本發明提供了一種基于LSTM?Attention的工業控制系統入侵檢測方法，該方法采用LSTM神經網絡與Attention機制相結合的網絡結構，從整體時序性變化和聚焦關鍵信息點兩個方面把握數據特征。針對工業控制系統入侵檢測領域存在的效率較低和精度不高問題，本方法將監聽捕獲到的工業控制系統數據流解析相關屬性形成原始數據集，進行相應的預處理并劃分為訓練集和測試集。接著利用LSTM神經網絡對工控系統的訓練集進行訓練處理，從訓練數據的時間前后變化入手提取相關數據特征，然后引入Attention機制，進一步在數據特征中聚焦關鍵信息點，最終通過激活函數為softmax的全連接層得出檢測結果。采用本方法進行工業控制系統入侵檢測，有效減少了計算量和檢測時間，極大提高了檢測效率和準確度。

技術領域

本發明涉及一種基于LSTM-Attention網絡的工業控制系統入侵檢測方法，針對工業控制系統入侵檢測領域，采用LSTM神經網絡與Attention機制相結合的網絡結構，利用LSTM神經網絡對于時序性數據的學習能力提取相關數據特征，然后運用Attention機制聚焦具有關鍵作用的特征，最后通過softmax得出檢測結果，實現對各種入侵攻擊的有效檢測。

背景技術

隨著經濟社會的快速發展，工業化和信息化的融合發展不斷深入，工業控制系統逐漸由封閉走向開放，面臨的各類安全問題和風險愈發凸顯。針對工業控制系統的各類入侵攻擊事件日益增多，傳統的入侵檢測方法難以有效從工業控制系統的通信數據中發現惡意入侵行為，嚴重影響整個工業生產環境的安全。

LSTM是指長短期記憶網絡，是循環神經網絡(RNN)的變體。傳統的循環神經網絡在訓練過程中會出現梯度消失或梯度爆炸問題，同時還存在長期依賴問題。LSTM通過在其記憶模塊中設置邏輯門(遺忘門、輸入門、輸出門)和記憶模塊狀態更新，有效解決了傳統循環神經網絡存在的問題，提高了神經網絡的學習能力和分類精度。在LSTM訓練時，通過三個邏輯門的相互配合調節之前輸入信息對當前輸入信息影響，同時對當前記憶模塊狀態進行更新，充分考慮了信息在時序上的相關性，因此非常適用于時序型數據的處理。

Attention機制是指注意力機制，源自對人腦的注意力機制模擬。Attention的核心思想是將有限的注意力資源集中于大量信息中的關鍵信息點上，從而避免了平均用力導致的大量計算和較低效率。Attention通過相似度計算函數依次對查詢數據和輸入數據進行相似度計算，得出相似度分數。然后將查詢數據與對應相似度分數進行加權求和，得出最終的關鍵信息點。

softmax函數，又稱歸一化指數函數，是邏輯函數的一種推廣。softmax函數實際上是對有限項離散概率分布的梯度對數歸一化，通過該函數可以將任意維度的實數向量轉換為另一個相應維度的向量，使得每一個元素的值域都在0～1之間，并且對所有元素求和為1。

針對當前工業控制系統入侵檢測存在的計算量大和檢測精度的問題，首先利用LSTM神經網絡對工控系統通信數據進行整體分析和特征提取，然后通過Attention機制進一步進行相似度計算，進而篩選出對分類檢測作用較大關鍵信息點，最后通過softmax函數得出最終的分類結果。

發明內容

為了提高工業控制系統入侵檢測的效率和準確度，本發明提出一種基于LSTM-Attention網絡的工業控制系統入侵檢測方法，利用LSTM神經網絡在處理時序數據的優勢，通過LSTM神經網絡對工控系統中的通信數據依照時序進行訓練，提取相關數據特征，同時通過Attention機制進一步縮小聚焦范圍，提取出分類關鍵信息點，從而提高入侵檢測的效率和準確度。其特征在于以下步驟：

(1)獲取工業控制系統數據，進行相應預處理