CN110719275B - 一种基于报文特征的电力终端漏洞攻击检测方法 - Google Patents

一种基于报文特征的电力终端漏洞攻击检测方法 Download PDF

Info

Publication number
CN110719275B
CN110719275B CN201910941915.5A CN201910941915A CN110719275B CN 110719275 B CN110719275 B CN 110719275B CN 201910941915 A CN201910941915 A CN 201910941915A CN 110719275 B CN110719275 B CN 110719275B
Authority
CN
China
Prior art keywords
power terminal
sample
attack
address
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910941915.5A
Other languages
English (en)
Other versions
CN110719275A (zh
Inventor
许爱东
曹扬
蒋屹新
徐文渊
冀晓宇
张月鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Research Institute of Southern Power Grid Co Ltd
Original Assignee
Zhejiang University ZJU
Research Institute of Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU, Research Institute of Southern Power Grid Co Ltd filed Critical Zhejiang University ZJU
Priority to CN201910941915.5A priority Critical patent/CN110719275B/zh
Publication of CN110719275A publication Critical patent/CN110719275A/zh
Application granted granted Critical
Publication of CN110719275B publication Critical patent/CN110719275B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于报文特征的电力终端漏洞攻击检测方法,属于智能电网终端设备安全技术领域。方法包括步骤S01,采集电力终端设备与主站间的通讯报文数据,并把电力终端设备正常工作状态下和受攻击状态下的通讯报文数据分类为正样本、负样本;步骤S02,对正样本、负样本进行特征提取,并形成样本特征向量;步骤S03,基于样本特征向量,选取分类器进行深度神经网络训练,生成漏洞攻击检测模型;步骤S04,采集工作中电力终端设备与主站间的实时通讯报文数据;步骤S05,对实时通讯报文数据进行特征提取,并形成检测特征向量;步骤S06,将检测特征向量输入漏洞攻击检测模型,以检测电力终端是否受到攻击和攻击类型。本发明方法从网络层对电力终端设备进行安全监测,提高电网安全性。

Description

一种基于报文特征的电力终端漏洞攻击检测方法
技术领域
本发明属于智能电网终端设备安全技术领域,具体涉及一种基于报文特征的电力终端漏洞攻击检测方法。
背景技术
电网中的电力终端设备的安全可靠是电力系统稳定运行的根本。智能电网业务系统存在大量的电力终端设备,如RTU(远程终端单元)、DTU(数据终端单元)、FTU(馈线终端单元)、智能电表等。电力终端通过监测、控制、保护的作用影响着电力的生产过程,在电力生产的“发电”-“变电”-“输电”-“配电”的过程中,起着至关重要的作用。如RTU可以通过开闭当前线路来对电力生产进行影响,同时监测当前线路的电压、电流情况,实时对电力生产进行保护和控制。
然而,电力终端设备一般工作在开放环境下,并且都具有一定的运算能力和无线通信功能,导致其更容易被攻击者攻击,从而威胁智能电网的安全。一方面,对于由嵌入式操作系统构成的电力终端设备,嵌入式操作系统的固件漏洞容易被攻击者利用,攻击者可以将电力终端设备作为跳板,攻击在用户侧的电力终端设备,进而通过电力终端设备渗透到工作站和主站中,从而实现对其他电力终端设备的控制,从而破坏电力的正常生产。另一方面,由于电力终端设备使用无线网络进行传输,导致攻击者可以在网络层面上对电力终端发起攻击,在传统信息网络中的攻击手段也能对电力终端造成破坏,如对电力终端进行DDoS攻击,使得电力终端设备无法及时的响应主站发起的请求,如控制馈线通断的命令无法及时的被执行,这将对电力的生产和运行造成破坏。
在电力终端的安全防护中,对攻击准确有效的识别是对电力终端进行安全防护的必要条件,只有对电力终端遭受的攻击进行准确的定位及识别,才能尽可能的减小攻击造成的损害,对其进行针对性的防护。目前为止,已经有许多学者对电力终端的攻击识别进行了研究。
现有技术对此问题的解决方法有:基于协议解析技术对入侵检测系统进行研究,检测入侵电力终端的攻击[方欣, 万扬, 文霞, 等. 基于协议分析技术的网络入侵检测系统中 DDoS 攻击的方法研究[J]. 信息网络安全, 2012 (4): 36-38.],研究信息网络的网络防护墙系统和工业入侵检测系统(IDS),并有机的将其结合起来,提出了一种融合上述两种安全策略的新方法[曹子建, 赵宇峰, 容晓峰. 网络入侵检测与防火墙联动平台设计[J]. 信息网络安全, 2012 (9): 12-14.],以及通过对GHSOM(Growing HierarchicalSelf-Organizing Maps)神经网络模型扩展,实现了一种能学习新式攻击行为的安全检测系统[杨雅辉, 黄海珍, 沈晴霓, 等. 基于增量式 GHSOM 神经网络模型的入侵检测研究[J]. 计算机学报, 2014, 37(5): 1216-1224.]等。
发明专利申请CN201811237515.8公开了一种基于机器学习的电力工控攻击分类方法和系统,该方法和系统利用电力工控的历史报文数据,通过对所述数据进行缺省值补全、特征变量提取后,输入随机森林模型进行多折交叉验证,并根据随机森林模型是否发生过拟合和/或欠拟合现象对模型参数进行调整,确定最优随机森林模型并对电力工控攻击进行分类。
虽然现有的智能电网安全防护体系能抵御部分信息攻击,但在电力系统智能化、互动化发展和网络攻击技术演进的双重影响下,智能电网安全正面临着新的挑战,越来愈多的攻击木马具有隐蔽性、潜伏性、高破坏性,一旦病毒侵入智能电网系统,将对智能电网的正常生产造成巨大的影响,加强智能电网的安全性能,在电网的生产过程中显得尤为重要。构建一个性能更好的电力终端漏洞攻击识别模型,是亟待解决的问题。
发明内容
本发明针对现有技术存在的问题,提出了一种基于报文特征的电力终端漏洞攻击检测方法,通过构建电力终端漏洞攻击的识别模型,能够检测到电力终端遭受攻击并识别出攻击类型,进而为开展针对性的防护工作提供指导,从网络层面对电力终端进行安全监测。
本发明是通过以下技术方案得以实现的:
本发明提供一种基于报文特征的电力终端漏洞攻击检测方法,包括:
步骤S01,采集电力终端设备与主站间的通讯报文数据,并将电力终端设备于正常工作状态下与主站间的通讯报文数据分类为正样本,将电力终端设备于受攻击状态下与主站间的通讯报文数据分类为负样本;
步骤S02,对正样本、负样本进行特征提取,并形成样本特征向量;
步骤S03,基于样本特征向量,选取分类器进行深度神经网络训练,生成漏洞攻击检测模型;
步骤S04,采集工作中电力终端设备与主站间的实时通讯报文数据;
步骤S05,对实时通讯报文数据进行特征提取,并形成检测特征向量;
步骤S06,将检测特征向量输入漏洞攻击检测模型,以检测电力终端是否受到攻击和攻击类型。
本发明采用正常工作状态和受攻击状态下差异性大的数据作为特征,进而训练形成漏洞攻击检测模型,使得检测识别更精准、高效,能确认攻击和攻击类型,以便于对电力终端设备进行及时、针对性强的安全防护。
作为优选,所述样本特征向量、所述检测特征向量包括如下特征:连接持续时间、协议类型、目标主机服务类型、连接状态的标示量、从源主机到目标主机的报文传输字节大小、从目标主机到源主机的报文传输字节大小、该连接是否来自同一个主机、错误片断的个数、紧急包的个数、固定源IP地址到固定目的IP地址中的报文数量、固定源IP地址到固定目的IP地址中平均连接持续时间、固定协议类型的平均连接时间、固定源IP地址到固定目的IP地址在不同协议下的报文数量、固定源IP地址到固定目的IP地址中错误分段的数量、固定源IP地址到固定目的IP地址在不同协议下的错误分段数量、固定源IP地址到固定目的IP地址在不同协议下的错误分段平均数、固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数、不同目标主机服务类型下的非guest用户登录次数、固定源IP地址到固定目的IP地址下不同目标主机服务类型下的用户登录成功次数。
作为优选,所述步骤S02具体包括:
步骤S21,对正样本、负样本进行特征提取,并将提取的特征构成初始特征向量;
步骤S22,对初始特征向量中缺失的特征值进行填充,形成完整特征向量;
步骤S23,对完整特征向量标识攻击类型;
步骤S24,使用对抗生成神经网络,基于完整特征向量,扩充负样本数据,形成样本特征向量。
作为优选,所述步骤S23具体为:采用one-hot编码方式,将完整特征向量中的类别特征替换为标识攻击类型的数值数据。
作为优选,所述步骤S24具体包括:
步骤S241,对生成器和判别器进行博弈训练,使得真实样本下,满足D(x)接近1的目标条件;生成样本下,满足判别器的目标条件D(G(z))=1,以及满足生成器的目标条件D(G(z))=0;其中,D为判别器,G为生成器,x为判别器输入的数据样本,z为生成器输入的数据噪声;
步骤S242,针对负样本,使用对抗生成神经网络,进行多代判别器和生成器的训练,直至收敛,形成负样本数据扩充后的样本特征向量。
作为优选,所述步骤S03具体包括:
步骤S31,选取栈式自编码器作为分类器,基于无监督学习的预训练的过程对深度神经网络的节点权重值进行初始化;
步骤S32,对具有标识类型的数据进行有监督学习,微调深度神经网络的参数,以生成漏洞攻击检测模型。
作为优选,所述步骤S05具体包括:
步骤S51,对实时通讯报文数据进行特征提取,并将提取的特征构成初始特征向量;
步骤S52,对初始特征向量中缺失的特征值进行填充,形成检测特征向量。
作为优选,所述步骤S22或所述步骤S52中缺失特征值的填充方法如下:
当缺失的特征值为类别变量时,将所有样本数据中缺失特征值对应的类别变量出现次数最多的属性值填充在缺失部分;
当缺失的特征值为数值变量时,通过线性差值法对缺失的特征值进行补全,其计算公式为:
y_miss=y_0+((x-x_0)y_1-(x-x_0)y_0)/(x_1-x_0 )
式中,y_0和x_0分别是该缺失的特征值对应的数值变量的前一条记录特征值和特征值所在的行数,y_1和x_1分别为该缺失的特征值对应的数值变量的后一条记录特征值和特征值所在的行数。
作为优选,所述电力终端设备受到的攻击类型包括拒绝服务攻击、远端机器的未授权访问攻击、本地用户的未授权访问攻击、端口探测攻击。
作为优选,所述电力终端设备传输的通讯报文数据是基于TCP/IP协议。
本发明具有以下有益效果:
本发明一种基于报文特征的电力终端漏洞攻击检测方法,
1、通过机器学习的方式可以进行DoS(拒绝服务攻击)、R2L(远端机器的未授权访问)、U2R(本地用户的未授权访问)和Probing(端口探测)四种电力终端漏洞攻击方式的检测;
2、选取的特征值所构建的特征向量,是能反映电力终端正常工作和电力终端受不同种类攻击多种状态之间差异的特征向量;在基于合适的机器学习算法下,分类器的分类速率高,最终识别精确度与可靠性也显著提高;
3、由于检测攻击时采用的是电力终端与主站间的通讯报文数据,因此当攻击发生时,不仅可以通过分类器得知受攻击的方式,还可以快速定位受到攻击的电力终端,便于采取防御措施;
4、针对不同类型的电力终端设备,由于其传输报文是基于TCP/IP协议的,所以大多数攻击行为可以被TCP/IP层的报文表示出来,无需针对特定的设备训练特定的分类器,这给实际应用带来了很大的便利。
附图说明
图1为本发明一种基于报文特征的电力终端漏洞攻击检测方法的流程图;
图2为采用图1方法的电力终端漏洞攻击检测器的训练架构图;
图3为采用图1方法的检测系统的通讯流程图;
图4为对抗生成神经网络的学习策略流程的示意图;
图5为对抗生成神经网络的博弈过程示意图。
具体实施方式
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
如图1-3,本发明一种基于报文特征的电力终端漏洞攻击检测方法包括:
步骤S01,采集电力终端设备与主站间的通讯报文数据,并将电力终端设备于正常工作状态下与主站间的通讯报文数据分类为正样本,将电力终端设备于受攻击状态下与主站间的通讯报文数据分类为负样本;
步骤S02,对正样本、负样本进行特征提取,并形成样本特征向量;
步骤S03,基于样本特征向量,选取分类器进行深度神经网络训练,生成漏洞攻击检测模型;
步骤S04,采集工作中电力终端设备与主站间的实时通讯报文数据;
步骤S05,对实时通讯报文数据进行特征提取,并形成检测特征向量;
步骤S06,将检测特征向量输入漏洞攻击检测模型,以检测电力终端是否受到攻击和攻击类型。
在步骤S01中,电力终端设备与主站间的通讯报文数据是由电力终端漏洞攻击检测器检测获得。所述通讯报文数据包括电力终端正常工作状态和受攻击状态下的两种情况的数据,这样在构建漏洞攻击检测模型更全面,更具有对比性,能从两者差异变化大的数据中准确判断出是否有攻击以及受到攻击的类型。具体来说,在我们收集的攻击报文中,攻击方式可以归纳为4种类型,其中有DoS(拒绝服务攻击)、R2L(远端机器的未授权访问)、U2R(本地用户的未授权访问)和Probing(端口探测)。根据此方面的先验知识,在不同攻击方式下,报文信息中的一些值会有较大差异。如固定源IP地址到固定目的IP地址中的报文数量,若电力终端遭受DoS攻击,该特征的值将显著大于正常通信报文。因此,通过机器学习的方式可以进行电力终端漏洞攻击方式的检测。
接着,对上述采集的通讯报文数据进行分类预处理,将电力终端设备于正常工作状态下与主站间的通讯报文数据分类为正样本,将电力终端设备于受攻击状态下与主站间的通讯报文数据分类为负样本。
由于报文信息中包含大量数据,往往包括了目的IP地址、源IP地址、传输的数据、校验位、用户协议、报头长度、报文长度等信息,但是并非所有信息都能体现出电力终端的工作状态,如果将这些值统统作为分类器的输入变量,会导致计算量过大、效率和准确率降低等不利影响。因此,结合先验知识,经过统计分析,我们选取了能够有效反映电力终端不同工作状态的19个指标,构成了特征向量。每个样本应提取的特征包括,duration(连接持续时间)、protocol_type(协议类型)、service(目标主机服务类型)、flag(连接状态的标示量)、src_bytes(从源主机到目标主机的报文传输字节大小)、dst_bytes(从目标主机到源主机的报文传输字节大小)、land(该连接是否来自同一个主机)、wrong_fragment(错误片断的个数)、urgent(紧急包的个数)。再提取如下特征:固定源IP地址到固定目的IP地址中的报文数量;固定源IP地址到固定目的IP地址中平均连接持续时间;固定协议类型的平均连接时间;固定源IP地址到固定目的IP地址在不同协议下的报文数量;固定源IP地址到固定目的IP地址中错误分段的数量;固定源IP地址到固定目的IP地址在不同协议下的错误分段数量;固定源IP地址到固定目的IP地址在不同协议下的错误分段平均数;固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数;不同目标主机服务类型下的非guest用户登录次数;固定源IP地址到固定目的IP地址下不同目标主机服务类型下的用户登录成功次数。
所述步骤S02具体包括:
步骤S21,对正样本、负样本进行特征提取,并将提取的特征构成初始特征向量;
步骤S22,对初始特征向量中缺失的特征值进行填充,形成完整特征向量;
步骤S23,对完整特征向量标识攻击类型;
步骤S24,使用对抗生成神经网络,基于完整特征向量,扩充负样本数据,形成样本特征向量。
在步骤S21中,对正、负样本进行上述19个特征提取,并将提取的特征构成对应样本的初始特征向量。然而不是每个样本的初始特征向量都具有所有特征值,对于这些缺失的特征值需要填充,继而形成步骤S22中的完整特征向量。
所述步骤S22的填充方法如下:
当缺失的特征值为类别变量时,将所有样本数据中缺失特征值对应的类别变量出现次数最多的属性值填充在缺失部分;
当缺失的特征值为数值变量时,通过线性差值法对缺失的特征值进行补全,其计算公式为:
y_miss=y_0+((x-x_0)y_1-(x-x_0)y_0)/(x_1-x_0 )
式中,y_0和x_0分别是该缺失的特征值对应的数值变量的前一条记录特征值和特征值所在的行数,y_1和x_1分别为该缺失的特征值对应的数值变量的后一条记录特征值和特征值所在的行数。
其中,在19个特征中除了protocol_type(协议类型)、service(目标主机服务类型)、flag(连接状态的标示量)、land(该连接是否来自同一个主机)为类别变量外,其他均为数值变量。
所述步骤S23具体为:采用one-hot编码方式,将完整特征向量中的类别特征替换为标识攻击类型的数值数据。所述类别特征为上述类别变量。例如,当具有不受攻击、受A攻击、受B攻击三种情况时,分别贴上001、010、100的标签作为类型标识。
参照图4、5,所述步骤S24具体包括:
步骤S241,对生成器和判别器进行博弈训练,使得真实样本下,满足D(x)接近1的目标条件;生成样本下,满足判别器的目标条件D(G(z))=1,以及满足生成器的目标条件D(G(z))=0;其中,D为判别器,G为生成器,x为判别器输入的数据样本,z为生成器输入的数据噪声;
步骤S242,针对负样本,使用对抗生成神经网络,进行多代判别器和生成器的训练,直至收敛,形成负样本数据扩充后的样本特征向量。
在步骤S241中,为了使一个对抗生成神经网络收敛,我们需要调整生成器和判别器的学习策略,使得生成器和判别器持续不断的博弈训练。对抗生成神经网络生成器的目标是使通过生成器生成的样本无法被判别器区分开。相反,判别器的目标是希望能对神经网络生成的样本和真实样本进行很好的判别。具体的,我们把判别器记为D,生成器记为G,其中判别器输入的数据样本为x,生成器输入的数据噪声为z,其中我们的判别器的目标是使D(G(z))=1,而生成器的目标是使D(G(z))=0。
在步骤S242中,首先由生成器生成攻击样本数据,第一代生成器生成一些较差的攻击样本报文,然后第一代判别器对第一代生成器生成的样本报文进行判断,它能准确的将生成的报文和真实的报文区分开来。接着对抗生成神经网络开始训练第二代的生成器,第二代生成器相较于第一代生成器可以生成一些较好的报文样本,能够让一代判别器部分认为生成的样本是真实的样本,然后训练出一个二代判别器,它能准确识别出真实的样本和由二代生成器生成的样本。以此类推,会有三代、四代...n代的判别器和生成器。由此一直训练至收敛,至此对抗生成网络训练完成。
所述步骤S03具体包括:
步骤S31,选取栈式自编码器作为分类器,基于无监督学习的预训练的过程对深度神经网络的节点权重值进行初始化;
步骤S32,对具有标识类型的数据进行有监督学习,微调深度神经网络的参数,以生成漏洞攻击检测模型。
栈式自编码器由多层自编码器通过堆栈组合在一起,是一个深度前馈神经网络。通过堆叠多层自编码器,栈式自编码器可以学习到数据的多层抽象信息,同时可以提取样本报文的深层次信息的组合,栈式自编码器的最后一层为全连接层,输出的是该样本属于某一种类别的概率值,整个网络最后输出的是该报文样本概率最大的所属类别。
在使用栈式自编码器对处理后的报文信息进行学习时,采用了先无监督学习预训练,再有监督学习微调的方法。为了使栈式自编码器的模型性能更为优异,我们首先采取基于无监督学习的预训练过程对神经网络的节点权重值进行初始化,这种无监督学习不使用样本数据的标签信息,直接对网络节点的权重值进行更新和优化。但是在模型的后续的优化过程中,我们通过带有标识类型的数据进行有监督学习,来对整个网络的参数继续进行调整。
所述步骤S05具体包括:
步骤S51,对实时通讯报文数据进行特征提取,并将提取的特征构成初始特征向量;
步骤S52,对初始特征向量中缺失的特征值进行填充,形成检测特征向量。
在步骤S51中,对实时通讯报文数据进行上述19个特征提取,并将提取的特征构成对应样本的初始特征向量。然而不是每个样本的初始特征向量都具有所有特征值,对于这些缺失的特征值需要填充,继而形成步骤S52中的检测特征向量。
所述步骤S52的填充方法如下:
当缺失的特征值为类别变量时,将所有样本数据中缺失特征值对应的类别变量出现次数最多的属性值填充在缺失部分;
当缺失的特征值为数值变量时,通过线性差值法对缺失的特征值进行补全,其计算公式为:
y_miss=y_0+((x-x_0)y_1-(x-x_0)y_0)/(x_1-x_0 )
式中,y_0和x_0分别是该缺失的特征值对应的数值变量的前一条记录特征值和特征值所在的行数,y_1和x_1分别为该缺失的特征值对应的数值变量的后一条记录特征值和特征值所在的行数。
其中,在19个特征中除了protocol_type(协议类型)、service(目标主机服务类型)、flag(连接状态的标示量)、land(该连接是否来自同一个主机)为类别变量外,其他均为数值变量。
在步骤S06中,利用栈式自编码分类算法我们可以根据所提取特征判断当前报文是否为正常报文。这一部分输入为提取出的报文特征,输出为栈式自编码器预测结果,即当前电力终端是否受到攻击及受到何种攻击。
至此,就实现了电力终端漏洞攻击的检测识别。
为了使训练后的分类器能够检测电力终端是否受到攻击及受到何种攻击,正负样本的获取是极为重要的,必须收集足够量的电力终端正常工作、电力终端受到DoS攻击、电力终端受到R2L攻击、电力终端受到U2R攻击和电力终端受到Probing攻击等情况下的传输报文样本,其中,每一条样本代表着电力终端与主站的一次通信。
我们收集了4559799条电力终端传输报文的样本,其中1064720条为正常样本,3495079条为攻击报文样本,攻击样本中,DoS攻击有2814571条,Probing攻击有640254条,R2L攻击有23127条,U2R攻击有17127条。由于R2L攻击和U2R攻击方式下报文数据较少,故必须利用对抗生成神经网络做数据增强,才能准确对电力终端几种工作状态进行判别。
执行本发明方法进行检测,当执行到步骤S23时,我们不能直接进行分类器的训练。这是由于收集的4559799条电力终端传输报文的样本中,DoS攻击多达2814571条,而U2R攻击只有17127条。数据量之间的巨大差异会导致识别难度加大,识别精度降低,因此需要利用对抗生成神经网络扩充数据量。
在使用对抗生成神经网络生成样本的时候,生成器和判别器参数的选择是其关键。我们选用的参数如下表所示。
表一:生成器和判别器参数选择表
Figure DEST_PATH_IMAGE002
我们的生成器在输出层的激活函数是为线性激活函数,神经网络的层数为3,隐含层神经元的个数为32,优化目标为RMSE。我们的判别器在输出层的激活函数为sigmod,隐含层的个数为32,优化目标为Logloss。
之后,使用栈式自编码器对处理后的报文特征进行学习。
在使用栈式自编码器对处理后的报文信息进行学习时,采用了先无监督学习预训练,再有监督学习微调的方法。为了使栈式自编码器的模型性能更为优异,我们首先采取基于无监督学习的预训练过程对神经网络的节点权重值进行初始化,这种无监督学习不使用样本数据的标签信息,直接对网络节点的权重值进行更新和优化。但是在模型的后续的优化过程中,我们通过带有标签信息的数据进行有监督学习,来对整个网络的参数继续进行调整。
具体实现时,我们通过python中的tensorflow库搭建栈式自编码器模型,模型参数按照下表设置。
表二:栈式自编码器模型参数表
Figure DEST_PATH_IMAGE004
以电力终端设备漏洞攻击检测过程为例:
训练好的栈式自编码检测模型可以移植到电力终端与主站间的通讯网络中。首先不断地实时采集电力终端设备与主站间的通讯报文,进行预处理和特征提取等操作,然后使用训练好的栈式自编码分类器进行检测。
为了验证该方法的可行性,我们首先通过实验的方式测试了该方法对于不同工作状态下电路终端报文信息的区分能力。
我们将利用对抗生成神经网络生成的报文样本称为扩充样本,将真实采集到的样本称为真实样本。
首先利用对抗生成神经网络对数据样本进行扩充。其次,将真实样本均分为A组和B组,利用A组真实样本和全部扩充样本进行栈式自编码分类器的训练,得到一个电力终端受攻击检测器。之后,用B组真实样本对电力终端受攻击检测器进行测试,若该检测器判定的攻击方式与实际攻击方式相符,则视为判别正确。最终,我们提出的模型准确率达到了94.31%。
通过最终的检测结果可以确定,我们的方法可以有效地利用报文特征对电路终端受到攻击的类型进行判别,以便于采取相应措施。因此,智能电网中广泛存在的电力终端设备就可以得到准确、实时、高效的监测。
本领域的技术人员应理解,上述描述及附图中所示的本发明的实施例只作为举例而并不限制本发明。本发明的目的已经完整有效地实现。本发明的功能及结构原理已在实施例中展示和说明,在没有背离所述原理下,本发明的实施方式可以有任何变形或修改。

Claims (5)

1.一种基于报文特征的电力终端漏洞攻击检测方法,其特征在于,包括:
步骤S01,采集电力终端与主站间的通讯报文数据,并将电力终端于正常工作状态下与主站间的通讯报文数据分类为正样本,将电力终端于受攻击状态下与主站间的通讯报文数据分类为负样本;
步骤S02,对正样本、负样本进行特征提取,并形成样本特征向量,具体包括:
步骤S21,对正样本、负样本进行特征提取,并将提取的特征构成初始特征向量;
步骤S22,对初始特征向量中缺失的特征值进行填充,形成完整特征向量;
步骤S23,采用one-hot编码方式,将完整特征向量中的类别特征替换为标识攻击类型的数值数据;
步骤S24,使用对抗生成神经网络,基于完整特征向量,扩充负样本数据,形成样本特征向量;具体包括:
步骤S241,对生成器和判别器进行博弈训练,使得真实样本下,满足D(x)接近1的目标条件;生成样本下,满足判别器的目标条件D(G(z))=1,以及满足生成器的目标条件D(G(z))=0;其中,D为判别器,G为生成器,D(x)中的x为判别器输入的数据样本,z为生成器输入的数据噪声;
步骤S242,针对负样本,使用对抗生成神经网络,进行多代判别器和生成器的训练,直至收敛,形成负样本数据扩充后的样本特征向量;
步骤S03,基于样本特征向量,选取分类器进行深度神经网络训练,生成漏洞攻击检测模型;
步骤S04,采集工作中电力终端与主站间的实时通讯报文数据;
步骤S05,对实时通讯报文数据进行特征提取,并形成检测特征向量;具体包括:
步骤S51,对实时通讯报文数据进行特征提取,并将提取的特征构成初始特征向量;
步骤S52,对初始特征向量中缺失的特征值进行填充,形成检测特征向量;
步骤S06,将检测特征向量输入漏洞攻击检测模型,以检测电力终端是否受到攻击和攻击类型;
所述步骤S22或所述步骤S52中缺失特征值的填充方法如下:
当缺失的特征值为类别变量时,将所有样本数据中缺失特征值对应的类别变量出现次数最多的属性值填充在缺失部分;
当缺失的特征值为数值变量时,通过线性差值法对缺失的特征值进行补全,其计算公式为:
y_miss=y_0+((x-x_0)y_1-(x-x_0)y_0)/(x_1-x_0 )
式中,y_0和x_0分别是该缺失的特征值对应的数值变量的前一条记录特征值和特征值所在的行数,y_1和x_1分别为该缺失的特征值对应的数值变量的后一条记录特征值和特征值所在的行数,x为该缺失的特征值所在的行数。
2.根据权利要求1所述的一种基于报文特征的电力终端漏洞攻击检测方法,其特征在于,所述样本特征向量、所述检测特征向量包括如下特征:连接持续时间、协议类型、目标主机服务类型、连接状态的标示量、从源主机到目标主机的报文传输字节大小、从目标主机到源主机的报文传输字节大小、连接是否来自同一个主机、错误片断的个数、紧急包的个数、固定源IP地址到固定目的IP地址中的报文数量、固定源IP地址到固定目的IP地址中平均连接持续时间、固定协议类型的平均连接时间、固定源IP地址到固定目的IP地址在不同协议下的报文数量、固定源IP地址到固定目的IP地址中错误分段的数量、固定源IP地址到固定目的IP地址在不同协议下的错误分段数量、固定源IP地址到固定目的IP地址在不同协议下的错误分段平均数、固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数、不同目标主机服务类型下的非guest用户登录次数、固定源IP地址到固定目的IP地址下不同目标主机服务类型下的用户登录成功次数。
3.根据权利要求1所述的一种基于报文特征的电力终端漏洞攻击检测方法,其特征在于,所述步骤S03具体包括:
步骤S31,选取栈式自编码器作为分类器,基于无监督学习的预训练的过程对深度神经网络的节点权重值进行初始化;
步骤S32,对具有标识类型的数据进行有监督学习,微调深度神经网络的参数,以生成漏洞攻击检测模型。
4.根据权利要求1所述的一种基于报文特征的电力终端漏洞攻击检测方法,其特征在于, 所述电力终端受到的攻击类型包括拒绝服务攻击、远端机器的未授权访问攻击、本地用户的未授权访问攻击、端口探测攻击。
5.根据权利要求1所述的一种基于报文特征的电力终端漏洞攻击检测方法,其特征在于,所述电力终端传输的通讯报文数据是基于TCP/IP协议。
CN201910941915.5A 2019-09-30 2019-09-30 一种基于报文特征的电力终端漏洞攻击检测方法 Active CN110719275B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910941915.5A CN110719275B (zh) 2019-09-30 2019-09-30 一种基于报文特征的电力终端漏洞攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910941915.5A CN110719275B (zh) 2019-09-30 2019-09-30 一种基于报文特征的电力终端漏洞攻击检测方法

Publications (2)

Publication Number Publication Date
CN110719275A CN110719275A (zh) 2020-01-21
CN110719275B true CN110719275B (zh) 2021-04-02

Family

ID=69211279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910941915.5A Active CN110719275B (zh) 2019-09-30 2019-09-30 一种基于报文特征的电力终端漏洞攻击检测方法

Country Status (1)

Country Link
CN (1) CN110719275B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111107092A (zh) * 2019-12-23 2020-05-05 深圳供电局有限公司 基于随机森林算法攻击识别方法及储能协调控制装置
CN111182001A (zh) * 2020-02-11 2020-05-19 深圳大学 基于卷积神经网络的分布式网络恶意攻击检测系统及方法
CN111314370B (zh) * 2020-02-28 2022-07-29 杭州迪普科技股份有限公司 一种业务漏洞攻击行为的检测方法及装置
CN111131335B (zh) * 2020-03-30 2020-08-28 腾讯科技(深圳)有限公司 基于人工智能的网络安全防护方法、装置、电子设备
CN111865947B (zh) * 2020-07-08 2021-07-20 浙江大学 一种基于迁移学习的电力终端异常数据生成方法
CN112491849B (zh) * 2020-11-18 2022-08-05 深圳供电局有限公司 一种基于流量特征的电力终端漏洞攻击防护方法
CN113268729B (zh) * 2021-05-01 2023-07-28 群智未来人工智能科技研究院(无锡)有限公司 一种基于卷积神经网络的智能电网攻击定位方法
CN113468537B (zh) * 2021-06-15 2024-04-09 江苏大学 一种基于改进自编码器的特征提取及漏洞利用攻击检测方法
CN113596020B (zh) * 2021-07-28 2023-03-24 深圳供电局有限公司 一种智能电网虚假数据注入攻击漏洞检测方法
CN115103353A (zh) * 2022-06-13 2022-09-23 厦门大学 智能终端入侵检测方法
CN115242556B (zh) * 2022-09-22 2022-12-20 中国人民解放军战略支援部队航天工程大学 一种基于增量自编码器的网络异常检测方法
CN117235745B (zh) * 2023-11-15 2024-05-10 北京东方森太科技发展有限公司 基于深度学习工控漏洞挖掘方法、系统、设备和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10841333B2 (en) * 2018-01-08 2020-11-17 Sophos Limited Malware detection using machine learning
CN109460814B (zh) * 2018-09-28 2020-11-03 浙江工业大学 一种具有防御对抗样本攻击功能的深度学习分类方法
CN109446635B (zh) * 2018-10-23 2023-05-05 中国电力科学研究院有限公司 一种基于机器学习的电力工控攻击分类方法和系统
CN109922038A (zh) * 2018-12-29 2019-06-21 中国电力科学研究院有限公司 一种用于电力终端的异常数据的检测方法及装置

Also Published As

Publication number Publication date
CN110719275A (zh) 2020-01-21

Similar Documents

Publication Publication Date Title
CN110719275B (zh) 一种基于报文特征的电力终端漏洞攻击检测方法
CN110324316B (zh) 一种基于多种机器学习算法的工控异常行为检测方法
CN110909811B (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
Lu et al. Detecting new forms of network intrusion using genetic programming
Aickelin et al. Immune system approaches to intrusion detection–a review
CN108737410B (zh) 一种基于特征关联的有限知工业通信协议异常行为检测方法
Bao et al. Iot device type identification using hybrid deep learning approach for increased iot security
CN110336827B (zh) 一种基于异常字段定位的Modbus TCP协议模糊测试方法
Le et al. Data analytics on network traffic flows for botnet behaviour detection
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN111092862B (zh) 一种用于对电网终端通信流量异常进行检测的方法及系统
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN106357470B (zh) 一种基于sdn控制器网络威胁快速感知方法
CN105554016A (zh) 网络攻击的处理方法和装置
CN109347853B (zh) 基于深度包解析的面向综合电子系统的异常检测方法
US8903749B2 (en) Method of identifying a protocol giving rise to a data flow
CN109688154B (zh) 一种网络入侵检测模型建立方法及网络入侵检测方法
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN116016198B (zh) 一种工控网络拓扑安全评估方法、装置及计算机设备
DeLooze Attack characterization and intrusion detection using an ensemble of self-organizing maps
CN109639624A (zh) 一种Modbus TCP协议模糊测试中畸形数据过滤方法
Schuster et al. Attack and fault detection in process control communication using unsupervised machine learning
CN104917757A (zh) 一种事件触发式的mtd防护系统及方法
CN112953956B (zh) 一种基于主被动结合的反射放大器识别方法
Ortiz et al. Improving network intrusion detection with growing hierarchical self-organizing maps

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Luohu District Shenzhen Shennan Road 518000 No. 4020 Guangdong provincial power dispatching center building

Applicant after: SHENZHEN POWER SUPPLY BUREAU Co.,Ltd.

Applicant after: ZHEJIANG University

Address before: 310013 No. 866 Tong Road, Xihu District, Zhejiang, Hangzhou, Yuhang

Applicant before: ZHEJIANG University

Applicant before: China Southern Power Grid Research Institute Co.,Ltd.

CB02 Change of applicant information
CB02 Change of applicant information

Address after: 510000 3 building, 3, 4, 5 and J1 building, 11 building, No. 11, Ke Xiang Road, Luogang District Science City, Guangzhou, Guangdong.

Applicant after: China Southern Power Grid Research Institute Co.,Ltd.

Applicant after: ZHEJIANG University

Address before: 310013 No. 866 Tong Road, Xihu District, Zhejiang, Hangzhou, Yuhang

Applicant before: ZHEJIANG University

Applicant before: China Southern Power Grid Research Institute Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant