[发明专利]一种基于深度学习的工控系统异常检测方法、装置

权利要求书

1.一种基于深度学习的工控系统异常检测方法，其特征在于，所述方法包括：

获取工控系统通信数据，并提取多种特定异常类型的特征数据；

将每种所述特定异常类型的特征数据输入A-LSTM模型；所述A-LSTM模型在LSTM模型的基础上设置注意力机制层，所述注意力机制层用于计算每个时序的权重，再将所有时序的向量进行加权和作为特征向量输入输出层；

所述A-LSTM模型的输出层输出每个所述特定异常类型的特征数据对应的异常类别。

2.根据权利要求1所述的方法，其特征在于，所述工控系统通信数据为S7COMM协议的数据；

所述获取工控系统通信数据，并提取多种特定异常类型的特征数据，包括：

对所述S7COMM协议的数据进行json字段解析，获得多种特定异常类型的特征数据；所述特定异常类型的特征数据包括PDU类型、S7类型、功能码、请求数据个数、请求位置、数据长度和错误类型。

3.根据权利要求2所述的方法，其特征在于，对所述S7COMM协议的数据进行json字段解析，获得多种特定异常类型的特征数据包括：

对所述S7COMM协议的数据进行清洗；其包括：对缺失值进行处理、对异常值进行删除和进行特征转换中至少一种；所述特征转换包括将类别特征转化为数值型和对日期型变量进行转换；

将清洗后的所述S7COMM协议的数据进行json字段深度解析，并根据不同异常类型的特点，构造不同特定异常类型的特征数据。

4.根据权利要求1所述的方法，其特征在于，所述将每种所述特定异常类型的特征数据输入A-LSTM模型，包括：

将每种所述特定异常类型的特征数据输入A-LSTM模型，获得每个特征的隐含表示hit_i；

通过Softmax函数对所述隐含表示进行归一化处理，获得权重r_i，公式为：

其中，Softmax函数将数据映射到0-1的范围内，所有r_i之和为1，t代表特征个数，O^%为一个特征对一条工控系统通信数据的贡献百分比参数，O^%为一个可训练的参数，其决定权重W如何分布，O^%初始值通过初始化设定，在训练过程中通过反向传播算法进行更新，为对隐含表示进行转置；

根据权重r_i，计算最终数据的表达向量h：

其中，表示LSTM模型对应隐藏层的输出；

根据表达向量h利用Softmax函数得到预测类别为y，计算公式如下：

其中，W为权重，b为偏置，W和b通过初始化生成，预测类别y为输出层的输出。

5.根据权利要求1所述的方法，其特征在于，在将每种所述特定异常类型的特征数据输入A-LSTM模型之前，包括：

获取用于训练的特定异常类型的特征数据；

将所述用于训练特定异常类型的特征数据输入初始A-LSTM模型，通过梯度下降法训练模型，再通过计算损失函数的梯度逐步更新模型的参数，最终到达收敛，获得收敛的A-LSTM模型。

6.根据权利要求1所述的方法，其特征在于，所述特定异常类型包括模仿正常流量攻击类型、欺骗攻击类型和流量攻击类型；

其中，模仿正常流量攻击类型的特征数据为IP、端口、MAC、PDU类型、S7类型、功能码、协议类型、请求数据个数、请求位置、数据长度和错误类型，欺骗攻击类型的特征数据为IP、MAC、端口和发送时间，流量攻击类型的特征数据为协议类型和发送时间。