(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111638957.5 (22)申请日 2021.12.3 0 (71)申请人 沈阳化工大 学 地址 110142 辽宁省沈阳市经济技 术开发 区11号街 (72)发明人 曹春明　宗学军　何戡　郑洪宇　 杨忠君　连莲　孙逸菲　 (74)专利代理 机构 沈阳技联专利代理有限公司 21205 专利代理师 张志刚 (51)Int.Cl. G06F 21/55(2013.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于变分自编码器和深度回声状态网 络入侵检测方法 (57)摘要 本发明公开了一种基于变分自编码器和深 度回声状态网络的工业入侵检测方法， 涉及一种 工业控制网络入侵检测方法。 该方法实现方式 为： 将捕获的数据集进行标准化处理， 划分训练 集与测试集， 考虑到样本不平衡问题， 利用变分 自编码器的概率生成特性， 生成少数类攻击样 本， 将处理好的数据送入待训练的深度回声状态 网络模型， 回声状态网络由于舍弃了反向传播机 制， 极大缩短了训练时间， 并且通过堆叠储备池 可以有效提取数据中的潜在特征。 结果表明， 本 发明不仅取得了相对较短的训练耗时， 其检测性 能如准确率、 精确率和检出率等也有了一定的提 升， 更适合工业环境， 此外， 当入侵检测数据集存 在样本不平衡问题时， 本发明依然可以取得良好 的检测效果。 权利要求书1页 说明书9页 附图5页 CN 114491511 A 2022.05.13 CN 114491511 A 1.一种基于变分自编码器和深度回声状态网络的工业入侵检测方法， 其特征在于， 所 述方法包括以下步骤： 步骤1： 对 入侵检测数据集进行 数据预处 理， 将其划分为训练集与测试集； 步骤2： 利用变分自编码器的概率生成特性， 生成少数类攻击样本， 添加到训练集中平 衡样本分布， 测试集 不添加任何样本； 步骤3： 搭建深度回声状态模型， 将训练集传入深度回声状态网络模型， 利用多层储备 池有效提取 数据的潜在特 征， 输出层输出样本在不同类别上的预测值； 步骤4： 设置损失函数负责计算预测值与真实值之间的差距， 利用梯度 下降算法更新网 络参数， 保存训练好的深度回声状态网络模型； 步骤5： 将测试集传入深度回声状态网络模型完成分类  。 2.根据权利要求1所述的一种基于变分 自编码器和深度回声状态网络的工业入侵检测 方法， 其特 征在于， 所述深度回声状态网络模型的隐藏层中， 储备池内神经 元状态公式为： 时刻， 第一层储备池由外部输入 输入， 之后每一层输入由堆栈中前一层的输出提 供， 每个储备池 的神经元数量为 ， 表示 时刻第 层的神经元状态； 第一层 储备池的神经 元状态公式如下： 第二层及以后储备池的神经 元状态公式如下： 其中 为输入权重矩阵， 为每层储备池的内部权重， 为第 层与第 层之间的内部层连接 权重， 为第 层的漏积参数。 3.根据权利要求1所述的一种基于变分 自编码器和深度回声状态网络的工业入侵检测 方法， 其特 征在于， 所述深度回声状态网络模型的输出层设置： 输出层选用神经网络中的全连接层， 激活函数设置为Softmax； 输出层的输入为每个储 备池状态的加权和， 即输入 输出层最后的输出维度 为标签类别。权　利　要　求　书 1/1 页 2 CN 114491511 A 2一种基于变分自编码器和深度回声状态网 络入侵检测方 法 技术领域 [0001]本发明涉及 一种工业控制网络入侵检测方法， 特别是涉及一种基于变分自编码器 和深度回声状态网络的工业入侵检测方法。 背景技术 [0002]黑客针对工业控制系统 （ICS） 的网络攻击威胁到国家安全， 工业控制网络 （ICN） 是 工业控制系统的重要组成部分， 信息技术的发展给人们 带来便利的同时， 也带来了安全上 的挑战， 早期的工业控制系统只注重实用性和稳定性， 必须保证长时间不间断运行， 仅仅为 了安全更新而中断这些系统会造成经济损失和影响工作效率， 例如城市电力系统， 一次短 暂的停电都可能影响几万人 的日常生活。 工业控制系统是国家基础设施的核心， 一旦遭到 攻击会造成经济损失和影响工作效率， 及时且准确的检测到网络异常流 量显得尤为重要。 [0003]基于异常的网络入侵检测方法近年来受到学者们的关注， 通过收集并分析工业控 制系统中的网络流量， 总 结正常情况时流量特征 的规律， 将正常流量与待检测流量进行比 较来判断系统是否 遭到攻击， 其优点是用户可以通过优化 算法得到更精确的检测结果。 [0004]目前， 工业异常检测在取得成功的同时还存在两个问题亟需解决： 一是样本不平 衡， 没有足够 多的攻击样本可供训练导致对异常样本的检出率低； 二是模型训练复杂， 现实 中的网络流 量传输速度很快， 复杂的入侵检测算法检测时间太慢。 发明内容 [0005]本发明的目的在于提供一种基于变分自编码器和深度回声状态网络的工业入侵 检测方法， 该方法利用变分 自编码器(Variational  Auto‑Encoders,VAE)对采集到的数据 集中的少数类样 本进行扩充， VAE是一种深度生 成模型， 其重构原始输入样本概率密度分布 的能力也可以用来生成异常流量； 针对模型结构复杂导致检测速率低的问题， 该方法基于 深度回声状态网络的网络(Deep  Echo State Network， DESN)入侵检测方法(D ‑IDS)， ESN由 于舍弃了反向传播机制， 极大缩短了训练时间， 并且通过堆叠储备池可以有效提取数据中 的潜在特 征。 [0006]本发明的目的是通过以下技 术方案实现的： 一种基于变分自编码器和深度回声状态网络的工业入侵检测方法， 所述方法包括 以下步骤： 步骤1： 对 入侵检测数据集进行 数据预处 理， 将其划分为训练集与测试集； 步骤2： 利用变分自编码器 的概率生成特性， 生成少 数类攻击样本， 添加到训练集 中平衡样本分布， 测试集 不添加任何样本； 步骤3： 搭建深度回声状态模型， 将训练集传入深度回声状态网络模型， 利用多层 储备池有效提取 数据的潜在特 征， 输出层输出样本在不同类别上的预测值； 步骤4： 设置损失函数负责计算预测值与真实值之间的差距， 利用梯度下降算法更 新网络参数， 保存训练好的深度回声状态网络模型；说　明　书 1/9 页 3 CN 114491511 A 3