一种电网异常流量检测方法、装置、设备及计算机介质与流程

1.本发明涉及计算机技术领域，特别是涉及一种电网异常流量检测方法、装置、设备及计算机介质。


背景技术：

2.随着电网智能化技术的快速发展和广泛应用，电网系统受到的网络攻击种类及数量也在大幅增加，这些攻击行为将对电网终端、数据和系统等造成安全威胁，并对电网信息安全带来负面影响与严重损失，因此，研究电网系统所受到的攻击行为，并检测出异常电网流量是保证电力防御安全的关键。
3.现有的电网异常流量检测方法一般通过在已有数据库的基础上制定各种特征提取方案，再采用静态与动态分析结合的方式，识别出电网异常流量的类型，但由于电网中的攻击行为往往种类复杂多样且数量众多，当使用上述方法对电网中的异常流量进行检测时，通常需要处理大规模数据，从而使得系统的分析和响应时间延长，且难以在单位时间内得到更准确的识别结果。


技术实现要素：

4.针对上述技术问题，本发明提供一种电网异常流量检测方法、装置、设备及计算机介质，能够更快地得到更精准的异常流量检测结果。
5.第一方面，本发明提供一种电网异常流量检测方法，包括：
6.根据所采集的网络攻击行为数据确定攻击向量；
7.通过静态分析方法和动态检测方法提取所述攻击向量中的行为特征；
8.利用深度网络模型对所提取的行为特征进行特征处理，生成判别性特征；所述判别性特征用于表征所述攻击向量间的相关性；
9.对所述判别性特征进行分类，基于分类结果确定所述网络攻击行为数据中的异常流量数据。
10.可选的，所述深度网络模型具体为深度自编码器。
11.可选的，所述对所述判别性特征进行分类，基于分类结果确定所述网络攻击行为数据中的异常流量数据，具体为：利用svm算法对所述判别性特征进行分类；根据分类结果确定所述网络攻击行为数据中的异常流量数据。
12.可选的，所述根据所采集的网络攻击行为数据确定攻击向量，具体为：利用所采集的网络攻击行为数据中的电网结构信息确定攻击约束条件和目标函数，其中，所述攻击约束条件包括电网的节点分布约束和异常检测机制约束，所述目标函数为最大化攻击收益；根据所述攻击约束条件和所述目标函数确定所述攻击向量。
13.第二方面，本发明提供一种电网异常流量检测装置，包括：
14.第一提取模块，用于根据所采集的网络攻击行为数据确定攻击向量；
15.第二提取模块，用于通过静态分析方法和动态检测方法提取所述攻击向量中的行
为特征；
16.第三提取模块，用于利用深度网络模型对所提取的行为特征进行特征处理，生成判别性特征；所述判别性特征用于表征所述攻击向量间的相关性；
17.分类模块，用于对所述判别性特征进行分类，基于分类结果确定所述网络攻击行为数据中的异常流量数据。
18.可选的，所述深度网络模型具体为深度自编码器。
19.可选的，所述分类模块具体用于：利用svm算法对所述判别性特征进行分类；根据分类结果确定所述网络攻击行为数据中的异常流量数据。
20.可选的，所述第一提取模块具体用于：利用所采集的网络攻击行为数据中的电网结构信息确定攻击约束条件和目标函数，其中，所述攻击约束条件包括电网的节点分布约束和异常检测机制约束，所述目标函数为最大化攻击收益；根据所述攻击约束条件和所述目标函数确定所述攻击向量。
21.第三方面，本发明提供一种数据处理设备，包括处理器，所述处理器和存储器耦合，所述存储器存储有程序，所述程序由所述处理器执行，使得所述数据处理设备执行第一方面所述的电网异常流量检测方法。
22.第四方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如上述第一方面所述的电网异常流量检测方法。
23.相比现有技术，本发明的有益效果在于：
24.本发明提供的电网异常流量检测方法通过采用深度网络模块从历史的网络攻击行为数据中提取网络流量的数据特征，能够有效降低异常流量检测算法的分析周期，提高检测效率，同时还可挖掘出数据的层次关系，使检测结果的准确度更高。
附图说明
25.为了更清楚地说明本发明的技术方案，下面将对实施方式中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
26.图1是本发明实施例提供的电网异常流量检测方法的流程示意图；
27.图2是本发明实施例提供的深度自编码网络结构图；
28.图3是本发明实施例提供的电网异常流量检测装置的结构框图。
具体实施方式
29.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
30.如图1所示，第一方面，本发明一个实施例提供一种电网异常流量检测方法，包括下述步骤s1至s4。
31.s1：根据所采集的网络攻击行为数据确定攻击向量。
32.具体地，首先利用所采集的网络攻击行为数据中的电网结构信息确定攻击约束条
件和目标函数，其中，所述攻击约束条件包括电网的节点分布约束和异常检测机制约束，所述目标函数为最大化攻击收益；再根据所述攻击约束条件和所述目标函数确定所述攻击向量。
33.可以理解的是，当电网数据受到攻击时，无论攻击代码的隐蔽性有多高，其攻击的目标是不变的，所以不同攻击方式中通常存在着一些无法避免的攻击步骤。对此，本实施例通过将网络攻击行为数据中的电网结构信息转化为异常流量检测时的约束条件，来减少噪声数据的干扰。
34.具体地，在智能电网中，攻击优势可以转化为下述3种约束条件：
[0035][0036]
式中，a表示攻击向量，c为基于正常流量数据集合的向量，h表示智能电网节点的分布信息，τa表示攻击类型的阈值；l表示状态测量精度，m和n均表示攻击行为向量。
[0037]
需要说明的是，本实施例为了简化计算，将m和n表示成对角向量，具体如下式所述：
[0038][0039]
通常情形下，攻击者主要通过添加噪声来最大化攻击收益，对此，可设置本实施例的目标函数为
[0040]
具体地，r＝a/l。式中，b为正常流量数据，p和q均为权重，b
t
a表示攻击数据与正常流量数据间的距离，d则表示被攻击对象数据流的脆弱程度的矩阵。
[0041]
在攻击者对智能电网进行攻击的过程中，为了增强攻击行为的隐蔽性，通常会利用电网的结构信息来减少攻击数据间的差异，本发明根据该特性，在求解目标函数时充分考虑了上述约束条件，并使用拉格朗日乘子法和非线性规划迭代法对其进行求解，以得到攻击向量。
[0042]
具体的，所述攻击向量的求解步骤如下：
[0043]
使用拉格朗日乘子法，将攻击目标函数表示为：
[0044]
l＝u(a) λ1h1(a) λ2h2(a) λ3g(a)
[0045]
式中，h1(a)＝||a-hc||-τa，h2(a)＝n(a l)，g(a)＝a
t
ma；其中，λ1、λ2和λ3分别表示目标函数的3个参数。
[0046]
根据函数取最小值的条件可知，当取得最小值时，目标函数取得最小值，此时可得目标函数满足下式约束：
[0047][0048]
式中，dk为迭代参数。
[0049]
确定了参数a0、λ0和矩阵h0的初始状态后，在n∈(0,0.5)和τ∈(0,1)内选取n和τ的初始参数值，并设置调节函数：
[0050]
φ(ak)＝u(ak) r1h1(ak) max(0,r3h3(ak))
[0051]
基于αk＝τkαk来更新αk，当αk满足约束条件后，使用a
k 1
＝ak α
kdk
更新攻击向量的值。
[0052]
s2：通过静态分析方法和动态检测方法提取所述攻击向量中的行为特征。
[0053]
具体地，本实施例使用静态分析方法分析网络攻击行为数据的行为流过程，并调用网络攻击行为数据片段的安全函数标识网络攻击行为数据中的缺陷片段，找出数据流的相关漏洞。
[0054]
进一步地，使用动态检测方法提取异常流量数据中的相关片段，并将其转化为异常行为特征。
[0055]
需要说明的是，直接利用所得到的异常行为特征识别电网的异常流量虽然准确度高，但受限于电网中的攻击行为种类复杂多样且数量众多，识别耗时往往较长；此外，现有的异常流量攻击方法为了提供攻击成功的几率，通常会延长攻击的时间，这也会导致单位时间内识别的准确率降低。因此，为了提高异常流量检测效率以及检测结果的准确度，本实施例在得到攻击向量中的异常行为特征后，利用深度网络模型对其进行特征提取。
[0056]
s3：利用深度网络模型对所提取的行为特征进行特征处理，生成判别性特征；所述判别性特征用于表征所述攻击向量间的相关性。
[0057]
具体地，所述深度网络模型具体为深度自编码器(或称为深度自编码网络)。在迭代更新、优化得到了攻击向量后，本发明使用深度自编码网络提取攻击向量间的相关性特征，相比于传统的特征提取方式，使用深度自编码网络dbn进行特征提取，其主要具有两个优势：一是标签数据需求少；本实施例在对深度自编码网络进行预训练时，主要使用无标签数据进行无监督学习，故在对预训练的模型进行微调时，对标签数据的需求较少；二是收敛速度快；本实施例使用了反向传播的方式对深度自编码网络进行预训练，可令收敛速度更快且不存在收敛异常。
[0058]
本实施例构建的深度自编码网络结构见图2所示，该网络由多个堆叠的卷积层构成，在网络构建过程中，首先使用无监督训练的方式对模型进行预训练，再使用少量监督数据提取出有利于分类的特征。
[0059]
具体地，所述深度自编码网络共包含6层卷积层，每层包含128个神经元，且每层使用非线性激活函数对输出特征进行映射变换。
[0060]
为了保证网络在训练过程中的稳定性，本实施例使用lstm来调节反馈参数，并使用relu函数作为隐含层的输出。假设vj为某一层卷积层的第j个元素，hi为隐藏单元，w
ij
为元素i与j间的权重，di和cj分别为连续两层的偏置，可得到识别出攻击特征的条件概率为：
[0061]
同理，输出层各个单元识别出攻击特征的条件概率为：
[0062]
本实施例为了防止在训练初期所述深度自编码网络出现过拟合和欠拟合的问题，在每次迭代前，更新网络中每层神经元的权重，其中权重矩阵更新过程为：w
ij
＝w
ij-α(《hivj》
m-《hivj》n)。
[0063]
则相应的偏置矩阵更新可表示为：
[0064]
根据上述两个更新公式不断更新深度自编码网络的参数，并对比网络输出结果与电力系统记录的攻击特征，得到最终输出结果。
[0065]
s4：对所述判别性特征进行分类，基于分类结果确定所述网络攻击行为数据中的异常流量数据。
[0066]
需要说明的是，由于智能电网中存在攻击行为的数据通常较少，因而在对深度神经网络训练时往往容易陷入局部最优值与过拟合，对比，本发明一个实施例使用支持向量机(support vector machine，svm)来对网络提取出的特征向量进行分类。
[0067]
支持向量机svm是一种二分类模型，可通过寻找可执行的最优超平面，并在分类的同时保证平面两端的距离大于任意两样本的间距实现样本的分类。
[0068]
具体地，假设输入的训练数据为：(x,y)＝(x1,x2,
…
,xm)∩(y1,y2,
…
,ym)，x∈r,y∈{ 1,-1}。svm通过余弦设置约束条件并将求解分类超平面的问题转化为最小值问题：k＝0.5||k||2；其中，kx b表示分类超平面，k为待求解样本的权值向量。
[0069]
传统的svm算法在进行特征筛检时，为了避免一次性删除过多的攻击特征，往往只删除规则排序中最后一个特征，这一操作虽然保证了特征筛检的有效性，但增加了svm模型的训练时间；同时，在每次删减过程中还需要调整svm模型的参数。对此，本发明在训练svm的基础上，对上述深度自编码网络的神经元进行调整，从而将深度自编码网络的权重引入svm参数优化问题中。
[0070]
此时，求解最优超平面的问题可转化为如下最优化问题：
[0071][0072][0073][0074]
式中，为自编码网络参数。
[0075]
本发明上述实施例采用了深度自编码网络自动挖掘数据的层次关系，可在保证稳定输出的同时，得到异常流量的判别性特征；同时，利用支持向量机对生成的判别性特征进
行分类，最终基于分类结果检测出异常流量数据。
[0076]
上述方法不仅可以分析不同类型的攻击向量，还能够有效避免噪声数据的干扰，从而提高智能电网异常流量的检测精度。
[0077]
参照图3，第二方面，本发明提供一种电网异常流量检测装置，包括第一提取模块101、第二提取模块102、第三提取模块103和分类模块104。
[0078]
第一提取模块101用于根据所采集的网络攻击行为数据确定攻击向量。
[0079]
第二提取模块102用于通过静态分析方法和动态检测方法提取所述攻击向量中的行为特征。
[0080]
第三提取模块103用于利用深度网络模型对所提取的行为特征进行特征处理，生成判别性特征；所述判别性特征用于表征所述攻击向量间的相关性。
[0081]
分类模块104用于对所述判别性特征进行分类，基于分类结果确定所述网络攻击行为数据中的异常流量数据。
[0082]
上述装置内的各模块之间信息交互、执行过程等内容，由于与本发明第一方面提供的电网异常流量检测方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
[0083]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方法的目的。
[0084]
第三方面，本发明提供一种数据处理设备，包括处理器，所述处理器和存储器耦合，所述存储器存储有程序，所述程序由所述处理器执行，使得所述数据处理设备执行第一方面所述的电网异常流量检测方法。
[0085]
第四方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如上述第一方面所述的电网异常流量检测方法。
[0086]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可监听存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
[0087]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。