(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211041356.0 (22)申请日 2022.08.29 (71)申请人 西安热工 研究院有限公司 地址 710048 陕西省西安市碑林区兴庆路 136号 申请人 华能集团技 术创新中心有限公司 (72)发明人 崔逸群　毕玉冰　刘超飞　杨东　 胥冠军　刘迪　朱博迪　刘骁　 肖力炀　崔鑫　王艺杰　朱召鹏　 王文庆　邓楠轶　董夏昕　介银娟　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 李鹏威 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种工控网络中DDoS攻击的检测方法、 装置 及存储介质 (57)摘要 本发明公开了一种工控网络中DDoS攻击的 检测方法、 装置及存储介质， 通过获取所述工控 网络中每一软件定位网络交换机的流表信息； 将 所述流表信息输入预先训练得到的目标攻击检 测模块， 得到检测结果； 在所述检测结果表征所 述工控网络中存在DDoS攻击流量的情况下， 确定 所述DDoS攻击流量对应的目标交换机； 控制对应 所述目标交换机丢弃攻击流量， 本发 明能够有效 地对DDoS攻击进行处理， 有效地保证了工控网络 的安全， 避免了因网络攻击导致工控系统瘫痪， 造成损失。 权利要求书2页 说明书11页 附图5页 CN 115412342 A 2022.11.29 CN 115412342 A 1.一种工控网络的攻击检测方法， 其特 征在于， 包括： 获取所述工控网络中每一软件定位网络交换机的流表信息； 将所述流表信息 输入预先训练得到的目标攻击检测模块， 得到检测结果； 在所述检测结果表征所述工控网络中存在DDoS攻击流量的情况下， 确定所述DDoS攻击 流量对应的目标交换机； 控制对应所述目标交换机 丢弃攻击流 量。 2.根据权利要求1所述的一种工控 网络的攻击检测方法， 其特征在于， 所述将所述流表 信息输入预先训练得到的目标攻击检测模块， 得到检测结果包括： 将所述流表信 息输入所述目标攻击检测模块的特征提取单元， 确定所述流表信 息对应 的特征值； 根据所述特 征值构建所述 流表信息对应的特 征向量； 将所述特 征向量输入所述目标攻击检测模块的检测单 元， 得到检测结果。 3.根据权利要求2所述的一种工控 网络的攻击检测方法， 其特征在于， 所述特征值包括 流包速率、 流表项速率、 流包数均值、 单流表项比例中的一 者或多者； 所述根据所述特 征值构建所述 流表信息对应的特 征向量包括： 通过零均值标准 化， 将所述特 征值归一 化； 基于归一 化后的特 征值， 构建所述特 征向量。 4.根据权利要求2所述的一种工控 网络的攻击检测方法， 其特征在于， 所述检测单元包 括输入层、 隐含层以及输出层； 所述将所述特征向量输入所述 目标攻击检测模块的检测单 元， 得到检测结果包括： 将所述特征向量中的各个特征值输入所述输入层的各个节点， 以得到所述输入层的各 个节点的值； 基于第一权重矩阵对所述输入层的各个节点的值进行处理， 得到所述隐含层的各个节 点的值； 基于第二权重矩阵对所述隐含层的各个节点的值进行处理， 得到输出层的各个节点的 值； 根据所述输出层各个节点的值， 确定所述检测结果。 5.根据权利要求2所述的一种工控 网络的攻击检测方法， 其特征在于， 所述目标攻击检 测模块的训练包括： 获取样本流表信息， 以及所述样本流表信息对应的样本标签， 所述样本标签用于标记 所述样本流表信息是否表征 所述工控网络受到D DoS攻击； 将所述样本流表信息 输入所述目标攻击检测模块， 得到样本检测结果； 根据所述样本检测结果与 所述样本标签的对比结果， 对所述目标攻击检测模块中的参 数进行更新。 6.根据权利要求5所述的一种工控 网络的攻击检测方法， 其特征在于， 所述检测单元包 括输入层、 隐含层以及输出层； 所述将所述样 本流表信息输入 所述目标攻击检测模块， 得到 样本检测结果包括： 将所述样本流表信 息对应的特征向量中的各个特征值输入所述输入层的各个节点， 以 得到所述输入层的各个节点的值；权　利　要　求　书 1/2 页 2 CN 115412342 A 2基于第一权重矩阵对所述输入层的各个节点的值进行处理， 得到所述隐含层的各个节 点的值； 基于第二权重矩阵对所述隐含层的各个节点的值进行处理， 得到输出层的各个节点的 值； 根据所述输出层各个节点的值， 确定所述样本检测结果； 所述根据 所述样本检测结果与所述样本标签的对比结果， 对所述目标攻击检测模块中 的参数进行调整包括： 根据所述对比结果， 调整所述第一权 重矩阵以及所述第二权 重矩阵的参数。 7.根据权利要求6所述的一种工控网络的攻击检测方法， 其特 征在于， 所述方法包括： 获取验证流表集， 以及所述验证流表集对应的验证标签， 所述验证标签用于标记所述 验证流表集是否表征 所述工控网络受到D DoS攻击； 将所述验证流表集输入更新后的目标攻击检测模块， 得到验证 检测结果； 根据所述验证检测结果与 所述验证标签的对比结果， 确定更新后的目标检测模块是否 满足预设要求； 在确定更新后的目标检测模块不满足预设要求的情况下， 重复所述获取样本流表信 息， 至所述对所述目标攻击检测模块中的参数进行 更新的步骤。 8.一种工控网络的攻击检测装置， 其特 征在于， 包括： 获取模块， 用于获取 所述工控网络中每一软件定位网络交换机的流表信息； 检测模块， 用于将所述流表信息输入预先训练得到的目标攻击检测模块， 得到检测结 果； 确定模块， 用于在所述检测结果表征所述工控网络中存在DDoS攻击流量的情况下， 确 定所述DDoS攻击流 量对应的目标交换机； 控制模块， 用于控制对应所述目标交换机 丢弃攻击流 量。 9.一种工控网络的攻击检测装置， 其特 征在于， 包括： 处理器； 用于存 储处理器可执行指令的存 储器； 其中， 所述处 理器被配置为： 获取所述工控网络中每一软件定位网络交换机的流表信息； 将所述流表信息 输入预先训练得到的目标攻击检测模块， 得到检测结果； 在所述检测结果表征所述工控网络中存在DDoS攻击流量的情况下， 确定所述DDoS攻击 流量对应的目标交换机； 控制对应所述目标交换机 丢弃攻击流 量。 10.一种计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 该程序指令 被处理器执行时实现权利要求1 ‑7中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115412342 A 3