一种电力系统复杂多步攻击检测方法及系统与流程

1.本发明属于电力系统网络安全技术领域，具体涉及一种电力系统复杂多步攻击检测方法及系统。


背景技术：

2.复杂多步攻击是针对政府、企业等发动的长期的、隐蔽的、破坏性大的网络攻击。随着攻击方式的日新月异，现有的攻击已经不仅仅是单步攻击，而是多个复杂攻击组合的形式。攻击者通过故意攻击非真实意图的目标来分散防御者的注意力，扰乱防御者的注意力，从而乘机对真实目标发动隐蔽性较强的攻击行为。因此，全方位监控电力系统行为是应对复杂多步攻击检测的有效方法之一。
3.近年来，针对海量异构网络安全数据，基于深度学习的端到端检测方法，无需借助特征工程过程，受到了越来越多的关注。由于这些方法能够以端到端的方式自动学习数据中的潜在特征，因此它们在面对未知的攻击行为时具有一定的泛化能力。然而，apt（advanced persistent threat，高级持续性威胁）类复杂多步攻击的长时间间隔和复杂行为的低调特征使其仍然面临检测成功率低的问题。


技术实现要素：

4.为解决现有技术中的不足，本发明提供一种电力系统复杂多步攻击检测方法及系统，克服了传统神经网络无法为重要的连接关系分配更多权重的缺陷，提高了复杂多步攻击检测的准确性。
5.为达到上述目的，本发明所采用的技术方案是：第一方面，提供一种电力系统复杂多步攻击检测方法，包括：采集网络实体交互行为数据；对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据；将输入数据输入复杂多步攻击检测模块，获得攻击检测结果。
6.进一步地，所述采集网络实体交互行为数据，包括：采集系统日志和网络行为日志，将ip地址和主机mac地址绑定，记录主机与主机间的操作记录以及主机的网络行为；收集网络连接关系和系统内部工作人员信息，将主机和员工信息绑定，记录员工与主机间的操作记录以及员工的上网行为记录。
7.进一步地，所述基于异质图的数据预处理，包括：以网络实体交互行为数据中的用户、主机、文件、网站作为节点，节点间连接关系作为边建立异质图；将异质图中的目的节点及其相邻的源节点的时间戳信息输入time2vec层获得第一时间嵌入表示；将融合了节点特征信息和第一时间嵌入表示的数据输入heteformer层，根据不同节点类型和边类型分配不同的权重，利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息，聚合邻居信息以获得作为输入数据的第二节点嵌入表示。
8.进一步地，以网络实体交互行为数据中的用户、主机、文件、网站作为节点，节点间连接关系作为边建立异质图，包括：从网络实体交互行为数据中抽取信息构造节点类型和
边类型；其中，边类型包括但不限于用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件和用户访问网站；从网络实体交互行为数据中抽取信息构造节点特征和边特征；其中，用户节点特征包括用户名、用户所在组和用户邮箱；主机节点特征包括主机id、主机型号、主机所在区域和主机u盘使用次数；文件节点特征包括文件创建时间、文件修改时间、文件类型和文件名称；用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件和身份验证类型。
9.进一步地，将异质图中的目的节点及其相邻的源节点的时间戳信息输入time2vec层获得第一时间嵌入表示，包括：将网络行为日志中的目的ip地址作为目的节点，源ip地址作为源节点，目的节点的时间戳信息分别与其相连的源节点的时间戳信息相减获得时间差序列；将时间差序列输入time2vec层获得嵌入向量形式的时间表示；将嵌入向量形式的时间表示输入线性层进行线性映射，将其映射回原来的维度，作为目的节点的时间特征，即第一时间嵌入表示。
10.进一步地，将融合了节点特征信息和第一时间嵌入表示的数据输入heteformer层，获取注意力分数，包括：层，获取注意力分数，包括：其中，d为节点特征维度，src为源节点，dst为目的节点，e为边，i为第i个注意力头数，m为注意力头数总个数，表示与目的节点相连的所有源节点，表示第i个注意力头的注意力分数，表示键-节点向量，表示查询向量，表示键-边向量，表示用于映射源节点特征的线性层，表示用于映射目的节点特征的线性层，表示用于映射边特征的线性层，表示源节点在l-1层的嵌入表示，表示目的节点在l-1层的嵌入表示，表示边在l-1层的嵌入表示，表示为不同的边类型分配不同的权重矩阵，表示多个注意力头拼接后经
softmax归一化后的节点注意力分数，表示多个注意力头拼接后经softmax归一化后的边注意力分数；按照公式（4），将目的节点在l-1层的嵌入表示通过线性映射为查询向量；按照公式（3），将源节点在l-1层的嵌入表示通过线性映射为键-节点向量；按照公式（2），计算与的点积并除以节点特征维度d的开根，获得每个注意力头的节点注意力分数；按照公式（1），最终将所有注意力头的注意力分数进行拼接并进行softmax计算，获得节点的注意力分数；同理，获得边的注意力分数。
11.进一步地，利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息，包括：其中，为节点特征第i个注意力头的值-节点向量，为边特征第i个注意力头的值-边向量，表示用于映射源节点特征的线性层，表示用于映射源边特征的线性层，表示节点特征值-节点向量的权重矩阵，表示边特征边-节点向量的权重矩阵，为m个注意力头的值-节点向量拼接表示，为m个注意力头的值-边向量拼接表示，表示源节点在l-1层的嵌入表示，表示边在l-1层的嵌入表示；按照公式（9），将源节点特征通过线性映射，并为不同类型的源节点分配不同的权重矩阵，得到注意力头的值-节点向量；按照公式（8），将所有注意力头值-节点向量进行拼接，得到注意力头的值-节点向量拼接表示；同理获得注意力头的值-边向量拼接表示
。
12.进一步地，聚合邻居信息以获得作为输入数据的第二节点嵌入表示，具体计算过程为：其中，表示目标节点在l层的第二节点嵌入表示，表示多个注意力头拼接后经softmax归一化后的节点注意力分数，表示多个注意力头拼接后经softmax归一化后的边注意力分数，为m个注意力头的值-节点向量拼接表示，为m个注意力头的值-边向量拼接表示；按照公式（12），通过注意力权重系数来聚合目的节点的邻居信息，将节点注意力分数与注意力头值-节点向量拼接表示做点积运算；将节点注意力分数与注意力头值-节点向量拼接表示做点积运算；再将所有乘积结果进行累加；获得目的节点的第二节点嵌入表示。
13.进一步地，所述复杂多步攻击检测模块将第二节点嵌入表示作为输入，通过线性层和softmax层以二分类形式获得攻击检测结果。
14.第二方面，提供一种电力系统复杂多步攻击检测系统，包括：数据采集模块，用于采集网络实体交互行为数据；数据处理模块，用于对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据；攻击检测模块，用于将输入数据输入复杂多步攻击检测模块，获得攻击检测结果。
15.与现有技术相比，本发明所达到的有益效果：本发明通过采集网络实体交互行为数据；对网络实体交互行为数据进行基于异质图的数据预处理，从交互行为数据中抽取信息构造异质图的节点和边；将目的节点及其相邻的源节点的时间戳信息输入time2vec层获得第一时间嵌入表示；将融合了节点特征信息和第一时间嵌入表示的数据输入heteformer层，获得第二节点嵌入表示；将第二节点嵌入表示作为输入数据输入复杂多步攻击检测模块，获得攻击检测结果，克服了传统神经网络无法为重要的连接关系分配更多权重的缺陷，提高了复杂多步攻击检测的准确性。
附图说明
16.图1是本发明实施例提供的一种电力系统复杂多步攻击检测方法的流程示意图；图2是本发明实施例中异质图的构建方法示意图；图3是使用本发明实施例提供的一种电力系统复杂多步攻击检测方法进行检测时第一种模型参数实验结果；图4是使用本发明实施例提供的一种电力系统复杂多步攻击检测方法进行检测时第二种模型参数实验结果；
图5是使用本发明实施例提供的一种电力系统复杂多步攻击检测方法进行检测时第三种模型参数实验结果。
具体实施方式
17.下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
18.实施例一：如图1~图5所示，一种电力系统复杂多步攻击检测方法，包括：采集网络实体交互行为数据；对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据；将输入数据输入复杂多步攻击检测模块，获得攻击检测结果。
19.采集网络实体交互行为数据。
20.步骤1：采集网络实体交互行为数据包括：采集系统日志和网络行为日志，将ip地址和主机mac地址绑定，记录主机与主机间的操作记录以及主机的网络行为；收集网络连接关系和系统内部工作人员信息，将主机和员工信息绑定，记录员工与主机间的操作记录以及员工的上网行为记录。
21.对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据。
22.步骤2：从网络实体交互行为数据中抽取信息构造节点和边，包括以网络实体交互行为数据中的用户、主机、文件、网站作为节点，节点间连接关系作为边建立异质图。
23.如图2所示，首先定义异质图概念，将源ip地址作为源节点，目的ip地址作为目的节点，源节点和目的节点的连接关系作为边。因此，元关系可由形如《源节点，边，目的节点》的三元组表示。其中源节点、目的节点和边均包含多种类型。为体现动态特性，为每个三元组分配事件发生时刻的时间戳，形成《源节点，边，目的节点，时间戳》的四元组表示。具体包含以下内容：（2-1）从网络实体交互行为数据中抽取信息构造节点类型和边类型。其中，节点类型包括用户、主机、文件和网站；边类型包括但不限于用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件、用户访问网站等；（2-2）从网络实体交互行为数据中抽取信息构造节点特征和边特征。用户节点特征包括用户名、用户所在组、用户邮箱等；主机节点特征包括主机设备id、主机设备型号、主机所在区域、主机u盘使用次数等。文件节点特征包括文件创建时间、文件修改时间、文件类型、文件名称等；用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件、身份验证类型等；最终输入数据是目的节点及其相邻的源节点的时间戳信息，形式为《源节点id，目标节点id，源节点类型，目的节点类型，源节点特征，目的节点特征，边类型，边特征，时间戳》。
24.步骤3：将异质图中的目的节点及其相邻的源节点的时间戳信息输入time2vec层获得第一时间嵌入表示。
25.（3-1）将网络行为日志中的目的ip地址作为目的节点，源ip地址作为源节点，目的节点的时间戳信息分别与其相连的源节点的时间戳信息相减获得时间差序列。对于源节点src及其对应的时间戳ts和目的节点dst及其对应的时间戳td，分别用t(src@ts)和t(dst@
td)表示。计算相对时间间隔δt(dst@ts, src@td) = t(dst@ts)
ꢀ‑ꢀ
t(src@td)，为方便描述，后文皆用δt（时间差序列）表示。
26.（3-2）将时间差序列输入time2vec层获得嵌入向量形式的时间表示。将δt输入time2vec层获得源节点和目的节点在此时刻的第一时间嵌入表示，将所述的嵌入向量输入线性层进行线性映射，将其映射回原来的维度，作为目的节点的时间特征，即第一时间嵌入表示。
27.步骤4：将融合了节点特征信息和第一时间嵌入表示的数据输入heteformer层。heteformer是本技术中提出的一种新的处理异质图的深度学习模型，heteformer层的作用是更好的将异质图中的异质节点和异质边所包含的语义信息抽取出来，为每个节点形成节点嵌入表示，为下游任务提供输入。heteformer层具体计算过程包括根据不同节点类型和边类型分配不同的权重，利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息，聚合邻居信息以获得作为输入数据的第二节点嵌入表示。
28.（4-1）将融合了节点特征信息和第一时间嵌入表示的数据输入heteformer层，根据不同节点类型和边类型分配不同的权重。通过注意力分数计算，获得与目的节点相连的不同边类型的源节点的重要性。将目的节点特征通过线性层线性映射为查询向量，将源节点特征通过线性层线性映射为键-节点向量，将边特征通过线性层线性映射为键-边向量；为不同类型的源节点和不同类型的边分配不同的权重矩阵；计算查询向量、权重矩阵与键-节点向量的点积和查询向量、权重矩阵与键-边向量的点积，输入softmax层归一化，获取注意力分数。
29.所述通过注意力分数计算，获得与目的节点相连的不同边类型的源节点的重要性，具体计算过程为：计算过程为：其中，d为节点特征维度，src为源节点，dst为目的节点，e为边，i为第i个注意力头数，m为注意力头数总个数，表示与目的节点相连的所有源节点，表示第i个注意力头的注意力分数，表示键-节点向量，表示查询向
量，表示键-边向量，表示用于映射源节点特征的线性层，表示用于映射目的节点特征的线性层，表示用于映射边特征的线性层，表示源节点在l-1层的嵌入表示，表示目的节点在l-1层的嵌入表示，表示边在l-1层的嵌入表示，表示为不同的边类型分配不同的权重矩阵，表示多个注意力头拼接后经softmax归一化后的节点注意力分数，表示多个注意力头拼接后经softmax归一化后的边注意力分数。
30.（4-2）利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息。节点信息传递，抽取出源节点特征和边特征。将源节点特征通过线性映射为值-节点向量，将边特征通过线性映射为值-边向量；为不同类型的源节点和不同类型的边分配不同的权重矩阵；所述利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息，具体计算过程为：其中，为节点特征第i个注意力头的值-节点向量，为边特征第i个注意力头的值-边向量，表示用于映射源节点特征的线性层，表示用于映射源边特征的线性层，表示节点特征值-节点向量的权重矩阵，表示边特征边-节点向量的权重矩阵，为m个注意力头的值-节点向量拼接表示，为m个注意力头的值-边向量拼接表示，表示源节点在l-1层的嵌入表示，表示边在l-1层的嵌入表示。
31.（4-3）聚合邻居信息以获得最佳的节点嵌入表示。节点信息聚合，通过注意力权重系数来聚合目的节点的邻居信息。计算注意力分数与值-节点向量的乘积和注意力分数与值-边向量的乘积，将所有源节点的乘积结果进行累加，获得目的节点的第二节点嵌入表示作为输入数据。
32.所述聚合邻居信息以获得最佳的节点嵌入表示，具体计算过程为：
其中，表示目标节点在l层的嵌入表示，表示多个注意力头拼接后经softmax归一化后的节点注意力分数，表示多个注意力头拼接后经softmax归一化后的边注意力分数，为m个注意力头的值-节点向量拼接表示，为m个注意力头的值-边向量拼接表示。
33.将输入数据输入复杂多步攻击检测模块，获得攻击检测结果。
34.步骤5：攻击检测步骤，在训练阶段，编码器利用交叉熵损失函数反向传播以更新模型参数获得最优嵌入表示。在测试阶段，将嵌入表示输入线性层和softmax层以二分类形式获得攻击检测结果。
35.如图3~图5所示，图3是使用本发明实施例提供的一种电力系统复杂多步攻击检测方法进行检测时第一种模型参数实验结果，加入layernorm层对层数据进行归一化处理后，消除了数据之间维数的影响，识别效果可有效提高约2.8个百分点；图4是使用本发明实施例提供的一种电力系统复杂多步攻击检测方法进行检测时第二种模型参数实验结果，当注意头的数目增加时，识别结果会略有波动。基本上2个注意力头便能够提取数据的有效特征；图5是使用本发明实施例提供的一种电力系统复杂多步攻击检测方法进行检测时第三种模型参数实验结果，当heteformer卷积层数目增加时，检测效果影响不大，说明浅层网络结构已经能够学习到有效的特征。
36.实施例二：基于实施例一所述的一种电力系统复杂多步攻击检测方法，本实施例提供一种电力系统复杂多步攻击检测系统，包括：数据采集模块，用于采集网络实体交互行为数据；数据处理模块，用于对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据；攻击检测模块，用于将输入数据输入复杂多步攻击检测模块，获得攻击检测结果。
37.本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。本技术实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言java和直译式脚本语言javascript等。
38.本技术是参照根据本技术实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
39.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指
令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
40.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
41.尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。
42.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。