[发明专利]工控协议数据异常检测模型的训练方法和训练装置

说明书

公开一种工控协议数据异常检测模型的训练方法和训练装置，所述工控协议数据异常检测模型包括组合编码模块、预训练模型和自编码网络，所述训练方法包括：获取工控协议数据流，其中，所述工控协议数据流是以十六进制表示的数据；基于所述组合编码模块，将所述工控协议数据流中的每两个相邻的十六进制数绑定为组合码，并将组合码转换为索引值，从而得到索引序列；基于所述预训练模型，将所述索引序列转换为第一特征向量序列；基于所述自编码网络，将所述第一特征向量序列转换为第二特征向量序列并进行损失计算，从而对所述工控协议数据异常检测模型进行训练。该训练方法能够在无标签的情况下使训练后的模型准确识别工控协议数据的异常。

技术领域

本公开总体说来涉及数据异常检测技术领域，更具体地讲，涉及工控协议数据异常检测模型的训练方法和训练装置。

背景技术

工控协议具有半开放、半透明的特点，但是许多工控协议在设计之初并未充分考虑通信安全问题，致使多种多样的异常报文导致主设备或从设备异常，存在诸多安全隐患。

异常检测（或离群值检测）是从事件或观察结果中识别出罕见现象，这些事件由于与大多数数据有着显著差异而被怀疑为异常。目前，无论是在信用卡欺诈还是在垃圾邮件诈骗等电信诈骗、网络攻击等方面都存在着安全风险，而在工控协议数据流中，面临着更为特殊的安全威胁，因为在工控系统不间断的运行中，更新系统和补丁等防护措施很难实时做到。考虑到异常检测可以从数据中剔除异常数据，降低数据的噪音对正常数据的影响，因此，对于工控协议数据进行异常检测在数据安全方面具有现实的特殊意义。

现有的异常检测技术有通过数据解析的方式对通信协议、行为数据、网络数据和系统状态等进行异常检测，也有基于机器学习分类模型和聚类模型等进行异常检测，而这些模型通常需要有异常标签的数据，即需要人工给训练数据加上异常与否的标签来进行监督训练。然而，人工手动进行上千万条的数据标签的难度是巨大的，并且对已标签的数据进行大量的人工分析也需要花费大量时间。

发明内容

本公开基于新的组合编码方式，提供一种工控协议数据异常检测模型的训练方法和训练装置，从而能够在无标签的情况下使训练后的模型准确识别工控协议数据的异常。

在一个总的方面，提供一种工控协议数据异常检测模型的训练方法，所述工控协议数据异常检测模型包括组合编码模块、预训练模型和自编码网络，其中，所述训练方法包括：获取工控协议数据流，其中，所述工控协议数据流是以十六进制表示的数据；基于所述组合编码模块，将所述工控协议数据流中的每两个相邻的十六进制数绑定为组合码，并将组合码转换为索引值，从而得到索引序列；基于所述预训练模型，将所述索引序列转换为第一特征向量序列；基于所述自编码网络，将所述第一特征向量序列转换为第二特征向量序列并进行损失计算，从而对所述工控协议数据异常检测模型进行训练。

可选地，所述工控协议数据流包括第一数量个十六进制数，所述索引序列包括第二数量个索引值，其中，所述第一数量为所述第二数量的2倍。

可选地，所述基于所述组合编码模块，将所述工控协议数据流中的每两个相邻的十六进制数绑定为组合码，并将组合码转换为索引值，从而得到索引序列的步骤包括：通过将所述工控协议数据流中的每两个相邻的十六进制数绑定为组合码，得到样本序列，其中，所述样本序列包括第二数量个组合码；基于预设的索引词典库，将所述样本序列中的组合码转换为索引值，从而将所述样本序列转换为索引序列，其中，所述索引词典库中的每个索引值各自对应一个组合码。

可选地，所述索引词典库包括256种索引值与组合码的对应关系。

可选地，所述基于所述预训练模型，将所述索引序列转换为第一特征向量序列的步骤包括：基于所述预训练模型，将所述索引序列中的索引值转换为特征向量，从而将所述索引序列转换为第一特征向量序列，其中，每个索引值各自转换为预设维度的特征向量，所述第一特征向量序列包括第二数量个特征向量。