CN114003900A - 变电站二次***网络入侵检测方法、装置及*** - Google Patents

变电站二次***网络入侵检测方法、装置及*** Download PDF

Info

Publication number
CN114003900A
CN114003900A CN202111241393.1A CN202111241393A CN114003900A CN 114003900 A CN114003900 A CN 114003900A CN 202111241393 A CN202111241393 A CN 202111241393A CN 114003900 A CN114003900 A CN 114003900A
Authority
CN
China
Prior art keywords
intrusion detection
data
secondary system
detected
transformer substation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111241393.1A
Other languages
English (en)
Inventor
林其雄
毕超豪
汪创
吴彦伟
段斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority to CN202111241393.1A priority Critical patent/CN114003900A/zh
Publication of CN114003900A publication Critical patent/CN114003900A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Alarm Systems (AREA)

Abstract

本申请涉及一种变电站二次***网络入侵检测方法、装置及***。所述变电站二次***网络入侵检测方法,包括:获取待检测数据;采用入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;入侵检测模型为通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到;判断重建概率是否超出阈值,根据判断结果确认待检测数据是否为入侵数据。本申请用于解决当前基于深度学习的入侵检测算法在检测未知攻击时精度不足的问题,能对异常网络流量实行有效检测,并且可以有效提高对网络未知攻击的检测性能,以及提高对网络攻击的检测率,增强变电站二次***的安全性。

Description

变电站二次***网络入侵检测方法、装置及***
技术领域
本申请涉及网络入侵检测技术领域,特别是涉及一种变电站二次***网络入侵检测方法、装置及***。
背景技术
随着大量智能变电站二次***设备的接入,网络运行数据也将更趋于海量化、异构化、低质化的特点,智能变电站二次***面临网络入侵的安全威胁,其本质安全受到严重影响。如何防止智能变电站二次***受到网络攻击,提高智能变电站二次***的本质安全系数,是目前智能变电站二次***本质安全领域亟需解决的问题。智能变电站二次***入侵检测方法是防止二次***受到网络入侵的主要防范措施。随着深度学习技术在多个行业中的快速进展,深度学习模型已广泛用于入侵检测领域,为入侵检测领域提供了一个新的方向。深度学习方法集成了高级特征提取和分类任务,克服了浅层学习的一些局限性,有效促进了入侵检测方法的发展。
基于深度学***衡,并且网络入侵记录少于正常记录。分类器偏向于更频繁出现的记录,这降低了少数攻击的检测率。其次,由于网络流量大,结构复杂,传统的分类器算法难以达到较高的检测率。第三,各种新的攻击正频繁出现。由于许多未知攻击没有出现在训练数据集中,因此现有入侵检测方法通常在检测未知攻击方面表现不佳。
在实现过程中,发明人发现传统技术中至少存在如下问题:目前的变电站二次***网络入侵检测方法对网络攻击的检测率较低。
发明内容
基于此,有必要针对上述技术问题,提供一种变电站二次***网络入侵检测方法、装置及***。
一种变电站二次***网络入侵检测方法,包括:
获取待检测数据;
采用入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;入侵检测模型为通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到;
判断重建概率是否超出阈值,根据判断结果确认待检测数据是否为入侵数据。
在其中一个实施例中,提取变电站二次***的入侵检测数据集中的有效的特征子集的步骤,包括:
获取入侵检测数据集,并将入侵检测数据集中的各特征进行归一化,得到各归一化后的特征;
分别计算各归一化后的特征的各互信息值;
根据各互信息值,从入侵检测数据集中提取有效的特征子集。
在其中一个实施例中,将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤,包括:
采用变分自编码器对有效的特征子集的各特征进行编码,生成多个中间潜在变量;
通过将自注意力机制扩展为中间潜在变量,获得最终潜变量;
采用解码器将最终潜变量进行解码,得到重构数据。
在其中一个实施例中,通过将自注意力机制扩展为中间潜在变量,获得最终潜变量的步骤,包括:
计算查询向量和各中间潜在变量的各余弦相似度;
分别将各余弦相似度的相似度得分转化为各对齐权重系数;
通过对各对齐权重系数进行加权求和,得到最终潜变量。
在其中一个实施例中,将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤,还包括:
通过分类潜变量、后验概率、先验概率、似然概率以及最终潜变量,构建目标函数。
在其中一个实施例中,将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤,还包括:
根据先验概率采样若干次的平均重构误差,得到重建概率。
在其中一个实施例中,判断重建概率是否超出阈值,根据判断结果确认待检测数据是否为入侵数据的步骤,包括:
若判断结果为重建概率超出阈值,则确认待检测数据为入侵数据;
若判断结果为重建概率未超出阈值,则确认待检测数据为正常数据。
一种变电站二次***网络入侵检测装置,包括:
数据获取模块,用于获取待检测数据;
数据处理模块,用于采用入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;入侵检测模型通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到;
判断模块,用于判断重建概率是否超出阈值,根据判断结果确认待检测数据是否为入侵数据。
一种变电站二次***网络入侵检测***,包括:边缘计算设备和变电站二次***;边缘计算设备和变电站二次***通信连接;
变电站二次***向边缘计算设备输出入侵检测数据;
边缘计算设备接收入侵检测数据,并将入侵检测数据添加至入侵检测数据集;边缘计算设备通过提取入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练,得到入侵检测模型;边缘计算设备将入侵检测模型发送至变电站二次***;
变电站二次***接收入侵检测模型,并基于入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;变电站二次***判断重建概率是否超出阈值,并根据判断结果确认待检测数据是否为入侵数据。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的方法的步骤。
上述技术方案中的一个技术方案至少具有如下优点和有益效果:
本申请通过获取待检测数据,并采用入侵检测模型处理该待检测数据,得到重建概率(reconstruction probability,RP),并通过判断该重建概率是否超出阈值,从而确认待检测数据是否为入侵数据,其中,入侵检测模型是通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将有效的特征子集输入到基于自注意力机制的变分自编码器(Variational auto-encoder,VAE)中进行训练得到的。本申请用于解决当前基于深度学习的入侵检测算法在检测未知攻击时精度不足的问题,能够显式地探究训练样本中隐含的潜在变化和多样性,通过使用重建概率作为异常分数,比重建误差更具原则性和客观性,能够对异常网络流量实行有效检测。此外,本申请的入侵检测模型将自注意力机制引入到变分自编码器中,可以有效提高对网络未知攻击的检测性能,以及提高对网络攻击的检测率,增强变电站二次***的本质安全。
附图说明
为了更清楚地说明本申请实施例或传统技术中的技术方案,下面将对实施例或传统技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中变电站二次***网络入侵检测方法的流程示意图;
图2为一个实施例中提取变电站二次***的入侵检测数据集中的有效的特征子集的步骤的流程示意图;
图3为一个实施例中将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤的流程示意图;
图4为一个实施例中获得最终潜变量的步骤的流程示意图;
图5为一个实施例中变电站二次***网络入侵检测装置的结构框图;
图6为一个实施例中变电站二次***网络入侵检测***的结构示意图;
图7为一个示例中变电站二次***网络入侵检测***对待检测数据进行处理的流程示意图。
具体实施方式
为了便于理解本申请,下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的实施例。但是,本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使本申请的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
需要说明的是,当一个元件被认为是“连接”另一个元件时,它可以是直接连接到另一个元件,或者通过居中元件连接另一个元件。此外,以下实施例中的“连接”,如果被连接的对象之间具有电信号或数据的传递,则应理解为“电连接”、“通信连接”等。
在此使用时,单数形式的“一”、“一个”和“所述/该”也可以包括复数形式,除非上下文清楚指出另外的方式。还应当理解的是,术语“包括/包含”或“具有”等指定所陈述的特征、整体、步骤、操作、组件、部分或它们的组合的存在,但是不排除存在或添加一个或更多个其他特征、整体、步骤、操作、组件、部分或它们的组合的可能性。
在一个实施例中,如图1所示,提供了一种变电站二次***网络入侵检测方法,包括:
步骤202,获取待检测数据;
步骤204,采用入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;入侵检测模型为通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到;
步骤206,判断重建概率是否超出阈值,根据判断结果确认待检测数据是否为入侵数据。
其中,为了防止变电站二次***不受到网络入侵的安全危险,需要对变电站二次***使用的网络运行数据进行检测,即将变电站二次***使用的网络运行数据作为待检测数据,待检测数据中可能包含入侵数据、异常数据等危害变电站二次***安全性的数据。重建概率是一种考虑变量分布变异性的概率度量。入侵检测数据集中包含具有训练价值的特征样本,特征为用于辨别网络数据的标记。注意力机制模仿了生物观察行为的内部过程,即一种将内部经验和外部感觉对齐从而增加部分区域的观察精细度的机制,注意力机制可以快速提取稀疏数据的重要特征,因而被广泛用于自然语言处理任务,特别是机器翻译,而自注意力机制是注意力机制的改进,其减少了对外部信息的依赖,更擅长捕捉数据或特征的内部相关性。变分自编码器是一类重要的生成模型(generative model),变分自编码器可用于对先验数据分布进行建模;它包括两部分:编码器和解码器,编码器将数据分布的高级特征映射到数据的低级表征,低级表征叫作本征向量(latent vector),解码器吸收数据的低级表征,然后输出同样数据的高级表征。
具体地,通过采用入侵检测模型处理获取到的待检测数据,得到处理结果,从而根据处理结果中的重建概率判断待检测数据是否为入侵数据;其中,入侵检测模型为通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将有效的特征子集输入到基于自注意力机制的变分自编码器中进行训练得到的,即本申请将训练好的变分自编码器作为入侵检测模型对待检测数据进行检测,通过将获得的相应的重建概率作为异常分数,对待检测数据的异常情况进行判断,通过判断重建概率是否超出阈值,并根据判断结果确认待检测数据是否为入侵数据,即判断待检测数据是否异常,从而防止异常网络数据对变电站二次***的入侵,对变电站二次***的运行造成危害。
本申请通过采用入侵检测模块对待检测数据进行处理,从而根据处理结果中的重建概率确认待检测数据是否为入侵数据,其中,入侵检测模型为通过将从变电站二次***的入侵检测数据集中提取到的有效的特征子集输入至基于自注意力机制的变分自编码器中进行训练得到的。本申请能够显式地探究训练样本(入侵检测数据)中隐含的潜在变化和多样性,通过使用重建概率作为异常分数,比传统检测方法中使用的重建误差更具原则性和客观性,能够对异常网络流量实行更有效的检测。此外,本申请的入侵检测模型将自注意力机制引入到变分自编码器VAE中,进而有效的提高了模型对未知攻击的检测性能,提高了检测到网络攻击的准确性,增强了智能变电站二次***的本质安全。
在其中一个实施例中,如图2所示,提取变电站二次***的入侵检测数据集中的有效的特征子集的步骤204,可以包括:
步骤302,获取入侵检测数据集,并将入侵检测数据集中的各特征进行归一化,得到各归一化后的特征;
步骤304,分别计算各归一化后的特征的各互信息值;
步骤306,根据各互信息值,从入侵检测数据集中提取有效的特征子集。
其中,互信息(Mutual Information)是信息论里一种有用的信息度量,它可以看成是一个随机变量中包含的关于另一个随机变量的信息量,或者说是一个随机变量由于已知另一个随机变量而减少的不肯定性,互信息是衡量随机变量之间相互依赖程度的度量。
具体地,若将入侵检测数据集中的原始数据直接输入变分自编码器VAE模型中,则会降低模型的收敛速度,甚至破坏收敛性,即经过大量迭代后模型依然无法收敛。因此在使用数据集之前,利用归一化方式将不同维度、性质的数据转换为0~1,转换公式如下:
Figure BDA0003319321620000071
该转换公式中,y为数据中某维度中的任意值,max为该维度中的最大值,min为该维度中的最小值。
在许多入侵检测数据集中,只有少数特征蕴含了关于攻击的信息,而其他特征是网络的常见属性,与是否发生入侵行为无关,属于冗余信息。而使用大量特征训练入侵检测模型,会在增加训练时间的同时,也容易使模型出现过拟合现象,从而导致泛化能力下降。因此本申请采用基于互信息的特征提取方式,从入侵检测数据集中识别和选择出有效的特征子集用于模型训练。
互信息方法是一种典型的滤波方法,用于衡量某个特征对数据集中类的区分程度。通常使用信息熵的概念计算互信息值,信息熵是随机变量不确定性的度量。令输入为X,输出为Y,再将入侵检测数据集根据输出按升序排列。得到:
(1)集合Y={Y1,Y2,…,YNy}中类的初始熵表示为:
Figure BDA0003319321620000081
式中,Ny表示可能的输出值Y的个数;P(Yj)为不同的输出的概率。
(2)条件熵H(Y|X)刻画了特定类与其输入特征之间的关系,表示为:
Figure BDA0003319321620000082
式中,Nx为可能的输入值X的个数;P(Yj|Xi)表示输入值为Xi的条件下输出为Yj的概率;P(Xi)表示输入特征中不同值各自的概率。
(3)最终得到每个特征相对于输出的互信息如下:
I(Y;X)=H(Y)-H(Y|X)
式中,I(Y;X)表示两个随机变量X和Y之间的互信息,在已知Y的概率的前提下,可以降低X的不确定性。
基于上述过程,可计算得到每个特征的互信息值。
通过将入侵检测数据集中的各特征进行归一化,避免影响入侵检测模型训练过程的收敛速度,得到各归一化后的特征;再分别计算入侵检测数据中各归一化后的特征的互信息值,从而根据各归一化后的特征的互信息值,从入侵检测数据集中提取有效的特征子集,即挑选出具有攻击信息的特征输入变分自编码器中进行针对性训练。
本申请利用归一化方法和互信息的特征提取方式对入侵选择数据进行预处理和特征提取,然后将有效的特征数据输入到基于注意力机制的变分自编码器中进行模型训练,相比直接使用数据中的所有特征,采用获取互信息值的方式获取有效的特征,可以实现在降低数据维数的同时,使得模型具有更高的泛化性能。
在其中一个实施例中,如图3所示,将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤204,可以包括:
步骤402,采用变分自编码器对有效的特征子集的各特征进行编码,生成多个中间潜在变量;
步骤404,通过将自注意力机制扩展为中间潜在变量,获得最终潜变量;
步骤406,采用解码器将最终潜变量进行解码,得到重构数据。
具体地,由于VAE是一种无监督模型,只能生成与输入类似的输出数,而这种方式不足以充分把握输入数据的本能特征,且在编码过程中没有关注潜在量之间的关系。为了克服上述缺点和局限性,本申请基于自注意力机制优化VAE,优化过程为:首先,采用变分自编码器对有效的特征子集的各特征进行编码,在编码过程中生成多个中间潜在变量;然后通过引入自注意力机制,对中间潜在变量进行加权和求和,将自注意力机制扩展为中间潜在变量,从而获得最终的潜在变量;最后,将最终潜在变量进行解码,得到重构数据。本申请基于自注意力机制优化变分自编码器的方式通过提取和整合原始样本丰富的特征信息来提高检测率。
本申请将自注意力机制引入到变分自编码器中,采集训练样本(有效的特征子集)中隐含特征信息,并将其融入最终潜变量中,从而有效的提高了入侵检测模型对未知攻击的检测性能,增强智能变电站二次***的本质安全。
在其中一个实施例中,如图4所示,通过将自注意力机制扩展为中间潜在变量,获得最终潜变量的步骤404,可以包括:
步骤502,计算查询向量和各中间潜在变量的各余弦相似度;
步骤504,分别将各余弦相似度的相似度得分转化为各对齐权重系数;
步骤506,通过对各对齐权重系数进行加权求和,得到最终潜变量。
具体而言,对于中间潜在变量的推论过程,变分自编码器VAE生成了多个中间潜在变量
Figure BDA0003319321620000095
Figure BDA0003319321620000092
式中,中间潜在变量
Figure BDA0003319321620000093
由键和值数据对组成,c表示分类潜变量。假设自注意力机制中的查询遵循标准的高斯分布,则通过将自注意力机制扩展为中间潜在变量,生成最终潜在变量,具体过程如下:
(1)将查询向量qc和每个键向量
Figure BDA0003319321620000094
视为级联向量,它们分别由满足高斯分布的均值向量μ和由协方差矩阵
Figure BDA0003319321620000101
的对角元素组成的向量串联而成。通过以下公式计算查询向量qc和键向量
Figure BDA0003319321620000102
的余弦相似度Sj
Figure BDA0003319321620000103
式中,j=1,2,…,m。
(2)引入一种类似于SoftMax的计算方法,将前一阶段的相似度得分转化为对齐权重
Figure BDA0003319321620000104
Figure BDA0003319321620000105
(3)在获得与
Figure BDA0003319321620000106
对应的对齐权重系数
Figure BDA0003319321620000107
之后,通过加权求和得出最终的潜在连续变量z:
Figure BDA0003319321620000108
本申请通过计算查询向量和各所述中间潜在变量的各余弦相似度,并分别将各所述余弦相似度的相似度得分转化为各对齐权重系数,再通过对各所述对齐权重系数进行加权求和,得到所述最终潜变量。从而本申请将自注意力机制引入到变分自编码器中,获得每个变量的动态权重,进而将入侵检测数据集的训练样本中包含的变化因子融合到最终潜变量中,从而有效的提高了入侵检测模型对未知攻击的检测性能,提高了检测精确度,增强了智能变电站二次***的本质安全。
在其中一个实施例中,将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤204,还可以包括:
通过分类潜变量、后验概率、先验概率、似然概率以及最终潜变量,构建目标函数。
具体地,编码器分别从样本数据x中生成最终潜变量z和分类潜变量c的情况下,可以利用后验概率qφ(z,c|x)、先验概率p(z,c)和似然概率pθ(x|z,c),构建目标函数为:
Figure BDA0003319321620000109
本申请的编码器分别从样本数据x中生成最终潜变量z和分类潜变量c;然后,解码器对最终潜变量z和分类潜变量c进行重构获得输出结果。假设连续和离散的潜变量是条件独立的,即qφ(z,c|x)=qφ(z|x)×qφ(c|x)。对于先验概率也是同样道理,p(z,c)=p(z)×p(c),则在训练过程中可以通过增加信息容量来提高VAE模型的性能:
Figure BDA0003319321620000112
式中,Dz和Dc分别表示连续通道和离散通道的受控信息的容量,并且它们的值在训练过程中逐渐增加。β是一个常数,可以通过约束Kullback-Leibler散度项来匹配Dz和Dc
在其中一个实施例中,将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤204,还可以包括:
根据先验概率采样若干次的平均重构误差,得到重建概率。
具体地,给定测试数据x,编码器将潜在的高斯变量μ和σ的参数估计作为输出,然后根据潜在变量的分布N(μ,σ2),采用重参数化对最终潜变量z进行L次采样:
zl=μ+σ·ξl
式中,ξ~N(0,I),l=1,2,…,L。因此,重建概率可以由VAE根据先验概率pθ(z)采样L次的平均重建误差计算获得,如以下公式所示:
Figure BDA0003319321620000111
本申请利用产生原始输入变量分布参数的随机潜变量计算RP,这从根本上等同于从近似后验分布中取出的某些潜在变量产生数据的概率。RP不仅考虑原始输入和重构之间的差异,而且还通过考虑方差参数来考虑重构的可变性,而且通过使用此函数可以增强对根据变量方差进行重构的选择性敏感性。
对于本申请的基于自注意力机制优化变分自编码器的过程,为了进一步明确入侵检测模型的有效性和可用性,本申请给出其在理论上的时间复杂度,即入侵检测模型由两部分组成,首先是利用自注意力机制确定潜在变量,每一层执行的时间复杂度为O(n2·d),其次执行变分自编码器获得检测效果,每一层执行的时间复杂度为O(n·d2),其中,n表示序列长度,d表示序列维度。因此,入侵检测模型的总时间复杂度为O(n2·d)+O(n·d2)。
本申请基于VAE的变电站二次***网络入侵检测方法采用半监督方式执行,即仅使用正常数据样本来训练变分自动编码器,训练后的VAE模型将以非常低的正则度重建正常输入数据,而对于异常数据则无法以低概率值进行重建。概率解码器gθ和编码器fφ分别对原始输入变量空间和潜变量空间中的各向同性正态分布进行参数化,且使用均值和方差参数计算从各向同性正态分布产生的原始数据概率。并且本申请选择重建概率RP作为异常分数来检测异常值,在基于VAE的网络入侵检测过程中,选择
Figure BDA0003319321620000121
的蒙特卡罗估计作为RP。通过使用重建概率作为异常分数,比以往的入侵检测方法使用重建误差更具原则性和客观性,能够对异常网络流量实行更有效的检测。
在其中一个实施例中,判断重建概率是否超出阈值,根据判断结果确认待检测数据是否为入侵数据的步骤206,可以包括:
若判断结果为重建概率超出阈值,则确认待检测数据为入侵数据;
若判断结果为重建概率未超出阈值,则确认待检测数据为正常数据。
具体地,入侵检测模型训练完成参数优化后,采用该模型处理待检测数据,对待检测数据进行异常检测。当网络行为与入侵检测模型学习到的正常行为有很大差异时,通常会观察到很高的重建概率。当输入特征的重建概率超出阈值时,即可将该数据视为入侵数据(攻击流量)。即采用入侵检测模型处理待检测数据,得到处理结果,并判断处理结果中的重建概率是否超出阈值,当重建概率超出阈值,则确认待检测数据为入侵数据,是对变电站二次***的运行产生危害的数据;当重建概率未超出阈值,则确认待检测数据为正常数据,即非入侵数据,对变电站二次***的运行不会造成危害,是安全的网络数据。
以上,本申请通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到入侵检测模型,在获取待检测数据的情况下,采用该入侵检测模型处理待检测数据,并通过判断处理结果中的重建概率是否超出阈值来确认待检测数据是否为入侵数据。其中,VAE的训练通过使用反向传播算法来执行,重建概率使用蒙特卡罗梯度方法结合重参数化方法计算获得。本申请可以显式地探究训练样本中隐含的潜在变化和多样性,通过使用互信息方法进行特征选择,相比于直接使用数据中的所有特征,互信息方法在降低数据模型复杂性,加快训练速度的同时,也使得入侵检测模型具有更强的泛化性能。本申请通过将自注意机制引入到VAE中,获得每个变量的动态权重,进而将样本中包含的变化因子融合到最终潜变量中,从而有效的提高了模型对未知攻击的检测性能,对异常网络流量实行有效检测;本申请还通过使用重建概率作为异常分数,比重建误差更具原则性和客观性,有效提高检测到网络攻击的准确性,增强了智能变电站二次***的安全性。
应该理解的是,虽然图1-图4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-图4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种变电站二次***网络入侵检测装置,包括:
数据获取模块110,用于获取待检测数据;
数据处理模块120,用于采用入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;入侵检测模型通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到;
判断模块130,用于判断重建概率是否超出阈值,根据判断结果确认待检测数据是否为入侵数据。
在其中一个实施例中,数据处理模块120还用于获取入侵检测数据集,并将入侵检测数据集中的各特征进行归一化,得到各归一化后的特征;分别计算各归一化后的特征的各互信息值;根据各互信息值,从入侵检测数据集中提取有效的特征子集。
在其中一个实施例中,数据处理模块120还用于采用变分自编码器对有效的特征子集的各特征进行编码,生成多个中间潜在变量;通过将自注意力机制扩展为中间潜在变量,获得最终潜变量;采用解码器将最终潜变量进行解码,得到重构数据。
在其中一个实施例中,数据处理模块120还用于计算查询向量和各中间潜在变量的各余弦相似度;分别将各余弦相似度的相似度得分转化为各对齐权重系数;通过对各对齐权重系数进行加权求和,得到最终潜变量。
在其中一个实施例中,数据处理模块120还用于通过分类潜变量、后验概率、先验概率、似然概率以及最终潜变量,构建目标函数。
在其中一个实施例中,数据处理模块120还用于根据先验概率采样若干次的平均重构误差,得到重建概率。
在其中一个实施例中,判断模块130还用于若判断结果为重建概率超出阈值,则确认待检测数据为入侵数据;若判断结果为重建概率未超出阈值,则确认待检测数据为正常数据。
关于变电站二次***网络入侵检测装置的具体限定可以参见上文中对于变电站二次***网络入侵检测方法的限定,在此不再赘述。上述变电站二次***网络入侵检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,如图6所示,提供了一种变电站二次***网络入侵检测***,包括:边缘计算设备和变电站二次***;边缘计算设备和变电站二次***通信连接;
变电站二次***向边缘计算设备输出入侵检测数据;
边缘计算设备接收入侵检测数据,并将入侵检测数据添加至入侵检测数据集;边缘计算设备通过提取入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练,得到入侵检测模型;边缘计算设备将入侵检测模型发送至变电站二次***;
变电站二次***接收入侵检测模型,并基于入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;变电站二次***判断重建概率是否超出阈值,并根据判断结果确认待检测数据是否为入侵数据。
具体地,本申请将模型训练任务迁移到智能变电站二次***之外的边缘计算设备,智能变电站二次***仅承担检测任务。变电站二次***将检测到的具有训练价值的样本(入侵检测数据)保留并通过高速、低时延网络上传到边缘计算设备,添加至入侵检测数据集,以供下一次模型训练。
边缘计算设备通过提取入侵检测数据集中的有效的特征子集,并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练(训练入侵检测模型),得到训练好的入侵检测模型;边缘计算设备将训练好的入侵检测模型通过高速、低时延网络实时发送至变电站二次***。变电站二次***接收训练好的入侵检测模型,并将前一次接收到的入侵检测模型进行更新,并基于本次接收到的入侵检测模型处理待检测数据,得到处理结果;处理结果包括重建概率;变电站二次***判断重建概率是否超出阈值,并根据判断结果确认待检测数据是否为入侵数据。
在一个示例中,如图7所示,入侵检测数据集为正常数据集X,待检测数据为可能包含入侵数据数据的异常数据集x1,x2,...xN,并设置阈值α;采用正常数据集X训练注意力联合VAE模型参数,并通过训练好的入侵检测模块处理待检测数据(包含入侵数据数据的异常数据集),当检测到待检测数据(包含入侵数据数据的异常数据集)中的数据xi的重建概率RPi大于阈值α时,确认数据xi为异常值(即为入侵数据);当检测到待检测数据(包含入侵数据数据的异常数据集)中的数据xi的重建概率RPi未超过阈值α时,确认数据xi为正常值(即为正常数据)。
以上,本申请将入侵检测模型的训练任务迁移到变电站二次***之外的边缘计算设备,二次***仅承担检测任务,变电站二次***通过高速网络实时获得入侵检测模型的更新,并通过获得的入侵检测模块对待测数据进行检测,并将检测到的具有训练价值的样本上传到边缘计算设备进行模型训练。本申请解决了变电站二次***计算资源有限,但对入侵检测时间敏感、检测精度要求高的问题。由于入侵检测模型训练任务的迁出,变电站二次***会节省大量的计算资源,在保持变电站二次***自身稳定运行的同时,也提升了入侵检测速度。若变电站二次***计算资源充足,则可选择不将训练任务迁移出去,直接由变电站二次***实现上述各方法实施例中的步骤。并且,本申请的变电站二次***网络入侵***可以有效且精确地检测到入侵变电站二次***的未知攻击,有效地保障了变电站二次***的运行安全。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
在本说明书的描述中,参考术语“有些实施例”、“其他实施例”、“理想实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特征包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性描述不一定指的是相同的实施例或示例。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种变电站二次***网络入侵检测方法,其特征在于,包括:
获取待检测数据;
采用入侵检测模型处理所述待检测数据,得到处理结果;所述处理结果包括重建概率;所述入侵检测模型为通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到;
判断所述重建概率是否超出阈值,根据判断结果确认所述待检测数据是否为入侵数据。
2.根据权利要求1所述的变电站二次***网络入侵检测方法,其特征在于,所述提取变电站二次***的入侵检测数据集中的有效的特征子集的步骤,包括:
获取所述入侵检测数据集,并将所述入侵检测数据集中的各特征进行归一化,得到各所述归一化后的特征;
分别计算所述各所述归一化后的特征的各互信息值;
根据各所述互信息值,从所述入侵检测数据集中提取所述有效的特征子集。
3.根据权利要求1所述的变电站二次***网络入侵检测方法,其特征在于,所述将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤,包括:
采用所述变分自编码器对所述有效的特征子集的各所述特征进行编码,生成多个中间潜在变量;
通过将所述自注意力机制扩展为所述中间潜在变量,获得最终潜变量;
采用解码器将所述最终潜变量进行解码,得到重构数据。
4.根据权利要求3所述的变电站二次***网络入侵检测方法,其特征在于,所述通过将所述自注意力机制扩展为所述中间潜在变量,获得最终潜变量的步骤,包括:
计算查询向量和各所述中间潜在变量的各余弦相似度;
分别将各所述余弦相似度的相似度得分转化为各对齐权重系数;
通过对各所述对齐权重系数进行加权求和,得到所述最终潜变量。
5.根据权利要求3所述的变电站二次***网络入侵检测方法,其特征在于,所述将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤,还包括:
通过分类潜变量、后验概率、先验概率、似然概率以及所述最终潜变量,构建目标函数。
6.根据权利要求5所述的变电站二次***网络入侵检测方法,其特征在于,所述将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤,还包括:
根据所述先验概率采样若干次的平均重构误差,得到重建概率。
7.根据权利要求1所述的变电站二次***网络入侵检测方法,其特征在于,所述判断所述重建概率是否超出阈值,根据判断结果确认所述待检测数据是否为入侵数据的步骤,包括:
若所述判断结果为所述重建概率超出阈值,则确认所述待检测数据为入侵数据;
若所述判断结果为所述重建概率未超出阈值,则确认所述待检测数据为正常数据。
8.一种变电站二次***网络入侵检测装置,其特征在于,包括:
数据获取模块,用于获取待检测数据;
数据处理模块,用于采用入侵检测模型处理所述待检测数据,得到处理结果;所述处理结果包括重建概率;所述入侵检测模型通过提取变电站二次***的入侵检测数据集中的有效的特征子集,并将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到;
判断模块,用于判断所述重建概率是否超出阈值,根据判断结果确认所述待检测数据是否为入侵数据。
9.一种变电站二次***网络入侵检测***,其特征在于,包括:边缘计算设备和变电站二次***;所述边缘计算设备和所述变电站二次***通信连接;
所述变电站二次***向所述边缘计算设备输出入侵检测数据;
所述边缘计算设备接收所述入侵检测数据,并将所述入侵检测数据添加至入侵检测数据集;所述边缘计算设备通过提取所述入侵检测数据集中的有效的特征子集,并将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练,得到入侵检测模型;所述边缘计算设备将所述入侵检测模型发送至所述变电站二次***;
所述变电站二次***接收所述入侵检测模型,并基于所述入侵检测模型处理待检测数据,得到处理结果;所述处理结果包括重建概率;所述变电站二次***判断所述重建概率是否超出阈值,并根据判断结果确认所述待检测数据是否为入侵数据。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202111241393.1A 2021-10-25 2021-10-25 变电站二次***网络入侵检测方法、装置及*** Pending CN114003900A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111241393.1A CN114003900A (zh) 2021-10-25 2021-10-25 变电站二次***网络入侵检测方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111241393.1A CN114003900A (zh) 2021-10-25 2021-10-25 变电站二次***网络入侵检测方法、装置及***

Publications (1)

Publication Number Publication Date
CN114003900A true CN114003900A (zh) 2022-02-01

Family

ID=79923837

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111241393.1A Pending CN114003900A (zh) 2021-10-25 2021-10-25 变电站二次***网络入侵检测方法、装置及***

Country Status (1)

Country Link
CN (1) CN114003900A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978613A (zh) * 2022-04-29 2022-08-30 南京信息工程大学 基于数据增强和自监督特征增强的网络入侵检测方法
CN115051834A (zh) * 2022-05-11 2022-09-13 华北电力大学 一种基于STSA-transformer算法的新型电力***APT攻击检测方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978613A (zh) * 2022-04-29 2022-08-30 南京信息工程大学 基于数据增强和自监督特征增强的网络入侵检测方法
CN114978613B (zh) * 2022-04-29 2023-06-02 南京信息工程大学 基于数据增强和自监督特征增强的网络入侵检测方法
CN115051834A (zh) * 2022-05-11 2022-09-13 华北电力大学 一种基于STSA-transformer算法的新型电力***APT攻击检测方法

Similar Documents

Publication Publication Date Title
CN111967502B (zh) 一种基于条件变分自编码器的网络入侵检测方法
CN111785329B (zh) 基于对抗自动编码器的单细胞rna测序聚类方法
CN111914253B (zh) 一种入侵检测的方法、***、设备及可读存储介质
CN114003900A (zh) 变电站二次***网络入侵检测方法、装置及***
CN114048468A (zh) 入侵检测的方法、入侵检测模型训练的方法、装置及介质
CN111242351A (zh) 基于自编码器和gru神经网络的热带气旋轨迹预测方法
CN116781346A (zh) 基于数据增强的卷积双向长短期记忆网络入侵检测方法
CN114332500A (zh) 图像处理模型训练方法、装置、计算机设备和存储介质
CN113988177A (zh) 一种水质传感器异常数据检测与故障诊断方法
CN114565021A (zh) 基于量子循环神经网络的金融资产定价方法、***及存储介质
CN116993537A (zh) 一种基于串行gru自编码器的电力负荷异常检测方法及***
CN112541530B (zh) 针对聚类模型的数据预处理方法及装置
CN111737688B (zh) 基于用户画像的攻击防御***
CN110941542B (zh) 基于弹性网络的序列集成高维数据异常检测***及方法
CN110288002B (zh) 一种基于稀疏正交神经网络的图像分类方法
CN112348226A (zh) 预测数据生成方法、***、计算机设备及存储介质
CN117079017A (zh) 可信的小样本图像识别分类方法
CN116610973A (zh) 一种传感器故障监测及失效信息重构方法及***
CN116400168A (zh) 一种基于深度特征聚类的电网故障诊断方法及***
CN111797732B (zh) 一种对采样不敏感的视频动作识别对抗攻击方法
Jiang et al. Anomaly detection of Argo data using variational autoencoder and k-means clustering
CN111738370A (zh) 本质流形结构的图像特征融合与聚类协同表达方法及***
CN115086082B (zh) 基于深度学习的网络安全评估方法、***、设备及介质
CN117375970A (zh) 一种电力***网络入侵检测方法、***及设备
CN118018272A (zh) 针对数据管理平台实现入侵防御处理的方法、装置、处理器及其计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination