CN111353153B - 一种基于gep-cnn的电网恶意数据注入检测方法 - Google Patents

一种基于gep-cnn的电网恶意数据注入检测方法 Download PDF

Info

Publication number
CN111353153B
CN111353153B CN202010143003.6A CN202010143003A CN111353153B CN 111353153 B CN111353153 B CN 111353153B CN 202010143003 A CN202010143003 A CN 202010143003A CN 111353153 B CN111353153 B CN 111353153B
Authority
CN
China
Prior art keywords
data
neural network
power grid
gep
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010143003.6A
Other languages
English (en)
Other versions
CN111353153A (zh
Inventor
邓松
袁新雅
陈福林
岳东
蔡清嫄
董霞
张建堂
祝展望
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202010143003.6A priority Critical patent/CN111353153B/zh
Publication of CN111353153A publication Critical patent/CN111353153A/zh
Application granted granted Critical
Publication of CN111353153B publication Critical patent/CN111353153B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于GEP‑CNN的电网恶意数据注入检测方法,在数据量大、维度多、数据种类多的电力系统中,能够利用现有的大数据信息及时准确的检测出电网中是否存在恶意数据注入攻击,其主要包括三个部分:神经网络优化器、样本训练器、检测分类器。本发明将GEP算法加入CNN网络中,构建一个GEP‑CNN混合网络,利用GEP算法的全局搜索能力对CNN网络的初始权重进行优化,避免了卷积神经网络在学习训练过程中陷入局部最优,同时提高了神经网络学习训练的准确性。然后利用历史数据库中的历史数据进行学习训练,得到攻击数据特征库,最后对采集到的实时数据进行检测分类。以此实现电网中恶意数据的有效检测,保证电网的安全稳定运行。

Description

一种基于GEP-CNN的电网恶意数据注入检测方法
技术领域
本发明是一种基于GEP-CNN的电网恶意数据注入检测方法,主要用于解决电网中恶意数据注入攻击检测问题,属于信息安全问题。
背景技术
随着电力系统的快速发展,先进的通信技术以及控制技术等开始应用到电力系统中,电力系统与信息控制设备和通信网络的融合,使得电网中的大量数据得到了实时分析和处理,电力资源得到更高效的利用,但是通信网络和信息设备等在带来便利的同时,也带来了一些安全漏洞,电力系统遭受网络攻击入侵的几率也大大增加。电力系统中的网络攻击可以按照攻击目标分为破坏信息可用性、完整性和保密性。其中,恶意数据注入攻击通过篡改系统量测数据并以破坏电网信息完整性作为攻击方式。具有较强的屏蔽性与干扰性,能够影响控制中心的分析决策并造成严重的后果。
对于恶意数据注入攻击,常用状态估计算法进行检测,常用的传统电力系统状态估计算法有加权最小二乘法、快速分解状态估计以及路量测变换法状态估计算法等,加权最小二乘法模型简单,但是计算需要大量内存,对于大型电力系统并不适用,快速分解状态对比值较小的低压电网估计较差,而线路量测变换法对于节点注入型的量测数据并不能很好的进行处理。由此可见,传统的状态估计算法不能完美解决电力系统中恶意数据注入攻击的检测问题,因此,现阶段亟需发明一种有效的针对电网恶意数据攻击的检测方法,可以有效、准确的检测出电网中的恶意数据攻击。
基于GEP-CNN的电网恶意数据注入检测方法主要需考虑两个方面的问题:(1)如何从大量数据中提取攻击数据特征库,并准确的区分攻击数据与正常数据。2)如何保证在识别完电网中恶意数据攻击后,最大化保证原有数据的特征性和完整性。
发明内容
本发明的目的就是提供一种基于GEP-CNN的电网恶意注入检测方法,来解决电网中对恶意数据注入攻击的检测问题,本机制是一种策略性方法,通过本方法可以使得电网中的恶意数据注入攻击得到快速有效的检测,保证了电网的安全稳定运行。
一种基于GEP-CNN的电网恶意数据注入检测方法,所述方法包括如下步骤:
步骤1,从电网的数据采集与监控系统SCADA中提取历史数据,作为原始训练样本;
步骤2,对卷积神经神经网络进行优化,将卷积神经神经网络的卷积层和全连接层的初始权重进行种群初始化处理,将训练分类器的准确率作为评判标准,利用GEP的遗传迭代的方法对初始权重进行寻优,以此得到最合适的初始权重,得到优化后的卷积神经网络;
步骤3,将原始训练样本进行预处理,作为训练样本,并用该训练样本对优化后的卷积神经网络进行学习训练以得到合适的虚假数据注入攻击特征库,将其作为电网假数据注入检测的判断器;
步骤4,通过SCADA系统采集电网里的实时数据,作为原始量测集,对原始量测集进行去均值以及归一化处理后作为监测数据,输入到卷积神经网络中,最后通过Soft max分类器输出其属于每一类的概率,以此来判断是否存在恶意数据注入攻击。
进一步地,所述步骤2包括如下分步骤:
步骤2-1,对卷积神经网络的卷积层和全连接层的权重做初始化种群处理,初始种群记做pop,并对初始种群进行解码;
步骤2-2,计算训练后卷积神经网络分类器的分类正确率,记做qi,作为第i条染色体的值;
步骤2-3,通过相对误差公式计算相应染色体的适应度,计算第i条适应度fi,即:
Figure BDA0002399739610000031
其中M是选择范围,C(i,j)是第i条染色体对于适应度样本j的值,来自集合Cr中,即步骤2-2的qi,Tj是适应样本j的目标值,进入步骤6;
步骤2-4,保留上一代种群里的最优个体,同时用轮盘赌算法进行下一代种群个体的选择,对种群个体进行基因突变,重组,转座,产生下一代种群,记做new-pop,进入步骤7;
步骤2-5,设置适应度阈值Φ,当某一代种群中有染色体的适应度达到阈值Φ时,终止遗传进化;判断产生的new-pop是否满足进化上述终止条件,若不满足,则返回步骤2-4;若满足,则保留该种群里的最优个体,将该组权重作为卷积层和全连接层的最优权重。
进一步地,所述步骤2中,设定待训练的卷积神经网络的卷积层数量为K,卷积掩膜的尺寸为1×d'。
进一步地,所述步骤2-1中,对卷积层以及全连接层的权重做初始化,生成初始种群pop,其中单条染色体中的基因个数设置为
Figure BDA0002399739610000041
条,其中
Figure BDA0002399739610000042
表示卷积层总的权重数量,全连接层只有一个权重。
进一步地,所述步骤4包括如下分步骤:
步骤4-1,利用终端采集单元采集实时数据,作为原始量测数据集;
步骤4-2,对原始量测数据集{Zi}进行预处理,将量测值处理成多维矩阵Z,即:
Figure BDA0002399739610000043
其中n表示量测向量的个数;
步骤4-3,将步骤4-2中的数据作为训练后的卷积神经网络的输入并对数据做去均值和归一化处理;
步骤4-4,将步骤4-3中处理后的输入层数据输入训练后的卷积神经网络的卷积层中,经过卷积层处理后再输入到池化层中;
步骤4-5,经过多次步骤4-4后,将所得数据输入到最后的全连接层中,并通过Softmax分类器进行分类输出结果,若分类为异常数据则触发报警模块,分类为正常数据则不做处理。
进一步地,所述步骤4-3中,通过用线性函数变换法对数据集进行归一化处理,即:
Figure BDA0002399739610000044
式中,A(m,n)为归一化处理前的值,A'(m,n)为处理后的值,HUmax,HUmax分别是最大亨氏值以及最小亨氏值。
进一步地,所述步骤4-5中,Soft max函数将属于各个类别的概率作为输出,以此来判别输入的类别,Soft max回归将样本x(i)标记为类别j的概率为:
Figure BDA0002399739610000051
其中,x(i)为训练样本,y(i)为样本对应的标签,θ为训练的模型参数,通过输出的概率来检测是否为异常数据。
本发明达到的有益效果为:提出了一种基于GEP-CNN的电网恶意数据注入检测方法,主要用于解决电网中恶意数据入侵的有效识别问题,通过使用本发明中提出的方法可以根据当前有电网中的大量数据,利用基因表达式编程算法和卷积神经网络相结合,并且利用Softmax分类算法对有源配电网下恶意入侵数据进行有效识别,从而很好地保证有源配电网安全可靠的运行。
附图说明
图1是本发明实施例中所述检测方法的结构框图图。
图2是本发明实施例中所述检测方法的体系示意图。
图3是本发明实施例中所述检测方法的流程示意图。
具体实施方式
下面结合说明书附图对本发明的技术方案做进一步的详细说明。
图1给出了基于GEP-CNN的电网恶意数据注入检测方法的结构图,主要包括三个部分:神经网络优化器、样本训练器、检测分类器。图中神经网络优化器是利用基因表达式编程(GEP)的全局搜索对神经网络卷积层和全连接层的初始权重进行寻优,得到最优的初始权重;样本训练器是将电网历史数据作为训练样本,利用优化后的卷积神经网络进行训练,提取数据攻击特征库;检测分类器是用训练好的神经网络对电网的实时数据进行检测,将检测后的输出结果用Soft max分类器进行分类,进而检测出恶意攻击数据。下面给出具体介绍:
神经网络优化器主要是利用基因表达式编程(GEP)的全局搜索能力对卷积层和全连接层的初始权重进行寻优,因为经典的卷积神经网络采用最陡下降算法进行学习,并且卷积层和全连接层的初始权重设置对学习性能影响较大,因此本发明提出一种GEP-CNN混合网络,即利用基因表达式算法优化卷积神经网络权重,以此来提高分类的准确率。
样本训练器主要是运用GEP-CNN混合网络对电网中的恶意数据攻击进行学习训练,建立一个简化的攻击诊断系统。由于恶意数据注入攻击与电网拓扑信息有着紧密的关系,所以利用传统CNN能提取图像的空间特征的特性以及神经网络所具有的很强的学习能力、适应能力、鲁棒性的特点,用GEP-CNN混合网络对历史数据库中的攻击样本进行训练学习,并把训练好的GEP-CNN混合网络作为电网针对恶意数据的检测推理机。
数据分类器主要是把经过GEP-CNN网络检测的数据进行分类,即把正常数据和攻击数据进行区分,并标识出攻击数据。本发明采用的是Soft max算法进行分类。
传统的CNN多用于提取图像的空间特征,而恶意数据注入攻击与电网结构拓扑信息有着紧密关系,因此,本发明中利用CNN构建一个针对电网中恶意数据注入攻击的检测模型。传统的卷积神经网络常采用最陡下降算法进行训练,但是最陡下降算法的学习性能受卷积层和全连接层的初始权重影响较大,并且有可能会导致训练过程陷入局部最优,因此卷积神经网络的优化问题可以归结为初始权重的选择问题。考虑到遗传算法具有全局和局部最优解的高效搜索能力。本发明中将GEP加入CNN中,构建了GEP-CNN混合神经网络,对传统的卷积神经网络进行优化。设定待训练的卷积神经网络的卷积层数量为K,卷积掩膜的尺寸为1×d',对卷积层以及全连接层的权重做初始化,生成初始种群,其中单条染色体中的基因个数设置为
Figure BDA0002399739610000071
条,其中
Figure BDA0002399739610000072
表示卷积层总的权重数量,全连接层只有一个权重。随即对初始种群进行解码,得到一组初始权重,用该组初始权重作为卷积神经网络对应卷积层和全连接层的初始权重,进行n次最陡下降算法训练卷积神经网络分类器,计算训练后卷积神经网络的分类正确率,记做qi,作为第i条染色体的值,选择相对误差作为评判标准,计算第i条适应度记做fi,即:
Figure BDA0002399739610000073
其中M是选择范围,C(i,j)是第i条染色体对于适应度样本j(来自集合Cr中)的返回值,即上文的qi,Tj是适应样本j的目标值。
根据适应度判断是否产生最优个体,若最优个体已经产生则将最优个体输出作为初始权重,否则就进行遗传迭代,保留适应度最高个体,并利用轮盘赌算法进行选择,将选择的个体进行基因突变,重组以及转座操作,生成下一代种群,直至满足遗传终止条件,输出最优个体,解码得出最优的初始权重。
CNN卷积神经网络主要构成数据样本训练器,卷积神经网络由五层神经元组成,即数据输入层,卷积层,池化层,全连接层,输出层。卷积神经网络与普通神经网络的区别在于,在卷积神经网络里包括了一个特征抽取器,由卷积层和池化层(又称子采样层)构成。在卷积层中,一个神经元只与部分邻层神经元连接。在本发明里,将历史数据库中收集到的数据作为训练样本,样本数据从输入层输入到卷积层,然后输入到池化层,经过多轮卷积层和池化层的处理后,将数据输入到全连接层,最后传入输出层。根据输出结果不断更新调整CNN网络,最终得到合适的恶意数据注入攻击特征库。以下对卷积神经网络的各层神经元进行说明。
(1)数据输入层:输入层是整个神经网络的输入,一般为一个多维矩阵。
(2)卷积层:卷积层中每一个窗口的输入只是上一层神经网络的一小块,对神经网络中的每一小块进行深入分析,从而得到抽象程度更高的特征。卷积通过局部加权来处理输入信息,是一种线性运算,卷积运算的本质是提取数据集的特征信息,假设
Figure BDA0002399739610000081
是第l层卷积层收到的第i条特征,那么卷积的计算过程为:
Figure BDA0002399739610000091
其中,
Figure BDA0002399739610000092
表示第l层中第j条特征的对应偏置,f(·)为激活函数,*表示卷积运算,Mj表示第l层用于提取特征x的第i条输入的卷积核,最后输出第j条特征矩阵。
激化函数选用修正线性单元激活函数,即:
Figure BDA0002399739610000093
3)池化层:池化层可以改变输入矩阵的大小,进一步减少最后全连接层节点的个数,实现特征的降维,从而减少整个神经网络参数。
计算公式为:
Figure BDA0002399739610000094
式中,
Figure BDA0002399739610000095
表示池化层l的前一层中的第j条特征量,
Figure BDA0002399739610000096
表示第l层输出的第j条池化结果,
Figure BDA0002399739610000097
是对应的偏置项,f(·)为激活函数,down(·)为池化函数。本文中选择最大池化操作,即:
Figure BDA0002399739610000098
其中pj表池化结果,Rj表示池化窗口,si表示池化窗口中的数值。
(4)全连接层:输入数据在经过多次卷积层和池化层的处理后,被抽象成信息含量更高的特征。
检测分类器主要是对数据进行检测分类,利用电网中的终端采集单元实时采集电网的量测数据,将原始量测数据集{z}进行去均值以及归一化处理,本发明中用线性函数变换法对数据集进行归一化处理,即:
Figure BDA0002399739610000099
式中,A(m,n)为归一化处理前的值,A'(m,n)为处理后的值,HUmax,HUmax分别是最大亨氏值以及最小亨氏值。
将处理好的量测数据集作为检测样本输入到已经训练好的卷积神经网络中,经过多次卷积层以及池化层的处理后,将结果输入到全连接层,最后通过Soft max分类器对数据进行分类,Soft max函数会将输入属于各个类别的概率作为输出,以此来判别输入的类别。Soft max回归将样本x(i)标记为类别j的概率为:
Figure BDA0002399739610000101
其中,x(i)为训练样本,y(i)为样本对应的标签,θ为训练的模型参数。通过输出的概率来检测是否有恶意数据攻击。
本发明具体的工作流程为:
步骤1,从电网的数据采集与监控(SCADA)系统的历史数据库里选择部分数据作为攻击样本,并将攻击样本作为神经网络的训练样本。
步骤2,对卷积神经神经网络进行优化,将卷积层和全连接层的初始权重进行种群初始化处理,将训练分类器的准确率作为评判标准,利用GEP的遗传迭代的方法对初始权重进行寻优,以此得到最合适的初始权重,避免训练过程陷入局部最优。
步骤3,对优化后的神经网络进行学习训练,将训练样本进行处理后输入到卷积神经网络里,利用卷积层和池化层构成的特征提取模块对训练样本进行特征提取,并根据提取结果不断更新调整卷积神经网络,将训练后的卷积神经网络作为一个恶意数据攻击诊断器。
步骤4,利用训练后的卷积神经网络对实时数据进行检测,通过SCADA系统采集电网里的实时数据,作为原始量测集,对原始量测集进行去均值以及归一化处理后作为监测数据,输入到训练后的神经网络中,最后通过Soft max分类器输出其属于每一类的概率,以此来判断是否存在恶意数据注入攻击。
以上所述仅为本发明的较佳实施方式,本发明的保护范围并不以上述实施方式为限,但凡本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化,皆应纳入权利要求书中记载的保护范围内。

Claims (6)

1.一种基于GEP-CNN的电网恶意数据注入检测方法,其特征在于:所述方法包括如下步骤:
步骤1,从电网的数据采集与监控系统SCADA中提取历史数据,作为原始训练样本;
步骤2,对卷积神经网络进行优化,将卷积神经网络的卷积层和全连接层的初始权重进行种群初始化处理,将训练分类器的准确率作为评判标准,利用GEP的遗传迭代的方法对初始权重进行寻优,以此得到最合适的初始权重,得到优化后的卷积神经网络;
所述步骤2包括如下分步骤:
步骤2-1,对卷积神经网络的卷积层和全连接层的权重做初始化种群处理,初始种群记做pop,并对初始种群进行解码;
步骤2-2,计算训练后卷积神经网络分类器的分类正确率,记做qi,作为第i条染色体的值;
步骤2-3,通过相对误差公式计算相应染色体的适应度,计算第i条适应度fi,即:
Figure FDA0003845504670000011
其中M是选择范围,C(i,j)是第i条染色体对于适应度样本j的值,来自集合Cr中,即步骤2-2的qi,Tj是适应样本j的目标值;
步骤2-4,保留上一代种群里的最优个体,同时用轮盘赌算法进行下一代种群个体的选择,对种群个体进行基因突变,重组,转座,产生下一代种群,记做new-pop;
步骤2-5,设置适应度阈值Φ,当某一代种群中有染色体的适应度达到阈值Φ时,终止遗传进化;判断产生的new-pop是否满足进化终止条件,若不满足,则返回步骤2-4;若满足,则保留该种群里的最优个体,将其权重作为卷积层和全连接层的最优权重;
步骤3,将原始训练样本进行预处理,作为训练样本,并用该训练样本对优化后的卷积神经网络进行学习训练以得到合适的虚假数据注入攻击特征库,将其作为电网假数据注入检测的判断器;
步骤4,通过SCADA系统采集电网里的实时数据,作为原始量测集,对原始量测集进行去均值以及归一化处理后作为监测数据,输入到卷积神经网络中,最后通过Softmax分类器输出其属于每一类的概率,以此来判断是否存在恶意数据注入攻击。
2.根据权利要求1所述一种基于GEP-CNN的电网恶意数据注入检测方法,其特征在于:所述步骤2中,设定待训练的卷积神经网络的卷积层数量为K,卷积掩膜的尺寸为1×d'。
3.根据权利要求1所述一种基于GEP-CNN的电网恶意数据注入检测方法,其特征在于:所述步骤2-1中,对卷积层以及全连接层的权重做初始化,生成初始种群pop,其中单条染色体中的基因个数设置为
Figure FDA0003845504670000021
条,其中
Figure FDA0003845504670000022
表示卷积层总的权重数量,全连接层只有一个权重。
4.根据权利要求1所述一种基于GEP-CNN的电网恶意数据注入检测方法,其特征在于:所述步骤4包括如下分步骤:
步骤4-1,利用终端采集单元采集实时数据,作为原始量测数据集;
步骤4-2,对原始量测数据集{Zi}进行预处理,将量测值处理成多维矩阵Z,即:
Figure FDA0003845504670000031
其中n表示量测向量的个数;
步骤4-3,将步骤4-2中的数据作为训练后的卷积神经网络的输入并对数据做去均值和归一化处理;
步骤4-4,将步骤4-3中处理后的输入层数据输入训练后的卷积神经网络的卷积层中,经过卷积层处理后再输入到池化层中;
步骤4-5,经过多次步骤4-4后,将所得数据输入到最后的全连接层中,并通过Soft max分类器进行分类输出结果,若分类为异常数据则触发报警模块,分类为正常数据则不做处理。
5.根据权利要求4所述一种基于GEP-CNN的电网恶意数据注入检测方法,其特征在于:所述步骤4-3中,通过用线性函数变换法对数据集进行归一化处理,即:
Figure FDA0003845504670000032
式中,A(m,n)为归一化处理前的值,A'(m,n)为处理后的值,HUmax,HUmin分别是最大亨氏值以及最小亨氏值。
6.根据权利要求4所述一种基于GEP-CNN的电网恶意数据注入检测方法,其特征在于:所述步骤4-5中,Softmax函数将属于各个类别的概率作为输出,以此来判别输入的类别,Softmax回归将样本x(i)标记为类别j的概率为:
Figure FDA0003845504670000041
其中,x(i)为训练样本,y(i)为样本对应的标签,θ为训练的模型参数,通过输出的概率来检测是否为异常数据。
CN202010143003.6A 2020-03-04 2020-03-04 一种基于gep-cnn的电网恶意数据注入检测方法 Active CN111353153B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010143003.6A CN111353153B (zh) 2020-03-04 2020-03-04 一种基于gep-cnn的电网恶意数据注入检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010143003.6A CN111353153B (zh) 2020-03-04 2020-03-04 一种基于gep-cnn的电网恶意数据注入检测方法

Publications (2)

Publication Number Publication Date
CN111353153A CN111353153A (zh) 2020-06-30
CN111353153B true CN111353153B (zh) 2022-11-01

Family

ID=71192553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010143003.6A Active CN111353153B (zh) 2020-03-04 2020-03-04 一种基于gep-cnn的电网恶意数据注入检测方法

Country Status (1)

Country Link
CN (1) CN111353153B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111832835B (zh) * 2020-07-23 2024-08-20 华北水利水电大学 基于大数据运算预测性特高压冲击测量系统及方法
CN111935134A (zh) * 2020-08-06 2020-11-13 中国交通通信信息中心 一种复杂网络安全风险监测方法和系统
CN112187820B (zh) * 2020-10-09 2022-10-21 深圳供电局有限公司 基于机器学习的配电终端dtu入侵检测方法和系统
CN112367303B (zh) * 2020-10-21 2023-05-02 中国电子科技集团公司第二十八研究所 分布式自学习异常流量协同检测方法及系统
CN113132391B (zh) * 2021-04-20 2022-11-29 辽宁谛听信息科技有限公司 一种用于工控蜜罐的恶意行为识别方法
CN113141360B (zh) * 2021-04-21 2022-06-28 建信金融科技有限责任公司 网络恶意攻击的检测方法和装置
CN113268729B (zh) * 2021-05-01 2023-07-28 群智未来人工智能科技研究院(无锡)有限公司 一种基于卷积神经网络的智能电网攻击定位方法
CN113596020B (zh) * 2021-07-28 2023-03-24 深圳供电局有限公司 一种智能电网虚假数据注入攻击漏洞检测方法
CN113591078B (zh) * 2021-08-03 2024-06-07 暨南大学 基于卷积神经网络架构优化的工控入侵检测系统及方法
CN113794742B (zh) * 2021-11-18 2022-02-15 国网浙江浙电招标咨询有限公司 一种电力系统fdia高精度检测方法
CN114760098A (zh) * 2022-03-16 2022-07-15 南京邮电大学 一种基于cnn-gru的电网虚假数据注入检测方法及装置
CN114978586B (zh) * 2022-04-12 2023-07-04 东北电力大学 一种基于攻击基因的电网攻击检测方法、系统和电子设备
CN115396198B (zh) * 2022-08-25 2024-05-31 暨南大学 基于cnn架构与参数并行优化的电网入侵检测系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103971329A (zh) * 2014-05-26 2014-08-06 电子科技大学 一种基于遗传优化细胞神经网络的多源图像融合方法
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103971329A (zh) * 2014-05-26 2014-08-06 电子科技大学 一种基于遗传优化细胞神经网络的多源图像融合方法
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法

Also Published As

Publication number Publication date
CN111353153A (zh) 2020-06-30

Similar Documents

Publication Publication Date Title
CN111353153B (zh) 一种基于gep-cnn的电网恶意数据注入检测方法
CN111967343B (zh) 基于简单神经网络和极端梯度提升模型融合的检测方法
CN111585948B (zh) 一种基于电网大数据的网络安全态势智能预测方法
CN109698836A (zh) 一种基于深度学习的无线局域网入侵检测方法和系统
CN113095442B (zh) 基于半监督学习在多维度雷达数据下的冰雹识别方法
CN110213244A (zh) 一种基于时空特征融合的网络入侵检测方法
CN109902740B (zh) 一种基于多算法融合并行的再学习工业控制入侵检测方法
CN117421684B (zh) 基于数据挖掘和神经网络的异常数据监测与分析方法
CN108958217A (zh) 一种基于深度学习的can总线报文异常检测方法
CN112087442B (zh) 基于注意力机制的时序相关网络入侵检测方法
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN112560596B (zh) 一种雷达干扰类别识别方法及系统
CN114760098A (zh) 一种基于cnn-gru的电网虚假数据注入检测方法及装置
CN115348074A (zh) 深度时空混合的云数据中心网络流量实时检测方法
CN115618261A (zh) 一种基于nca与ssa-kelm的光伏接入配电网漏电识别方法
CN114374541A (zh) 一种基于强化学习的异常网络流量检测器生成方法
CN114513367B (zh) 基于图神经网络的蜂窝网络异常检测方法
CN115700558A (zh) 一种基于时空特征解析的异常流量检测方法
CN116842467A (zh) 基于双向门控卷积神经网络的网络流量异常检测分类方法
CN113609480B (zh) 基于大规模网络流的多路学习入侵检测方法
CN113884807B (zh) 基于随机森林和多层架构聚类的配电网故障预测方法
CN114915496B (zh) 基于时间权重和深度神经网络的网络入侵检测方法和装置
CN115426194A (zh) 数据处理方法及装置、存储介质及电子设备
CN115879030A (zh) 一种针对配电网的网络攻击分类方法和系统
Chen et al. Network intrusion detection based on subspace clustering and BP neural network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant