CN112333194A - 基于gru-cnn的综合能源网络安全攻击检测方法 - Google Patents
基于gru-cnn的综合能源网络安全攻击检测方法 Download PDFInfo
- Publication number
- CN112333194A CN112333194A CN202011239713.5A CN202011239713A CN112333194A CN 112333194 A CN112333194 A CN 112333194A CN 202011239713 A CN202011239713 A CN 202011239713A CN 112333194 A CN112333194 A CN 112333194A
- Authority
- CN
- China
- Prior art keywords
- network
- data set
- gru
- cnn
- time step
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 37
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 73
- 238000012549 training Methods 0.000 claims abstract description 53
- 238000012360 testing method Methods 0.000 claims abstract description 19
- 238000000034 method Methods 0.000 claims description 23
- 238000002347 injection Methods 0.000 claims description 15
- 239000007924 injection Substances 0.000 claims description 15
- 238000011176 pooling Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 12
- 239000011159 matrix material Substances 0.000 claims description 10
- 125000004122 cyclic group Chemical group 0.000 claims description 9
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 5
- 239000000126 substance Substances 0.000 claims description 4
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 claims description 3
- 230000004913 activation Effects 0.000 claims description 3
- 230000009849 deactivation Effects 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 abstract description 6
- 238000005259 measurement Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 239000002028 Biomass Substances 0.000 description 1
- 241000408659 Darpa Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013440 design planning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000004146 energy storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000003381 stabilizer Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000004804 winding Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Economics (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Human Resources & Organizations (AREA)
- Mathematical Physics (AREA)
- Molecular Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- Software Systems (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Biomedical Technology (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于GRU‑CNN的综合能源网络安全攻击检测方法,包含步骤:S1、按时序采集网络节点的第一至第d类工作数据,建立第一工作数据集;S2、根据GRU‑CNN网络的门控循环单元的时间步长,基于所述第一工作数据集生成训练数据集和测试数据集,为所述训练数据集设置对应的标签;S3、通过所述训练数据集训练GRU‑CNN网络,其中训练数据集作为门循环控制单元的输入,通过门循环控制单元提取训练数据集的序列特征,并将该序列特征输入GRU‑CNN网络的卷积神经网络,通过卷积神经网络根据序列特征提取对应的多维度特征,并建立多维度特征到攻击类型的映射;S4、将测试数据集输入训练好的GRU‑CNN网络,得到综合能源网络的安全攻击类型的分类结果。
Description
技术领域
本发明涉及本发明涉及综合能源信息安全技术领域,尤其涉及一种基于GRU-CNN的综合能源网络安全攻击检测方法。
背景技术
近年来,我国光伏、风机、生物质能等新能源创新高度活跃,承担缓冲器、聚合器、稳定器作用的多类储能技术不断改进,“云大物移智链”的应用逐渐渗透。构建综合能源***,打破传统供能单打独斗的固有模式,实现电气热多能***的协同规划运行是大势所趋。国家电网公司以实现“清洁、科学、高效、节约、经济用能”为宗旨,为各种能源之间整合设计规划、协调运行,方便可再生能源的安全消纳,建立了较为成熟的综合能源网络。但伴随信息化和工业化的高层次深度结合以及信息物理***的高度集成,网络空间形式日益复杂。由于新业务模式下大量现场电力终端设备的产品特性新颖,且各终端设备间进行信息交互,因此综合能源网络信息安全是整个电力***安全、稳定、经济运行的重要保证。而且对综合能源网络进行攻击的针对性、持续性、隐蔽性显著增强,各种威胁源相互交织,呈现出多元复杂的局势。
继等保2.0之后,信息安全战略地位愈发受到重视,当前综合能源网络主要面临的安全风险主要来自于所接入的互联网***、智能终端、无线网络。在综合能源网络环境下,未来对工控***病毒破坏大量智能设备部署、采用开放式通信协议网络产生担忧;同时也对综合能源网络的信息质量、时效性给予更高期待。传统的攻击检测按照检测原理和入侵属性不同,包括了根据计算机资源情况的异常检测和已知***弱点攻击模式的误用检测。通过采用深度学习进行特征采集提取,获得攻击类别映射分类,以实现综合能源环境下高效准确的网络攻击检测,提出综合能源***安全整改建议并实施安全整改,确保综合能源***的生命周期安全性。
现有的综合能源网络安全攻击评估方法和***一般采用如K-means聚类、随机森林模型等浅层学习理论,或多或少存在泛化性能不佳,只能针对特定攻击种类;数据集标签类型有限,影响模型学习效果;不能满足数据集动态增长的精度要求等问题,有必要随着信息安全与综合能源发展,提出相适应的网络攻击检测方法。
发明内容
本发明的目的在于提供一种基于GRU-CNN的综合能源网络安全攻击检测方法,能够适用于综合能源网络中各种类型的节点。本发明通过GRU-CNN网络中的门控循环单元(GRU),从包含时间序列特性的多维度节点工作数据中提取出序列特征,通过CNN网络从所述序列特征提取对应的多维度特征,并建立多维度特征到攻击类型的映射,精确得到该节点的安全攻击类型。
为了达到上述目的,本发明提供一种基于GRU-CNN的综合能源网络安全攻击检测方法,包含步骤:
S1、选取综合能源网络的节点,按时序采集该节点的第一至第d类工作数据,建立第一工作数据集E={er}r∈[1,num],num为采集的总次数;er={e′r1,…,e′rd};e′rp为第r次采集的所述节点的第p类工作数据,p∈[1,d];预处理第一工作数据集E;
S2、根据GRU-CNN网络的门控循环单元的时间步长,基于所述第一工作数据集E生成训练数据集和测试数据集;为所述训练数据集设置对应的标签,通过所述标签表示综合能源网络的安全攻击类型;
S3、通过所述训练数据集训练GRU-CNN网络;其中训练数据集作为所述门循环控制单元的输入,通过门循环控制单元提取训练数据集的序列特征,将所述序列特征输入GRU-CNN网络的卷积神经网络,对所述卷积神经网络进行训练;该卷积神经网络用于根据序列特征提取对应的多维度特征,并建立多维度特征到攻击类型的映射;
S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络,得到综合能源网络的安全攻击类型的分类结果。
优选的,步骤S1所述预处理第一工作数据集E,包含:
当第p类工作数据为离散型数据,对{e′rp}r∈[1,num]进行独热编码处理;
当第p类工作数据为连续型数据,对{e′rp}r∈[1,num]进行归一化处理。
优选的,步骤S2中生成训练数据集和测试数据集的方法包含:
令训练数据Xi=[e(i-1)×n+1,e(i-1)×n+2,…,ei×n]′,其中,n为门控循环单元的时间步长,[·]′表示矩阵的转置;将X1~XL作为训练数据集,将作为测试数据集,L为设定的常数。
优选的,所述步骤S3中包含:
S31、令门控循环单元的隐藏单元个数为h,令当前时间步为时间步t;Xt作为门控循环单元在时间步t的输入,Ht-1为门控循环单元在时间步t-1的隐藏状态,H0为n×h的全零矩阵;时间步t-1为时间步t的上一时间步,t∈[1,L];L为训练数据集中所包含的训练数据总个数;门控循环单元在时间步t的重置门Rt和更新门Zt分别为:
Rt=σ(XtWxr+Ht-1Whr+br)
Zt=σ(XtWxz+Ht-1Whz+bz)
S32、计算门控循环单元在时间步t的候选隐藏状态Ht:
Ht=tanh(XtWxh+(Rt⊙Ht-1)Whh+bh)
Ht=Zt⊙Ht-1+(1-Zt)⊙Ht;
S34、重复步骤S31至S34,当t≡0modT,门控循环单元在该时间步t的隐藏状态Ht作为所述卷积神经网络的输入,训练所述卷积神经网络;T为设定的常数;进入步骤S31。
优选的,所述卷积神经网络包含依序连接的第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和丢弃层;其中,第一、第二卷积层的卷积核大小均为2×2,卷积步长均为1;第一、第二卷积层的卷积深度分别为10、20;所述全连接层采用Softmax函数,丢弃层的随机失活率为0.5;卷积神经网络采用Adam梯度下降算法,其优化学习率为1e-5。
优选的,所述节点为综合能源网络中的用电设备,所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。
优选的,所述节点为综合能源网络中的网络节点,所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。
与现有技术相比,本发明的有益效果在于:
1)通过将GRU与深度学习算法相结合,有效提高综合能源网络安全攻击检测精度,便于安全技术人员针对性配置安全策略,提高综合能源***在风险分析过程中的效率,确保多种能源在源-输-储-荷各环节稳定运行,对综合能源***整体的信息安全性具有重要意义;
2)本发明解决了传统人工提取综合能源网络特征数据的过程中,易于丢失信息的问题,不仅节省了大量的工作时间,同时还可以从基于时间序列的工作数据中挖掘与各种攻击类型相关的隐藏特征,大大提高了综合能源网络安全攻击的检测准确度;
3)本发明能够适用于从节点采集的离散和连续型的工作数据,不受节点类型限制。
附图说明
为了更清楚地说明本发明技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图:
图1为本发明的综合能源网络安全攻击检测方法的流程图;
图2为本发明中才用的GRU-CNN网络结构示意图;
图3为本发明的CNN网络结构示意图。
图4为本发明实施例二中的综合能源网络结构示意图。
图5为实施例二的虚假数据注入攻击中,网络攻击安全检测准确率与攻击强度、虚假数据概率密度的关系示意图。
图中:1、第一卷积层;2、第一池化层;3、第二卷积层;4、第二池化层;5、全连接层;6、丢弃层。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明是基于GRU-CNN网络实现的,所述GRU-CNN网络包含门控循环单元(GRU)和卷积神经网络(Convolutional Neural Networks CNN)。门控循环单元(GRU)作为循环神经网络的变体之一,它通过可以学习的门(重置门、更新门)来控制信息流动,更好地捕捉依时间序列采集的数据中,时间步距离较大的数据之间的依赖关系,且不同于长短期记忆网络的是,GRU具有更为合理的结构,具有更好的收敛性,目前主要用于自然语言处理。GRU优化了循环神经网络中隐藏状态的计算方式,其中重置门可以用来丢弃与预测无关的历史信息,更新门可以控制隐藏状态如何被候选隐藏状态所更新。本发明在综合能源***的节点依时序采集各类工作数据,通过GRU提取所述各类工作数据的序列特征;并通过卷积神经网络(CNN)根据序列特征提取对应的多维度特征,建立多维度特征到攻击类型的映射,实现判断综合能源网络的安全攻击类型。
本发明提供一种基于GRU-CNN的综合能源网络安全攻击检测方法,如图1所示,包含步骤:
S1、选取综合能源网络的节点,按时序采集该节点的第一至第d类工作数据,建立第一工作数据集E={er}r∈[1,num],num为采集的总次数;er={e′r1,…,e′rd};e′rp为第r次采集的所述节点的第p类工作数据,p∈[1,d];预处理第一工作数据集E;
当第p类工作数据为离散型数据,对{e′rp}r∈[1,num]进行独热编码处理。
当第p类工作数据为连续型数据,对{e′rp}r∈[1,num]进行归一化处理:本发明中采用Z-core法对采集的时间序列数据{e′rp}r∈[1,num]进行标准化处理。举例来说,若第p类工作数据e′1p,e′2p,…中存在缺失值,则用第p类工作数据e′1p,e′2p,…的均值替代该缺失值。替换完所有的缺失值后,更新e′rp为其中μp为第p类工作数据e′1p,e′2p,…的均值,σp为第p类工作数据e′1p,e′2p,…的标准差。
在本发明的一个实施例中,所述节点为综合能源网络中的用电设备,所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。
在本发明的另一个实施例中,所述节点为综合能源网络中的网络节点,所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。
S2、根据GRU-CNN网络的门控循环单元的时间步长n(在本发明的实施例中n=256),基于所述第一工作数据集E生成训练数据集和测试数据集;为所述训练数据集设置对应的标签,通过所述标签表示综合能源网络的安全攻击类型;
生成训练数据集和测试数据集的具体方法为:
令训练数据Xi=[e(i-1)×n+1,e(i-1)×n+2,…,ei×n]′,其中,n为门控循环单元的时间步长,[·]′表示矩阵的转置;将X1~XL作为训练数据集,将作为测试数据集,L为设定的常数。
S3、通过所述训练数据集训练GRU-CNN网络;其中训练数据集作为所述门循环控制单元的输入,通过门循环控制单元提取训练数据集的序列特征,将所述序列特征输入GRU-CNN网络的卷积神经网络,对所述卷积神经网络进行训练;该卷积神经网络用于根据序列特征提取对应的多维度特征,并建立多维度特征到攻击类型的映射;步骤S3中具体包含:
S31、令门控循环单元的隐藏单元个数为h,令当前时间步为时间步t,时间步t-1为时间步t的上一时间步,t∈[1,L];Xt作为门控循环单元在时间步t的输入,Ht-1为门控循环单元在时间步t-1的隐藏状态,H0为n×h的全零矩阵;L为训练数据集中所包含的训练数据总个数;门控循环单元在时间步t的重置门Rt和更新门Zt分别为:
Rt=σ(XtWxr+Ht-1Whr+br)
Zt=σ(XtWxz+Ht-1Whz+bz)
S32、计算门控循环单元在时间步t的候选隐藏状态Ht:
Ht=tanh(XtWxh+(Rt⊙Ht-1)Whh+bh)
Ht=Zt⊙Ht-1+(1-Zt)⊙Ht;
S34、重复步骤S31至S34,当t≡0modT,门控循环单元在该时间步t的隐藏状态Ht作为所述卷积神经网络的输入,训练所述卷积神经网络,进入步骤S31;当停止训练GRU-CNN网络;其中T为设定的常数,本实施例中T=4。
图2中示出了对GRU-CNN网络的一次完整训练过程。门控循环单元通过训练数据X1~X4进行四个时间步的训练,根据X1~X4提取得到序列特征(也即H4),并将提取的序列特征注入卷积神经网络,对卷积神经网络进行训练。在下一次训练GRU-CNN网络的过程中,通过训练数据X5~X8进行四个时间步的训练,以此类推。
如图2、图3所示,所述卷积神经网络包含依序连接的第一卷积层1、第一池化层2、第二卷积层3、第二池化层4、全连接层5和丢弃层6。GRU的输出HT作为CNN的数据输入,CNN网络依次通过第一卷积层1、第一池化层2、第二卷积层3、第二池化层4进行多维度特征提取,最终通过全连接层5、丢弃层6判断综合能源***遭受网络安全攻击的类型。第一、第二卷积层用来从其输入数据中进一步提取特征,第一、第二卷积层的卷积核大小均为2×2,卷积步长均为1,卷积深度分别为10、20。第一、第二池化层则用来对其输入数据进行降维、去除冗余信息,本发明的第一、第二池化层均为最大池化层。全连接层5又叫输出层,起到特征分类器的作用。所述全连接层5采用Softmax函数。丢弃层6的随机失活率为0.5;本发明的卷积神经网络采用Adam梯度下降算法优化训练效率,其优化学习率为1e-5。
如图3所示,输入第一卷积层1的单通道数据样本的高和宽均为7,可以看到,单通道数据样本输入的高和宽从第一卷积层1至第二池化层4逐层减小。
为解决CNN费时及容易过拟合的问题,本发明通过在全连接层5之后加入丢弃层6以削弱CNN网络神经元节点间的联合适应性。在训练卷积神经网络的阶段,随机选取丢弃层6的若干元素,将所选元素的权值设为0,实现将该元素从网络中丢弃,增强泛化能力。全连接层5、丢弃层6的输出数据个数分别为128和5,也呈逐层减少。
S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络,得到综合能源网络的安全攻击类型的分类结果。
实施例一
本实施例中通过选取KDDCup99数据集的10%作为所述第一工作数据集E。KDDCup99的原始数据来自于1998年的DARPA入侵检测评估项目,所有的网络数据来自于一个模拟的美国空军局域网,网络中加了很多模拟的攻击。KDDCup99数据集被广泛用于检测评估,作为入侵检测的行业基准,
KDDCup99数据集中包含了若干个网络连接,每个网络连接包含从一段时间内的数据包序列中提取的若干个特征。每个网络连接被标记为正常(normal)或异常(attack),异常类型被细分为四大标志类型(共包含39种攻击类型)。所述四大类为拒绝服务攻击(DoS)、远程主机未授权访问(R2L)、未授权的本地超级用户特权访问(U2R)和端口扫描(Probing)。
为验证本发明的检测方法的有效性和泛化性,本发明的训练集中出现22种已知攻击方式,测试集包含17种未知攻击方式。
表1、数据集样本分布
KDDCup99数据集中每个网络连接由41特征描述,其中包括了9种离散类型,分别是:协议类型protocol_type、网络服务类型service、连接状态flag、连接主机/端口是否相同land、登录是否成功logged_in、超级用户权限rooLshell、su_attempted、is_hot_login、is_guest_login。以下为KDDCup99数据集中的一个网络连接。
0,tcp,smtp,SF,787,329,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,76,117,0.49,0.08,0.01,0.02,0.00,0.00,0.00,0.00,normal。
前41个数据表示网络连接的41个特征(此为现有技术,在此不做具体描述),网络连接中的normal表示未遭受攻击。为方便数据处理,本发明将各离散状态字符用数值型替代,如网络连接中的第二个特征表示三种协议类型(TCP,UDP,ICMP),即可用数字0、1、2替代。对于上述网络连接,可用0代替其中的“tcp”。
每个网络连接相当于所述第一工作数据集E中的一条工作数据er,网络连接中的每个特征对应一类工作数据(如上述网络连接中的第五个特征“787”相当于er中的第五类工作数据。)则第一工作数据集E中包含了第一至第41类工作数据。
在另一个实施例中,网络连接中的41个特征被扩展为136个特征(关于特征扩展为现有技术,此处不做具体描述)。一个特征对应一类工作数据,则第一工作数据集E中包含了第一至第136类工作数据。
本实施例中将从准确率(AC)、召回率(REC)和误报率(FAR)三个方向评价本发明的综合能源网络安全攻击检测算法分类结果的正确率。定义如下变量:真正例TP表示检测出正常标签normal,真反例TN表示检测出具体异常标签,伪正例FP和伪反例FN分别表示错误检测正常与异常样本,计算公式为:
表2为本发明的基于GRU-CNN的综合能源网络安全攻击检测方法,与传统的基于GRU网络、CNN网络、SVM网络、DT网络、ANN网络、ELM网络的检测方法的对比结果。本发明在准确率和误报率方面显著高于其它方法,具有相当的优越性。
表2、实验结果对比
实施例二。
为了应对分布式发电、新能源汽车等接入综合能源网络,本实施例中的综合能源网络在IEEE33标准节点***的基础上做出修改,通过对综合能源网络所选节点模拟虚假数据注入攻击(false data injection attacks,FDIAs),检测本发明的适用性。
虚假数据注入攻击(false data injection attack FDIA)作为新兴攻击,一般指攻击者根据电力***拓扑图,操纵量测装置,通过注入恶意数据篡改量测装置的测量结果,并使得电力***传统的坏数据检测算法检测不出这些恶意数据,致使电力***进行错误状态估计的攻击方式。
本实施例中的综合能源网络模型如图4所示,包含与调度中心连接的33个节点,分别记为节点1至节点33。其中在节点6引入光伏电源PV,节点18处引入微型燃气轮机MT,节点22引入电动汽车EV,节点33处引入风力发电机WT。
以节点22为例,向节点22注入的恶意数据为向量a=[a1,a2,…,am]T,本实施例中,虚假的恶意数据的注入方式为对采集的每类工作数据(量测向量)均添加符合正态分布的噪声。潮流中的状态变量误差向量c=[c1,c2,...,cn]T,不可观察的虚假数据注入攻击用下式表示:
||ra||=||Za-Hxa||=||z+a-H(x+c)||
ra表示残差,H表示雅可比量测矩阵,z表示节点22未被虚假数据注入攻击时的量测向量,节点22的被虚假数据注入攻击后的实际量测向量Za=z+a,x表示节点22的状态向量。当a=Hc时,下式成立:
||ra||=||Za-Hxa||=||z-Hx||<τ
其中,τ表示最大标准化残差阈值。此时表示对节点22的虚假数据注入攻击成功,且通过传统的方法很难检测到。
通过本发明的方法能够有效地检测出注入成功的虚假数据。更进一步地,本发明还根据攻击者可能采取攻击强度的强弱进行了多组对比试验,试验结果证明,综合能源网络安全攻击检测准确率主要受到攻击强度A和虚假数据概率密度分布P的影响。
攻击强度用方差σ2表示,设置σ2=5、σ2=0.5、σ2=0.05三组强度对比试验,分别代表较大、中等及较小强度。另外虚假数据注入的概率密度分布用P表示,取值范围0.05~1.0,且间隔为0.05。对图4所示的综合能源网络进行测试,图5表示通过本发明的检测方法在低、中、高攻击强度下,随着虚假数据概率密度分布变化的安全攻击检测准确率变化曲线。可以清楚地发现,攻击强度越高,攻击特征越明显,在同一概率密度分布下的安全攻击检测准确率起始值越高(也即图5中,注入概率密度为0.5时,三种攻击强度σ2=5、σ2=0.5、σ2=0.05下,安全攻击检测准确率分别为92.5%、93.6%、95.8%)。随着P的逐渐增大,三种攻击强度下的安全攻击检测率均能实现99%左右,达到高准确率的收敛,且收敛的速度仍是随着攻击强度的提高而加快。
本发明的实施例一中,通过KDDCup99数据集,验证了本发明的检测方法在检测四大信息网络攻击类型的可靠性,因此本发明能够应用于综合能源网络中的信息网络;本发明的实施例二中,采集接入分布式电源和电动汽车的假数据注入攻击节点测试***信号,验证了本发明的检测方法在综合能源网络的电力***的适用性。
本发明得检测方法不仅可以提高电网在网络攻击检测过程中的效率,而且能够提取出时间序列特性和多维度特性作为表征,有效提升了攻击检测准确率,便于电网企业安全技术人员针对性配置安全策略,提高综合能源***在风险分析过程中的效率,确保多种能源在源-输-储-荷各环节稳定运行。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (7)
1.一种基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,包含步骤:
S1、选取综合能源网络的节点,按时序采集该节点的第一至第d类工作数据,建立第一工作数据集E={er}r∈[1,num],num为采集的总次数;er={e′r1,…,e′rd};e′rp为第r次采集的所述节点的第p类工作数据,p∈[1,d];预处理第一工作数据集E;
S2、根据GRU-CNN网络的门控循环单元的时间步长,基于所述第一工作数据集E生成训练数据集和测试数据集;为所述训练数据集设置对应的标签,通过所述标签表示综合能源网络的安全攻击类型;
S3、通过所述训练数据集训练GRU-CNN网络;其中训练数据集作为所述门循环控制单元的输入,通过门循环控制单元提取训练数据集的序列特征,将所述序列特征输入GRU-CNN网络的卷积神经网络,对所述卷积神经网络进行训练;所述卷积神经网络用于判断综合能源网络的安全攻击类型;
S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络,得到综合能源网络的安全攻击类型的分类结果。
2.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,步骤S1所述预处理第一工作数据集E,包含:
当第p类工作数据为离散型数据,对{e′rp}r∈[1,num]进行独热编码处理;
当第p类工作数据为连续型数据,对{e′rp}r∈[1,num]进行归一化处理。
4.如权利要求3所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述步骤S3中包含:
S31、令门控循环单元的隐藏单元个数为h,令当前时间步为时间步t,时间步t-1为时间步t的上一时间步,t∈[1,L];Xt作为门控循环单元在时间步t的输入,Ht-1为门控循环单元在时间步t-1的隐藏状态,H0为n×h的全零矩阵;L为训练数据集中所包含的训练数据总个数;门控循环单元在时间步t的重置门Rt和更新门Zt分别为:
Rt=σ(XtWxr+Ht-1Whr+br)
Zt=σ(XtWxz+Ht-1Whz+bz)
S32、计算门控循环单元在时间步t的候选隐藏状态Ht:
Ht=tanh(XtWxh+(Rt⊙Ht-1)Whh+bh)
Ht=Zt⊙Ht-1+(1-Zt)⊙Ht;
5.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述卷积神经网络包含依序连接的第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和丢弃层;其中,第一、第二卷积层的卷积核大小均为2×2,卷积步长均为1;第一、第二卷积层的卷积深度分别为10、20;所述全连接层采用Softmax函数,丢弃层的随机失活率为0.5;卷积神经网络采用Adam梯度下降算法,其优化学习率为1e-5。
6.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述节点为综合能源网络中的用电设备,所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。
7.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述节点为综合能源网络中的网络节点,所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239713.5A CN112333194B (zh) | 2020-11-09 | 2020-11-09 | 基于gru-cnn的综合能源网络安全攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239713.5A CN112333194B (zh) | 2020-11-09 | 2020-11-09 | 基于gru-cnn的综合能源网络安全攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112333194A true CN112333194A (zh) | 2021-02-05 |
CN112333194B CN112333194B (zh) | 2022-08-09 |
Family
ID=74316577
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011239713.5A Active CN112333194B (zh) | 2020-11-09 | 2020-11-09 | 基于gru-cnn的综合能源网络安全攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112333194B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113065606A (zh) * | 2021-04-19 | 2021-07-02 | 北京石油化工学院 | 一种基于轻量级深度学习的异常点位检测方法及*** |
CN113469412A (zh) * | 2021-06-02 | 2021-10-01 | 国核电力规划设计研究院有限公司 | 一种综合能源***实时运行策略优化方法及*** |
CN113472742A (zh) * | 2021-05-28 | 2021-10-01 | 中国科学院信息工程研究所 | 一种基于门控循环单元的内部威胁检测方法和装置 |
CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
CN113794742A (zh) * | 2021-11-18 | 2021-12-14 | 国网浙江浙电招标咨询有限公司 | 一种电力***fdia高精度检测方法 |
CN114760098A (zh) * | 2022-03-16 | 2022-07-15 | 南京邮电大学 | 一种基于cnn-gru的电网虚假数据注入检测方法及装置 |
CN115277079A (zh) * | 2022-06-22 | 2022-11-01 | 国网河南省电力公司信息通信公司 | 一种电力终端信息攻击监测方法和*** |
CN116226702A (zh) * | 2022-09-09 | 2023-06-06 | 武汉中数医疗科技有限公司 | 一种基于生物电阻抗的甲状腺采样数据识别方法 |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107729497A (zh) * | 2017-10-20 | 2018-02-23 | 同济大学 | 一种基于知识图谱的词嵌入深度学习方法 |
CN108282262A (zh) * | 2018-04-16 | 2018-07-13 | 西安电子科技大学 | 基于门控循环单元深度网络的智能时序信号分类方法 |
CN108448610A (zh) * | 2018-03-12 | 2018-08-24 | 华南理工大学 | 一种基于深度学习的短期风功率预测方法 |
US20180341495A1 (en) * | 2017-05-26 | 2018-11-29 | Purdue Research Foundation | Hardware Accelerator for Convolutional Neural Networks and Method of Operation Thereof |
CN109376242A (zh) * | 2018-10-18 | 2019-02-22 | 西安工程大学 | 基于循环神经网络变体和卷积神经网络的文本分类算法 |
CN109522716A (zh) * | 2018-11-15 | 2019-03-26 | 中国人民解放军战略支援部队信息工程大学 | 一种基于时序神经网络的网络入侵检测方法及装置 |
CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
CN109961034A (zh) * | 2019-03-18 | 2019-07-02 | 西安电子科技大学 | 基于卷积门控循环神经单元的视频目标检测方法 |
CN109978228A (zh) * | 2019-01-31 | 2019-07-05 | 中南大学 | 一种pm2.5浓度预测方法、装置及介质 |
CN109992779A (zh) * | 2019-03-29 | 2019-07-09 | 长沙理工大学 | 一种基于cnn的情感分析方法、装置、设备及存储介质 |
CN110348632A (zh) * | 2019-07-11 | 2019-10-18 | 广东电网有限责任公司 | 一种基于奇异谱分析和深度学习的风电功率预测方法 |
CN110348271A (zh) * | 2018-04-04 | 2019-10-18 | 山东大学 | 一种基于长短时记忆网络的微表情识别方法 |
CN110597240A (zh) * | 2019-10-24 | 2019-12-20 | 福州大学 | 一种基于深度学习的水轮发电机组故障诊断方法 |
CN111338002A (zh) * | 2020-03-19 | 2020-06-26 | 长江大学 | 基于门控循环神经网络模型的孔隙度预测方法 |
CN111371806A (zh) * | 2020-03-18 | 2020-07-03 | 北京邮电大学 | 一种Web攻击检测方法及装置 |
US20200349414A1 (en) * | 2019-04-30 | 2020-11-05 | The Regents Of The University Of California | Systems and methods for neuronal networks for associative gestalt learning |
-
2020
- 2020-11-09 CN CN202011239713.5A patent/CN112333194B/zh active Active
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180341495A1 (en) * | 2017-05-26 | 2018-11-29 | Purdue Research Foundation | Hardware Accelerator for Convolutional Neural Networks and Method of Operation Thereof |
CN107729497A (zh) * | 2017-10-20 | 2018-02-23 | 同济大学 | 一种基于知识图谱的词嵌入深度学习方法 |
CN108448610A (zh) * | 2018-03-12 | 2018-08-24 | 华南理工大学 | 一种基于深度学习的短期风功率预测方法 |
CN110348271A (zh) * | 2018-04-04 | 2019-10-18 | 山东大学 | 一种基于长短时记忆网络的微表情识别方法 |
CN108282262A (zh) * | 2018-04-16 | 2018-07-13 | 西安电子科技大学 | 基于门控循环单元深度网络的智能时序信号分类方法 |
CN109376242A (zh) * | 2018-10-18 | 2019-02-22 | 西安工程大学 | 基于循环神经网络变体和卷积神经网络的文本分类算法 |
CN109522716A (zh) * | 2018-11-15 | 2019-03-26 | 中国人民解放军战略支援部队信息工程大学 | 一种基于时序神经网络的网络入侵检测方法及装置 |
CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
CN109978228A (zh) * | 2019-01-31 | 2019-07-05 | 中南大学 | 一种pm2.5浓度预测方法、装置及介质 |
CN109961034A (zh) * | 2019-03-18 | 2019-07-02 | 西安电子科技大学 | 基于卷积门控循环神经单元的视频目标检测方法 |
CN109992779A (zh) * | 2019-03-29 | 2019-07-09 | 长沙理工大学 | 一种基于cnn的情感分析方法、装置、设备及存储介质 |
US20200349414A1 (en) * | 2019-04-30 | 2020-11-05 | The Regents Of The University Of California | Systems and methods for neuronal networks for associative gestalt learning |
CN110348632A (zh) * | 2019-07-11 | 2019-10-18 | 广东电网有限责任公司 | 一种基于奇异谱分析和深度学习的风电功率预测方法 |
CN110597240A (zh) * | 2019-10-24 | 2019-12-20 | 福州大学 | 一种基于深度学习的水轮发电机组故障诊断方法 |
CN111371806A (zh) * | 2020-03-18 | 2020-07-03 | 北京邮电大学 | 一种Web攻击检测方法及装置 |
CN111338002A (zh) * | 2020-03-19 | 2020-06-26 | 长江大学 | 基于门控循环神经网络模型的孔隙度预测方法 |
Non-Patent Citations (3)
Title |
---|
QIANGQIANG NIU,XIAOYONG LI: "A High-performance Web Attack Detection Method based on CNN-GRU Model", 《2020 IEEE 4TH INFORMATION TECHNOLOGY,NETWORKING,ELECTRONIC AND AUTOMATION CONTROL CONFERENCE (ITNEC 2020)》 * |
张国豪,刘波: "采用CNN和Bidirectional GRU的时间序列分类研究", 《计算机科学与探索》 * |
王震宇等: "基于深度卷积和门控循环神经网络的传感器运动识别", 《电子测量与仪器学报》 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113065606A (zh) * | 2021-04-19 | 2021-07-02 | 北京石油化工学院 | 一种基于轻量级深度学习的异常点位检测方法及*** |
CN113065606B (zh) * | 2021-04-19 | 2023-11-17 | 北京石油化工学院 | 一种基于轻量级深度学习的异常点位检测方法及*** |
CN113472742B (zh) * | 2021-05-28 | 2022-09-27 | 中国科学院信息工程研究所 | 一种基于门控循环单元的内部威胁检测方法和装置 |
CN113472742A (zh) * | 2021-05-28 | 2021-10-01 | 中国科学院信息工程研究所 | 一种基于门控循环单元的内部威胁检测方法和装置 |
CN113469412A (zh) * | 2021-06-02 | 2021-10-01 | 国核电力规划设计研究院有限公司 | 一种综合能源***实时运行策略优化方法及*** |
CN113469412B (zh) * | 2021-06-02 | 2024-04-09 | 国核电力规划设计研究院有限公司 | 一种综合能源***实时运行策略优化方法及*** |
CN113645182A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法 |
CN113794742A (zh) * | 2021-11-18 | 2021-12-14 | 国网浙江浙电招标咨询有限公司 | 一种电力***fdia高精度检测方法 |
CN114760098A (zh) * | 2022-03-16 | 2022-07-15 | 南京邮电大学 | 一种基于cnn-gru的电网虚假数据注入检测方法及装置 |
CN115277079A (zh) * | 2022-06-22 | 2022-11-01 | 国网河南省电力公司信息通信公司 | 一种电力终端信息攻击监测方法和*** |
CN115277079B (zh) * | 2022-06-22 | 2023-11-24 | 国网河南省电力公司信息通信公司 | 一种电力终端信息攻击监测方法和*** |
CN116226702A (zh) * | 2022-09-09 | 2023-06-06 | 武汉中数医疗科技有限公司 | 一种基于生物电阻抗的甲状腺采样数据识别方法 |
CN116226702B (zh) * | 2022-09-09 | 2024-04-26 | 武汉中数医疗科技有限公司 | 一种基于生物电阻抗的甲状腺采样数据识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112333194B (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112333194B (zh) | 基于gru-cnn的综合能源网络安全攻击检测方法 | |
Zhang et al. | Intrusion detection for IoT based on improved genetic algorithm and deep belief network | |
Dong et al. | An Intrusion Detection Model for Wireless Sensor Network Based on Information Gain Ratio and Bagging Algorithm. | |
Presekal et al. | Attack graph model for cyber-physical power systems using hybrid deep learning | |
CN111598179B (zh) | 电力监控***用户异常行为分析方法、存储介质和设备 | |
Du et al. | NIDS-CNNLSTM: Network intrusion detection classification model based on deep learning | |
CN113765880B (zh) | 一种基于时空关联性的电力***网络攻击检测方法 | |
CN103679025B (zh) | 一种基于树突细胞算法的恶意代码检测方法 | |
Marino et al. | Cyber and physical anomaly detection in smart-grids | |
Chen et al. | DDoS attack detection based on random forest | |
CN116957049B (zh) | 基于对抗自编码器的无监督内部威胁检测方法 | |
CN111027697A (zh) | 一种遗传算法包裹式特征选择电网入侵检测方法 | |
CN114785573A (zh) | 基于深度学习的智能变电站过程层网络异常流量检测方法 | |
Lu et al. | False data injection attacks detection on power systems with convolutional neural network | |
Han et al. | An intrusion detection system based on neural network | |
Na et al. | Fake data injection attack detection in AMI system using a hybrid method | |
Shi et al. | Extreme trees network intrusion detection framework based on ensemble learning | |
Gao et al. | The prediction role of hidden markov model in intrusion detection | |
Qi | Computer Real-Time Location Forensics Method for Network Intrusion Crimes. | |
CN117171619A (zh) | 一种智能电网终端网络异常检测模型和方法 | |
CN111865947B (zh) | 一种基于迁移学习的电力终端异常数据生成方法 | |
Lu et al. | A hybrid NIDS model using artificial neural network and DS evidence | |
ZHANG et al. | Integrated intrusion detection model based on artificial immune | |
Lian et al. | Critical meter identification and network embedding based attack detection for power systems against false data injection attacks | |
Ling et al. | WEB attack source tracing technology based on genetic algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |