1.免疫對抗樣本的工業(yè)控制系統(tǒng)入侵檢測方法，實(shí)現(xiàn)該方法的系統(tǒng)包含數(shù)據(jù)采集模塊、數(shù)據(jù)存儲模塊、自編碼器檢測模塊、循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊和報警模塊，各個模塊分工協(xié)作；其特征在于：

數(shù)據(jù)采集模塊是對生產(chǎn)過程中的數(shù)據(jù)進(jìn)行采集，使用SCADA系統(tǒng)進(jìn)行采集，采集的數(shù)據(jù)不僅包括溫度、壓力傳感器數(shù)據(jù)，還包括執(zhí)行數(shù)據(jù)；采集的數(shù)據(jù)分成兩種，首先是為訓(xùn)練采集數(shù)據(jù)，這就需要采集正常生產(chǎn)過程下的數(shù)據(jù)，數(shù)據(jù)的種類多，同時采集的時間長，需要涵蓋多個生產(chǎn)運(yùn)行周期；其次是為識別攻擊采集的數(shù)據(jù)，因此采集一個時刻的數(shù)據(jù)即可；數(shù)據(jù)采集模塊同時承擔(dān)著對數(shù)據(jù)標(biāo)準(zhǔn)化的工作，由于需要所有維度的數(shù)據(jù)同時輸入神經(jīng)網(wǎng)絡(luò)中進(jìn)行計(jì)算，因此需要將所有的數(shù)據(jù)映射到[0,1]附近，以防止對訓(xùn)練和預(yù)測產(chǎn)生影響；

數(shù)據(jù)存儲模塊是為了存儲采集到的歷史數(shù)據(jù)，為模型的訓(xùn)練提供訓(xùn)練數(shù)據(jù)，使用文件或者數(shù)據(jù)庫的方式存儲；存儲的數(shù)據(jù)是二維結(jié)構(gòu)，由數(shù)據(jù)采集模塊提供數(shù)據(jù)，提供的是工業(yè)生產(chǎn)過程中的正常數(shù)據(jù)；存儲模塊保證存儲的安全，不能丟失或篡改數(shù)據(jù)；

自編碼器檢測模塊是為了識別正常樣本，自編碼器使用以sigmoid函數(shù)為激活函數(shù)的神經(jīng)元作為基本單位，包含多層隱藏層；自編碼器使用數(shù)據(jù)存儲模塊提供的正常樣本進(jìn)行訓(xùn)練，訓(xùn)練的輸入和訓(xùn)練的目標(biāo)都是t時刻的數(shù)據(jù)，并通過重建誤差來進(jìn)行結(jié)果的判斷；因?yàn)樽跃幋a器使用正常樣本進(jìn)行訓(xùn)練，因此它本身不能直接判定對抗樣本和入侵，只能識別是否為正常樣本；自編碼器是為了防御對抗樣本，并且在本模塊中對抗樣本被識別，但是對于復(fù)雜的攻擊如欺騙攻擊，自編碼器檢測模塊無法進(jìn)行有效的檢測，因此需要送入到循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊進(jìn)行下一步的檢測；

循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊是為了檢測入侵行為的，是主要檢測模塊，大部分的攻擊行為將由本模塊檢測出來；由于在工業(yè)生產(chǎn)過程中收集異常樣本比較困難，因此只使用數(shù)據(jù)存儲模塊提供的正常數(shù)據(jù)進(jìn)行訓(xùn)練，并進(jìn)行預(yù)測；循環(huán)神經(jīng)網(wǎng)絡(luò)使用GRU作為基本的神經(jīng)元以防止梯度消失問題，循環(huán)神經(jīng)網(wǎng)絡(luò)包含多個隱藏層；循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊使用循環(huán)神經(jīng)網(wǎng)絡(luò)進(jìn)行預(yù)測，輸入一段時間的生產(chǎn)數(shù)據(jù)，預(yù)測一個時刻的數(shù)據(jù)；同時考慮到預(yù)測時間序列會出現(xiàn)的滯后現(xiàn)象，使用w長度的數(shù)據(jù){x_t-w+1,x_t-w+2…x_t}來預(yù)測x_t，保證了預(yù)測的精度；將預(yù)測值與真實(shí)值進(jìn)行對比，計(jì)算距離，并通過距離與閾值的比較來確定是否發(fā)生入侵；由于采用預(yù)測的方法，在發(fā)現(xiàn)異常時直接找到引起異常的數(shù)據(jù)維度，易于發(fā)現(xiàn)入侵的源頭；

報警模塊是自編碼器檢測模塊和循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊觸發(fā)報警后調(diào)用的模塊，自編碼器檢測模塊和循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊對一條待檢測的數(shù)據(jù)樣本都有一票否決權(quán)；由于對抗樣本欺騙循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊，因自編碼器檢測模塊一旦檢測到異常，直接報警；同樣的循環(huán)神經(jīng)網(wǎng)絡(luò)檢測模塊處理自編碼器檢測模塊無法處理的復(fù)雜攻擊，因此也能夠直接報警。