(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113987481A(43)申请公布日2022.01.28(21)申请号202111585428.3(22)申请日2021.12.23(71)申请人浙江国利网安科技有限公司地址315000浙江省宁波市海曙区集士港镇菖蒲路150号（1-1-179）室(72)发明人张志群何伟还约辉彭鑫邹玲(74)专利代理机构北京集佳知识产权代理有限公司11227代理人李慧慧(51)Int.Cl.G06F21/55(2013.01)G06K9/62(2022.01)权利要求书3页说明书11页附图3页(54)发明名称工控入侵检测方法、装置、存储介质和设备(57)摘要本申请公开了一种工控入侵检测方法、装置、存储介质和设备，获取监控系统在当前预设时间周期内所采集的工控信息。对工控信息中各个维度的数据进行标准化处理，得到各个目标数据。对各个目标数据进行降维处理，得到工控信息的特征。将特征输入至工控入侵检测模型中，得到工控入侵检测模型输出的检测结果。在确定检测结果指示工控系统处于被入侵的状态的情况下，向用户发送报警提示。相较于现有技术，本申请利用各个工控设备所采集的数据，作为工控入侵检测的参考特征，并以GRU模型作为参考模型，构建工控入侵检测模型，利用工控入侵检测模型，能够准确识别出针对工控指令的数据域进行篡改的入侵行为，提高工控入侵检测的识别准确率。CN113987481ACN113987481A权利要求书1/3页1.一种工控入侵检测方法，其特征在于，包括：获取预设的监控系统在当前预设时间周期内所采集的工控信息；所述工控信息包括多个维度的数据；每个维度的所述数据为：工控系统中每个工控设备在所述当前预设时间周期内所采集的数据；对所述工控信息中各个维度的数据进行标准化处理，得到各个目标数据；对各个所述目标数据进行降维处理，得到所述工控信息的特征；将所述特征输入至预先构建的工控入侵检测模型中，得到所述工控入侵检测模型输出的检测结果；所述工控入侵检测模型基于样本工控信息的特征作为输入，并以人工针对所述样本工控信息所标定的状态标签作为训练目标，预先训练得到；所述样本工控信息为：所述监控系统在以往各个预设时间周期内所采集的历史工控信息；所述状态标签用于指示所述工控系统的状态；在确定所述检测结果指示所述工控系统处于被入侵的状态的情况下，向用户发送报警提示。2.根据权利要求1所述的方法，其特征在于，所述对各个所述目标数据进行降维处理，得到所述工控信息的特征，包括：将各个所述目标数据作为预设的自编码模型的输入，经由所述自编码模型中的编码函数，将各个所述目标数据映射到预设的特征空间中，得到所述工控信息的特征。3.根据权利要求1所述的方法，其特征在于，所述工控入侵检测模型基于样本工控信息的特征作为输入，并以人工针对所述样本工控信息所标定的状态标签作为训练目标，预先训练得到，包括：获取所述监控系统在以往各个预设时间周期内所采集的历史工控信息，以及人工针对每个所述历史工控信息所标定的状态标签；所述历史工控信息包括多个维度的数据；对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理，得到归属于同一维度的各个有效数据；对于每个所述历史工控信息，对归属于同一所述历史工控信息的各个有效数据进行降维处理，得到每个所述历史工控信息的特征；按照采集时间由早到晚的顺序，对各个所述历史工控信息的特征进行排序，得到特征序列；将所述特征序列中的各个特征作为训练样本，输入至预设的门控循环单元模型中，获得每个所述训练样本的预测结果，并基于每个所述训练样本的预测结果，以及与每个所述训练样本对应的状态标签，利用预设的损失函数训练调整所述门控循环单元模型的参数，得到工控入侵检测模型；其中，所述门控循环单元模型所使用的激活函数为：支持向量机的径向基函数。4.根据权利要求3所述的方法，其特征在于，所述将所述特征序列中的各个特征作为训练样本，输入至预设的门控循环单元模型中之前，还包括：预先利用网格搜索算法，确定所述门控循环单元模型的超参数。5.根据权利要求3所述的方法，其特征在于，所述对以往各个预设时间周期内所采集的、且归属于同一维度的各个数据进行标准化处理，得到归属于同一维度的各个有效数据，包括：2CN113987481A权利要求书2/3页计算以往各个预设时间周期内所采集的、且归属于同一维度的各个数据的中位数和绝对偏差；将归属于同一维度的各个数据、所述中位数以及所述绝对偏差代入预设标准化公式中，计算得出归属于同一维度的各个有效数据。6.一种工控入侵检测装置，其特征在于，包括：获取单元，用于获取预设的监控系统在当前预设时间周期内所采集的工控信息；所述工控信息包括多个维度的数据；每个维度的所述数据为：工控系统中每个工控设备