一种DCS通信数据异常检测方法、系统、设备及介质

技术领域

本发明属于数据异常检测技术领域，涉及一种DCS通信数据异常检测方法、系统、设备及介质。

背景技术

目前火电厂DCS广泛应用Modbus协议作为系统串行通信协议来实现对自动化设备的管理和控制，其安全性对保障整个DCS的安全可靠运行具有重要意义。但Modbus协议存在缺乏身份认证、授权、加密功能和功能码乱用等协议固有安全问题，且协议在工程实现时易出现的设计安全、缓冲区溢出等安全漏洞，因此容易出现DCS通信网络中通信流量数据异常，如果不能及时对异常数据进行检测，则会对Modbus协议通信的系统安全运行带来挑战，影响其安全运行。

发明内容

本发明的目的在于克服上述现有技术的缺点，提供了一种DCS通信数据异常检测方法、系统、设备及介质，该方法、系统、设备及介质能够对通信流量数据进行异常检测。

为达到上述目的，本发明采用如下技术方案：

本发明一方面，本发明提供了一种DCS通信数据异常检测方法，包括：

提取DCS通信网络中的通信流量数据；

将所述DCS通信网络中的通信流量数据输入到训练后的DCS通信数据异常检测模型，以判断通信流量数据是否异常，其中，所述DCS通信数据异常检测模型基于AE-LSTM网络构建而成。

本发明所述DCS通信数据异常检测方法进一步的改进在于：

还包括：

构建样本集；

构建DCS通信数据异常检测模型；

利用所述样本集对所述DCS通信数据异常检测模型进行训练，得到训练后的DCS通信数据异常检测模型。

所述构建样本集的具体过程为：

从DCS通信网络中提取若干Modbus/TCP通信流量数据样本；

对提取的Modbus/TCP通信流量数据样本进行预处理，利用预处理后的数据样本构建入侵检测的数据集；

利用编码器对所述入侵检测的数据集中通信流量数据样本进行特征提取，得到低维数据的样本集。

对提取的Modbus/TCP通信流量数据样本进行预处理的具体过程为：

对Modbus/TCP通信流量数据样本的类型进行标记，再对提取到的所有Modbus/TCP通信流量数据样本进行标准化处理。

所述编码器包括依次相连接的输入层、第一隐藏层、编码层、第二隐藏层及输出层。

本发明二方面，本发明提供了一种DCS通信数据异常检测系统，包括：

第一提取模块，用于提取DCS通信网络中的通信流量数据；

检测模块，用于将所述DCS通信网络中的通信流量数据输入到训练后的DCS通信数据异常检测模型，以判断通信流量数据是否异常，其中，所述DCS通信数据异常检测模型基于AE-LSTM网络构建而成。

本发明所述DCS通信数据异常检测系统进一步的改进在于：

还包括：

第一构建模块，用于构建样本集；

第二构建模块，用于构建DCS通信数据异常检测模型；

训练模块，用于利用所述样本集对所述DCS通信数据异常检测模型进行训练，得到训练后的DCS通信数据异常检测模型。

所述第一构建模块包括：

第二提取模块，用于从DCS通信网络中提取若干Modbus/TCP通信流量数据样本；

预处理模块，用于对提取的Modbus/TCP通信流量数据样本进行预处理，利用预处理后的数据样本构建入侵检测的数据集；

第三提取模块，用于利用编码器对所述入侵检测的数据集中通信流量数据样本进行特征提取，得到低维数据的样本集。

本发明三方面，本发明提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述DCS通信数据异常检测方法的步骤。

本发明四方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述DCS通信数据异常检测方法的步骤。

本发明具有以下有益效果：

本发明所述的DCS通信数据异常检测方法、系统、设备及介质在具体操作时，利用基于AE-LSTM网络构建得到的DCS通信数据异常检测模型，判断通信流量数据是否异常，以保证Modbus协议通信的系统安全运行，消除可能存在的安全漏洞及风险。同时，利用LSTM神经网络的门结构设计，实现误差在网络层间的平滑传播，克服传统神经网络易陷入局部极值以及不能进行时间序列预测的缺陷。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明的方法原理图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

下面结合附图对本发明做进一步详细描述：

实施例一

参考图1，本发明所述的DCS通信数据异常检测方法包括以下步骤：

1)数据获取

从DCS通信网络中提取若干Modbus/TCP通信流量数据样本。

2)数据预处理；

对提取的Modbus/TCP通信流量数据样本进行预处理，再利用预处理后的数据样本构建入侵检测的数据集。

其中，所述对提取的Modbus/TCP通信流量数据样本进行预处理的具体过程为：对提取的Modbus/TCP通信流量数据样本进行类型的标注，所述类型包括异常及正常，再对标注后的Modbus/TCP通信流量数据样本进行归一化处理。

3)特征提取；

利用编码器(Auto Encoder,AE)对入侵检测的数据集中通信流量数据样本进行特征提取，得到低维数据样本集。

需要说明的是，本发明利用编码器对DCS通信网络中提取得到的Modbus通信流量数据样本进行特征提取，实现对原始通信流量数据的低维表示以及去除冗余特征，以解决人工选取特征的繁复冗余和高维数据的维度灾难问题。

需要说明的是，所述编码器包括输入层、第一隐藏层、编码层、第二隐藏层及输出层，输入层、第一隐藏层、编码层、第二隐藏层及输出层依次相连接。

4)基于AE-LSTM网络，构建DCS通信数据异常检测模型。

5)利用步骤3)得到的低维数据样本集对所述DCS通信数据异常检测模型进行训练。

6)提取DCS通信网络中的待检测通信流量数据。

将所述DCS通信网络中的待检测通信流量数据输入到训练后的DCS通信数据异常检测模型，以判断待检测通信流量数据是否异常。

需要说明的是，本发明将DCS网络流量数据集更易于分类的特征提取出来，应用提取到的低维特征对DCS通信数据异常检测模型进行训练，有效提升DCS通信数据异常检测模型的预测性能，解决高维数据训练LSTM网络计算量过大的不足。同时利用LSTM神经网络的门结构设计，实现误差在网络层间的平滑传播，克服传统神经网络易陷入局部极值以及不能进行时间序列预测的缺陷。

实施例二

本发明所述的DCS通信数据异常检测系统包括：

第一构建模块，用于构建样本集；

第二构建模块，用于构建DCS通信数据异常检测模型；

训练模块，用于利用所述样本集对所述DCS通信数据异常检测模型进行训练，得到训练后的DCS通信数据异常检测模型；

第一提取模块，用于提取DCS通信网络中的通信流量数据；

检测模块，用于将所述DCS通信网络中的通信流量数据输入到训练后的DCS通信数据异常检测模型，以判断通信流量数据是否异常，其中，所述DCS通信数据异常检测模型基于AE-LSTM网络构建而成。

本实施例中，所述第一构建模块包括：

第二提取模块，用于从DCS通信网络中提取若干Modbus/TCP通信流量数据样本；

预处理模块，用于对提取的Modbus/TCP通信流量数据样本进行预处理，利用预处理后的数据样本构建入侵检测的数据集；

第三提取模块，用于利用编码器对所述入侵检测的数据集中通信流量数据样本进行特征提取，得到低维数据的样本集。

实施例三

一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述DCS通信数据异常检测方法的步骤，其中，所述存储器可能包含内存，例如高速随机存储器，也可能还包括非易失性存储器，例如，至少一个磁盘存储器等；处理器、网络接口、存储器通过内部总线互相连接，该内部总线可以是工业标准体系结构总线、外设部件互连标准总线、扩展工业标准结构总线等，总线可以分为地址总线、数据总线、控制总线等。存储器用于存放程序，具体地，程序可以包括程序代码、所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

实施例四

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述DCS通信数据异常检测方法的步骤，具体地，所述计算机可读存储介质包括但不限于例如易失性存储器和/或非易失性存储器。所述易失性存储器可以包括随机存储存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器可以包括只读存储器(ROM)、硬盘、闪存、光盘、磁盘等。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。