[发明专利]一种基于深度学习的工控系统异常检测方法、装置

说明书

本申请涉及一种基于深度学习的工控系统异常检测方法、装置。所述方法包括：获取工控系统通信数据，并提取多种特定异常类型的特征数据；将每种所述特定异常类型的特征数据输入A‑LSTM模型；所述A‑LSTM模型在LSTM模型的基础上设置注意力机制层，所述注意力机制层用于计算每个时序的权重，再将所有时序的向量进行加权和作为特征向量输入输出层；所述A‑LSTM模型的输出层输出每个所述特定异常类型的特征数据对应的异常类别。采用本方法能够提高异常类别判断的准确率。

技术领域

本申请涉及工控系统安全检测技术领域，特别是涉及一种基于深度学习的工控系统异常检测方法、装置。

背景技术

工业控制系统（简称工控系统）由DCS、PLC等控制设备和温度、压力等传感器以及上位主机构成，对工业生产过程进行监视控制。随着智能制造全面推进，工业数字化、网络化、智能化加快发展，工控网络安全的高风险漏洞不断增加，工控系统和设备在互联网上的暴露程度不断增加，攻击难度逐步降低，工控行业网络安全事件不断增多，工业控制系统网络安全面临的威胁和挑战日益严峻。

由于资源条件受限和环境相对封闭等原因，工业控制系统在最初并没有充分考虑到可能存在的安全隐患，但是随着信息技术的发展，潜在的安全问题逐渐暴露出来。目前常用的方法包括基于统计的攻击检测方法，基于分类的攻击检测方法和基于无监督的攻击检测方法。如何熹等（CN110324316A）对获取的数据进行多维特征提取，然后采用多种机器学习算法结合的模型进行工控异常检测；王萌等（CN107370766A）采用基于统计的方法，对不同时段的流量趋势进行分析，再综合异常指数，实现对异常的检测；尚文利等（CN110868312A）采用单类支持向量机，模拟系统通讯的正常模式和异常模式，实现工控系统的异常检测。

上述的异常检测方法缺乏根据具体异常类型分析并结合具体协议进行深度解析构造的特征，而且使用的模型无法将发送的数据包联系起来并给予特征不同重要程度的区分。由于工控领域的异常种类繁多，而且大多方式不同，所以需要对异常种类进行分析，单一的方法识别异常无法达到很高的准确率。

发明内容

基于此，有必要针对上述技术问题，提供一种能够准确检测工控系统异常的基于深度学习的工控系统异常检测方法、装置。

一种基于深度学习的工控系统异常检测方法，所述方法包括：

获取工控系统通信数据，并提取多种特定异常类型的特征数据；

将每种所述特定异常类型的特征数据输入A-LSTM模型；所述A-LSTM模型在LSTM模型的基础上设置注意力机制层，所述注意力机制层用于计算每个时序的权重，再将所有时序的向量进行加权和作为特征向量输入输出层；

所述A-LSTM模型的输出层输出每个所述特定异常类型的特征数据对应的异常类别。

其中，所述工控系统通信数据为S7COMM协议的数据；

所述获取工控系统通信数据，并提取多种特定异常类型的特征数据，包括：

对所述S7COMM协议的数据进行json字段解析，获得多种特定异常类型的特征数据；所述特定异常类型的特征数据包括PDU类型、S7类型、功能码、请求数据个数、请求位置、数据长度和错误类型。

其中，对所述S7COMM协议的数据进行json字段解析，获得多种特定异常类型的特征数据包括：对所述S7COMM协议的数据进行清洗；其包括：对缺失值进行处理、对异常值进行删除和进行特征转换中至少一种；所述特征转换包括将类别特征转化为数值型和对日期型变量进行转换；将清洗后的所述S7COMM协议的数据进行json字段深度解析，并根据不同异常类型的特点，构造不同特定异常类型的特征数据。

其中，所述将每种所述特定异常类型的特征数据输入A-LSTM模型，包括：