买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：东北大学;中国电子信息产业集团有限公司第六研究所

摘要：本发明属于工控系统、网络安全机器学习技术领域，公开了一种基于注意力机制LSTM和多维度节点评估的工控跨域异常检测方法。采用具有注意力机制的LSTM网络进行重构和预测两个任务，既能强调时间序列的权重，捕捉工控数据中的周期性，又能通过多任务共同训练网络，以无监督的方式充分挖掘正常数据中包含的传感器执行器的行为模式。并采用五种无监督多维度节点重要性评估方法评估不同传感器执行器节点的重要性，根据节点的重构损失和节点重要性评分设定综合阈值，进行节点级的攻击检测，既能检测出样本是否被攻击，也可以判断该样本被攻击的节点位置以及攻击的起始时间。

主权项：1.一种基于注意力机制LSTM和多维度节点评估的工控跨域异常检测方法，其特征在于，包括以下步骤：步骤1：对正常流量数据Oraw进行中值下采样，得到采样后的数据O，数据维度为N×M，其中N表示采样后的样本数目，M表示采样后的特征数目，为节点数目；步骤2：将采样后的数据O，按照n条数据为一个滑动窗口，划分成C个带有时间属性的数据集U＝U1，U2，...UId…，UC，Ud＝gt，gt+1，...gt+n，其中t为时间步长，gt+n代表第t+n时间的数据；步骤3：将数据集U输入至LSTM长短期记忆网络中计算隐藏状态ht，并利用注意力机制优化隐藏状态；所述LSTM长短期记忆网络基于传统LSTM网络上添加一层注意力机制层和两层全连接层；步骤4：利用优化后的隐藏状态c进行数据集U的重构任务和预测任务；步骤5：定义双重损失函数进行LSTM长短期记忆网络训练，同时优化重构任务和预测任务，并计算数据集U下的样本平均重构损失ls和节点平均重构损失lj；步骤6：利用多维度的节点重要性评估方法评估节点Xj的重要性ImpXj；步骤7：采用与所述步骤3相同的数据预处理方法处理工控攻击数据，将工控攻击数据作为测试数据，输入步骤5最终训练得到的LSTM长短期记忆网络，计算出每个样本的节点重构误差Ei，j；步骤8：结合所述步骤6中计算的节点重要性ImpXj和所述步骤5中计算的节点平均重构损失lj，计算自适应检测阈值Tj；步骤9：根据所述步骤5样本平均重构损失ls，判断样本是否被攻击；步骤10：根据所述步骤8的自适应检测阈值Tj，判断节点是否被攻击；步骤11：根据攻击检测得到的时间属性和节点位置，将结果划分成e个安全事件D＝D1，D2，...De，De＝start_time，end_time，attack_point，其中，start_time为安全事件的开始时间，end_time为安全事件的结束时间，attack_point为安全事件攻击的各个节点的位置，并绘制安全事件关联图。

全文数据：

权利要求：

百度查询： 东北大学 中国电子信息产业集团有限公司第六研究所 基于注意力机制LSTM和多维度节点评估的工控跨域异常检测方法