(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115987643A(43)申请公布日2023.04.18(21)申请号202211669957.6(22)申请日2022.12.25(71)申请人哈尔滨工程大学地址150001黑龙江省哈尔滨市南岗区南通大街145号哈尔滨工程大学科技处知识产权办公室(72)发明人张佳艺孙建国刘畅李思照(51)Int.Cl.H04L9/40(2022.01)H04L67/1095(2022.01)H04L41/40(2022.01)G06N3/048(2023.01)G06N3/08(2023.01)G06N3/0442(2023.01)权利要求书2页说明书10页附图4页(54)发明名称一种基于LSTM和SDN的工控网络入侵检测方法(57)摘要本发明属于工业控制网络的入侵检测技术领域，具体涉及一种基于LSTM和SDN的工控网络入侵检测方法。本发明采用SDN架构可以实现转发平面和控制平面的解耦，有利于工业控制网络的部署、优化和管理，有效利用SDN镜像收集数据；通过LSTM网络在线预测序列未来值和真实数值比较的方式进行异常检测，从网络的序列数据中识别出攻击行为，提升了网络入侵检测模型的实时性和准确性，为SDN应用于工控网络的安全问题提出了一种思路，而且将注意力机制结合到LSTM网络中，能够将计算资源更多地集中到对工控网络实际产生危害的入侵行为上，能够达到提高检测效率，降低异常检测误报率的效果。CN115987643ACN115987643A权利要求书1/2页1.一种基于LSTM和SDN的工控网络入侵检测方法，其特征在于，包括以下步骤：步骤1：获取工控网络中节点的历史序列数据，预训练基于LSTM的入侵检测模型；步骤2：通过网络探测工具和SDN镜像从工控网络现场层的设备处收集到网络中的数据；步骤3：通过南向接口OpenFlow将收集到的数据传送到SDN控制层；步骤4：部署在SDN应用层的基于LSTM的入侵检测模型通过北向接口RestfulAPI分析、计算：基于LSTM的入侵检测模型输出接下来有限时间步的序列预测值，是基于对网络中正常状态下的行为进行建模得出的预测结果，作为基准序列值；步骤5：计算真实数据与基准序列值的距离，如果超过给定的阈值则认为该时间步数据异常；连续若干个时间步发生异常，则入侵检测程序产生警报，认为网络当前处于较高风险，需要进行核查。2.根据权利要求1所述的一种基于LSTM和SDN的工控网络入侵检测方法，其特征在于：所述基于LSTM的入侵检测模型包括输入层、隐藏层、注意力层、全连接层、输出层，具体训练过程为：步骤1.1：对于输入层中的工控网络中节点的历史序列数据S＝{S1,S2,S3,…Sr}，使用Z‑Scores标准化公式处理后得到S'＝{S1',S',S3',…Sr'}；步骤1.2：将输入的序列处理成长度一致的序列再输入LSTM网络，使用窗口长度为固定值k的分割窗口进行数据分割，得到X＝{X1,X2,X3,…Xk}，X中的任意n维向量Xt＝{x1,x2,x3…xn}；步骤1.3：进入隐藏层，LSTM在t时刻除了ht以外还有细胞状态Ct，此外t时刻多了三种控制信息流动的门控结构：遗忘门、输入门、输出门；遗忘门：丢弃部分无用信息，ht‑1和xt通过Sigmoid函数得到ft，这个输出ft在[0,1]之间，表示遗忘上一层隐藏细胞状态的概率；更新公式：ft＝σ(Wf·[ht‑1,xt]+bf)输入门：新增部分重要信息，分别使用Sigmoid和tanh激活函数，得出的结果后续相乘再更新细胞状态，it表示对目前已经学到的新信息的接受概率；代表本次学到的知识，经过it过滤后补充到本层的Ct中去；更新公式：it＝σ(Wi·[ht‑1,xt]+bi)输出门：整合遗忘门和输入门的细胞状态，然后输出到下一单元；由两部分组成，ot过滤信息，它从Ct拥有的所有知识中筛选出解决当前问题的信息，然后得出结果；更新公式：ot＝σ(Wo[ht‑1,xt]+bo)ht＝ot*tanh(Ct)其中，xt是当前输入向量；ht是当前隐藏层向量，ht包含所有LSTM细胞的输出；b、U、W分别代表偏置、输入权重、循环权重；步骤1.4：LSTM隐藏层输出的特征ht传递到注意力层进行计算；步骤1.4.1：在所有输入信息上计算注意力分布定义一个注意力变量z∈[1,n]表示被选择信息的索引位置，z＝i表示第i维的输入信2CN115987643A权利要求书2/2页息，然后计算给定了某个查询向量q和用于查找和选择的信息向量x的情况下，选择第i个输入信息的概率αi；s函数用于计算q和x不同维度之间的相似度，相似度高的特征分配更高的权重，此处采用的软性注意力机制不是从x存储的多个信息中只选出一个，而是从所有信息中抽取部分，但抽取