CN117579400B - 一种基于神经网络的工控***网络安全监测方法及*** - Google Patents

Abstract

本发明涉及工控***异常监测技术领域，实施例公开了一种基于神经网络的工控***网络安全监测方法及***，方法包括：采集工控***运行过程中的实时运行数据，实时运行数据为时序数据；对实时运行数据进行第一预处理，获取其中的异常数据段；将异常数据段输入到异常检测模型中进行异常分析，获得异常分析结果；其中，异常检测模型由预先建立的神经网络模型训练得到；本方法先对工控***运行过程中的实时运行数据进行第一预处理，获取其中的异常数据段，排除无效数据的干扰，减少偶然误差，提升抗干扰能力；将异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果，当模型检测到异常情况时，对工控***的异常状态进行反馈或报警。

Description

一种基于神经网络的工控***网络安全监测方法及***

技术领域

本发明涉及工控***异常监测技术领域，具体涉及一种基于神经网络的工控***网络安全监测方法及***。

背景技术

工业控制***简称工控***，是数据采集与监视控制***、分布式控制***、过程控制***、可编程逻辑控制器和其他控制***的总称。工业控制***通常由共同作用实现某一工业用途的控制部件组合而成，是工业生产基础设施的关键组成部分，广泛应用于电力、水利、化工、交通、能源、冶金、航空航天等国家重要基础设施领域。

近年来，针对工业控制***的网络攻击行为越来越频繁。入侵检测***(Intrusion Detection System,IDS)通过对***行为的实时监测与分析，来检测异常的入侵行为，并在攻击行为产生破坏之前进行报警等。IDS作为保障工业控制***安全的核心技术之一，受到了广泛关注。然而，由于工业控制***具有实时性高、资源受限、更新困难等特殊性，用于传统信息***的IDS技术无法直接应用于工业控制***。

神经网络是模拟人类生理上的神经机制的计算模型，具有大规模并行处理、良好的自学习、自适应、极强的非线性逼近和容错能力等特点，避免了复杂的数学推导，在参数漂移与样本缺损情况下，依然能保持稳定的输出。近年来已渗透到各个领域，在智能控制、模式识别、非线性优化、信号处理等方面得到广泛应用。因此，将神经网络运用到工业控制***中，对提高工业控制***的安全审计能力，具有重要的价值。

发明内容

针对现有技术中的技术缺陷，本发明实施例的目的在于提供一种基于神经网络的工控***网络安全监测方法及***，基于神经网络的深度学习模型来监测工控***的异常，提高检监测准确度和实时性。

为实现上述目的，第一方面，本发明实施例提供了一种基于神经网络的工控***网络安全监测方法，包括：

采集工控***运行过程中的实时运行数据，所述实时运行数据为时序数据；

对所述实时运行数据进行第一预处理，获取其中的异常数据段；

将所述异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果；其中，所述异常检测模型由预先建立的神经网络模型训练得到。

进一步，训练所述神经网络模型得到异常检测模型，包括：

采集工控***的运行数据，建立工控***异常状态数据集，并将所述异常状态数据集划分为训练集与验证集；

将所述训练集输入所述神经网络模型进行训练，得到训练后的神经网络模型；

利用所述验证集验证所述训练后的神经网络模型，获得所述异常检测模型。

进一步，采集工控***的运行数据，建立工控***异常状态数据集，并将所述异常状态数据集划分为训练集与验证集，包括：

步骤1：从工控***的运行数据中获取原始异常数据；

步骤2：对所述原始异常数据进行第二预处理，得到异常特征分析输入向量X _i (i =1,2,…,N)；

步骤3：使用经验模态分解将异常特征分析输入向量X _i 分解为6个本征模态函数和1个剩余信号R _i ，并线性重构为：/>；

步骤4：计算各个IMF分量的近似熵，得到异常特征分析输入向量的经验模态分解多尺度近似熵向量，并重复步骤2-步骤3，依次计算各个故障信号X _i 的经验模态分解多尺度近似熵值，从而组建神经网络输入矩阵S ₀ ；

步骤5：将S ₀ 按照预设比例以随机抽样的方式划分成训练集S ₁ 和验证集S ₂ 。

进一步，所述第二预处理包括畸变点定位、统一长度截取和数据归一化。

进一步，对所述实时运行数据进行第一预处理，获取其中的异常数据段，包括：

按照时间顺序对所述实时运行数据依次进行检测，获取其中的离群点及所述离群点的分布状态；

根据所述离群点的分布状态，选取所述离群点中呈连续分布的离群点作为异常数据段。

进一步，所述按照时间顺序对所述实时运行数据依次进行检测，获取其中的离群点，包括：

按照时间顺序，依次计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，根据所述相对离群距离得到带有离群标识的离群数据以作为离群点。

进一步，计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，包括：

计算每个所述实时运行数据与其余实时运行数据之间的马氏距离，将所述马氏距离作为每个所述实时运行数据与其余实时运行数据之间的相对离群距离。

进一步，根据所述相对离群距离得到带有离群标识的离群数据，包括：

将多个所述实时运行数据的马氏距离分别与预先设定的阈值进行对比，马氏距离超过所述阈值的实时运行数据为离群数据，并对每个所述离群数据标记离群标识。

进一步，所述神经网络模型为SOM神经网络。

第二方面，本发明实施例还提供了一种基于神经网络的工控***网络安全监测***，包括：

数据采集模块，用于采集工控***运行过程中的实时运行数据，所述实时运行数据为时序数据；

数据处理模块，用于对所述实时运行数据进行第一预处理，获取其中的异常数据段；

异常确认模块，用于将所述异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果；其中，所述异常检测模型由预先建立的神经网络模型训练得到。

实施本发明实施例提供的方法，先对工控***运行过程中的实时运行数据进行第一预处理，获取其中的异常数据段，从而排除无效数据的干扰，减少偶然误差，提升了抗干扰能力；将异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果，当模型检测到异常情况时，对工控***的异常状态进行反馈或报警，将工控***异常或故障反馈至工作人员，以便工作人员能够及时采取应对和维护措施。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于神经网络的工控***网络安全监测方法的流程示意图；

图2是本发明实施例提供的一种基于神经网络的工控***网络安全监测***的结构示意图一；

图3是本发明实施例提供的一种基于神经网络的工控***网络安全监测***的结构示意图二。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的***和方法的例子。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素，此外，本申请不同实施例中具有同样命名的部件、特征、要素可能具有相同含义，也可能具有不同含义，其具体含义需以其在该具体实施例中的解释或者进一步结合该具体实施例中上下文进行确定。

应当理解，尽管在本文可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本文范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语"如果"可以被解释成为"在……时"或"当……时"或"响应于确定"。再者，如同在本文中所使用的，单数形式“一”、“一个”和“该”旨在也包括复数形式，除非上下文中有相反的指示。应当进一步理解，术语“包含”、“包括”表明存在所述的特征、步骤、操作、元件、组件、项目、种类、和/或组，但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。本申请使用的术语“或”、“和/或”、“包括以下至少一个”等可被解释为包括性的，或意味着任一个或任何组合。例如，“包括以下至少一个：A、B、C”意味着“以下任一个：A；B；C；A和B；A和C；B和C；A和B和C”，再如，“A、B或C”或者“A、B和/或C”意味着“以下任一个：A；B；C；A和B；A和C；B和C；A和B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时，才会出现该定义的例外。

应该理解的是，虽然本申请实施例中的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

取决于语境，如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测（陈述的条件或事件）”可以被解释成为“当确定时”或“响应于确定”或“当检测（陈述的条件或事件）时”或“响应于检测（陈述的条件或事件）”。

需要说明的是，在本文中，采用了诸如S1、S2等步骤代号，其目的是为了更清楚简要地表述相应内容，不构成顺序上的实质性限制，本领域技术人员在具体实施时，可能会先执行S2后执行S1等，但这些均应在本申请的保护范围之内。

经验模态分解图1示出了本发明实施例提供的一种基于神经网络的工控***网络安全监测方法的流程示意图，如图1所示，本发明所述方法包括：

步骤S101：采集工控***运行过程中的实时运行数据，所述实时运行数据为时序数据。

具体的，实时运行数据按照时间顺序排列，得到时序数据。

其中，所述实时运行数据包括网络流量数据、日志数据或配置文件数据。

网络流量数据包括上传流量和下载流量等，例如上传文件数据和下载文件数据。

日志数据包括安全日志数据、网络日志数据、***日志数据和应用程序日志数据等。其中，安全日志数据包括身份验证、鉴别与授权审计记录、安全策略校验记录、入侵检测与防范报告记录等，用于检测和记录***的安全事件，保护***的安全性。网络日志数据包括网络连接、数据包转发、路由信息、地址转换、虚拟专用网等信息，用于监控网络运行状态，保证网络的可靠性和稳定性。***日志数据包括***运行状态、应用程序使用状况、存储设备使用情况、硬件故障和错误信息等，用于帮助诊断***运行问题，提高***的可靠性。应用程序日志数据包括应用程序启动、运行、关闭等信息，用于追踪应用程序的使用情况，为应用程序性能优化提供参考。

以上仅仅是工控***中日志数据的一些例子，不同的工控***在使用中可能会产生不同类型、不同格式的日志数据，需要根据实际情况进行分析和处理。此外，日志数据的采集、存储、处理和分析也需要使用相应技术和工具来实现。

步骤S102：对所述实时运行数据进行第一预处理，获取其中的异常数据段。

优选的，步骤S102具体包括：

步骤S1021：按照时间顺序对所述实时运行数据依次进行检测，获取其中的离群点及所述离群点的分布状态。

其中，按照时间顺序对所述实时运行数据依次进行检测，获取其中的离群点，包括：按照时间顺序，依次计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，根据所述相对离群距离得到带有离群标识的离群数据以作为离群点。

依次检测每个实时运行数据，判断其是否为离群点，检测完毕后，如果得到多个离群点，则记录其分布状态，分布状态同样按时间排列，形成离群点的分布图。分布图以时间顺序为横轴、离群点的相对离群距离为纵轴。

具体的，计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，包括：计算每个所述实时运行数据与其余实时运行数据之间的马氏距离，将所述马氏距离作为每个所述实时运行数据与其余实时运行数据之间的相对离群距离。马氏距离越大，则其相似度越低，离群程度越高；反之，马氏距离越小，其相似度越高。

具体的，根据所述相对离群距离得到带有离群标识的离群数据，包括：将多个所述实时运行数据的马氏距离分别与预先设定的阈值进行对比，马氏距离超过所述阈值的实时运行数据为离群数据，并对每个所述离群数据标记离群标识，离群标识为依据时间戳标的序号。异常数据是通过比较相似度得到的，相似度较低的数据容易成为异常数据。

步骤S1022：根据所述离群点的分布状态，选取所述离群点中呈连续分布的离群点作为异常数据段。

在判断工控***异常时，为排除无效离群点的干扰，呈现离散分布的离群点往往是偶然误差所至，对判断工控***异常无明显意义。

若离群点是由工控***故障或异常所至，根据经验判断故障或异常通常会持续一定时间，而不是只在短暂瞬间故障，因此离群点前后的数据的欧氏距离也应当较大，也即由工控***故障或异常导致的离群点通常呈现连续分布且与相邻数据的欧氏距离较大。若离群点持续出现一段时间呈连续分布状态，也即连接存在多个异常数据，由连续分布状态可判断相应的工控***出现的故障或异常。

步骤S103：将所述异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果；其中，所述异常检测模型由预先建立的神经网络模型训练得到。

优先的，所述神经网络模型为SOM神经网络，SOM网络一般只由输入层和二维平面型竞争层组成，二者的神经元之间以全连接的方式产生联系。自组织特征映射(self-organizing feature map, SOM)神经网络是一种无教师、自主学习型网络算法，既可以学习输入矩阵向量的分布特征，又可以学习其拓扑结构，通过更新神经元及其近邻神经元的权值向量来进行分类与排序，最后只需要比对测试数据的类标与训练数据的类标是否匹配即可得到预测结果。具体的，训练所述神经网络模型得到异常检测模型，包括：

步骤S1031：采集工控***的运行数据，建立工控***异常状态数据集，并将所述异常状态数据集划分为训练集与验证集。

具体包括以下步骤：

步骤1：从工控***的运行数据中获取原始异常数据。

步骤2：对所述原始异常数据进行第二预处理，得到异常特征分析输入向量X _i (i=1,2,…,N)。

其中，所述第二预处理包括畸变点定位、统一长度截取和数据归一化。

步骤3：使用经验模态分解将异常特征分析输入向量X _i 分解为6个本征模态函数和1个剩余信号R _i ，并线性重构为：/>。

步骤4：计算各个IMF分量的近似熵，得到异常特征分析输入向量的经验模态分解多尺度近似熵向量，并重复步骤2-步骤3，依次计算各个故障信号X _i 的经验模态分解多尺度近似熵值，从而组建神经网络输入矩阵S ₀ 。

步骤5：将S ₀ 按照预设比例以随机抽样的方式划分成训练集S ₁ 和验证集S ₂ 。

步骤S1032：将所述训练集输入所述神经网络模型进行训练，得到训练后的神经网络模型。

以训练集S ₁ 为基础得到P个异常信号的SOM聚类标签值l _p (p = 1,2,…,F)。

步骤S1033：利用所述验证集验证所述训练后的神经网络模型，获得所述异常检测模型。

使用验证集S ₂ 对训练后的神经网络模型进行快速调参，获得最终的异常检测模型。

根据异常检测模型的输出结果获得异常分析结果后，对工控***的异常状态进行反馈或报警，将工控***异常或故障反馈至工作人员，以便工作人员能够及时采取应对和维护措施。报警的具体方式可以是声音报警、灯光报警或两者的结合，也可以采取其它常用的报警方式，在此不再赘述。

基于相同的发明构思，本申请还提供了一种基于神经网络的工控***网络安全监测***一。如图2所示，该***可以包括：

数据采集模块201，用于采集工控***运行过程中的实时运行数据，所述实时运行数据为时序数据；

数据处理模块202，用于对所述实时运行数据进行第一预处理，获取其中的异常数据段；

异常确认模块203，用于将所述异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果；其中，所述异常检测模型由预先建立的神经网络模型训练得到。

基于相同的发明构思，本发明实施例还提供一种基于神经网络的工控***网络安全监测***二。如图3所示，该***可以包括：一个或多个处理器101、一个或多个输入设备102、一个或多个输出设备103和存储器104，上述处理器101、输入设备102、输出设备103和存储器104通过总线105相互连接。存储器104用于存储计算机程序，所述计算机程序包括程序指令，所述处理器101被配置用于调用所述程序指令执行上述基于神经网络的工控***网络安全监测方法实施例部分的方法。

应当理解，在本发明实施例中，所称处理器101可以是中央处理单元(CentralProcessing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

输入设备102可以包括键盘等，输出设备103可以包括显示器（LCD等）、扬声器等。

该存储器104可以包括只读存储器和随机存取存储器，并向处理器101提供指令和数据。存储器104的一部分还可以包括非易失性随机存取存储器。例如，存储器104还可以存储设备类型的信息。

具体实现中，本发明实施例中所描述的处理器101、输入设备102、输出设备103可执行本发明实施例提供的基于神经网络的工控***网络安全监测方法的实施例中所描述的实现方式，在此不再赘述。

需要说明的是，关于基于神经网络的工控***网络安全监测***的具体工作流程，可参考前述方法实施例部分，在此不再赘述。

进一步地，本发明实施例还提供了一种可读存储介质，存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被处理器执行时实现：上述基于神经网络的工控***网络安全监测方法。

所述计算机可读存储介质可以是前述实施例所述***的后台服务器的内部存储单元，例如***的硬盘或内存。所述计算机可读存储介质也可以是所述***的外部存储设备，例如所述***上配备的插接式硬盘，智能存储卡（Smart Media Card, SMC），安全数字（Secure Digital, SD）卡，闪存卡（Flash Card）等。进一步地，所述计算机可读存储介质还可以既包括所述***的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述***所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请中，对于相同或相似的术语概念、技术方案和/或应用场景描述，一般只在第一次出现时进行详细描述，后面再重复出现时，为了简洁，一般未再重复阐述，在理解本申请技术方案等内容时，对于在后未详细描述的相同或相似的术语概念、技术方案和/或应用场景描述等，可以参考其之前的相关详细描述。

在本申请中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本申请技术方案的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本申请记载的范围。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (6)

1.一种基于神经网络的工控***网络安全监测方法，其特征在于，包括：

采集工控***运行过程中的实时运行数据，所述实时运行数据为时序数据；

对所述实时运行数据进行第一预处理，获取其中的异常数据段，包括：

按照时间顺序对所述实时运行数据依次进行检测，获取其中的离群点及所述离群点的分布状态，包括：

按照时间顺序，依次计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，根据所述相对离群距离得到带有离群标识的离群数据以作为离群点；其中，

计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，包括：

计算每个所述实时运行数据与其余实时运行数据之间的马氏距离，将所述马氏距离作为每个所述实时运行数据与其余实时运行数据之间的相对离群距离；

根据所述相对离群距离得到带有离群标识的离群数据，包括：

将多个所述实时运行数据的马氏距离分别与预先设定的阈值进行对比，马氏距离超过所述阈值的实时运行数据为离群数据，并对每个所述离群数据标记离群标识；

根据所述离群点的分布状态，选取所述离群点中呈连续分布的离群点作为异常数据段；

将所述异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果；其中，所述异常检测模型由预先建立的神经网络模型训练得到。

2.如权利要求1所述的一种基于神经网络的工控***网络安全监测方法，其特征在于，训练所述神经网络模型得到异常检测模型，包括：

采集工控***的运行数据，建立工控***异常状态数据集，并将所述异常状态数据集划分为训练集与验证集；

将所述训练集输入所述神经网络模型进行训练，得到训练后的神经网络模型；

利用所述验证集验证所述训练后的神经网络模型，获得所述异常检测模型。

3.如权利要求2所述的一种基于神经网络的工控***网络安全监测方法，其特征在于，采集工控***的运行数据，建立工控***异常状态数据集，并将所述异常状态数据集划分为训练集与验证集，包括：

步骤1：从工控***的运行数据中获取原始异常数据；

步骤2：对所述原始异常数据进行第二预处理，得到异常特征分析输入向量X_i(i = 1,2,…,N)；

步骤3：使用经验模态分解将异常特征分析输入向量X_i分解为6个本征模态函数和1个剩余信号R_i，并线性重构为：/>；

步骤4：计算各个IMF分量的近似熵，得到异常特征分析输入向量的经验模态分解多尺度近似熵向量，并重复步骤2-步骤3，依次计算各个故障信号Xi的经验模态分解多尺度近似熵值，从而组建神经网络输入矩阵S0；

步骤5：将S0按照预设比例以随机抽样的方式划分成训练集S1和验证集S2。

4.如权利要求3所述的一种基于神经网络的工控***网络安全监测方法，其特征在于，所述第二预处理包括畸变点定位、统一长度截取和数据归一化。

5.如权利要求1所述的一种基于神经网络的工控***网络安全监测方法，其特征在于，所述神经网络模型为SOM神经网络。

6.一种基于神经网络的工控***网络安全监测***，其特征在于，包括：

数据采集模块，用于采集工控***运行过程中的实时运行数据，所述实时运行数据为时序数据；

数据处理模块，用于对所述实时运行数据进行第一预处理，获取其中的异常数据段，包括：

按照时间顺序对所述实时运行数据依次进行检测，获取其中的离群点及所述离群点的分布状态，包括：

按照时间顺序，依次计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，根据所述相对离群距离得到带有离群标识的离群数据以作为离群点；其中，

计算每个所述实时运行数据与其余实时运行数据之间的相对离群距离，包括：

计算每个所述实时运行数据与其余实时运行数据之间的马氏距离，将所述马氏距离作为每个所述实时运行数据与其余实时运行数据之间的相对离群距离；

根据所述相对离群距离得到带有离群标识的离群数据，包括：

将多个所述实时运行数据的马氏距离分别与预先设定的阈值进行对比，马氏距离超过所述阈值的实时运行数据为离群数据，并对每个所述离群数据标记离群标识；

根据所述离群点的分布状态，选取所述离群点中呈连续分布的离群点作为异常数据段；

异常确认模块，用于将所述异常数据段输入到预设的异常检测模型中进行异常分析，获得异常分析结果；其中，所述异常检测模型由预先建立的神经网络模型训练得到。