买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网恭喜浙江大学申请的专利一种基于序列预测的工控网络流量异常检测方法及装置获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN115396204B 。

龙图腾网通过国家知识产权局官网在2025-03-14发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202211031858.5，技术领域涉及：H04L9/40；该发明授权一种基于序列预测的工控网络流量异常检测方法及装置是由潘洁;耿洋洋;车欣;邓瑞龙;赵成成;孙铭阳;程鹏;陈积明设计研发完成，并于2022-08-26向国家知识产权局提交的专利申请。

本一种基于序列预测的工控网络流量异常检测方法及装置在说明书摘要公布了：本发明公开了一种基于序列预测的工控网络流量异常检测方法及装置，增加了工业控制系统异常检测的召回率和检测精度。本发明针对工业控制系统流量包特征，在考虑五元组信息基础上，考虑工控协议特有的功能码、工业控制系统长期稳定运行造成的数据包时间特征和功能码和数据包长度的耦合性等特征，利用多层次白名单对报文进行初筛，提高检测效率，减小异常数据对模型性能的影响；使用LSTM‑SVM模型结构，使用考虑时序信息的神经网络提取数据包间隐藏的逻辑关系，使用SVM输出分类结果，提高检测准确率。

本发明授权一种基于序列预测的工控网络流量异常检测方法及装置在权利要求书中公布了：1.一种基于序列预测的工控网络流量异常检测方法，其特征在于，包括如下步骤：1采用混杂模式利用抓包软件采集工业控制系统通信数据，包括长时间正常运行状态下的数据包和异常状态下的数据包，去除内网主机自动查询默认网关的正常通信行为，并对通信数据中的每条数据包标记类别标签，构建得到训练集；2对工业控制系统的每个数据包进行协议解析工作，识别、提取其中的有效特征，包括：源IP、目的IP、源端口、目的端口、协议类型、工控协议功能码、数据包长度、两条数据包之间的时间间隔、工控协议数据段长度；其中，源IP、目的IP、源端口、目的端口、协议类型、工控协议功能码是类别量；3创建白名单，并使用白名单进行初步筛查；所述白名单包括依次排列的三个部分：五元组白名单、工控协议功能码白名单、工控协议数据段长度白名单，只有处于白名单范围内的数据包才能通过筛查，将筛查掉的数据包标记为异常数据包；4将每条数据包中提取出的有效特征进行预处理，转化为一条标准化的向量数据；4.1对时间间隔特征的预处理方式包括：计算当前数据包接收时间与上一数据包接收时间的时间间隔；对时间间隔特征取10的对数后进行最大最小归一化处理，将归一化后的时间间隔特征利用聚类算法分为若干分布区间，将分布区间编号更新到原始对应数据包中；4.2对数据包长度特征的预处理方式包括：对于不同长度的数据包，将其长度特征按比例均匀压缩到不同的数字区间，对压缩后的长度特征值进行最大最小归一化处理后作为数据包长度特征；4.3将每条数据包的所有类别量、经步骤4.1处理后的分布区间编号、经过步骤4.2处理后的数据包长度特征连接成可哈希的字符串，对数据包进行编号，并转换成one-hot向量；5利用步骤4得到的one-hot向量，建立基于LSTM-SVM结构的预测模型，用来预测下一时刻数据包类型；利用预测模型将异常检测问题转化为损失函数的优化问题，对预测模型进行训练优化，并更新预测模型的参数；所述预测模型包括依次连接的Embedding层、LSTM隐藏层1、Dropout层、LSTM隐藏层2和SVM层；Embedding层将输入的one-hot向量转换为长度为N的词向量；两个LSTM隐藏层接收样本特征用于训练；Dropout层用于避免模型过拟合；SVM层作为输出层，以LSTM隐藏层2输出的隐含层稀疏特征数据作为输入，输出数据包类型；所述SVM层的分类决策函数f如下： 其中为拉格朗日乘子且yn为类别标签，y∈{+1,-1}，sgn·为符号函数，b*为偏置，k·,·为径向基核函数，xn为训练集中的第n个样本，x为自变量；6使用步骤5中训练完成的模型，对实际工业控制系统中待检测数据包进行检测，待检测数据包首先经过白名单进行检测，检测不通过的数据包直接标记为异常；对于检测通过的数据包进行预处理后通过基于LSTM-SVM结构的预测模型得到检测结果。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人浙江大学，其通讯地址为：310058 浙江省杭州市西湖区余杭塘路866号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。