CN110290101B - 智能电网环境中基于深度信任网络的关联攻击行为识别方法 - Google Patents

Abstract

智能电网环境中基于深度信任网络的关联攻击行为识别方法；包括如下步骤；步骤S1、将用户的每一个行为序列进行最小时间分割，并删除相关性不大的序列段；步骤S2、将去除了相关性不大的序列段的行为序列作为深度信任网络的输入序列，通过深度信任网络中的非线性迭代算法对非法用户行为序列的目标行为函数进行求解，获取异常行为的目标向量；步骤S3、将获取的异常行为目标向量与行为序列中相似的序列段进行匹配，对周围合法行为序列进行关联度分析；步骤S4、采用匹配补偿方式删除行为序列中的无关行为。本发明利用深度信任网络提取用户历史行为的目的特征，并在已得出的异常行为目标向量的基础上，对其他合法行为进行关联分析，保证最终结果的准确性。

Description

智能电网环境中基于深度信任网络的关联攻击行为识别方法

技术领域

本发明属于网络安全技术领域，具体涉及智能电网环境中基于深度信任网络的关联攻击行为识别方法。

背景技术

目前智能电网中的终端电表安全认证方面主要采用的是一次性终端认证技术，最常见的就是用户输入自己的用户ID和用户自己预先设置的用户密码。虽然这些技术提高了终端用户的认证安全等级，但是这些技术仅仅是在用户与后端服务器进行接入认证时进行的一次性安全认证，并不能保证后期甚至是实时的身份认证。换句话说，这种一次性认证技术只能验证用户在登录时刻的可信度，但是无法验证在终端后期的使用过程中操作终端的用户身份的真实性。那么，这就增加了电网中智能电表时候之后被盗用或者用户账户被冒名顶替的风险。比较常见的情况就是银行账户的终端应用程序在使用期间被非用户本人进行操作。后来，研究人员提出以用户行为作为行为分析和身份认证的前提和基础，这一想法的提出虽然有效的解决了一次性验证的可持续性问题，但是这种验证方式通常是以用户行为作为分析的基础，并没有过多的考虑攻击行为间动态的关联性特征，因此身份认证的准确性还需要进一步提高，此外，由于这种安全技术不能保证智能电表用户身份的准确性，因此在实时性验证上需要增加用户校验的频率，这在一定程度上也影响智能电表中用户的体验度。

发明内容

本发明所要解决的技术问题是克服现有技术的不足，提供一种智能电网环境中基于深度信任网络的关联攻击行为识别方法，利用深度信任网络提取用户历史行为的目的特征，并在已得出的异常行为目标向量的基础上，对其他合法行为进行关联分析，保证最终结果的准确性。

本发明提供一种智能电网环境中基于深度信任网络的关联攻击行为识别方法；包括如下步骤；

步骤S1、将用户的每一个行为序列进行最小时间分割，并删除相关性不大的序列段；

步骤S2、将去除了相关性不大的序列段的行为序列作为深度信任网络的输入序列，通过深度信任网络中的非线性迭代算法对非法用户行为序列的目标行为函数进行求解，获取异常行为的目标向量；

步骤S3、将获取的异常行为目标向量与行为序列中相似的序列段进行匹配，对周围合法行为序列进行关联度分析；

步骤S4、采用匹配补偿方式删除行为序列中的无关行为。

作为本发明的进一步技术方案，步骤S1的具体步骤为：

步骤S11、设置行为序列X＝＜e₁,e₂,e₃,e₄,...,e_m＞，行为序列包括m个行为序列时间段，行为时间段为用户在一段时间中每一个时间戳之间的行为序列，则时间戳的序列为Tx＝＜t₁,t₂,t₃,t₄,t₅,...,t_m＞；

步骤S12、设定用户在行为上的最小留存时间阈值为min_ij，任取用户行为序列中的一个子集，计算出用户在该行为上的留存时间ST_i＝T_ei-T_ej，其中，T为时间戳中每个行为序列两端的时间节点；若T＜min_ij，则去除该序列段，若T＞min_ij，则保留。

更进一步的，时间戳按最小时间间隔划分，最小时间间隔划分的方法是根据用户完成一个行为的最小时间作为时间节点的最小时间单位，其他行为按照这个最小时间单位进行等比例划分，从而对每个行为序列进行拆解。

进一步的，深度信任网络是由k个受限玻尔兹曼机通过堆叠方式构建而成，采用无监督方式对第一层受限玻尔兹曼极中每个神经单元的数据特征分类参数进行训练，第一层受限波尔兹曼机的隐藏层作为第二层受限玻尔兹曼机的可视化层对第二层受限玻尔兹曼机设定的特征参数进行训练，由此逐层训练，获取特征提取模型的初始参数；再利用具有诱捕特征标签的数据对模型的初始参数进行有监督的训练，从而确定最终每一层中神经单元的权重参数及相邻网络层之间的亲密程度。

更进一步的，玻尔兹曼机的能量函数为

其中，v_j为可视层向量v的第j个元素，h_i为隐藏层向量h的单位元素，w_ij为可视层与隐藏层单元之间权重矩阵的元素，n为隐藏层数量，m为可视层中单位元的数量；c_j与d_i分别为可视层与隐藏层之间各个元素占有的偏重，通过给定的隐藏层的权值计算出分布在各个隐藏层单元中攻击特征识别的条件概率：

在初始训练之后，对神经网络的各可视层与隐藏层的权重进行新一轮更新，更新矩阵为：

wi_j＝wi_j-R(<h_iv_j>_m-<h_iv_j>_n)；

其中，<h_jv_j>为求得的期望值，R为学习的速率，相应的各个隐藏层与可视层之间的偏置更新可以表示为：

通过不断地参数更新，最终形成针对训练数据的神经网络参数。

进一步的，步骤S3中异常行为可以具体表现为三中约束条件：

其中，a为某一个阶段的目标向量，H为非法用户利用的雅克比矩阵，其电力的拓扑结构H∈R^m×n，

为目标评估的阈值，||a-Hc||为范数，T为向量a的转置。M、N为操作者进行数据传输时使用的向量，表示为：

通过约束条件对攻击目标函数进行约束：根据约束条件将攻击目标函数表示为拉格朗日乘子，具体为：

L(a,λ₁,λ₂,λ₃)＝U(a)+λ₁ ^Th₁(a)+λ₂ ^Th₂(a)+λ₃ ^Tg(a)；

其中，

h₂(a)＝N(a+L)，g(a)＝a^TMa，λ₁、λ₂、λ₃分别为拉格朗日乘子法中的三个函数各自的权重，仅作为参数不需要求解，U(a)为目标函数；

然后通过各参数的偏导函数，将目标函数最小值问题转化为导数问题，即求

函数取最小值时，相关参数的具体数值，使得目标函数为：

其中，U(ak)为非法行为的目标函数，dk为每次迭代的更新权值，ak表示目标函数中使用的k次迭代中的攻击向量，

为二阶偏导数，L(α_k,λ_k)为第k次迭代中的行为目标函数，

为一节偏导数，λ_k分别为拉格朗日乘子法中的三个函数权重λ₁、λ₂、λ₃在非线性迭代算法中第k次迭代所取的具体数值。

进一步的，步骤S3中关联度可以拆分为两种序列特征的综合匹配：序列的最大相似度和全部相似度；

最大相似度中，用户的最大规模集合T＝{X₁,X₂,X₃,...,X_n}，X＝<X₁,X₂,X₃,X₄,...,X_m>为该集合中最大的规模元素，用来标识用户历史记录中次数最为频繁的使用行为，用户的实时的行为序列为Y＝<Y₁,Y₂,Y₃,....,Y_n>，且历史行为元素和当前行为元素的元素长度满足Y_n＝n，用户集合以及每个集合中的元素需要构建一个表达两者映射关系的动态规划表，动态规划表根据用户总数以及元素个数可以表述为一个(m+1)(n+1)的矩阵，该矩阵中每一项元素记为C，则，

其中，C[i][j]为用户最大行为模式与当前行为比较得出的最长公共子序列,通过每一项元素的取值可以得到X和L的最长公共子序列长度C[m,n]；

全部相似度中，将两个行为序列的全部公共子序列匹配的序列集合作为基础序列集合，其全部公共子序列数量通过动态规划递归法求解，更新动态规划表，动态规划法递归表达式为：

其中，M[i,j]为序列X中第i项X[i]和序列X中第i项X[i]对比时当前全部子序列的数值，获取的最终结果N[m,n]就是序列X和序列L的全部公共子序列的个数，可以记为Const(X,Y)；

再对得到的全部公共子序列个数进行归一化，获取全部相似度sim(X,Y)，公式为：

进一步的，步骤S4中，匹配补偿方式是先在用户的序列行为中抽取5000条行为序列作为特征挖掘的记录，再从另一个用户的行为序列中抽取5000条初始行为记录，通过同一个用户经过处理和未处理的原始记录进行模式比对，设置补偿标准以判断正确的序列数和序列总数的比值，补偿值为Compans(X,Y)，则，

最后将取得的补偿值与关联度值相加，获取行为序列的关联度，将关联度与行为目标的函数值相比较就可以得出非法行为用户序列。

本发明对智能电网中的用户在使用智能电表期间的身份进行真实性认证。利用深度信任网络对用户的历史行为序列进行行为目的的特征提取，而为了保证用户行为序列输入数据的有效性，减少深度神经网络分析效率，需要最短序列长度对输入的用户行为序列进行预处理。在深度信任网络输出用户最长行为序列特征之后，将此最长行为特征作为用户实时认证分析的依据。在另一方面，本方法站在攻击者的角度考虑了非法用户的反向识别，即，进一步在已经得出的异常行为目标向量的基础上，对周围的合法行为序列进行关联度分析。将上述两个方面的识别技术进行汇总分析，并在最后的识别结果准确性方面考虑误差问题，保证最后结果的准确性。

附图说明

图1为本发明的用户行为序列划分示例图；

图2为本发明的系统模型图；

图3为本发明的结合行为序列分析和参数协调的攻击防御模型图；

图4为本发明的基于深度信任挽网络行为序列识别方法的流程示意图。

图5为本发明的用户行为时间节点分类结构图。

具体实施方式

请参阅图1-图5，本实施例提供一种智能电网环境中基于深度信任网络的关联攻击行为识别方法；包括如下步骤；

步骤S1、将用户的每一个行为序列进行最小时间分割，并删除相关性不大的序列段；

步骤S2、将去除了相关性不大的序列段的行为序列作为深度信任网络的输入序列，通过深度信任网络中的非线性迭代算法对非法用户行为序列的目标行为函数进行求解，获取异常行为的目标向量；

步骤S3、将获取的异常行为目标向量与行为序列中相似的序列段进行匹配，对周围合法行为序列进行关联度分析；

步骤S4、采用匹配补偿方式删除行为序列中的无关行为。

步骤S1中序列段之间相距的时间间隔一定程度上可以反映前后两个序列之间的亲密度和相关性，相反，如果两个序列行为在时间跨度较大，那么就可以认为这两种序列不具有行为相关性，因此，基于这一特点可以将行为序列之间的相关性的判别设置一个阈值。

其具体步骤为：

步骤S11、设置行为序列X＝＜e₁,e₂,e₃,e₄,...,e_m＞，行为序列包括m个行为序列时间段，行为时间段为用户在一段时间中每一个时间戳之间的行为序列，则时间戳的序列为Tx＝＜t₁,t₂,t₃,t₄,t₅,...,t_m＞；

步骤S12、设定用户在行为上的最小留存时间阈值为min_ij，对于序列中两项序列的时间间隔，如果两者之间的时间间隔大于阈值，则表明两项之间具有较弱的前后关联性，那么就可以将他们划分在不同的行为序列中，任取用户行为序列中的一个子集，计算出用户在该行为上的留存时间ST_i＝T_ei-T_ej，其中，T为时间戳中每个行为序列两端的时间节点；若T＜min_ij，则去除该序列段，若T＞min_ij，则保留。

时间戳按最小时间间隔划分，最小时间间隔划分的方法是根据用户完成一个行为的最小时间作为时间节点的最小时间单位，其他行为按照这个最小时间单位进行等比例划分，从而对每个行为序列进行拆解。

进一步的，深度信任网络是由k个受限玻尔兹曼机通过堆叠方式构建而成，采用无监督方式对第一层受限玻尔兹曼极中每个神经单元的数据特征分类参数进行训练，第一层受限波尔兹曼机的隐藏层作为第二层受限玻尔兹曼机的可视化层对第二层受限玻尔兹曼机设定的特征参数进行训练，由此逐层训练，获取特征提取模型的初始参数；再利用具有诱捕特征标签的数据对模型的初始参数进行有监督的训练，从而确定最终每一层中神经单元的权重参数及相邻网络层之间的亲密程度。

玻尔兹曼机的能量函数为

其中，v_j为可视层向量v的第j个元素，h_i为隐藏层向量h的单位元素，w_ij为可视层与隐藏层单元之间权重矩阵的元素，n为隐藏层数量，m为可视层中单位元的数量；c_j与d_i分别为可视层与隐藏层之间各个元素占有的偏重，通过给定的隐藏层的权值计算出分布在各个隐藏层单元中攻击特征识别的条件概率：

在初始训练之后，对神经网络的各可视层与隐藏层的权重进行新一轮更新，更新矩阵为：

wi_j＝wi_j-R(<h_iv_j>_m-<h_iv_j>_n)；

其中，<h_jv_j>为求得的期望值，R为学习的速率，相应的各个隐藏层与可视层之间的偏置更新可以表示为：

通过不断地参数更新，最终形成针对训练数据的神经网络参数。

步骤S3中异常行为可以具体表现为三中约束条件：

其中，a为某一个阶段的目标向量，H为非法用户利用的雅克比矩阵，其电力的拓扑结构H∈R^m×n，

为目标评估的阈值，||a-Hc||为范数，T为向量a的转置。M、N为操作者进行数据传输时使用的向量，表示为：

通过约束条件对攻击目标函数进行约束：根据约束条件将攻击目标函数表示为拉格朗日乘子，具体为：

L(a,λ₁,λ₂,λ₃)＝U(a)+λ₁ ^Th₁(a)+λ₂ ^Th₂(a)+λ₃ ^Tg(a)；

其中，

h₂(a)＝N(a+L)，g(a)＝a^TMa，λ₁、λ₂、λ₃分别为拉格朗日乘子法中的三个函数各自的权重，仅作为参数不需要求解，U(a)为目标函数；

然后通过各参数的偏导函数，将目标函数最小值问题转化为导数问题，即求

函数取最小值时，相关参数的具体数值，使得目标函数为：

其中，U(ak)为非法行为的目标函数，dk为每次迭代的更新权值，ak表示目标函数中使用的k次迭代中的攻击向量，

为二阶偏导数，L(α_k,λ_k)为第k次迭代中的行为目标函数，

为一节偏导数，λ_k分别为拉格朗日乘子法中的三个函数权重λ₁、λ₂、λ₃在非线性迭代算法中第k次迭代所取的具体数值。

进一步的，步骤S3中关联度可以拆分为两种序列特征的综合匹配：序列的最大相似度和全部相似度；

最大相似度中，用户的最大规模集合T＝{X₁,X₂,X₃,...,X_n}，X＝<X₁,X₂,X₃,X₄,...,X_m>为该集合中最大的规模元素，用来标识用户历史记录中次数最为频繁的使用行为，用户的实时的行为序列为Y＝<Y₁,Y₂,Y₃,....,Y_n>，且历史行为元素和当前行为元素的元素长度满足Y_n＝n，用户集合以及每个集合中的元素需要构建一个表达两者映射关系的动态规划表，动态规划表根据用户总数以及元素个数可以表述为一个(m+1)(n+1)的矩阵，该矩阵中每一项元素记为C，则，

其中，C[i][j]为用户最大行为模式与当前行为比较得出的最长公共子序列,通过每一项元素的取值可以得到X和L的最长公共子序列长度C[m,n]；

全部相似度中，将两个行为序列的全部公共子序列匹配的序列集合作为基础序列集合，其全部公共子序列数量通过动态规划递归法求解，更新动态规划表，动态规划法递归表达式为：

其中，M[i,j]为序列X中第i项X[i]和序列X中第i项X[i]对比时当前全部子序列的数值，获取的最终结果N[m,n]就是序列X和序列L的全部公共子序列的个数，可以记为Const(X,Y)；

再对得到的全部公共子序列个数进行归一化，获取全部相似度sim(X,Y)，公式为：

步骤S4中，匹配补偿方式是先在用户的序列行为中抽取5000条行为序列作为特征挖掘的记录，再从另一个用户的行为序列中抽取5000条初始行为记录，通过同一个用户经过处理和未处理的原始记录进行模式比对，设置补偿标准以判断正确的序列数和序列总数的比值，补偿值为Compans(X,Y)，则，

最后将取得的补偿值与关联度值相加，获取行为序列的关联度，将关联度与行为目标的函数值相比较就可以得出非法行为用户序列。

以上显示和描述了本发明的基本原理、主要特征和优点。本领域的技术人员应该了解，本发明不受上述具体实施例的限制，上述具体实施例和说明书中的描述只是为了进一步说明本发明的原理，在不脱离本发明精神范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护的范围由权利要求书及其等效物界定。

Claims (7)

1.智能电网环境中基于深度信任网络的关联攻击行为识别方法，其特征在于，包括如下步骤，

步骤S1、将用户的每一个行为序列进行最小时间分割，并删除相关性不大的序列段；

步骤S2、将去除了相关性不大的序列段的行为序列作为深度信任网络的输入序列，通过深度信任网络中的非线性迭代算法对非法用户行为序列的目标行为函数进行求解，获取异常行为的目标向量；

步骤S3、将获取的异常行为目标向量与行为序列中相似的序列段进行匹配，对周围合法行为序列进行关联度分析；

关联度可以拆分为两种序列特征的综合匹配：序列的最大相似度和全部相似度；所述最大相似度中，用户的最大规模集合T＝{X₁,X₂,X₃,...,X_n}，X＝<X₁,X₂,X₃,X₄,...,X_m>为该集合中最大的规模元素，用来标识用户历史记录中次数最为频繁的使用行为，用户的实时的行为序列为Y＝<Y₁,Y₂,Y₃,....,Y_n>，且历史行为元素和当前行为元素的元素长度满足Y_n＝n，用户集合以及每个集合中的元素需要构建一个表达两者映射关系的动态规划表，动态规划表根据用户总数以及元素个数可以表述为一个(m+1)(n+1)的矩阵，该矩阵中每一项元素记为C，则，

其中，C[i][j]为用户最大行为模式与当前行为比较得出的最长公共子序列,通过每一项元素的取值可以得到X和L的最长公共子序列长度C[m,n]；

所述全部相似度中，将两个行为序列的全部公共子序列匹配的序列集合作为基础序列集合，其全部公共子序列数量通过动态规划递归法求解，更新动态规划表，动态规划法递归表达式为：

其中，M[i,j]为序列X中第i项X[i]和序列X中第i项X[i]对比时当前全部子序列的数值，获取的最终结果N[m,n]就是序列X和序列L的全部公共子序列的个数，可以记为Const(X,Y)；

再对得到的全部公共子序列个数进行归一化，获取全部相似度sim(X,Y)，公式为：

步骤S4、采用匹配补偿方式删除行为序列中的无关行为。

2.根据权利要求1所述的智能电网环境中基于深度信任网络的关联攻击行为识别方法，其特征在于，所述步骤S1的具体步骤为：

步骤S11、设置行为序列X＝＜e₁,e₂,e₃,e₄,...,e_m＞，行为序列包括m个行为序列时间段，行为时间段为用户在一段时间中每一个时间戳之间的行为序列，则时间戳的序列为Tx＝＜t₁,t₂,t₃,t₄,t₅,...,t_m＞；

步骤S12、设定用户在行为上的最小留存时间阈值为min_ij，任取用户行为序列中的一个子集，计算出用户在该行为上的留存时间ST_i＝T_ei-T_ej，其中，T为时间戳中每个行为序列两端的时间节点；若T＜min_ij，则去除该序列段，若T＞min_ij，则保留。

3.根据权利要求2所述的智能电网环境中基于深度信任网络的关联攻击行为识别方法，其特征在于，所述时间戳按最小时间间隔划分，所述最小时间间隔划分的方法是根据用户完成一个行为的最小时间作为时间节点的最小时间单位，其他行为按照这个最小时间单位进行等比例划分，从而对每个行为序列进行拆解。

4.根据权利要求1所述的智能电网环境中基于深度信任网络的关联攻击行为识别方法，其特征在于，所述深度信任网络是由k个受限玻尔兹曼机通过堆叠方式构建而成，采用无监督方式对第一层受限玻尔兹曼极中每个神经单元的数据特征分类参数进行训练，所述第一层受限波尔兹曼机的隐藏层作为第二层受限玻尔兹曼机的可视化层对第二层受限玻尔兹曼机设定的特征参数进行训练，由此逐层训练，获取特征提取模型的初始参数；再利用具有诱捕特征标签的数据对模型的初始参数进行有监督的训练，从而确定最终每一层中神经单元的权重参数及相邻网络层之间的亲密程度。

5.根据权利要求4所述的智能电网环境中基于深度信任网络的关联攻击行为识别方法，其特征在于，所述玻尔兹曼机的能量函数为

其中，v_j为可视层向量v的第j个元素，h_i为隐藏层向量h的单位元素，w_ij为可视层与隐藏层单元之间权重矩阵的元素，n为隐藏层数量，m为可视层中单位元的数量；c_j与d_i分别为可视层与隐藏层之间各个元素占有的偏重，通过给定的隐藏层的权值计算出分布在各个隐藏层单元中攻击特征识别的条件概率：

在初始训练之后，对神经网络的各可视层与隐藏层的权重进行新一轮更新，更新矩阵为：

w_ij＝w_ij-R(<h_iv_j>_m-<h_iv_j〉_n)；

其中，<h_jv_j〉为求得的期望值，R为学习的速率，相应的各个隐藏层与可视层之间的偏置更新可以表示为：

通过不断地参数更新，最终形成针对训练数据的神经网络参数。

6.根据权利要求1所述的智能电网环境中基于深度信任网络的关联攻击行为识别方法，其特征在于，所述步骤S3中异常行为可以具体表现为三中约束条件：

其中，a为某一个阶段的目标向量，H为非法用户利用的雅克比矩阵，其电力的拓扑结构H∈R^m×n，

为目标评估的阈值，||a-Hc||为范数，T为向量a的转置；M、N为操作者进行数据传输时使用的向量，表示为：

通过约束条件对攻击目标函数进行约束：根据约束条件将攻击目标函数表示为拉格朗日乘子，具体为：

L(a,λ₁,λ₂,λ₃)＝U(a)+λ₁ ^Th₁(a)+λ₂ ^Th₂(a)+λ₃ ^Tg(a)；

其中，

h₂(a)＝N(a+L)，g(a)＝a^TMa，λ₁、λ₂、λ₃分别为拉格朗日乘子法中的三个函数各自的权重，仅作为参数不需要求解，U(a)为目标函数；

然后通过各参数的偏导函数，将目标函数最小值问题转化为导数问题，即求

函数取最小值时，相关参数的具体数值，使得目标函数为：

其中，U(a_k)为非法行为的目标函数，d_k为每次迭代的更新权值，a_k表示目标函数中使用的k次迭代中的攻击向量，

为二阶偏导数，L(α_k,λ_k)为第k次迭代中的行为目标函数，

为一节偏导数，λ_k分别为拉格朗日乘子法中的三个函数权重λ₁、λ₂、λ₃在非线性迭代算法中第k次迭代所取的具体数值。

7.根据权利要求1所述的智能电网环境中基于深度信任网络的关联攻击行为识别方法，其特征在于，所述步骤S4中，匹配补偿方式是先在用户的序列行为中抽取5000条行为序列作为特征挖掘的记录，再从另一个用户的行为序列中抽取5000条初始行为记录，通过同一个用户经过处理和未处理的原始记录进行模式比对，设置补偿标准以判断正确的序列数和序列总数的比值，补偿值为Compans(X,Y)，则，

最后将取得的补偿值与关联度值相加，获取行为序列的关联度，将关联度与行为目标的函数值相比较就可以得出非法行为用户序列。

Images