CN116633705A - 基于复合自动编码器的工业控制***异常检测方法及*** - Google Patents
基于复合自动编码器的工业控制***异常检测方法及*** Download PDFInfo
- Publication number
- CN116633705A CN116633705A CN202310919286.2A CN202310919286A CN116633705A CN 116633705 A CN116633705 A CN 116633705A CN 202310919286 A CN202310919286 A CN 202310919286A CN 116633705 A CN116633705 A CN 116633705A
- Authority
- CN
- China
- Prior art keywords
- data
- time
- error
- dimension
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 239000002131 composite material Substances 0.000 title claims abstract description 32
- 238000001514 detection method Methods 0.000 title claims abstract description 31
- 230000005856 abnormality Effects 0.000 title claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims abstract description 68
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000008859 change Effects 0.000 claims abstract description 28
- 150000001875 compounds Chemical class 0.000 claims abstract description 8
- 230000015654 memory Effects 0.000 claims description 6
- 238000012935 Averaging Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 238000012549 training Methods 0.000 description 15
- 238000012360 testing method Methods 0.000 description 9
- AYFVYJQAPQTCCC-GBXIJSLDSA-N L-threonine Chemical compound C[C@@H](O)[C@H](N)C(O)=O AYFVYJQAPQTCCC-GBXIJSLDSA-N 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/04—Manufacturing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Manufacturing & Machinery (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Health & Medical Sciences (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开的基于复合自动编码器的工业控制***异常检测方法及***,属于工业控制***异常检测技术领域,包括:获取工业控制***的多维时序数据;对多维时序数据进行时序划分,获得多段子序列数据;根据复合自动编码器和多段子序列数据,获得重构数据和预测数据;根据重构数据、子序列数据和预测数据,计算获得重构误差和预测误差;根据重构误差和预测误差,识别出现异常流量时间;根据每个时间每个维度的总误差,计算每个维度在出现异常流量时间前后的总误差变化率;判定总误差变化率大于变化率阈值的维度对应的流量数据为异常。实现了对工业控制***中异常流量的准确识别。
Description
技术领域
本发明涉及工业控制***异常检测技术领域,尤其涉及基于复合自动编码器的工业控制***异常检测方法及***。
背景技术
工业控制***是工业边缘的重要组成部分,通过入侵检测***对进入工业控制***中各设备的流量进行检测,从而定位出异常流量,是目前常用的保护工业控制***的方法。目前常见的异常流量入侵检测方法包括两种,一种是获取设备的流量数据,对获取的流量数据进行重构,进而对重构的数据进行识别,确定流量数据是否异常;另一种是获取设备的历史流量数据,通过历史流量数据对当前的流量数据进行预测,将当前的流量数据与预测的流量数据进行比较,判定当前流量数据是否异常,这两种方法分别均是单独利用预测数据或重构数据进行异常判断,异常判断准确率有限,且现有方法仅是能够识别出数据存在异常,但是不能对出现异常流量数据进行定位。
发明内容
本发明为了解决上述问题,提出了基于复合自动编码器的工业控制***异常检测方法及***,能够准确检测出具体的异常流量数据。
为实现上述目的,本发明采用如下技术方案:
第一方面,提出了基于复合自动编码器的工业控制***异常检测方法,包括:
获取工业控制***中各设备的流量时序数据,并形成多维时序数据;
对多维时序数据进行时序划分,获得多段子序列数据;
根据复合自动编码器和多段子序列数据,获得重构数据和预测数据;
根据重构数据和子序列数据,计算获得重构误差;
根据预测数据和子序列数据,计算获得预测误差;
根据重构误差和预测误差,计算获得每个时间每个维度的总误差;
根据每个时间每个维度的总误差,计算获得每个时间的平均误差;
判定平均误差大于设定误差阈值的时间为出现异常流量时间;
根据每个时间每个维度的总误差,计算每个维度在出现异常流量时间前后的总误差变化率;判定总误差变化率大于变化率阈值的维度对应的流量数据为异常。
第二方面,提出了基于复合自动编码器的工业控制***异常检测***,包括:
流量数据获取模块,用于获取工业控制***中各设备的流量时序数据,形成多维时序数据;
序列划分模块,用于对多维时序数据进行时序划分,获得多段子序列数据;
异常时间确定模块,用于根据复合自动编码器和多段子序列数据,获得重构数据和预测数据;根据重构数据和子序列数据,计算获得重构误差;根据预测数据和子序列数据,计算获得预测误差;根据重构误差和预测误差,计算获得每个时间每个维度的总误差;根据每个时间每个维度的总误差,计算获得每个时间的平均误差;判定平均误差大于设定误差阈值的时间为出现异常流量时间;
异常设备定位模块,用于根据每个时间每个维度的总误差,计算每个维度在出现异常流量时间前后的总误差变化率;判定总误差变化率大于变化率阈值的维度对应的流量数据为异常。
第三方面,提出了一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成基于复合自动编码器的工业控制***异常检测方法所述的步骤。
第四方面,提出了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成基于复合自动编码器的工业控制***异常检测方法所述的步骤。
与现有技术相比,本发明的有益效果为:
1、本发明在定位出工业控制***出现异常流量时间的基础上,通过计算每个流量数据在出现异常流量时间前后的总误差变化率,实现了对具体异常流量数据的定位。
2、本发明在定位工业控制***出现异常流量时间时,不仅计算了重构误差,还通过预测数据,计算了预测误差,通过重构误差和预测误差计算了每个时间的平均误差,提高了出现异常流量时间定位的准确性。
3、本发明通过指数加权移动平均法对每个时间每个维度的总误差进行了处理,使得最终的每个时间每个维度的总误差,减少了流量数据的突然变化而产生的误差,提高了每个时间每个维度的总误差的准确性,进而提高了出现异常流量时间定位的准确性。
4、本发明通过权利技术计算每个时间的平均误差,提高了出现异常流量时间定位的准确性。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。
图1为实施例1公开方法的流程图;
图2为实施例1公开方法的自动编码器结构图;
图3为实施例1公开的训练损失图;
图4为实施例1公开的攻击号5的检测结果;
图5为实施例1公开的攻击号5的检测误差;
图6为实施例1公开的攻击号31的检测结果;
图7为实施例1公开的攻击号31的检测误差;
图8为实施例1公开的所有攻击的Recall值。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
实施例1
在该实施例中,公开了基于复合自动编码器的工业控制***异常检测方法,如图1所示,包括:
S1:获取工业控制***中各设备的流量时序数据,并形成多维时序数据。
在工业控制***中,包含多个设备,如供水设备、电力设备和智慧物流设备等。为了实现对工业控制***中每个设备的流量数据的异常检测,本实施例获取了工业控制***中各设备设定时间长度的流量时序数据,形成多维时序数据X,,其中,N为时间长度,x t为时间t时所有设备的流量数据集合,为m维矢量,t=1,...,N,x t=,/>为时间t时设备m的流量数据,t<N。
S2:对多维时序数据进行时序划分,获得多段子序列数据。
本实施例采用一个长度为T的窗口在多维时序数据X上滑动,获得多段子序列数据,同时,从时间t到t+T的子序列为X t:t+T,X t:t+T={xt,xt+1,...,xt+T}。
S3:根据复合自动编码器和多段子序列数据,获得重构数据和预测数据;根据重构数据和子序列数据,计算获得重构误差;根据预测数据和子序列数据,计算获得预测误差;根据重构误差和预测误差,计算获得每个时间每个维度的总误差;根据每个时间每个维度的总误差,计算获得每个时间的平均误差;判定平均误差大于设定误差阈值的时间为出现异常流量时间。
本实施例对多维时序数据进行异常检测的目的是利用历史数据中出现的规律性模式来寻找异常部分。
采用复合自动编码器对多段子序列数据进行重构,获得重构数据;并根据每段子序列数据进行下一段子序列数据预测,获得预测数据。复合自动编码器以多段子序列数据为输入,对多段子序列数据进行重构,输出重构数据;并根据每段子序列数据进行下一段子序列数据预测,输出预测数据。
复合自动编码器是由多个自动编码器(AE)组成的层级结构。每个AE都由编码器和解码器两个部分组成,其中编码器将输入数据压缩成低维表示,解码器将该低维表示还原为输入数据。在复合自动编码器中,上层AE的编码器的输出作为下一层AE的输入,直到最后一层AE的输出为最终的压缩表示。同样地,解码器也是由多个解码器组成的层级结构,每一层解码器都使用上一层解码器的输出作为输入,最终输出原始数据的重建结果。复合自动编码器常用于无监督学习中,用于数据的降维、特征提取等任务。
本实施例采用的复合自动编码器可以重构输入,也可以作为一个未来的预测器使用,如图2所示,包括编码器(Encoder)和解码器(Decoder),编码器(Encoder)和解码器(Decoder)之间为潜在空间(Latent space),编码器和解码器的构建模块均采用LSTM(长短期记忆网络)模型,编码器的输入(Input)为子序列数据,编码器通过LSTM模型根据子序列数据对下一时段的子序列数据进行预测,获得预测结果,并对输入的子序列数据和预测结果进行压缩表示,通过解码器对压缩表示后的数据进行重构,输出(Output)重构数据和预测数据。
当复合自动编码器的输入为子序列X t:t+T时,复合自动编码器输出重构数据y t:t+T和预测数据z t+T:t+2T,如当复合自动编码器的输入子序列为{x1,x2,x3,x4,x5}时,输出重构数据{y1,y2,y3,y4,y5}和预测数据{z1,z2,z3,z4,z5}。
均方误差(MSE)用来计算复合自动编码器实际输入与输出之间的差异,考虑到一个输入序列xt,其第m各维度值为,输出的重构数据或预测数据为/>,则MSE为:
分别计算输入数据与重构数据的MSE,输入输入与预测数据的MSE,并根据两个MSE分别计算重建部分的损失Lc及预测部分的损失Lp,进而计算获得损失函数Ls:
。
当将子序列输入复合自动编码器中后,输出的重构数据与预测数据在时间维度上并不匹配,故在定位出现异常流量时间时,首先将子序列数据、重构数据和预测数据在时间维度上进行匹配,根据重构数据和子序列数据,计算获得重构误差;根据预测数据和子序列数据,计算获得预测误差;根据重构误差和预测误差,计算获得每个时间每个维度的总误差。
获得每个时间每个维度的总误差的过程为:
根据重构数据和子序列数据,计算获得每个时间每个维度的重构误差;
根据预测数据和子序列数据,计算获得每个时间每个维度的预测误差;
将每个时间每个维度的重构误差与预测误差相加,获得每个时间每个维度的总误差。
其中,为重构误差,/>为预测误差,/>为总误差。
为了消除子序列数据的突然变化而产生的误差,使用指数加权移动平均法(EWMA),计算获得最终的每个时间每个维度的总误差SEt,SEt为平滑误差。
其中,H为衰减常数。
为了提高出现异常流量时间定位的准确性,本实施例还根据每个时间每个维度的总误差,计算获得每个时间的平均误差:
当平均误差高于设定的误差阈值Vthre时,判定时间t被出现异常流量时间,在该时间存在设备的流量数据为异常流量数据。
为了实现通过复合自动编码器对子序列数据进行重构,并进行下时间段的数据进行预测,本实施例选择正常流量数据作为训练数据对构建的复合自动编码器进行训练,训练完成,获得训练时的重构数据和预测数据;根据训练数据、训练时的重构数据和预测数据,计算获得训练时每个时间的平均误差,选取训练时每个时间的平均误差的最大值作为误差阈值Vthre。
S5:根据每个时间每个维度的总误差,计算每个维度在出现异常流量时间前后的总误差变化率;判定总误差变化率大于变化率阈值的维度对应的流量数据为异常。
由于一个设备被异常流量攻击后,计算出的总误差会比设备接受正常流量时的总误差大,故本实施例在确定出现异常流量时间后,还通过出现异常流量时间前后的总误差变化率,来确定具体的异常流量数据,进而确定受攻击的设备。
本实施例分别根据每个时间每个维度的总误差计算每个维度出现异常流量时间前设定时间段的第一平均误差,和出现异常流量时间后设定时间段的第二平均误差;对于每个维度,计算第二平均误差与第一平均误差差值的绝对值,并将绝对值除以时间段长度,获得每个维度在出现异常流量时间前后的总误差变化率。
其中,将同一维度出现异常流量时间前设定时间段中所有时间的总误差取平均,获得每个维度的第一平均误差;
将同一维度出现异常流量时间后设定时间段中所有时间的总误差取平均,获得每个维度的第二平均误差。
其中,为总误差变化率,/>为第二平均误差,/>为第一平均误差,T c为设定时间段长度。
本实施例通过从SWAT数据集中的51个变量中筛选出稳定的、具有代表性的45个变量来表示工业控制***中的45个设备,从中选取496800条正常流量数据来训练复合自动编码器,选取449919条流量数据为测试数据,测试数据中包含36条异常流量数据,通过测试数据对本申请的方法进行测试。
在试验时,采用滑动窗口的方法划分原始时间序列,窗口的长度为1,为了在训练阶段学习整个模式,滑动窗口在相邻时间段进行重叠。重叠是指两个连续子序列有相同的部分,第二部分的起始重叠长度与第一部分的结束重叠长度相同。但在计算训练误差以及选择误差阈值或测试模型时,数据的划分没有重叠。
为了加快训练速度和提高检测精度,所有的训练数据都被缩放为(0,1)。由于本实施例的复合自动编码器输出的重构数据和预测数据不在同一个时间窗口,导致第一个子序列只有重构数据,对于该部分,仅计算重构误差即可。
在试验中,设定1为120秒,重叠长度为115秒。通过对非重叠时间序列的训练获得的最大平均误差作为误差阈值。复合编码器的编码器部分的两层神经元数据分别为64和32,第一层大于输入维度,并不严格遵守隐藏层小于输入层的规则。重建部分和预测部分的神经元数量为32和64,这与编码器部分是对称的,用训练数据对复合编码器进行训练,训练损失如图3所示。
在数据集中,每秒钟记录的流量数据都被标记为“攻击”或“正常”,直接使用标签来评估检测结果,当记录的一条异常流量数据被标记为攻击时,为真阳性(TP)。当记录的一条异常流量数据被标记为正常时,为假阴性(FN)。当正常流量数据为标记为正常时,为真阴性(TN)。当正常流量数据被标记为攻击时,为假阳性(FP),使用精确率(Precision)、召回率(Recall)和F1分值评价本实施例公开方法的性能。
Precision=TP/(TP+FP);
Recall=TP/(TP+FN);
F 1=(2*Precision*Recall)/(Precision+Recall)。
通过对攻击号5的异常流量数据和攻击号31的异常流量数据进行检测结果分析,结果如图4、图5、图6和图7所示,所有异常流量数据的召回率如图8所示。在图4中显示了施工部分和预测部分的原始值。其值在攻击期间下降到一个较低的值。由于使用EWMA方法来平滑误差,所以误差的形状不是一个矩形。本实施例以100%的召回率检测到这种攻击。随着传感器值减小到极低的值,p功率处理得到的误差越大。因此,这种攻击相对很容易被检测到。如图6、图7所示,与5号攻击相比31号攻击引起的值变化更低,误差的值也很小,对于检测的性能的影响较大,召回率不到80%。从图4和图6中,可以看到,在攻击结束后,错误不会迅速缩小,这是因为这个***需要时间来稳定下来。
将本实施例公开方法的检测结果与DNN、SVM及TABOR的检测结果进行比较,结果如表1所示,与其余方法相比,本实施例公开方法取得了更高的召回率和F1分数,表2中列出了每种异常数据的召回率的详细比较,对于36个异常流量数据,采用本实施例公开方法检测出的异常流量数据最多。
表1
表2
本实施例公开的异常检测方法,对原始的时序流量数据进行了重构和预测,获得了重构数据和预测数据,并分别计算了重构误差和预测误差,基于重构误差和预测误差,来识别出现异常流量时间,在此基础上计算出现异常流量时间前后总误差变化率,实现对异常流量数据的准确识别。
实施例2
在该实施例中,公开了基于复合自动编码器的工业控制***异常检测***,包括:
流量数据获取模块,用于获取工业控制***中各设备的流量时序数据,形成多维时序数据;
序列划分模块,用于对多维时序数据进行时序划分,获得多段子序列数据;
异常时间确定模块,用于根据复合自动编码器和多段子序列数据,获得重构数据和预测数据;根据重构数据和子序列数据,计算获得重构误差;根据预测数据和子序列数据,计算获得预测误差;根据重构误差和预测误差,计算获得每个时间每个维度的总误差;根据每个时间每个维度的总误差,计算获得每个时间的平均误差;判定平均误差大于设定误差阈值的时间为出现异常流量时间;
异常设备定位模块,用于根据每个时间每个维度的总误差,计算每个维度在出现异常流量时间前后的总误差变化率;判定总误差变化率大于变化率阈值的维度对应的流量数据为异常。
实施例3
在该实施例中,公开了一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成实施例1公开的基于复合自动编码器的工业控制***异常检测方法所述的步骤。
实施例4
在该实施例中,公开了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成实施例1公开的基于复合自动编码器的工业控制***异常检测方法所述的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.基于复合自动编码器的工业控制***异常检测方法,其特征在于,包括:
获取工业控制***中各设备的流量时序数据,并形成多维时序数据;
对多维时序数据进行时序划分,获得多段子序列数据;
根据复合自动编码器和多段子序列数据,获得重构数据和预测数据;
根据重构数据和子序列数据,计算获得重构误差;
根据预测数据和子序列数据,计算获得预测误差;
根据重构误差和预测误差,计算获得每个时间每个维度的总误差;
根据每个时间每个维度的总误差,计算获得每个时间的平均误差;
判定平均误差大于设定误差阈值的时间为出现异常流量时间;
根据每个时间每个维度的总误差,计算每个维度在出现异常流量时间前后的总误差变化率;判定总误差变化率大于变化率阈值的维度对应的流量数据为异常。
2.如权利要求1所述的基于复合自动编码器的工业控制***异常检测方法,其特征在于,复合自动编码器以多段子序列数据为输入,对多段子序列数据进行重构,输出重构数据;并根据每段子序列数据进行下一段子序列数据预测,输出预测数据。
3.如权利要求1所述的基于复合自动编码器的工业控制***异常检测方法,其特征在于,获得每个时间每个维度的总误差的过程为:
根据重构数据和子序列数据,计算获得每个时间每个维度的重构误差;
根据预测数据和子序列数据,计算获得每个时间每个维度的预测误差;
将每个时间每个维度的重构误差与预测误差相加,获得每个时间每个维度的总误差。
4.如权利要求3所述的基于复合自动编码器的工业控制***异常检测方法,其特征在于,通过指数加权移动平均法对每个时间每个维度的总误差进行计算,获得最终的每个时间每个维度的总误差。
5.如权利要求1所述的基于复合自动编码器的工业控制***异常检测方法,其特征在于,对同一时间所有维度的总误差取平均,获得每个时间的平均误差。
6.如权利要求1所述的基于复合自动编码器的工业控制***异常检测方法,其特征在于,分别根据每个时间每个维度的总误差计算每个维度出现异常流量时间前设定时间段的第一平均误差,和出现异常流量时间后设定时间段的第二平均误差;对于每个维度,计算第二平均误差与第一平均误差差值的绝对值,并将绝对值除以时间段长度,获得每个维度在出现异常流量时间前后的总误差变化率。
7.如权利要求6所述的基于复合自动编码器的工业控制***异常检测方法,其特征在于,将同一维度出现异常流量时间前设定时间段中所有时间的总误差取平均,获得每个维度的第一平均误差;
将同一维度出现异常流量时间后设定时间段中所有时间的总误差取平均,获得每个维度的第二平均误差。
8.基于复合自动编码器的工业控制***异常检测***,其特征在于,包括:
流量数据获取模块,用于获取工业控制***中各设备的流量时序数据,并形成多维时序数据;
序列划分模块,用于对多维时序数据进行时序划分,获得多段子序列数据;
异常时间确定模块,用于对每段子序列数据进行重构,获得重构数据;根据每段子序列数据进行下一段子序列数据预测,获得预测数据;根据重构数据和子序列数据,计算获得重构误差;根据预测数据和子序列数据,计算获得预测误差;根据重构误差和预测误差,计算获得每个时间每个维度的总误差;根据每个时间每个维度的总误差,计算获得每个时间的平均误差;判定平均误差大于设定误差阈值的时间为出现异常流量时间;
异常设备定位模块,用于根据每个时间每个维度的总误差,计算每个维度在出现异常流量时间前后的总误差变化率;判定总误差变化率大于变化率阈值的维度对应的流量数据为异常。
9.一种电子设备,其特征在于,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成权利要求1-7任一项所述的基于复合自动编码器的工业控制***异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机指令,所述计算机指令被处理器执行时,完成权利要求1-7任一项所述的基于复合自动编码器的工业控制***异常检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310919286.2A CN116633705B (zh) | 2023-07-26 | 2023-07-26 | 基于复合自动编码器的工业控制***异常检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310919286.2A CN116633705B (zh) | 2023-07-26 | 2023-07-26 | 基于复合自动编码器的工业控制***异常检测方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116633705A true CN116633705A (zh) | 2023-08-22 |
| CN116633705B CN116633705B (zh) | 2023-10-13 |
Family
ID=87613891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310919286.2A Active CN116633705B (zh) | 2023-07-26 | 2023-07-26 | 基于复合自动编码器的工业控制***异常检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116633705B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190124045A1 (en) * | 2017-10-24 | 2019-04-25 | Nec Laboratories America, Inc. | Density estimation network for unsupervised anomaly detection |
| CN111343147A (zh) * | 2020-02-05 | 2020-06-26 | 北京中科研究院 | 一种基于深度学习的网络攻击检测装置及方法 |
| CN112134875A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及*** |
| CN113179264A (zh) * | 2021-04-26 | 2021-07-27 | 哈尔滨工业大学 | 网络化控制***中数据传输的攻击检测方法 |
| CN114528547A (zh) * | 2022-01-17 | 2022-05-24 | 中南大学 | 基于社区特征选择的icps无监督在线攻击检测方法和设备 |
| WO2022141871A1 (zh) * | 2020-12-31 | 2022-07-07 | 平安科技(深圳)有限公司 | 时序数据异常检测方法、装置、设备及存储介质 |
| CN115115019A (zh) * | 2021-03-19 | 2022-09-27 | 复旦大学 | 基于神经网络的异常检测方法 |
| CN115456107A (zh) * | 2022-09-29 | 2022-12-09 | 中国农业银行股份有限公司 | 一种时间序列异常检测***及方法 |
| CN115510975A (zh) * | 2022-09-28 | 2022-12-23 | 山东省计算中心(国家超级计算济南中心) | 基于并行Transofmer-GRU的多变量时序异常检测方法及*** |
| WO2023041907A1 (en) * | 2021-09-15 | 2023-03-23 | Bae Systems Plc | System and method for training an autoencoder to detect anomalous system behaviour |
| CN115982235A (zh) * | 2022-12-19 | 2023-04-18 | 昭通亮风台信息科技有限公司 | 一种异常时序数据检测方法、设备及介质 |
| CN116340872A (zh) * | 2023-03-29 | 2023-06-27 | 深圳智现未来工业软件有限公司 | 一种基于重构和预测联合确定异常的方法 |
-
2023
- 2023-07-26 CN CN202310919286.2A patent/CN116633705B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190124045A1 (en) * | 2017-10-24 | 2019-04-25 | Nec Laboratories America, Inc. | Density estimation network for unsupervised anomaly detection |
| CN111343147A (zh) * | 2020-02-05 | 2020-06-26 | 北京中科研究院 | 一种基于深度学习的网络攻击检测装置及方法 |
| CN112134875A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量检测方法及*** |
| WO2022141871A1 (zh) * | 2020-12-31 | 2022-07-07 | 平安科技(深圳)有限公司 | 时序数据异常检测方法、装置、设备及存储介质 |
| CN115115019A (zh) * | 2021-03-19 | 2022-09-27 | 复旦大学 | 基于神经网络的异常检测方法 |
| CN113179264A (zh) * | 2021-04-26 | 2021-07-27 | 哈尔滨工业大学 | 网络化控制***中数据传输的攻击检测方法 |
| WO2023041907A1 (en) * | 2021-09-15 | 2023-03-23 | Bae Systems Plc | System and method for training an autoencoder to detect anomalous system behaviour |
| CN114528547A (zh) * | 2022-01-17 | 2022-05-24 | 中南大学 | 基于社区特征选择的icps无监督在线攻击检测方法和设备 |
| CN115510975A (zh) * | 2022-09-28 | 2022-12-23 | 山东省计算中心(国家超级计算济南中心) | 基于并行Transofmer-GRU的多变量时序异常检测方法及*** |
| CN115456107A (zh) * | 2022-09-29 | 2022-12-09 | 中国农业银行股份有限公司 | 一种时间序列异常检测***及方法 |
| CN115982235A (zh) * | 2022-12-19 | 2023-04-18 | 昭通亮风台信息科技有限公司 | 一种异常时序数据检测方法、设备及介质 |
| CN116340872A (zh) * | 2023-03-29 | 2023-06-27 | 深圳智现未来工业软件有限公司 | 一种基于重构和预测联合确定异常的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 戚琦;申润业;王敬宇;: "GAD:基于拓扑感知的时间序列异常检测", 通信学报, no. 06 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116633705B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111914873A (zh) | 一种两阶段云服务器无监督异常预测方法 | |
| CN109492193B (zh) | 基于深度机器学习模型的异常网络数据生成与预测方法 | |
| CN112257263B (zh) | 基于自注意力机制的设备剩余寿命预测*** | |
| CN116320042B (zh) | 边缘计算的物联终端监测控制*** | |
| CN114167838B (zh) | 一种伺服***多尺度健康评估与故障预测方法 | |
| CN112766429B (zh) | 一种异常检测的方法、装置、计算机设备和介质 | |
| CN115903741B (zh) | 一种工业控制***数据异常检测方法 | |
| CN117150402A (zh) | 基于生成式对抗网络的电力数据异常检测方法及模型 | |
| CN115587335A (zh) | 异常值检测模型的训练方法、异常值检测方法及*** | |
| Fu et al. | MCA-DTCN: A novel dual-task temporal convolutional network with multi-channel attention for first prediction time detection and remaining useful life prediction | |
| CN116842520A (zh) | 基于检测模型的异常感知方法、装置、设备及介质 | |
| CN115936248A (zh) | 基于注意力网络的电力负荷预测方法、装置及*** | |
| CN114582325A (zh) | 音频检测方法、装置、计算机设备、存储介质 | |
| CN116633705B (zh) | 基于复合自动编码器的工业控制***异常检测方法及*** | |
| CN117591860A (zh) | 一种数据异常检测方法及装置 | |
| CN117113139A (zh) | 故障检测模型的训练方法、装置、计算机设备和存储介质 | |
| CN117171713A (zh) | 一种基于轴承寿命的交叉自适应深度迁移学习方法及*** | |
| CN111885084A (zh) | 一种入侵检测方法、装置及电子设备 | |
| CN116148906A (zh) | 一种基于多注意力的渔船轨迹异常检测方法及*** | |
| CN115600116A (zh) | 时间序列异常的动态检测方法、***、存储介质及终端 | |
| CN114841196A (zh) | 一种基于监督学习的机械设备智能故障检测方法及*** | |
| CN113052060B (zh) | 基于数据增强的轴承剩余寿命预测方法、装置及电子设备 | |
| Wang et al. | A novel multiscale deep health indicator with bidirectional LSTM network for bearing performance degradation trend prognosis | |
| KR20220028727A (ko) | 열화에 따른 시계열 데이터를 이용한 실시간 이상 감지 방법 및 그를 위한 장치 | |
| CN116700213B (zh) | 基于门控循环单元的工业设备异常检测方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |