[发明专利]一种基于循环神经网络的工业控制系统入侵检测方法

权利要求书

1.一种基于循环神经网络的工业控制系统入侵检测方法，其特征在于，包括以下步骤：

A.建立异常检测网络模型的步骤：

A1.采集工业控制系统中流经现场控制网络的正常通信数据；

A2.对数据进行数据解析、数据降维、标准化编码处理，获取有效特征序列；

A3.建立GRU循环神经网络预测模型，用有效特征序列训练该模型并优化网络参数，得到异常检测网络模型；

B.对流经现场控制网络的通信数据进行实时检测的步骤：

B1.采集工业控制系统中流经现场控制网络的实时通信数据；

B2.对数据进行数据解析、数据降维、标准化编码处理，获取有效特征序列；

B3.用有效特征序列输入该模型初步判断实时数据是否异常；

B4.利用贝叶斯公式进一步计算实时数据的主成分异常概率，最终输出现场控制网络的入侵检测结果；

所述数据降维包括：将数据包中的特征进行降维，提取相应数据包的有效特征建立有效特征集；采用概率主成分分析方法PPCA进行特征降维，所述概率主成分分析方法包括EM算法、条件概率、迹的循环不变性处理；

所述用有效特征序列输入该模型初步判断实时数据是否异常，包括对模型计算的结果设置阈值范围[u,g],其中，u,g均为0到1之间的实数：

i.若实时数据输入该模型后计算的概率值小于u，则判断当前实时数据异常，网络受到入侵；

ii.若实时数据输入该模型后计算的概率值大于g，则判断当前实时数据正常，网络未受到入侵；

iii.若实时数据输入该模型后计算的概率值落入阈值范围[u,g]内，则初步判断当前实时数据可能正常，网络可能未受到入侵；

所述利用贝叶斯公式进一步计算实时数据的主成分异常概率，包括：

对实时数据输入该模型后计算的概率值落入阈值范围[u,g]内的，利用贝叶斯公式再一次计算实时数据的主成分异常概率，并根据概率计算结果进一步判断当前实时数据是否正常，网络是否受到入侵。

2.根据权利要求1所述的一种基于循环神经网络的工业控制系统入侵检测方法，其特征在于，所述采集工业控制系统中流经现场控制网络的正常或实时通信数据，是利用抓包软件Wireshark采集的，其中正常历史数据来源为实际现场数据或网络公开的实验数据集。

3.根据权利要求1所述的一种基于循环神经网络的工业控制系统入侵检测方法，其特征在于，所述数据解析包括：对正常历史数据集合或实时数据中的每一个数据包进行协议解析，识别、提取数据包的特征。

4.根据权利要求3所述的一种基于循环神经网络的工业控制系统入侵检测方法，其特征在于，所述数据包特征为数据的属性，包括IP地址、设备ID、端口号、协议类型。

5.根据权利要求1所述的一种基于循环神经网络的工业控制系统入侵检测方法，其特征在于，所述标准化编码包括：对获得的有效特征集中的正常历史数据或实时数据进行标准化处理，获得包含所有标准化数据包向量的历史数据或实时数据的有效特征序列。

6.根据权利要求5所述的一种基于循环神经网络的工业控制系统入侵检测方法，其特征在于，所述数据标准化处理包括：填充缺失值、以独热码的形式对有效特征进行编码。