攻击行为检测方法、装置、设备、介质和计算机程序产品与流程

1.本技术涉及人工智能技术领域，特别是涉及一种攻击行为检测方法、装置、设备、介质和计算机程序产品。


背景技术：

2.高级量测体系(advanced metering infrastructure，ami)作为智能电网的建设支柱，能够实现对用电信息的采集、存储和分析等功能。在ami系统中，通常使用无线传感器网络(wireless sensor network，wsn)实现数据间传输。但是，由于wsn是一种开放式的通信信道，易受到恶意攻击，因此需要对采用 wsn传输的数据进行检测，并在数据异常时触发主动或被动防御，以避免遭受到网络攻击。
3.现有技术对ami系统中各个节点间传输的数据进行检测时，需要针对不同的节点采用不同的检测规则来确定wsn信道是否存在网络攻击。然而，目前的网络攻击检测方式，存在通用性差的问题。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够在检测ami系统中是否存在攻击行为的通用的攻击行为检测方法、装置、设备、介质和计算机程序产品。
5.第一方面，本技术提供了一种攻击行为检测方法。该方法包括：
6.对高级量测体系ami系统中的多个数据包进行特征提取，得到时间序列数据；数据包为ami中任意两个待检测节点在预设时间段内进行通信的数据包；
7.根据时间序列数据构建正常子空间和异常子空间；
8.将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差；
9.根据预测误差确定ami中是否存在攻击行为。
10.在其中一个实施例中，将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差，包括：
11.将各数据包中的数据分别映射至正常子空间和异常子空间，得到正常子空间的第一映射结果和异常子空间的第二映射结果；
12.根据第一映射结果、第二映射结果和时间序列数据，确定各数据包的预测误差。
13.在其中一个实施例中，根据时间序列数据，确定时间序列数据对应的正常子空间和异常子空间，包括：
14.采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制，得到数据特征向量序列；
15.根据数据特征向量序列构建正常子空间和异常子空间。
16.在其中一个实施例中，数据特征向量序列包括m个分量数据，根据数据特征向量序列构建正常子空间和异常子空间，包括：
17.提取数据特征向量序列中的r个分量数据作为矩阵的第一列，并将r个数值为m的分量数据作为矩阵的第二列，得到特征矩阵；r小于m；
18.根据特征矩阵和特征矩阵的转置矩阵，构建正常子空间；
19.根据特征矩阵、特征矩阵的转置矩阵和单位矩阵，构建异常子空间。
20.在其中一个实施例中，时间序列数据中包括k个数据；采用预设的滤波方式对时间序列数据进行干扰抑制，得到数据特征向量序列，包括：
21.获取各数据包中的滤波参数；滤波参数包括：网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值；
22.将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中，确定第i个特征数据，直至确定出k个特征数据，得到数据特征向量序列；i小于等于k。
23.在其中一个实施例中，根据预测误差确定ami中是否存在攻击行为，包括：
24.将各数据包的预测误差分别和预测误差阈值进行比较；
25.若预测误差大于预测误差阈值，则ami中存在攻击行为。
26.第二方面，本技术还提供了一种攻击行为检测装置。该装置包括：
27.提取模块，用于对高级量测体系系统ami中的多个数据包进行特征提取，得到时间序列数据；数据包为ami中任意两个待检测节点在预设时间段内进行通信的数据包；
28.构建模块，用于根据时间序列数据构建正常子空间和异常子空间；
29.映射模块，用于将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差；
30.确定模块，用于根据预测误差确定ami中是否存在攻击行为。
31.第三方面，本技术还提供了一种计算机设备。该计算机设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述第一方面任一项实施例中方法的步骤。
32.第四方面，本技术还提供了一种计算机可读存储介质。计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述第一方面任一项实施例中方法的步骤。
33.第五方面，本技术还提供了一种计算机程序产品。计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述第一方面任一项实施例中方法的步骤。
34.上述攻击行为检测方法、装置、设备、介质和计算机程序产品。通过对高级量测体系ami系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取，得到时间序列数据；根据时间序列数据构建正常子空间和异常子空间；将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差；根据预测误差确定ami中是否存在攻击行为。能够不受限于 ami系统中复杂的结构，不必针对各个节点设置不同的检测规则，仅需使用该种通用的方法，对任意节点之间进行传输的报文数据进行了特征提取与建模，具有一定程度的通用性，一定程度上克服了ami系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题，且适用于电力企业ami系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行ami系统恶意软件攻击行为检测，运算量较小且具有实用性、可靠性，适用于底层ami系统节点，不会造成较大的运算负载。
附图说明
35.图1为一个实施例中ami系统的示意图；
36.图2为一个实施例中攻击行为检测方法的应用环境图；
37.图3为一个实施例中攻击行为检测方法的流程示意图；
38.图4为另一个实施例中攻击行为检测方法的流程示意图；
39.图5为另一个实施例中攻击行为检测方法的流程示意图；
40.图6为另一个实施例中攻击行为检测方法的流程示意图；
41.图7为另一个实施例中攻击行为检测方法的流程示意图；
42.图8为另一个实施例中攻击行为检测方法的流程示意图；
43.图9为一个实施例中攻击行为检测装置的结构框图；
44.图10为一个实施例中计算机设备的内部结构图。
具体实施方式
45.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
46.智能电网(smart grid，sg)作为电力行业发展的新目标，有助于电力能源的高质量的、可靠的供应。智能电网作为能量流和数据流的双向通信网络，支持传输发电、输电、变电、用电环节的运行信息，保证系统稳定和高效地运行。
47.高级量测体系(advanced metering infrastructure，ami)是智能电网的建设支柱，能够实现对用电信息的采集、存储和分析等功能，该系统主要由智能电表(smart meter)、通讯系统与设备、电表信息管理系统(meter databasemanagement system，mdms)组成如图1所示，涵盖了从电网控制中心到终端用户电表的全部数据传输过程。
48.ami系统设备数量庞大、分布广泛且多采用开放式结构，并且系统通常使用双向通信网络，不仅传输用户个人信息、用电量信息、设备控制信号与运行状态信息等。鉴于通信成本与传输效率，若使用传统的有线信道，则布线、维护复杂且成本难以控制，因此通常使用无线传感器网络(wireless sensornetwork，wsn)进行数据传输，wsn是一种开放式的通信信道，具有传输效率高、通信成本低、高容错、多跳路由等特点，因此wsn广泛应用于ami系统的通信过程中。
49.由于ami系统的智能电表所处环境复杂，且传输数据内容敏感，例如用户原始用电量数据、用户个人信息等，涉及用户隐私与电力企业经济利益，加之 ami采用wsn信道，其通信信道公开，这使得ami的wsn信道存在受到外部恶意软件攻击的风险，造成用户信息泄露，用电量数据或电能数据异常甚至 ami系统的破坏和瘫痪。因此为了保证ami系统安全稳定的运行，需要在ami 系统的通信环节对恶意软件的攻击行为进行防御，以防止恶意软件对ami系统的破坏。
50.对于ami系统恶意软件攻击的防御，分为主动式防御和被动式防御。对于 ami系统来自外部的攻击，通常采用身份认证和加密等方式进行被动式防御，而由于ami复杂的结构和功能，常存在窃电、恶意干扰、伪造数据等问题，若仅仅采用被动式防御，并不能有效掌握ami系统各个节点的安全状态，因此需要在被动式防御的基础上进行主动式防御，对ami系
统的恶意软件攻击行为进行特征建模与实时检测，在检测到ami通信网络中存在的异常报文时，分析是否ami系统是否存在安全威胁，主动展开安全防御措施与各个节点的信任管理措施，以防止恶意程序对ami系统的入侵，保证涉及数据的真实、有效和可用性。
51.目前有关学者提出的面向ami系统的攻击行为检测大多源自计算机网络系统的攻击行为检测，然而ami系统与计算机网络系统仍存在一定差异，例如ami 系统底层设备运算能力受限，计算存储资源有限导致无法运行复杂的算法和安全防护措施，因此将计算机网络系统的攻击行为检测方法直接套用可能会产生不适用的情况，例如，使用神经网络、遗传算法等机器学习方法进行ami系统攻击行为检测，普遍要进行较为复杂的运算，对于底层ami系统节点难以负担如此复杂的计算。因此需要针对ami系统的攻击行为检测，提出轻量、实时、可靠的攻击行为建模与检测方法；
52.并且，ami系统结构具有结构的复杂性和组件的异构性，目前针对ami攻击行为的检测较为局限，分析的目标主要集中在数据集中器、智能电表以及ami 通信协议，对于不同的环节采用不同的攻击行为检测方法与防御措施，这使得 ami系统整体的攻击行为检测与整体防御的实现较为复杂，因此需要针对ami 系统设计一个具有一定通用性的ami系统攻击行为检测方法，使得其能够适应 ami系统的复杂性与异构性。
53.基于此，本技术实施例提供一种能够实现通用性的攻击行为检测方法，可以应用于如图2所示的应用环境中。该应用环境中包括终端11和ami系统12，其中，终端102通过网络获取ami系统中各个节点之间进行通信的通信数据。当获取到ami系统中各个节点之间采用wsn信道进行交互的数据包后，对数据包中的数据进行分析，以确定ami系统是否存在攻击行为。其中，终端102 可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备，物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。
54.在一个实施例中，如图3所示，提供了一种攻击行为检测方法，以该方法应用于图2中的终端为例进行说明，包括以下步骤：
55.s302，对高级量测体系ami系统中的多个数据包进行特征提取，得到时间序列数据；数据包为ami中任意两个待检测节点在预设时间段内进行通信的数据包。
56.其中，待检测节点为ami系统中不同设备，ami系统中不同设备之间进行数据通信的过程中，会产生多个数据包。
57.具体地，首先终端可以获取ami系统中各个待检测节点在预设时间段内通过wsn信道进行通信的数据包，根据各个数据包中的初始建模参数，可以确定多个数据包对应的时间序列数据，对各数据包中的初始建模参数，采用线性拟合的方式得到拟合后的目标建模参数；将拟合后的目标建模参数代入预设的数据特征公式进行特征提取，即可确定时间序列数据(v1,v2,
…
,vm)。其中，初始建模参数包括：初始阶段频率交叉项、软件攻击行为数据时间序列的噪声、软件攻击行为数据识别输出中心距、软件攻击行为数据特征峰度。其中线性拟合的方式为二项式拟合。可选地，数据包中为网络报文数据。
58.其中，预设的数据特征公式为：v
x
(t)：表示恶意软件攻击行为数据特征频率交叉项，即确定时间序列数据的函数；r
p
(u)：表示恶意软件攻击行为数据传输的时间尺度脉冲响应；v0：拟合后的初始阶段频率交叉项；x
p
(u)：拟合后的软件
攻击行为数据识别输出中心距；vr：拟合后的软件攻击行为数据特征峰度；β
t
：拟合后的恶意软件攻击行为数据时间序列的噪声。
59.s304，根据时间序列数据构建正常子空间和异常子空间。
60.具体地，可以通过对时间序列数据中提取预设个数的数据作为特征矩阵的一列；并将个数为预设的个数，数值的大小为时间序列数据中的数据总个数对应的数值作为特征矩阵的另一列，构建特征矩阵。根据特征矩阵以及特征矩阵的转置矩阵，构建正常子空间。根据特征矩阵、特征矩阵的转置矩阵以及单位矩阵，构建异常子空间。
61.还可以是，对时间序列数据进行滤波降噪，得到数据特征向量序列。提取数据特征向量序列中预设个数的数据作为特征矩阵的一列；并将个数为预设的个数，数值的大小为数据特征向量序列中的数据总个数对应的数值作为特征矩阵的另一列，构建特征矩阵。根据特征矩阵以及特征矩阵的转置矩阵，构建正常子空间。根据特征矩阵、特征矩阵的转置矩阵以及单位矩阵，构建异常子空间。
62.s306，将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差。
63.具体地，将各个数据包中的网络数据通过映射公式映射至正常子空间和异常子空间中；将第一映射结果和第二映射结果代入至预测误差公式中，即可得到各数据包的预测误差。
64.其中映射公式为：
[0065][0066][0067]
其中，为网络数据y在正常子空间的映射第一映射结果，为网络数据y在异常子空间的映射的第二映射结果。b为正常子空间、为异常子空间。
[0068]
s308，根据预测误差确定ami中是否存在攻击行为。
[0069]
具体地，当确定预测误差后，根据预测误差和误差阈值进行比较，根据比较结果，确定ami中是否存在攻击行为。可以是通过将预测误差和误差阈值直接进行比较，若预测误差大于误差阈值，则ami中存在攻击行为。也可以是将预测误差和误差阈值进行作差，若差值大于0，则ami中存在攻击行为。还可以是将预测误差和误差阈值进行作商，若商值大于1，则ami中存在攻击行为。
[0070]
在本实施例中，通过对高级量测体系ami系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取，得到时间序列数据；根据时间序列数据构建正常子空间和异常子空间；将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差；根据预测误差确定ami中是否存在攻击行为。能够不受限于ami系统中复杂的结构，不必针对各个节点设置不同的检测规则，对任意节点之间进行传输的报文数据进行了特征提取与建模，具有一定程度的通用性，一定程度上克服了ami系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题，且适用于电力企业ami系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行ami系统恶意软件攻击行为检测，运算量较小且具有实用性、可靠性，适用于底层ami系统节点，不会造成较大的运算负载。
[0071]
上述实施例对攻击行为检测方法进行了说明，现以一个实施例对如何确定各数据
包的预测误差进一步说明，在一个实施例中，如图4所示，将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差，包括：
[0072]
s402，将各数据包中的数据分别映射至正常子空间和异常子空间，得到正常子空间的第一映射结果和异常子空间的第二映射结果。
[0073]
s404，根据第一映射结果、第二映射结果和时间序列数据，确定各数据包的预测误差。
[0074]
具体地，将各个数据包中的网络数据通过映射公式映射至正常子空间和异常子空间中；将第一映射结果和第二映射结果代入至预测误差公式中，即可得到各数据包的预测误差。
[0075]
其中映射公式为：
[0076][0077][0078]
其中，为网络数据y在正常子空间的映射第一映射结果，为网络数据y 在异常子空间的映射的第二映射结果。b为正常子空间、为异常子空间。
[0079]
其中，预测误差公式为其中，||
·
||表示网络数据向量的 2-范数，xn是时间序列数据，spe为预测误差。
[0080]
在本实施例中，将各数据包中的数据分别映射至正常子空间和异常子空间，得到正常子空间的第一映射结果和异常子空间的第二映射结果，根据第一映射结果、第二映射结果和时间序列数据，确定各数据包的预测误差。确定出预测结果，以便为后续的确定是否存在攻击行为提供依据。
[0081]
上述实施例对如何确定预测误差进行了说明，现以一个实施例对如何确定正常子空间和异常子空间进行说明，在一个实施例中，如图5所示，根据时间序列数据，确定时间序列数据对应的正常子空间和异常子空间，包括：
[0082]
s502，采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制，得到数据特征向量序列。
[0083]
其中，预设的滤波方式为fir滤波方式。
[0084]
具体地，由于在ami系统数据传输中，恶意软件进行攻击行为时，时间序列数据中包含的噪声为非高斯噪声，且恶意软件攻击行为数据呈现线性相关的时间序列数据，因此使用fir滤波的方式即可对时间序列数据中的噪声进行干扰抑制，得到降噪后的数据特征向量序列。
[0085]
进一步地，在一个实施例中，如图6，时间序列数据中包括k个数据；采用预设的滤波方式对时间序列数据进行干扰抑制，得到数据特征向量序列，包括：
[0086]
s602，获取各数据包中的滤波参数；滤波参数包括：网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值。
[0087]
具体地，当获取到数据包后，即可从数据包中的报文数据中获取到各数据包中的滤波参数，网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数
据的震荡赋值。
[0088]
s604，将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中，确定第i个特征数据，直至确定出k个特征数据，得到数据特征向量序列；i小于等于k。
[0089]
其中，预设的滤波函数为fir滤波的网络数据干扰抑制函数：其中：c0表示ami系统数据传输过程中网络数据初始采样 赋值；ci表示ami系统数据传输过程中指定时刻的采样赋值；x
n-i
表示时间序列 数据中的第i-1个数据；m
ar
表示多元数量值函数；η
n-j
表示恶意软件攻击行为数 据特征时变瞬时频率；m
ma
表示ami系统中网络数据时间时间序列在时频特征 空间子域中短时窗函数；bj表示ami系统中信息传输过程网络数据的震荡赋值； xn为第i个特征数据。
[0090]
具体地，由于时间序列数据中包括k个数据，可以将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中，确定出第i个特征数据，直至确定出k个特征数据，得到数据特征向量序列(x1，x2，x3，x4，
……ꢀ
xk)；i小于等于k。
[0091]
s504，根据数据特征向量序列构建正常子空间和异常子空间。
[0092]
具体地，数据特征向量序列中包括k个数据。提取数据特征向量序列(x1， x2，x3，x4，
……
xk)中预设个数的数据作为特征矩阵的一列；并将个数为预设的个数，数值的大小为数据特征向量序列中的数据总个数对应的数值作为特征矩阵的另一列，构建特征矩阵。根据特征矩阵以及特征矩阵的转置矩阵，构建正常子空间。根据特征矩阵、特征矩阵的转置矩阵以及单位矩阵，构建异常子空间。
[0093]
进一步地，在一个实施例中，如图7所示，数据特征向量序列包括m个分量数据，根据数据特征向量序列构建正常子空间和异常子空间，包括：
[0094]
s702，提取数据特征向量序列中的r个分量数据作为矩阵的第一列，并将r 个数值为m的分量数据作为矩阵的第二列，得到特征矩阵；r小于m。
[0095]
具体地，数据特征向量序列中包括m个数据。可以提取数据特征向量序列 (x1，x2，x3，x4，
……
xm)中r个分量数据作为矩阵的第一列，即提取(x1， x2，x3，x4，
…
xr)作为网络数据包正常空间的主成分，并将r个数值为m的分量数据作为矩阵的第二列，即(m,m,
…
,m)；进而得到特征矩阵p：其中，r小于m。
[0096]
s704，根据特征矩阵和特征矩阵的转置矩阵，构建正常子空间。
[0097]
具体地，将特征矩阵和特征矩阵的转置矩阵相乘得到正常子空间b；即 b＝pp
t
。
[0098]
s706，根据特征矩阵、特征矩阵的转置矩阵和单位矩阵，构建异常子空间。
[0099]
其中，单位矩阵为大小为r*r单位矩阵。
[0100]
具体地，利用单位矩阵i减去正常子空间，即得到异常子空间；即
[0101]
在本实施例中，通过采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制，得到数据特征向量序列，根据数据特征向量序列构建正常子空间和异常子空间。通过正常子空间和异常子空间以便于对后续的预测误差进行计算，提供依据。
[0102]
上述实施例对如何构建正常子空间和异常子空间进行了说明，现以一个实施例对
如何确定攻击行为进行说明，在一个实施例中，如图8所示，根据预测误差确定ami中是否存在攻击行为，包括：
[0103]
s802，将各数据包的预测误差分别和预测误差阈值进行比较。
[0104]
s804，若预测误差大于预测误差阈值，则ami中存在攻击行为。
[0105]
其中，预测误差阈值为通过置信度确定的阈值，置信度为人为预设的置信度数值，当获取到预设的置信度数值后，可以通过查找置信度表格，确定1-α时，确定对应的预测误差阈值
[0106]
具体地，将各数据包的预测误差spe分别和预测误差阈值进行比较，若预测误差大于预测误差阈值，则ami中存在攻击行为。若预测误差小于等于预测误差阈值，则ami中不存在攻击行为。
[0107]
在本实施例中，将各数据包的预测误差分别和预测误差阈值进行比较，若预测误差大于预测误差阈值，则ami中存在攻击行为。使用某一置信度下的spe 对应的预测误差阈值作为判断依据，由于置信度可控，因此可以根据实际情况控制攻击行为检测的灵敏度，具有一定的灵活性。
[0108]
为了便于本领域技术人员的理解，现以一个实施例对攻击行为检测方法进一步说明，在一个实施例中，攻击行为检测方法，包括：
[0109]
s100，对高级量测体系ami系统中的多个数据包进行特征提取，得到时间序列数据；数据包为ami中任意两个待检测节点在预设时间段内进行通信的数据包。
[0110]
s200，获取各数据包中的滤波参数；滤波参数包括：网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值。
[0111]
s300，将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中，确定第i个特征数据，直至确定出k个特征数据，得到数据特征向量序列；i小于等于k。
[0112]
s400，提取数据特征向量序列中的r个分量数据作为矩阵的第一列，并将r 个数值为m的分量数据作为矩阵的第二列，得到特征矩阵；r小于m。
[0113]
s500，根据特征矩阵和特征矩阵的转置矩阵，构建正常子空间。
[0114]
s600，根据特征矩阵、特征矩阵的转置矩阵和单位矩阵，构建异常子空间。
[0115]
s700，将各数据包中的数据分别映射至正常子空间和异常子空间，得到正常子空间的第一映射结果和异常子空间的第二映射结果。
[0116]
s800，根据第一映射结果、第二映射结果和时间序列数据，确定各数据包的预测误差。
[0117]
s900，将各数据包的预测误差分别和预测误差阈值进行比较。
[0118]
s1000，若预测误差大于预测误差阈值，则ami中存在攻击行为。
[0119]
在本实施例中，通过对高级量测体系ami系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取，得到时间序列数据；根据时间序列数据构建正常子空间和异常子空间；将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差；根据预测误差确定ami中是否存在攻击行为。能够不受限于ami系统中复杂的结构，不必针对各个节点设置不同的检测规则，对任意节点之间进行传输的报文数据进行了特征提取与建模，具有一定程度的通用性，一定程度上克服了ami系统复杂性与异构
性带来了攻击行为检测问题复杂且繁琐的问题，且适用于电力企业ami系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行ami系统恶意软件攻击行为检测，运算量较小且具有实用性、可靠性，适用于底层ami系统节点，不会造成较大的运算负载。
[0120]
应该理解的是，虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0121]
基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的攻击行为检测方法的攻击行为检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个攻击行为检测装置实施例中的具体限定可以参见上文中对于攻击行为检测方法的限定，在此不再赘述。
[0122]
在一个实施例中，如图9所示，提供了一种攻击行为检测装置，包括：
[0123]
提取模块901，用于对高级量测体系系统ami中的多个数据包进行特征提取，得到时间序列数据；数据包为ami中任意两个待检测节点在预设时间段内进行通信的数据包；
[0124]
构建模块902，用于根据时间序列数据构建正常子空间和异常子空间；
[0125]
映射模块903，用于将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差；
[0126]
确定模块904，用于根据预测误差确定ami中是否存在攻击行为。
[0127]
在本实施例中，提取模块对高级量测体系ami系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取，得到时间序列数据；构建模块根据时间序列数据构建正常子空间和异常子空间；映射模块将各数据包中的网络数据映射至正常子空间和异常子空间中，以得到各数据包的预测误差；确定模块根据预测误差确定ami中是否存在攻击行为。能够不受限于ami系统中复杂的结构，不必针对各个节点设置不同的检测规则，仅需使用该种通用的方法，对任意节点之间进行传输的报文数据进行了特征提取与建模，具有一定程度的通用性，一定程度上克服了ami系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题，且适用于电力企业ami系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行ami系统恶意软件攻击行为检测，运算量较小且具有实用性、可靠性，适用于底层ami系统节点，不会造成较大的运算负载。
[0128]
在一个实施例中，映射模块，包括：
[0129]
映射单元，用于将各数据包中的数据分别映射至正常子空间和异常子空间，得到正常子空间的第一映射结果和异常子空间的第二映射结果；
[0130]
确定单元，用于根据第一映射结果、第二映射结果和时间序列数据，确定各数据包的预测误差。
[0131]
在一个实施例中，构建模块，包括
[0132]
干扰抑制单元，用于采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制，得到数据特征向量序列；
[0133]
构建单元，用于根据数据特征向量序列构建正常子空间和异常子空间。
[0134]
在一个实施例中，数据特征向量序列包括m个分量数据，构建单元，具体用于提取数据特征向量序列中的r个分量数据作为矩阵的第一列，并将r个数值为m的分量数据作为矩阵的第二列，得到特征矩阵；r小于m；根据特征矩阵和特征矩阵的转置矩阵，构建正常子空间；根据特征矩阵、特征矩阵的转置矩阵和单位矩阵，构建异常子空间。
[0135]
在一个实施例中，时间序列数据中包括k个数据，干扰抑制单元，具体用于获取各数据包中的滤波参数；滤波参数包括：网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值；将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中，确定第i个特征数据，直至确定出k个特征数据，得到数据特征向量序列；i小于等于k。
[0136]
在一个实施例中，确定模块，包括：
[0137]
比较单元，用于将各数据包的预测误差分别和预测误差阈值进行比较；
[0138]
攻击行为确定单元，用于若预测误差大于预测误差阈值，则ami中存在攻击行为。
[0139]
上述攻击行为检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0140]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种攻击行为检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
[0141]
本领域技术人员可以理解，图10中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0142]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
[0143]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0144]
在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0145]
需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
[0146]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器 (ferroelectric random access memory，fram)、相变存储器(phase changememory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器 (random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random accessmemory，sram)或动态随机存取存储器(dynamic random access memory， dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
[0147]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0148]
以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。