CN118214584A - 一种工控网络安全风险预测方法及装置 - Google Patents
一种工控网络安全风险预测方法及装置 Download PDFInfo
- Publication number
- CN118214584A CN118214584A CN202410203895.2A CN202410203895A CN118214584A CN 118214584 A CN118214584 A CN 118214584A CN 202410203895 A CN202410203895 A CN 202410203895A CN 118214584 A CN118214584 A CN 118214584A
- Authority
- CN
- China
- Prior art keywords
- risk prediction
- security risk
- industrial control
- layer
- control network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000013058 risk prediction model Methods 0.000 claims abstract description 46
- 238000007781 pre-processing Methods 0.000 claims abstract description 22
- 239000000284 extract Substances 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 57
- 238000013528 artificial neural network Methods 0.000 claims description 22
- 239000011159 matrix material Substances 0.000 claims description 22
- 239000013598 vector Substances 0.000 claims description 19
- 238000012549 training Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 14
- 238000004364 calculation method Methods 0.000 claims description 13
- 230000015654 memory Effects 0.000 claims description 11
- 230000007246 mechanism Effects 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 8
- 230000014509 gene expression Effects 0.000 claims description 5
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 10
- 238000009826 distribution Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000003064 k means clustering Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012847 principal component analysis method Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种工控网络安全风险预测方法及装置,涉及人工智能技术领域。所述方法包括:获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。所述装置执行上述方法。本发明实施例提供的工控网络安全风险预测方法及装置,能够提高工控网络安全风险预测的准确性。
Description
技术领域
本发明涉及人工智能技术领域,具体涉及一种工控网络安全风险预测方法及装置。
背景技术
近几年,工控网络及工控***遭遇的攻击数量逐年上升,针对工业互联网进行攻击的攻击者也逐渐专业化、组织化,攻击行为也在不断升级,目前已经从传统的攻击方式逐步向0-day漏洞利用、嵌套式攻击和木马潜伏植入等更高级的攻击形式转变,这些行为运用了大量的AI工程、情报工程、躲避工程和社会工程等多方面干扰因素。同样,随着封闭的工业控制环境接入到相对开放的企业信息网络下,互联网的安全威胁也渗透到了工业领域,由于传统工业领域相对封闭的生产环境接入到相对开放的互联网中,导致攻击路径增多,多样化的网络攻击会直接入侵生产一线,使得工业生产的安全隐患愈加严重。在这种情形下,对工控网络风险的预测就显得十分重要。
现有技术通过大量实验和训练来构建网络安全风险预测RBF神经网络模型。该方法结合神经网络对网络风险进行预测,大大提高了风险预测的效率,但与此同时存在基函数选择难和数据量大的问题。
也有现有技术提出了一种马尔可夫时变模型,该模型使用跟随时间变化的***状态转移概率矩阵,打破了传统马尔可夫预测对***状态转移概率矩阵不随时间变化的假设。但是该模型并不能很好地适用于工控网络***,因为其网络模型虽然在数据采样分类时采用主成分分析法,很好地实现数据降维,使运算工作量得到减轻,但其过于简单的模型不能满足工控网络对于数据严密性和数据精度的实际需求。
发明内容
针对现有技术中的问题,本发明实施例提供一种工控网络安全风险预测方法及装置,能够至少部分地解决现有技术中存在的问题。
一方面,本发明提出一种工控网络安全风险预测方法,包括:
获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
其中,所述对所述待测数据进行预处理,包括:
对所述待测数据进行数值化处理,得到数值特征向量;
对所述数值特征向量进行标准化处理,得到归一化的数值特征向量。
其中,根据带加权损失函数的去噪自编码器提取样本特征,包括:
根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数的去噪自编码器的损失函数;
根据所述损失函数提取得到所述样本特征。
其中,所述根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数,包括:
根据如下表达式表示所述带加权损失函数:
其中,LDAE为所述带加权损失函数,Lmse为由均方差计算得到的重构误差,Lreg为与正则化项对应的损失项,WL为权重矩阵,m为样本特征个数。
其中,集成有注意力层的LSTM包括多注意力层、LSTM层、Dropout层和自注意力层;
其中,所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层依次相连。
其中,根据所述样本特征训练集成有注意力层的LSTM得到预设工控网络安全风险预测模型,包括:
根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态;
输入所述LSTM神经网络层输出状态至全连接层,得到安全风险预测值,并通过输出层输出所述安全风险预测值;
经过多次训练,对输出的安全风险预测值不断优化,得到所述预设工控网络安全风险预测模型。
其中,所述根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态,包括:
将根据所述样本特征划分得到的训练集输入至所述多注意力层,得到经过注意力机制动态调配的新样本特征;
输入所述新样本特征至所述LSTM层,得到模型参数;
输入所述模型参数至所述Dropout层,得到提升模型泛化能力的优化模型参数;
输入所述优化模型参数至所述自注意力层,得到LSTM神经网络层输出状态。
一方面,本发明提出一种工控网络安全风险预测装置,包括:
获取单元,用于获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
预测单元,用于基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
再一方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
本发明实施例提供的工控网络安全风险预测方法及装置,获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到,能够提高工控网络安全风险预测的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明一实施例提供的工控网络安全风险预测方法的流程示意图。
图2是本发明另一实施例提供的工控网络安全风险预测方法的流程示意图。
图3是本发明一实施例提供的工控网络安全风险预测装置的结构示意图。
图4为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1是本发明一实施例提供的工控网络安全风险预测方法的流程示意图,如图1所示,本发明实施例提供的工控网络安全风险预测方法,包括:
步骤S1:获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理。
步骤S2:基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
在上述步骤S1中,装置获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理。装置可以是执行该方法的计算机设备,例如可以为服务器。需要说明是,本发明实施例涉及数据的获取及分析是经用户授权的。待测数据包括工控网络流量、安全日志、监控视频等数据,所述对所述待测数据进行预处理,包括:
对所述待测数据进行数值化处理,得到数值特征向量;
对所述数值特征向量进行标准化处理,得到归一化的数值特征向量。
在上述步骤S2中,装置基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;可以将预处理后的待测数据输入至预设工控网络安全风险预测模型,将预设工控网络安全风险预测模型的输出结果作为安全风险预测结果,具体可以包括安全风险预测等级,例如高风险、中风险和低风险。
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。提取样本特征之前,可以先构建数据集,说明如下:
本发明采用的风险预测模型数据集主要包括工控网络流量、安全日志、监控视频等数据,将这些数据连接成一个数据集。
1)工控网络流量,是指通过网络传输的各种数据包。通过对工控网络流量的分析,可以检测出异常的网络流量,如攻击流量、恶意软件传播等。
2)攻击事件数据:攻击事件数据主要包括各种网络攻击事件的记录。这些数据包含了攻击的类型、目标、时间等信息。
3)安全日志数据:安全日志数据包括各种网络设备和***的安全日志记录。
对数据集中的数据进行预处理,包括:
数值化处理,说明如下:
在数据集中的数据输入到模型之前,需要将数据的非数字特征转换为数值特征,并执行特征映射,这个过程被称为特征编码。本发明采用One-hot编码将标称特征转换为二进制向量,将标称特征转换成数值。
标准化处理,说明如下:
由于数值特征向量在不同维度上具有不一致的特征尺度,如果不对其进行标准化处理,可能会使模型对某些特征过于敏感,从而对模型的可靠性和稳定性造成影响。为了将所有特征都转换为相同的尺度,要将数据进行标准化处理,方便对其更好地进行分析和比较。标准化后的数据与原始数据保持相同的线性分布关系,有利于模型的收敛速度和精度的提高。所以对特征进行归一化处理,将工控网络安全数据宏观参数的数值映射在区间[0,1]内,公式如下所示:
x'为归一化的数值特征向量,x为归一化前的数值特征向量。
对于预设工控网络安全风险预测模型使用过程中,对待测数据进行预处理的说明,与上述对数据集中的数据进行预处理的说明相同,不再赘述。
根据带加权损失函数的去噪自编码器提取样本特征,包括:
根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数的去噪自编码器的损失函数;
根据所述损失函数提取得到所述样本特征。
所述根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数,包括:
根据如下表达式表示所述带加权损失函数:
其中,LDAE为所述带加权损失函数,Lmse为由均方差计算得到的重构误差,Lreg为与正则化项对应的损失项,WL为权重矩阵,m为样本特征个数。
说明如下:
为了提高模型预测的准确率,数据经过数值化和标准化后还需要进行特征选择。通过特征选择,可以去除数据集中与风险预测无关以及冗余的特征,从而减少干扰和噪声,使数据维度降低。通过从繁多的特征集中选择出与网络安全最相关的特征子集,使得计算复杂度降低,从而提高模型的泛化能力和准确性。
常用的特征选择方法有k均值聚类、基于信息增益的统计方法和主成分分析等。这些方法虽然具有分类速度快、***紧凑等优点,但是检测精度较低,不能满足工控网络风险预测的要求。
因此本方法使用带加权损失函数的去噪自编码器(DAE)对数据集进行特征选择,通过引入噪声来提取出更有意义的特征。
DAE是一种非线性特征提取方法,对数据中的复杂模式和非线性关系能够有效地进行捕捉。在DAE在训练过程中,利用加权损失函数为工控网络数据特征分配不同的权重,从而诱导其更加注重攻击样本的重构,使得选择出的特征更加有利于风险预测准确率的提高。计算每个特征在编码器权重矩阵中的行向量的L2范数作为该特征的权重。DAE的损失函数为:
其中,m是样本特征个数;Lmse是由均方差MSE计算得到的重构误差;Lreg是与正则化项对应的损失项;WL为权重矩阵,通过将权重矩阵结合到均方差损失中得到最终的损失函数。
如图2所示,集成有注意力层的LSTM包括多注意力层、LSTM层、Dropout层和自注意力层;
其中,所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层依次相连。
根据所述样本特征训练集成有注意力层的LSTM得到预设工控网络安全风险预测模型,包括:
根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态;
输入所述LSTM神经网络层输出状态至全连接层,得到安全风险预测值,并通过输出层输出所述安全风险预测值;
经过多次训练,对输出的安全风险预测值不断优化,得到所述预设工控网络安全风险预测模型。
所述根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态,包括:
将根据所述样本特征划分得到的训练集输入至所述多注意力层,得到经过注意力机制动态调配的新样本特征;
输入所述新样本特征至所述LSTM层,得到模型参数;
输入所述模型参数至所述Dropout层,得到提升模型泛化能力的优化模型参数;
输入所述优化模型参数至所述自注意力层,得到LSTM神经网络层输出状态。
将经过DAE特征选择后的样本特征分为训练集Xt和测试集Xc,将训练集输入到ATT-LSTM-ATT(注意力层-长短期记忆网络-注意力层)模型。
ATT-LSTM-ATT模型输入层计算特征注意力分配。多注意力层将注意力分配到各个特征,其具体公式为:
XtWQ=Q,XtWK=K,XtWV=V
其中,gt为注意力分配矩阵;WQ,WK,WV分别为对应的线性变换矩阵;Xt为经过特征选择后的样本特征;Q为查询向量;K为键向量;V为值向量;T表示转置;tanh为激活函数。
对得到的注意力分配矩阵进行归一化处理:
其中,Softmax为归一化函数;αt为归一化后的注意力分配矩阵;f为特征值个数;X't为经过注意力机制动态调配的新样本特征。
输入所述新样本特征至所述LSTM层,得到模型参数。
ATT-LSTM-ATT模型输出层计算时序注意力分配。结合预测目标,通过自注意力机制分析历史时间节点对当前隐藏层状态的影响,动态调配时序注意力权重并与全局隐藏层状态加权,得到ATT-LSTM-ATT模型隐藏层最优输出结果。该过程的表达式分别为:
ht=tanh(Wh[ct;ht])
其中,f(hi,ht)表示注意力分布;Wa和Wh分别为对应的线性变换矩阵;hi为第i个输入;αi,t代表注意力权重;n为样本容量;m为滑动窗口步数;s为输入总个数;ht为隐藏层状态量输出;ct是LSTM神经网络层时序注意力分配后的中间向量;ht表示LSTM神经网络层输出状态;[ct;ht]为ct和ht横向拼接构成的矩阵。
需要说明的是,上述两个线性变换矩阵都为需要训练的权重参数矩阵,属于黑盒变量,没有实际的参数定义,只是表示不同步骤的对应的线性变换矩阵。
ATT-LSTM-ATT模型结果输出。将上一步LSTM神经网络输出状态输入到全连接层,并得到模型最终输出结果,其计算公式为:
yt=tanh(V'ht)
其中,yt为安全风险预测值,V'为WQ和WK拼接构成的总权重矩阵。
经过多次训练,得到最优模型,布置到工控***上对网络安全风险进行预测。
本发明实施例提供的工控网络安全风险预测方法,首先,现阶段使用的主成分分析和k均值聚类等特征选择方法存在检测精度较低的问题,不利于对工控网络安全数据的初步筛选。针对此,本发明在特征选择部分带加权损失函数的去噪自编码器对与攻击相关的特征赋予了更多的重要性,去除掉无关特征和噪声,使得选择结果更有利于下一步模型的预测;然后,针对LSTM模型进行改进基于改善神经网络内部结构视角,将多注意力机制和自注意力机制分别引入到LSTM神经网络内部,构建ATT-LSTM-ATT预测模型,通过注意力机制动态调配,进一步给予更关键特征分配更多注意力权重。另一方面引入自注意力机制,结合历史信息分析工控网络安全数据时序特性,挖掘出历史关键时点信息,给关键时点赋予更多权重,优化模型输出,大大提高模型预测的准确性。
本发明实施例提供的工控网络安全风险预测方法,获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到,能够提高工控网络安全风险预测的准确性。
进一步地,所述对所述待测数据进行预处理,包括:
对所述待测数据进行数值化处理,得到数值特征向量;可参照上述实施例说明,不再赘述。
对所述数值特征向量进行标准化处理,得到归一化的数值特征向量。可参照上述实施例说明,不再赘述。
进一步地,根据带加权损失函数的去噪自编码器提取样本特征,包括:
根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数的去噪自编码器的损失函数;可参照上述实施例说明,不再赘述。
根据所述损失函数提取得到所述样本特征。可参照上述实施例说明,不再赘述。
进一步地,所述根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数,包括:
根据如下表达式表示所述带加权损失函数:
其中,LDAE为所述带加权损失函数,Lmse为由均方差计算得到的重构误差,Lreg为与正则化项对应的损失项,WL为权重矩阵,m为样本特征个数。可参照上述实施例说明,不再赘述。
进一步地,集成有注意力层的LSTM包括多注意力层、LSTM层、Dropout层和自注意力层;
其中,所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层依次相连。可参照上述实施例说明,不再赘述。
进一步地,根据所述样本特征训练集成有注意力层的LSTM得到预设工控网络安全风险预测模型,包括:
根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态;可参照上述实施例说明,不再赘述。
输入所述LSTM神经网络层输出状态至全连接层,得到安全风险预测值,并通过输出层输出所述安全风险预测值;可参照上述实施例说明,不再赘述。
经过多次训练,对输出的安全风险预测值不断优化,得到所述预设工控网络安全风险预测模型。可参照上述实施例说明,不再赘述。
进一步地,所述根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态,包括:
将根据所述样本特征划分得到的训练集输入至所述多注意力层,得到经过注意力机制动态调配的新样本特征;可参照上述实施例说明,不再赘述。
输入所述新样本特征至所述LSTM层,得到模型参数;可参照上述实施例说明,不再赘述。
输入所述模型参数至所述Dropout层,得到提升模型泛化能力的优化模型参数;可参照上述实施例说明,不再赘述。
输入所述优化模型参数至所述自注意力层,得到LSTM神经网络层输出状态。可参照上述实施例说明,不再赘述。
图3是本发明一实施例提供的工控网络安全风险预测装置的结构示意图,如图3所示,本发明实施例提供的工控网络安全风险预测装置,包括获取单元301和预测单元302,其中:
获取单元301用于获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;预测单元302用于基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
具体的,装置中的获取单元301用于获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;预测单元302用于基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
本发明实施例提供的工控网络安全风险预测装置,获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到,能够提高工控网络安全风险预测的准确性。
本发明实施例提供工控网络安全风险预测装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图4为本发明实施例提供的电子设备实体结构示意图,如图4所示,所述电子设备包括:处理器(processor)401、存储器(memory)402和总线403;
其中,所述处理器401、存储器402通过总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:
获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:
获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述各方法实施例所提供的方法,例如包括:
获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种工控网络安全风险预测方法,其特征在于,包括:
获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
2.根据权利要求1所述的工控网络安全风险预测方法,其特征在于,所述对所述待测数据进行预处理,包括:
对所述待测数据进行数值化处理,得到数值特征向量;
对所述数值特征向量进行标准化处理,得到归一化的数值特征向量。
3.根据权利要求1所述的工控网络安全风险预测方法,其特征在于,根据带加权损失函数的去噪自编码器提取样本特征,包括:
根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数的去噪自编码器的损失函数;
根据所述损失函数提取得到所述样本特征。
4.根据权利要求3所述的工控网络安全风险预测方法,其特征在于,所述根据由均方差计算得到的重构误差、与正则化项对应的损失项、权重矩阵和样本特征个数,得到带加权损失函数,包括:
根据如下表达式表示所述带加权损失函数:
其中,LDAE为所述带加权损失函数,Lmse为由均方差计算得到的重构误差,Lreg为与正则化项对应的损失项,WL为权重矩阵,m为样本特征个数。
5.根据权利要求1至4任一所述的工控网络安全风险预测方法,其特征在于,集成有注意力层的LSTM包括多注意力层、LSTM层、Dropout层和自注意力层;
其中,所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层依次相连。
6.根据权利要求5所述的工控网络安全风险预测方法,其特征在于,根据所述样本特征训练集成有注意力层的LSTM得到预设工控网络安全风险预测模型,包括:
根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态;
输入所述LSTM神经网络层输出状态至全连接层,得到安全风险预测值,并通过输出层输出所述安全风险预测值;
经过多次训练,对输出的安全风险预测值不断优化,得到所述预设工控网络安全风险预测模型。
7.根据权利要求6所述的工控网络安全风险预测方法,其特征在于,所述根据所述样本特征、所述多注意力层、所述LSTM层、所述Dropout层和所述自注意力层,得到LSTM神经网络层输出状态,包括:
将根据所述样本特征划分得到的训练集输入至所述多注意力层,得到经过注意力机制动态调配的新样本特征;
输入所述新样本特征至所述LSTM层,得到模型参数;
输入所述模型参数至所述Dropout层,得到提升模型泛化能力的优化模型参数;
输入所述优化模型参数至所述自注意力层,得到LSTM神经网络层输出状态。
8.一种工控网络安全风险预测装置,其特征在于,包括:
获取单元,用于获取工控网络安全风险预测的待测数据,对所述待测数据进行预处理;
预测单元,用于基于预设工控网络安全风险预测模型对预处理后的待测数据进行安全风险预测,得到安全风险预测结果;
其中,所述预设工控网络安全风险预测模型根据带加权损失函数的去噪自编码器提取样本特征,并根据所述样本特征训练集成有注意力层的LSTM得到。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410203895.2A CN118214584A (zh) | 2024-02-23 | 2024-02-23 | 一种工控网络安全风险预测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410203895.2A CN118214584A (zh) | 2024-02-23 | 2024-02-23 | 一种工控网络安全风险预测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118214584A true CN118214584A (zh) | 2024-06-18 |
Family
ID=91445415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410203895.2A Pending CN118214584A (zh) | 2024-02-23 | 2024-02-23 | 一种工控网络安全风险预测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118214584A (zh) |
-
2024
- 2024-02-23 CN CN202410203895.2A patent/CN118214584A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112905421B (zh) | 基于注意力机制的lstm网络的容器异常行为检测方法 | |
CN107493277B (zh) | 基于最大信息系数的大数据平台在线异常检测方法 | |
CN111783442A (zh) | 入侵检测方法、设备和服务器、存储介质 | |
CN111600919B (zh) | 智能网络应用防护***模型的构建方法和装置 | |
CN109446804B (zh) | 一种基于多尺度特征连接卷积神经网络的入侵检测方法 | |
CN112668688B (zh) | 一种入侵检测方法、***、设备及可读存储介质 | |
CN112738014A (zh) | 一种基于卷积时序网络的工控流量异常检测方法及*** | |
CN110868414B (zh) | 一种基于多投票技术的工控网络入侵检测方法及*** | |
CN113705809B (zh) | 一种数据预测模型训练方法、工业指标预测方法和装置 | |
CN113660196A (zh) | 一种基于深度学习的网络流量入侵检测方法及装置 | |
CN112134862A (zh) | 基于机器学习的粗细粒度混合网络异常检测方法及装置 | |
Ding et al. | Efficient BiSRU combined with feature dimensionality reduction for abnormal traffic detection | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
CN114528547A (zh) | 基于社区特征选择的icps无监督在线攻击检测方法和设备 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN117097541A (zh) | Api服务攻击检测方法、装置、设备和存储介质 | |
CN117176417A (zh) | 网络流量异常确定方法、装置、电子设备和可读存储介质 | |
CN117580046A (zh) | 一种基于深度学习的5g网络动态安全能力调度方法 | |
CN116702143A (zh) | 基于api特征的恶意软件智能检测方法 | |
KR102548321B1 (ko) | 효율적인 악성 위협 탐지를 위한 valuable alert 선별 방법 | |
CN115883424A (zh) | 一种高速骨干网间流量数据预测方法及*** | |
CN118214584A (zh) | 一种工控网络安全风险预测方法及装置 | |
CN114760128A (zh) | 一种基于重采样的网络异常流量检测方法 | |
CN114091021A (zh) | 一种用于电力企业安全防护的恶意代码检测方法 | |
CN113852612A (zh) | 一种基于随机森林的网络入侵检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |