步骤：

S1、收集流量样本数据集，从工控生产各环节采用的各类控制设备采集正常工作时不同控制层的网络控制流量，构成正常网络流量样本数据集；对工控生产各环节采用的相关控制设备进行渗透测试及网络异常攻击，收集相关的异常攻击流量，构成异常样本数据集，所述的正常网络流量样本数据集和异常样本数据集构成整体流量样本数据集；

S2、样本标定，首先对采集的正常网络流量样本数据集和异常样本数据集进行预处理，然后对正常网络流量样本数据集进行正常样本标定，将相应的渗透测试网络流量数据标定为异常攻击流量，完成标定后形成完备流量数据集，得到的完备流量数据集作为输入向量；对采集的正常网络流量样本数据集和异常样本数据集进行预处理的方法是将所有的数据报文截取为一致的长度为一个数据包，如一个数据包长度大于128字节，那么它将被截取为128字节，而如果小于128字节，那么0x00将被追加在末尾，直到满足长度限制为止，通过将连续的流量数据包填充至3584字节，也就是每28个数据包将生成一个28*128字节的矩阵，所有的流量将以相同的大小进行分割，并将结果转换为向量矩阵，每一个这样的向量矩阵定义为一个流量簇；

S3、特征提取，对输入向量进行特征提取处理，采用注意力模型函数计算得到包含流量高维关联关系特征的向量矩阵，得到特征向量；

S4、使用encoder结构对输入的特征向量进行预处理，计算得到attention值之后将其与原始网络流量数据合并与标准化，所述的attention值的计算输出按照公式计算得到，模型中Q，K，V全名为Query，Key，Value，首先经过一个线性变换后输入值缩放点积Attention，需要做h次，每做一次ScaledDot-Product计算也就意味着多提取了一组头，而且每次Q，K，V进行线性变换的参数W是不同的，之后将h次的缩放点积Attention的输出进行拼接之后，进行一次线性变换得到的即为Multi-HeadAttention的结果；

S5、将步骤S4处理后的特征向量输入全连接层神经网络进行分类，对样本进行正常与异常判别，对结果进行整合分析，得到样本最终的分类结果。

2.根据权利要求1所述基于注意力机制的工业控制系统网络流量异常检测方法，其特征在于，所述的网络异常攻击是对相关控制设备进行攻击行为产生的异常攻击流量，所述的攻击行为包括网络扫描行为、针对控制指令的篡改以及重放攻击行为、ARP攻击以及拒绝服务攻击行为。

3.根据权利要求1所述基于注意力机制的工业控制系统网络流量异常检测方法，其特征在于，所述的步骤S1中通过Nmap或者是Metasploit工具对相关控制设备进行渗透测试，并对相关流量进行数据标定为异常流量样本数据。