[发明专利]一种基于MFLSTM的隐蔽数据攻击检测方法

权利要求书

1.一种应对隐秘数据攻击的基于MFLSTM预测的入侵检测方法，其特征在于，包括：

步骤1，由随机森林袋外数据及热点图组成特征关键度评估与特征联系性评估，以此研究同一传感器侧下数据间的紧密关系，为后续模型训练做好准备；

步骤2，利用不同时刻的，关键度与联系性都表现优秀的特征数据作为输入，对多特征长短期记忆网络MFLSTM进行训练，同时在训练时筛去参数不达标的数据，以此使模型达到能够学习到不同特征数据间有助于数据预测的信息；

步骤3，成功进行攻击检测后，本发明根据阈值超过残差的频率决定是否引发警报。

2.根据权利要求1所述的一种应对隐秘数据攻击的基于MFLSTM预测的入侵检测方法，其特征在于，所述步骤1中通过随机森林袋外数据及热点图，计算数据关键度及联系性具体包括：

步骤11，获取SCADA得到的传感器侧多种特征数据信息:在过程中，本发明将隐秘数据攻击投放于STEP7协议的攻击签名集中，首先从数据包中提取有效载荷，然后过滤掉表示传感器测量值的字节；随后对这些字节进行预处理，以获得测量值的十进制表示，并对其制造仿真的隐秘数据攻击获得数据z＝(z₁,z₂，...,z_m)^T；

步骤12，特征数据关键度评分：为探究特征数据关键度，本发明采用一种基于随机森林的特征评估方法，定量分析了来自传感器侧的多类数据信号的关键程度，通过OOB袋外数据错误率计算节点的特征重要性；

步骤13，运用热点图进行数据联系性评价：运用热点图对数据z进行关联性分析，通过分析热点图直接数据的紧密程度对z中两两数据的关联值进行记录；

步骤14，对不同时间阶段的数据进行平滑处理：在模型训练和测试之前，首先使用移动平均低通滤波器对原始数据进行平滑，以实现去噪的功能。

3.根据权利要求1所述的一种应对隐秘数据攻击的基于MFLSTM预测的入侵检测方法，其特征在于，所述步骤2中利用步骤1所处理数据作为输入对多特征LSTM进行训练具体包括：

步骤21，数据整理，具体操作为：将第一阶段处理后的传感器侧数据集合z以不同时刻进行分离处理；t时刻与t-1时刻数据与所预测数据具有着不同的关键度与联系性，一般的，过去时刻数据对未来数据的影响与关联会有所减弱；最终将z以以下方式排列，Q_z(t)为t-1时刻的特征数据；

t时刻数据排列方式：F_z(t)＝(z₁′(t),z₂′(t)，...,z_i-1′(t),z_i+1′(t),...,z_m′(t))

t-1时刻数据排列方式：Q_z(t)＝F_z(t-1)

步骤22，对数据进行筛选，获取有价值的信息及其权重，具体操作为：对Q_z(t)中数据进行关键度与联系性判断，最终得到二者的综合权重；参数ω＝[ω_i,ω_q]为经过数据处理后的关键度权重，ω_i与ω_q分别代表t时刻与t-1时刻的特征数据关键度；

步骤23，根据结果评价是否需要为MFLSTM引入更多过去信息：权重过低的数据会被标记为接近负无穷，在后续的遗忘门依次筛去，只留下关键度与联系性合格的数据作为MFLSTM的输入；遗忘门函数为f_t＝σ(W_fx_t+U_fh_t-1+b_f)，其中σ代表sigmoid函数，不符合标准的数据将在此处被筛去；

步骤24，从遗忘门中筛去无用的过去时刻信息：一般的，过去时刻特征数据的距今时刻数与目标预测数据的关键度与联系性呈负相关，因此大多时间较久的数据会在本步骤被筛去；

步骤25，不同时刻信息进行合并，共同作为后续输入：将筛选后的t-1时刻数据与t时刻数据结合作为MFLSTM的输入；

筛后输入：I＝[(z₁(2),...,z_k(2),z₁(1),...,z_k(1)),...,(z₁(t),...,z_k(t),z₁(t-1),...,z_r(t-1))]^T

步骤26，利用本时刻与上一时刻有价值信息共同进行MFLSTM模型训练：MFLSTM中由多个本时刻与上一时刻的同一传感器测下高亲密度联系的数据特征为输入，应用反向传播(BPTT)进行训练，对所需数据进行预测。