本發(fā)明屬于入侵檢測技術(shù)領(lǐng)域，更為具體地講，涉及一種基于opcclassic的入侵檢測方法。

背景技術(shù)：

工業(yè)控制系統(tǒng)信息安全在控制器的安全防護方面有著非常廣泛的應(yīng)用，諸如電力、石油天然氣、以及大型制造行業(yè)等。過去幾年間，工業(yè)控制系統(tǒng)開始廣泛采用信息化技術(shù)，這就用到了工業(yè)通信協(xié)議，opc就是一種典型的工業(yè)控制通信協(xié)議。opc全稱是objectlinkingandembedding(ole)forprocesscontrol，它的出現(xiàn)為基于windows的應(yīng)用程序和現(xiàn)場過程控制應(yīng)用建立了橋梁。在過去，為了存取現(xiàn)場設(shè)備的數(shù)據(jù)信息，每一個應(yīng)用軟件開發(fā)商都需要編寫專用的接口函數(shù)。由于現(xiàn)場設(shè)備的種類繁多，且產(chǎn)品的不斷升級，往往給用戶和軟件開發(fā)商帶來了巨大的工作負(fù)擔(dān)。通常這樣也不能滿足工作的實際需要，系統(tǒng)集成商和開發(fā)商急切需要一種具有高效性、可靠性、開放性、可互操作性的即插即用的設(shè)備驅(qū)動程序。在這種情況下，opc標(biāo)準(zhǔn)應(yīng)運而生。

盡管opc協(xié)議給我們帶來了諸多的便利，可是opc協(xié)議在設(shè)計之初并未太多考慮到通信的安全問題，由于opc協(xié)議的通信特點是先通過135端口建立連接，然后通過新端口進行通信，最初的防護僅僅是基于端口的防護，防護是非常脆弱的，近年來也有基于opc協(xié)議深度解析做入侵檢測的先例，本文提出了一種新的基于深度包解析的異常檢測和基于雙向訪問控制相結(jié)合的檢測方法，實踐證明，本方法可以有效地實現(xiàn)工業(yè)控制系統(tǒng)通信的異常檢測。

opc協(xié)議基于dce/rpc協(xié)議，dce/rpc協(xié)議頭部包含很多調(diào)用信息，其中，rpc版本號(rpcversion)標(biāo)識協(xié)議的版本號，數(shù)據(jù)包類型(packettype)標(biāo)識數(shù)據(jù)包的類型，通用唯一標(biāo)識符(uuid)標(biāo)識現(xiàn)場控制設(shè)備。因為在確定的工業(yè)環(huán)境中，opc客戶端與opc服務(wù)器進行通信時，數(shù)據(jù)包中的數(shù)據(jù)包類型和通用唯一標(biāo)識符存在對應(yīng)關(guān)系，也就是對于某個特定的現(xiàn)場設(shè)備發(fā)送的是特定的數(shù)據(jù)包類型；另外，opc請求數(shù)據(jù)包和opc響應(yīng)數(shù)據(jù)包的rpc版本號應(yīng)該保持一致，通過這兩個特征建立基于異常檢測模型和基于雙向訪問的檢測來實現(xiàn)對于異常流量的檢測。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種基于opcclassic的入侵檢測方法，針對opc的協(xié)議特征，采用基于機器學(xué)習(xí)的opcclassic協(xié)議入侵檢測和基于雙向訪問的異常檢測，提高通信的安全性。

為實現(xiàn)上述發(fā)明目的，本發(fā)明一種基于opcclassic的入侵檢測方法，其特征在于，包括以下步驟：

(1)對待檢測的工業(yè)控制系統(tǒng)通信進行數(shù)據(jù)包的檢測、識別和分析；

在機器學(xué)習(xí)階段，通過防火墻中的入侵檢測模塊對工業(yè)控制系統(tǒng)的通信數(shù)據(jù)包進行檢測、識別，分析提取出控制端和執(zhí)行端之間雙向通信數(shù)據(jù)包的rpc版本號rpcv、數(shù)據(jù)包類型pt、通用唯一標(biāo)識符uuid、源ip地址sip、源端口號sd、目的ip地址dip、目的端口號dd；

(2)對獲取的數(shù)據(jù)進行預(yù)處理；

將源ip地址sip、源端口號sd、目的ip地址dip、目的端口號dd、rpc版本號rpcv，通用唯一標(biāo)識符uuid作為一組數(shù)據(jù)，請求數(shù)據(jù)包處理為(sip,sd,dip,dd,uuid,rpcv)，對應(yīng)的響應(yīng)數(shù)據(jù)包處理為(dip,dd,sip,sd,uuid,rpcv)；數(shù)據(jù)包類型pt和通用統(tǒng)一標(biāo)識符uuid作為一組數(shù)據(jù)(pt,uuid)進行處理；

(3)雙向訪問控制模塊對通信數(shù)據(jù)包進行異常流量檢測；

將請求數(shù)據(jù)包中的rpc版本號rpcv、通用唯一標(biāo)識符uuid、源ip地址sip、源端口號sd、目的ip地址dip、目的端口號dd處理成(sip,sd,dip,dd,uuid,rpcv)，將響應(yīng)數(shù)據(jù)包處理成(dip,dd,sip,sd,uuid,rpcv)；

在雙向訪問控制模塊中獲取請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包，通過對比源、目的ip地址、源、目的端口號和通用唯一標(biāo)識符來確定通信雙方，再根據(jù)請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包的rpc版本號是否匹配，若請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包的rpc版本號一致則正常，否則異常；

(4)、判斷數(shù)據(jù)(pt,uuid)的異常

根據(jù)數(shù)據(jù)(pt,uuid)中的數(shù)據(jù)包類型來判斷通用唯一標(biāo)識符或者根據(jù)通用統(tǒng)一標(biāo)識符來判斷數(shù)據(jù)包類型；

當(dāng)數(shù)據(jù)(pt,uuid)中的數(shù)據(jù)包類型確定后，若通用唯一標(biāo)識符與數(shù)據(jù)包類型相匹配，則數(shù)據(jù)(pt,uuid)合法，否則為非法；

當(dāng)數(shù)據(jù)(pt,uuid)中的通用唯一標(biāo)識符確定之后，若數(shù)據(jù)包類型與通用唯一標(biāo)識符相匹配，則數(shù)據(jù)(pt,uuid)合法，否則為非法；

(5)、基于模型的通信異常檢測方法；

(5.1)、將步驟(3)中正常、異常的請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包的數(shù)據(jù)(sip,sd,dip,dd,uuid,rpcv)、(dip,dd,sip,sd,uuid,rpcv)分別作為神經(jīng)網(wǎng)絡(luò)模型1的輸入，其正常數(shù)據(jù)包對應(yīng)的輸出設(shè)置為1，異常數(shù)據(jù)包對應(yīng)的輸出設(shè)置為0，完成對神經(jīng)網(wǎng)絡(luò)模型1進行訓(xùn)練；

(5.2)、將步驟(4)中獲取的數(shù)據(jù)(pt,uuid)作為神經(jīng)網(wǎng)絡(luò)模型2的輸入，其合法數(shù)據(jù)(pt,uuid)對應(yīng)的輸出設(shè)置為1，非法數(shù)據(jù)(pt,uuid)對應(yīng)的輸出設(shè)置為0，完成對神經(jīng)網(wǎng)絡(luò)模型2進行訓(xùn)練；

(5.3)、在實際的工業(yè)環(huán)境中進行檢測時，防火墻中的入侵檢測模塊獲取到通信數(shù)據(jù)包后，按照上述方法處理成標(biāo)準(zhǔn)輸入格式(sip,sd,dip,dd,uuid,rpcv)、(dip,dd,sip,sd,uuid,rpcv)，并作為輸入到神經(jīng)網(wǎng)絡(luò)模型1中，若神經(jīng)網(wǎng)絡(luò)模型1的輸出為1，則數(shù)據(jù)正常，若神經(jīng)網(wǎng)絡(luò)模型1的輸出為0，則數(shù)據(jù)異常，存在入侵；

(5.4)、在實際的工業(yè)環(huán)境中進行檢測時，防火墻中的入侵檢測模塊獲取到通信數(shù)據(jù)包后，按照上述方法處理成標(biāo)準(zhǔn)輸入數(shù)據(jù)(pt,uuid)，并作為輸入到神經(jīng)網(wǎng)絡(luò)模型2中，若神經(jīng)網(wǎng)絡(luò)模型2的輸出為1，則數(shù)據(jù)正常，若神經(jīng)網(wǎng)絡(luò)模型2的輸出為0，則數(shù)據(jù)異常，存在入侵。

本發(fā)明的發(fā)明目的是這樣實現(xiàn)的：

本發(fā)明一種基于opcclassic的入侵檢測方法，針對opc的協(xié)議特征，采用基于機器學(xué)習(xí)的opcclassic協(xié)議入侵檢測和基于雙向訪問的異常檢測；其中基于opcclassic協(xié)議的入侵檢測方法通過opc客戶端和opc服務(wù)器之間的通訊流量進行機器學(xué)習(xí)，建立模型，然后利用該模型進行檢測；基于雙向訪問的異常檢測方法通過源ip、源端口以及通用唯一標(biāo)識符來確定通信雙方，進而通過匹配請求包和響應(yīng)包的rpc版本號來判斷通信是否異常；這樣不僅實現(xiàn)通信的深度異常檢測和雙向訪問檢測，還提高了防護性能。

附圖說明

圖1是本發(fā)明基于opcclassic的入侵檢測方法拓?fù)浣Y(jié)構(gòu)圖；

圖2是本發(fā)明雙向訪問控制模塊細(xì)節(jié)圖；

圖3是基于神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)的異常檢測模塊細(xì)節(jié)圖。

具體實施方式

下面結(jié)合附圖對本發(fā)明的具體實施方式進行描述，以便本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明。需要特別提醒注意的是，在以下的描述中，當(dāng)已知功能和設(shè)計的詳細(xì)描述也許會淡化本發(fā)明的主要內(nèi)容時，這些描述在這里將被忽略。

實施例

為了方便描述，先對具體實施方式中出現(xiàn)的相關(guān)專業(yè)術(shù)語進行說明：

sip(sourceinternetprotocol):源ip地址；

dip(destinationinternetprotocol):目的ip地址；

sd(sourceport):源端口號；

dd(destinationport):目的端口號；

uuid(universallyuniqueidentifier):通用統(tǒng)一標(biāo)識符；

rpcv(remoteprocedurecallprotocolversion)：遠(yuǎn)程過程調(diào)用協(xié)議版本號；

pt(packettype):數(shù)據(jù)包類型。

圖1是本發(fā)明基于opcclassic的入侵檢測方法拓?fù)浣Y(jié)構(gòu)圖。

在本實施例中，如圖1所示，如圖1所示，本發(fā)明中的雙向訪問控制模塊和異常流量檢測模塊位于opc客戶端和opc服務(wù)器之間，opc客戶端發(fā)送的數(shù)據(jù)首先通過雙向訪問控制模塊，解析出ip、端口號、通用唯一標(biāo)識符并進行記錄，然后數(shù)據(jù)包通過異常流量檢測模塊，解析出數(shù)據(jù)包類型和通用唯一標(biāo)識符，將這兩個作為輸入，并輸入到訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型，根據(jù)數(shù)據(jù)結(jié)果進行判斷通過還是丟棄數(shù)據(jù)。opc服務(wù)器發(fā)送數(shù)據(jù)通過異常流量檢測模型，檢測通過后到達(dá)雙向訪問控制模塊，雙向訪問控制模塊根據(jù)ip、端口號、通用統(tǒng)一標(biāo)識符和請求包以及響應(yīng)包的數(shù)據(jù)包版本號進行判斷，符合通過，不符合丟棄數(shù)據(jù)包并報警。

下面結(jié)合圖1，對本發(fā)明一種基于opcclassic的入侵檢測方法進行詳細(xì)說明，具體包括以下步驟：

s1、對待檢測的工業(yè)控制系統(tǒng)通信進行數(shù)據(jù)包的檢測、識別和分析；

在機器學(xué)習(xí)階段，通過防火墻中的入侵檢測模塊對工業(yè)控制系統(tǒng)的通信數(shù)據(jù)包進行檢測、識別，分析提取出控制端和執(zhí)行端之間雙向通信數(shù)據(jù)包的rpc版本號rpcv，現(xiàn)在數(shù)據(jù)包的通用版本號是2；數(shù)據(jù)包類型pt，數(shù)據(jù)包類型有二十種，包括request、response、ping包等，協(xié)議類型符是從0到19；通用唯一標(biāo)識符uuid，在工業(yè)環(huán)境中，uuid是一個字符串，為了便于操作，我們需要使用哈希算法轉(zhuǎn)換成唯一的數(shù)值；源ip地址sip、源端口號sd、目的ip地址dip、目的端口號dd等。

在本實施例中，如圖2所示，首先收集opc客戶端和opc服務(wù)器之間的數(shù)據(jù)，然后進行分析，根據(jù)ip、端口號、通用統(tǒng)一標(biāo)識符、請求包的數(shù)據(jù)包版本和響應(yīng)包的數(shù)據(jù)包版本進行分析，若請求包和對應(yīng)的響應(yīng)包都存在，并且對應(yīng)的數(shù)據(jù)包版本號一致則通過；若請求包和響應(yīng)包的數(shù)據(jù)包版本號不一致則丟棄該數(shù)據(jù)包并報警；若只有請求數(shù)據(jù)包或者只有響應(yīng)數(shù)據(jù)包則直接丟棄并報警。

(2)對獲取的數(shù)據(jù)進行預(yù)處理；

將源ip地址sip、源端口號sd、目的ip地址dip、目的端口號dd、rpc版本號rpcv，通用唯一標(biāo)識符uuid作為一組數(shù)據(jù)，請求數(shù)據(jù)包處理為(sip,sd,dip,dd,uuid,rpcv)，對應(yīng)的響應(yīng)數(shù)據(jù)包處理為(dip,dd,sip,sd,uuid,rpcv)；結(jié)合具體的數(shù)據(jù)將請求包處理為(1721610147,10056，其中1721610147是源ip地址，10056是源端口號，1721619133是目的ip地址，135是目的端口號，78是將通用統(tǒng)一標(biāo)識符轉(zhuǎn)換成的唯一整數(shù)，2是數(shù)據(jù)包的版本號；將響應(yīng)數(shù)據(jù)包的處理為(1721610147,10056,1721610133,135,78,2)，這里需要注意的是響應(yīng)數(shù)據(jù)包的排序跟請求數(shù)據(jù)包是有所不同的，將目的ip地址和目的端口號放在前面，這樣處理的目的主要是為了方便跟請求數(shù)據(jù)包進行比對；數(shù)據(jù)包類型pt和通用統(tǒng)一標(biāo)識符uuid作為一組數(shù)據(jù)(pt,uuid)進行處理，結(jié)合具體數(shù)據(jù)處理為(0,78)，其中0代表請求數(shù)據(jù)包request，78是通用統(tǒng)一標(biāo)識符轉(zhuǎn)換成的唯一數(shù)字；

(3)雙向訪問控制模塊對通信數(shù)據(jù)包進行異常流量檢測；

將請求數(shù)據(jù)包中的rpc版本號rpcv、通用唯一標(biāo)識符uuid、源ip地址sip、源端口號sd、目的ip地址dip、目的端口號dd處理成(sip,sd,dip,dd,uuid,rpcv)，將響應(yīng)數(shù)據(jù)包處理成(dip,dd,sip,sd,uuid,rpcv)；

在雙向訪問控制模塊中獲取請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包，通過對比源、目的ip地址、源、目的端口號和通用唯一標(biāo)識符來確定通信雙方，再根據(jù)請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包的rpc版本號是否匹配，若請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包的rpc版本號一致則正常，否則異常；例如，若請求數(shù)據(jù)包處理成(1721610147,10056,1721610133,135,78,2)，響應(yīng)數(shù)據(jù)數(shù)據(jù)包處理成(1721610147,10，通過源ip地址1721610147、源端口號10056，目的ip地址1721610133，目的端口號135，通用統(tǒng)一標(biāo)識符78來確定通信雙方，通過版本號來匹配，在數(shù)據(jù)中請求包和響應(yīng)包的版本號都是2，一致，所以通信正常。若請求數(shù)據(jù)包數(shù)據(jù)處理為(1721610147,10056,1721610133,135,78,2)，響應(yīng)數(shù)據(jù)包處理為(1721610147,10056,1721610133,135,78,3)，確定通信雙方后，發(fā)現(xiàn)請求數(shù)據(jù)包的協(xié)議標(biāo)識符是2，而請求數(shù)據(jù)包的協(xié)議標(biāo)識符是3，不匹配，所以判斷為通信異常。再比如請求數(shù)據(jù)包為(1721610147,10056,1721610133,135,78,2)，響應(yīng)數(shù)據(jù)包為(1721610147,10056,1721610133,135,78)，確定通信雙方之后我們發(fā)現(xiàn)響應(yīng)數(shù)據(jù)包沒有協(xié)議標(biāo)識符，所以判斷為數(shù)據(jù)包異常，更多異常情況如圖2所示。

(4)、判斷數(shù)據(jù)(pt,uuid)的異常

根據(jù)數(shù)據(jù)(pt,uuid)中的數(shù)據(jù)包類型來判斷通用唯一標(biāo)識符或者根據(jù)通用統(tǒng)一標(biāo)識符來判斷數(shù)據(jù)包類型；

當(dāng)數(shù)據(jù)(pt,uuid)中的數(shù)據(jù)包類型確定后，若通用唯一標(biāo)識符與數(shù)據(jù)包類型相匹配，則數(shù)據(jù)(pt,uuid)合法，否則為非法；比如若數(shù)據(jù)包類型為0通用統(tǒng)一標(biāo)識符為78，122，56合法，即(0,78)(0,122)(0,56)合法，若檢測發(fā)現(xiàn)數(shù)據(jù)包類型是0但是通用統(tǒng)一標(biāo)識符是79則判斷為通信異常。

當(dāng)數(shù)據(jù)(pt,uuid)中的通用唯一標(biāo)識符確定之后，若數(shù)據(jù)包類型與通用唯一標(biāo)識符相匹配，則數(shù)據(jù)(pt,uuid)合法，否則為非法；比如若檢測到通用統(tǒng)一標(biāo)識符為78，數(shù)據(jù)包類型為0，2，7合法即(0,2)(0,2)(0,7)合法，而檢測到通用統(tǒng)一標(biāo)識符是78，數(shù)據(jù)包類型是18，則判斷為通信異常。

(5)、基于模型的通信異常檢測方法；

(5.1)、將步驟(3)中正常、異常的請求數(shù)據(jù)包和對應(yīng)的響應(yīng)數(shù)據(jù)包的數(shù)據(jù)(sip,sd,dip,dd,uuid,rpcv)、(dip,dd,sip,sd,uuid,rpcv)分別作為神經(jīng)網(wǎng)絡(luò)模型1的輸入，其正常數(shù)據(jù)包對應(yīng)的輸出設(shè)置為1，異常數(shù)據(jù)包對應(yīng)的輸出設(shè)置為0，完成對神經(jīng)網(wǎng)絡(luò)模型1進行訓(xùn)練；例如輸入為(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,2)輸出為1作為合法輸入數(shù)據(jù)；輸入為(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,3)輸出為0作為非法數(shù)據(jù)進行訓(xùn)練，完成模型1的訓(xùn)練。

(5.2)、將步驟(4)中獲取的數(shù)據(jù)(pt,uuid)作為神經(jīng)網(wǎng)絡(luò)模型2的輸入，其合法數(shù)據(jù)(pt,uuid)對應(yīng)的輸出設(shè)置為1，非法數(shù)據(jù)(pt,uuid)對應(yīng)的輸出設(shè)置為0，完成對神經(jīng)網(wǎng)絡(luò)模型2進行訓(xùn)練；例如將(0,78)(0,122)(0,56)作為合法數(shù)據(jù)進行輸入，將1作為輸出作為合法數(shù)據(jù)進行訓(xùn)練，將(0,79)作為輸入，0作為輸作為非法數(shù)據(jù)進行訓(xùn)練，完成模型2的訓(xùn)練。

(5.3)、在實際的工業(yè)環(huán)境中進行檢測時，防火墻中的入侵檢測模塊獲取到通信數(shù)據(jù)包后，按照上述方法處理成標(biāo)準(zhǔn)輸入格式(sip,sd,dip,dd,uuid,rpcv)、(dip,dd,sip,sd,uuid,rpcv)，并作為輸入到神經(jīng)網(wǎng)絡(luò)模型1中，若神經(jīng)網(wǎng)絡(luò)模型1的輸出接近為1，則數(shù)據(jù)正常，若神經(jīng)網(wǎng)絡(luò)模型1的輸出接近為0，則數(shù)據(jù)異常，存在入侵；比如輸入(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,2)，輸出值為0.9998，根據(jù)|1-0.9998|<0.3作為判斷依據(jù)判斷為數(shù)據(jù)包正常；若輸入是(1721610147,10056,1721610133,135,、(1721610147,10056,1721610133,135,78,3)作為輸入，得到的輸出結(jié)果是0.002，根據(jù)|1-0.002|>0.3判斷通信異常，具體如圖3所示；

(5.4)、在實際的工業(yè)環(huán)境中進行檢測時，防火墻中的入侵檢測模塊獲取到通信數(shù)據(jù)包后，按照上述方法處理成標(biāo)準(zhǔn)輸入數(shù)據(jù)(pt,uuid)，并作為輸入到神經(jīng)網(wǎng)絡(luò)模型2中，若神經(jīng)網(wǎng)絡(luò)模型2的輸出接近1，則數(shù)據(jù)正常，若神經(jīng)網(wǎng)絡(luò)模型2的輸出接近為0，則數(shù)據(jù)異常，存在入侵。比如輸入是(0,78)，輸出結(jié)果是1.002，則根據(jù)|1-1.002|<0.3作為判斷依據(jù)，判斷通信正常；若輸入是(0.79)，輸出結(jié)果是0.101，則根據(jù)|1-0.101|>0.3作為判斷依據(jù)，判斷通信異常，具體如圖3所示。

實例

使用matrikonopcexplorer作為opc客戶端，matrikonopcsimulationserver作為opc服務(wù)器，設(shè)置為每5秒鐘讀取一次數(shù)據(jù)。進行一段時間的通訊，我們可以提取出大量的樣本：

對于模型1，合法數(shù)據(jù)樣本為：

x1＝(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,2)

x2＝(1721610147,10056,1721610121,135,78,2),(1721610147,10056,1721610121,135,78,2)

x3＝(1721610137,10056,1721610133,135,78,2),(1721610137,10056,1721610133,135,78,2)

非法樣本數(shù)據(jù)為：

x1＝(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,3)

x2＝(1721610147,10056,1721610121,135,78,2),(1721610147,10056,1721610121,135,78)

x3＝(1721610137,10056,1721610133,135,78),(1721610137,10056,1721610133,135,78,2)

對于模型2，合法數(shù)據(jù)樣本為：

x1＝(0,78)

x2＝(1,122)

x3＝(5,56)

非法數(shù)據(jù)樣本為：

x1＝(0,79)

x2＝(1,123)

x3＝(5,57)

檢測結(jié)果：對于模型1，當(dāng)入侵檢測模塊獲取數(shù)據(jù)為(1721610147,10056,1721610133,135,78,2)，(1721610147,10056,1721610133,135,78,2)，輸入模型1，檢測結(jié)果是0.9998，通信正常；當(dāng)入侵檢測模塊獲取的數(shù)據(jù)為(1721610147,10056,1721610133,135,78,2)，(1721610147,10056,1721610133,135,78,3)，輸入結(jié)果為0.002，通信異常。對于模型2，當(dāng)入侵檢測模塊獲取數(shù)據(jù)為(0,78)，輸入模型1，檢測結(jié)果是1.002，通信正常；當(dāng)入侵檢測模塊獲取的數(shù)據(jù)為(0,79)，輸入結(jié)果為0.101，通信異常。

盡管上面對本發(fā)明說明性的具體實施方式進行了描述，以便于本技術(shù)領(lǐng)域的技術(shù)人員理解本發(fā)明，但應(yīng)該清楚，本發(fā)明不限于具體實施方式的范圍，對本技術(shù)領(lǐng)域的普通技術(shù)人員來講，只要各種變化在所附的權(quán)利要求限定和確定的本發(fā)明的精神和范圍內(nèi)，這些變化是顯而易見的，一切利用本發(fā)明構(gòu)思的發(fā)明創(chuàng)造均在保護之列。