智能微电网（Smart Microgrids）作为本地化能源系统，依赖工业协议（如Modbus TCP、消息队列遥测传输（MQTT）和分布式网络协议3（DNP3））实现控制器、传感器与执行器之间的持续通信。这些协议设计于封闭工业环境，缺乏针对互联网协议（IP）连接环境的安全机制，导致微电网网关成为分布式拒绝服务（DDoS）攻击的天然目标。现有入侵检测方法大多依赖标记攻击数据进行监督学习，但在运营技术（OT）环境中，标记数据稀缺且新型攻击变种频繁出现。此外，现有研究多聚焦于广域SCADA（监控与数据采集）或智能电网层面，缺乏针对微电网网关通信层的无监督协议感知检测方案。为填补此空白，研究人员提出一种基于无监督卷积神经网络–长短期记忆（CNN-LSTM）的检测框架，仅利用正常微电网网关流量进行训练，预测下一流量窗口，并在预测误差超过训练分布99.5百分位阈值时标记异常。该框架在模拟微电网网关环境中生成包含Modbus TCP、MQTT和DNP3正常流量的数据集（约86000个窗口），并注入三种未见过的协议特定DDoS攻击（Modbus SCADA洪水、MQTT发布风暴、DNP3响应洪水，共约10740个窗口）进行测试。与孤立森林（Isolation Forest）基线、自编码器（Autoencoder）基线、LSTM-only和CNN-only消融变体相比，CNN-LSTM在10折交叉验证中取得最高精确率（0.967±0.012）和召回率（0.953±0.014），尤其在DNP3响应洪水这一最难检测的攻击上优势显著（召回率0.923，比孤立森林高8个百分点）。该成果发表在《Telecom》期刊，其重要意义在于：无需任何标记攻击数据即可实现高精度检测；聚焦微电网网关通信层，实现协议感知的双层流量建模（时间序列度量与设备级流记录）；并完成系统级集成，部署于支持实时检测和异常日志记录的三层监控平台（.NET后端、Python FastAPI推理服务、React.js前端），端到端p99延迟仅98.4毫秒，满足2秒采样间隔的实时性要求。

研究人员采用的主要关键技术方法包括：基于滑窗的特征工程，以2秒为采样间隔、20个tick（40秒）为窗口大小，提取度量张量（形状20×5，包含延迟、吞吐量、丢包率、抖动和带宽利用率）和流聚合向量（形状10维，包含字节数、包数、协议分布等）。CNN-LSTM采用双分支架构：LSTM分支（2层隐含节点128）处理度量张量以捕获时间依赖；CNN分支（两层1D卷积，通道数32和64）处理流聚合向量以提取空间模式，融合后经全连接层预测下一tick的5个度量值。异常阈值设为预测均方误差（MSE）训练分布的99.5百分位。基线模型包括孤立森林（特征扁平为110维向量）、自编码器（编码三层110→64→32，解码对称）、LSTM-only和CNN-only消融变体。数据来源为微电网网关模拟器，基于公开协议规范（Modbus TCP/IP、MQTT v5.0、IEEE 1815 DNP3）生成合成流量，正常流量参数利用Open-Meteo API的辐照度数据等驱动。

3.1. 整体检测性能（Overall Detection Performance）：通过10折交叉验证对比，CNN-LSTM取得最高精确率（0.967±0.012）和召回率（0.953±0.014），LSTM-only（精确率0.948，召回率0.931）优于CNN-only（精确率0.932，召回率0.907），表明时间序列模式贡献更大；CNN-LSTM结合两者后召回率比LSTM-only提高2.2个百分点。孤立森林（精确率0.921，召回率0.894）和自编码器（精确率0.926，召回率0.905）性能较低。在控制协议（攻击数据也按10折划分）下，模型排序不变，均值偏差不超过1.3个百分点，验证结果稳定性。

3.2. 逐攻击类型分析（Per-Attack-Type Analysis）：Modbus SCADA洪水最易检测（CNN-LSTM召回率0.981），因其产生大流量饱和（带宽利用率90–100%）；MQTT发布风暴中等（召回率0.957），多源小流模式导致度量偏移较温和；DNP3响应洪水最难（召回率0.923），小包多源爆发模式仅产生高抖动和延迟尖峰而无带宽饱和。CNN-LSTM在DNP3上比孤立森林高8个百分点，LSTM-only（0.887）比CNN-only（0.857）高3个百分点，表明时间建模是关键。假阴性分析显示，低强度（带宽<60%）窗口占丢检的62–74%，高强度窗口丢检率低于3%。

3.3. 异常得分可视化（Anomaly Score Visualization）：对Modbus洪水DDoS攻击的典型时间序列显示，正常时段预测误差（MSE）低于阈值（约0.012），攻击开始时得分迅速上升至约0.05（4倍阈值），攻击结束后恢复，正常与攻击得分界限清晰。

3.4. 消融研究（Ablation Study）：窗口大小消融表明20 tick（40秒）在精确率和召回率上取得最佳平衡（精确率0.967，召回率0.953），10 tick缺乏上下文致性能下降，30和40 tick精确率略增但召回率下降且计算开销增大。阈值百分位消融表明99.5百分位最平衡（精确率0.967，召回率0.953），90百分位召回率最高（0.978）但精确率低至0.891，导致过多假警报。

3.5. 计算成本分析（Computational Cost Analysis）：所有模型推理时间均低于2秒采样间隔，CNN-LSTM训练约8分钟/折（离线一次），模型大小1.0 MB；孤立森林训练最快（30秒/折）但检测性能最差；自编码器参数约18K，训练约3分钟/折，推理约0.3毫秒，满足实时需求。

3.6. 运营部署验证（Operational Deployment Demonstration）：在完整监控平台进行1小时持续负载测试（1800个摄入事件），CNN-LSTM在实时环境下成功顺序检测三种攻击，端到端p99延迟98.4毫秒（中位数45.9毫秒），CPU利用率低于18%，内存低于1.6 GB，证明实时部署可行性。

总结讨论部分：研究表明无监督CNN-LSTM框架有效检测微电网网关DDoS攻击，但存在以下局限：所有评估基于模拟器生成流量，需在真实微电网验证；仅覆盖三种洪泛攻击，未测试慢速率或非洪泛攻击（如中间人、协议操纵）；模型训练于固定正常分布，运营中可能因概念漂移产生假阳性。未来工作将探索更强时序模型（如Transformer）、拓扑感知检测、概念漂移自适应、扩展攻击类型，以及在物理校园微电网测试台验证。研究结论部分翻译如下：本文提出了一种针对智能微电网通信基础设施的无监督CNN-LSTM框架，用于检测DDoS攻击。该模型仅在模拟微电网网关处理Modbus TCP、MQTT和DNP3通信的正常OT流量上训练，并针对三种训练中未见过的协议特定攻击场景进行评估。CNN-LSTM在所有评估模型中取得了最高精确率和召回率，优于孤立森林基线、自编码器基线以及两种消融变体。最大的优势出现在DNP3响应洪水中，这是具有最细微流量特征的攻击类型。由于缺乏足够的标记攻击样本，研究人员采用无监督方法，利用模拟微电网网关环境生成度量丰富的时间序列数据。所提出的双路径架构分别利用LSTM和CNN捕获时序特征和空间特征，实验结果揭示移除任一分支都会损害性能，且LSTM-only变体性能高于CNN-only变体。10折实验的广泛统计分析表明，混合架构优于个体基线和现有无监督方法。