CN111786979B

CN111786979B - 一种基于多模态学习的电力攻击识别方法

Info

Publication number: CN111786979B
Application number: CN202010587171.4A
Authority: CN
Inventors: 王济伟; 蒋从锋; 欧东阳; 闫龙川; 殷昱煜; 张纪林; 黄震; 赵子岩; 李妍
Original assignee: Hangzhou Dianzi University
Current assignee: Hangzhou Dianzi University
Priority date: 2020-06-24
Filing date: 2020-06-24
Publication date: 2022-07-22
Anticipated expiration: 2040-06-24
Also published as: CN111786979A

Abstract

本发明涉及一种基于多模态学习的电力攻击识别方法。本发明包含三部分内容：分布式多模态数据监控单元；模态队列和多模态数据监控中台，三部分的步骤依次实现了多模态监控数据的生成、发送与攻击判断。分布式多模态数据监控单元，利用覆盖层网络实现集群中各局域网的多模态数据生成与采样同步。模态队列利用并行模态队列算法，约束缓存多模态数据的发送。多模态数据监控中台用于判断、存储、查阅多模态监控数据，其中判断过程利用了多源注意力门控循环记忆网络算法，以滑动窗口的方式拉取多模态数据，实现时序感知的多模态电力攻击的判断。本发明可以有效减少监控运行时对原生系统服务的负担，并提升电力攻击检测的效果。

Description

一种基于多模态学习的电力攻击识别方法

技术领域

本发明涉及电力攻击检测的实现方法，尤其是在大规模分布式服务器系统中，通过收集与处理多模态的时序特征，实现及时有效的电力攻击定位。

背景技术

近年来，服务器集群的应用领域快速扩展，社会各行业的用户逐步将服务部署到云端。随着云端对于社会的价值日益提升，针对集群的恶意攻击所造成的危害开始被公众所熟知，不论是企业还是个人用户，安全性都是选择云服务时的首要考虑因素。

目前，几乎所有的大型云服务商都提供了较为完备的云安全策略，比如阿里云提供了涉及基础安全、数据安全、业务安全等多方面多等级的安全服务产品，用户可以根据需求按月选购。Amazon Web Services(AWS)提供了基于人工智能的云安全服务Macie，该服务可以持续监控数据与用户行为，并根据API的调用次数进行收费。

但是，现有的方法难以做到有效地监测并防御电力攻击，原因有以下几点：(1)性能下降

云的特点是灵活高效，但网络攻防是集群维护者与攻击者之间的一场博弈，严格的防御策略可以保证实现更高的安全性，但是通常会会导致云服务扩展性与吞吐性能的下降。

为了避免集群遭受攻击，传统的防火墙策略是在集群的入口交换机处配置防火墙策略。这样的策略可以最大程度避免外部发起的电力功耗攻击，但是对流入的大量数据包进行规则匹配，会导致排队，造成网络拥塞，大幅降低集群性能。

同时，传统基于时序的深度神经网络是以LSTM(长短期记忆)实现的，但是LSTM在对记忆进行循环操作的过程中，采用了输入门、遗忘门、输出门这3个门控环节来实现对于记忆的更新操作。在多模态电力攻击检测的场景中，频繁地对庞大的门控参数进行训练更新是很耗性能的。

(2)误报率高

目前云服务商提供的安全策略无法完全避免针对集群的恶意攻击。由于正常流量的波动通常介于安全阈值内，所以目前市面上的攻击识别是通过异常流量检测实现的。但是，在实际生产环境中，由于系统故障，路由延迟，网络丢包等不稳定因素，也同样会产生非正常的流量，这些异常特征的数据极可能被模型判别为攻击流量而进行告警，导致大面积的误报情况，大幅增加人工筛查排除的成本。

(3)攻击防御滞后

传统网络防火墙是基于访问控制型规则实现的，由预先设定的规则进行行为匹配，并以此为判断依据，对外来请求做出允许、丢弃等行为。但是这样的方案在大型集群的实际使用中会遇到难以解决的入口流量拥塞、无法细粒度控制规则等缺陷。人工打补丁的方式已经无法满足目前云安全领域的更新速率。在集群遭受攻击时，需要及时将集群中受攻击的服务器、虚拟机进行隔离操作。由于受攻击业务需要进行服务的断点迁移等工作，所以不能简单地直接断电关闭。但是此时，仍需对受攻击部件的输入输出流进行严格控制，避免攻击范围蔓延恶化。由于传统的单体防火墙无法做到自主添加防护策略，因为其安全策略是人为设置的，依赖于运维人员通过经验去配置拦截名单。这会造成防火墙拦截能力低下，无法及时防御电力攻击。

发明内容

本发明针对现有技术的不足，提供了一种基于多模态学习的电力攻击识别方法。

本发明的总体步骤如下：

(1)获取时空配置属性、半结构化服务日志、资源负载日志、电力供给质量等信息进行特征工程，形成特征化的模态数据。

(2)局域网中各服务器利用分布式的多模态数据监控单元，获取强一致性的多模态数据，发送至模态队列。

(3)模态队列参考当前网络情况，实时调整各个模态的传输包体积大小，将模态数据发送至监控中台。

(4)监控中台利用多源注意力门控循环记忆网络判断当前时刻各个局域网内服务器遭受电力攻击的概率。

本发明的有益效果：本发明借助时序感知的深度学习网络，可以有效捕获多种模态下的时序关联关系。云环境中的数据具有显著的时序性，并且数据类型多样，可以根据性质划分为多个不同的模态。利用多模态分析的方式对数据进行分析，能够更为有效地捕获集群环境的动态。相较于利用传统的单模态、非时序的机器学习方式，避免了大量误报的情况，并且以细粒度进行分布式的信息的收集与防火墙的部署，更加适合开放复杂的云服务场景。

附图说明

图1基于覆盖层网络实现的多模态数据监控与攻击识别框架；

图2多源注意力门控循环记忆网络；

图3多源注意力模块。

具体实施方式

为了解决传统监控系统中模态单一的缺陷，提出了基于覆盖层网络实现的多模态数据监控与电力攻击防御框架，以实现本发明“一种多模态学习的电力攻击识别方法”。该框架主要由三个主要部分构成：①分布式多模态数据监控单元；②模态队列；③多模态数据监控中台，三部分在框架中的位置与分工在图1中展现。

其中①分布式多模态数据监控单元负责收集多模态数据，并实现数据采样过程的协调同步。②模态队列用于控制各个模态特征的发送包体积与发送频次，实现网络带宽的低占用与数据消费上的通畅。③多模态数据监控中台负责时序化模态数据的攻击判断、存储、查阅。

各部分的详细说明如下：

①分布式多模态数据监控单元

电力攻击通常反映在异常的集群行为中，由于单一模态的行为无法作为异常的依据，所以需要从服务器各组件中收集多项模态数据。分布式多模态数据监控单元用于收集先前步骤中所属服务器生成的各个模态的特征，根据系统中负载情况，自适应地同步采样频率(采样同步器的功能)。采样获得的信息在附加时间戳信息后，即可为后续跨服务器的电力攻击判别做好资源准备。

由于在电力攻击的检测中，需要捕获不同模态特征在时序上的依赖性，所以采样数据具有很强的时序要求。集群中不同的服务器之间，不可避免地存在着系统时间的差异。同时，过高的监控采样频率会对系统性能造成开销，所以在集群繁忙时，应当降低采样频率。由于采样频率不一致会造成采样结果无法原生地对齐，所以采样频率在改变后，需要进行采样同步操作，保证同一覆盖层网络中各个服务器的监控单元处于一致对齐的状态。分布式多模态数据监控单元利用框架下的覆盖层网络，突破了原有物理网段的限制，降低了网络异构性造成的繁琐，简化了监控单元部署与通信上的过程。

②模态队列

模态队列用于缓存收到的模态信息，并在缓存累积到合适的体积时，打包为数据包并发送至监控中台。不同的模态在数据组成形式上有较大差异，所以分模态划分缓存队列可以有效地控制队列的处理策略。队列式的缓存机制可以在一定程度上保证结果的有序性，并可以在队列出口处进行约束，避免频繁地与中台建立连接导致网络开销系统增加，甚至服务崩溃。并且可以在队列信息消费的过程中，选择性地实时利用，或者直接导入时序数据库中待后续训练使用。

③多模态数据监控中台

监控中台是监控收集框架的核心，连接时序数据库用于存储时序相关的多模态监控数据，同时为用户提供了Dashboard API用于查询系统状态。时序相关的多模态监控数据，通过多源注意力门控循环记忆网络进行判断，可以获得电力攻击涉及的区域，可以通知攻击涉及区域的在线服务进行迁移，并指导分布式防火墙更新规则。

基于上述说明，本发明的具体步骤是：

(1)特征化模态数据生成

该步骤利用本发明中的分布式多模态数据监控单元采集以下4类模态数据并转化为模态特征信息：

a.时空配置属性

记录了不同时间段上，该服务器所处覆盖层网络位置的配置变化，用以获得该物理机在集群中的角色、优先级等历史沿革信息。其中详细记录了以时间戳为索引的历史配置文件备份，并通过自然语言处理工具转换为特征向量，以支持后续训练过程。

b.半结构化服务日志

在线服务为服务器中承载查询业务功能的组件，通常由远程用户以HTTP进行调用访问。大量的恶意访问行为将使在线服务瘫痪，所以这里是外界对集群进行攻击的突破口。在线服务在运行中会产生半结构化的日志数据，其中记录了用户行为(请求端IP、连接建立时间、服务名、调用进程名、查询结果、错误信息等)。半结构化文本仍包含大量纯文本内容，通过事件模板将其解析为不同行为事件，从而编码为利于算法理解的特征向量。

c.资源负载日志

操作系统对系统资源具有最高的管理权限，所以能够及时生成所需资源负载信息，如CPU、内存、磁盘IO、网络IO等标量值。负载的异常变化不一定是由攻击造成的，也可能是发生了正常的访问热点。为了降低误报，需要与其他模态的信息进行融合分析，捕获组合动态。

d.电力供给质量

电力供给质量信息由集群中个服务器中部署的EPMS(电力生产管理系统)单元获得，集群中的每个服务器中的电力数据通过波形采集工具生成实时电力质量特征，用以后续分析电力攻击造成的干扰现象。

(2)获取强一致模态数据，并发送至模态队列

该步骤在集群中的每个局域网网段中，选举网络带宽占用最少、负载最低的服务器作为域内的采样同步代理，次优的设为备用同步代理(候选)。采样同步代理负责管理同一局域网内所有服务器的采样同步器的一致性，进行系统时间同步、采样代次同步等操作。同时，各个局域网中的采样同步器之间也定期维护同步状态，以避免后期电力攻击识别时监测数据无法对齐时间，导致攻击检测失效。同时，定期选举在一定程度上实现了容灾，避免了遭受攻击后同步监控无法进行下去。其中详细步骤在算法1中展示：

符号解释

lanList：当前集群局域网列表；

serverList_i：局域网i内服务器列表；

server_i,j：局域网i内的服务器j；

metricsList_i：局域网i内收集到的性能指标列表；

n：候选采样同步代理数量；

agentList_i：局域网i内采样同步代理列表；

countdown_i：局域网i内的选举倒计时；

electionPeriod：选举周期；

workAgentIndex_i：局域网i内正处于工作中的同步代理编号；

isFailed：判断该服务器是否处于失效状态；

neighbourList：服务器的邻居服务器节点；

currentTime：当前服务器的系统时间；

synIter：当前采样同步器的采样代次；

tDiff：当前局域网中各服务器系统时间标准差；

sDiff：当前局域网中各服务器采样代次标准差；

tDiffThreshold：系统时间标准差阈值

sDiffThreshold：采样代次标准差阈值；

算法1步骤详解：

对每个局域网内进行相同的操作：

1.当前局域网i的选举计时器countdown_i是否归零：countdown_i归零则进行采样同步代理选举agentElection(n)。根据资源余量metricsList_i排序，第一位为当前工作的代理，后n-1位为候选者；countdown_i未归零则进入步骤2；

2.当前工作代理agentList_i[workAgentIndex_i]是否失效isFailed，如果还有候选者，则顺位继承职位。如果没有候选者，则返回步骤1；当前代理无失效情况则进入步骤3；

3.服务器与局域网中的采样同步代理进行系统时间currentTime与采样代次synIter的同步；

4.局域网中的采样同步代理检查自身与近邻局域网中采样同步代理的差距serverList_i.tDiff、serverList_i.sDiff，如果超过阈值tDiffThreshold、sDiffThreshold则与监控中台进行同步。

5.在监控器运行时重复进行步骤1～4。

(3)根据网络状况，模态队列发将模态特征发送至监控中台

在该步骤中，模态队列接收到的模态信息后，将其有序缓存于队列空间中。基于监控的及时性，并权衡网络允许的传输速率，定制了合适的队列余量发送阈值。当可用于缓存的空间小于该阈值时，即将队列中的缓存数据打包为一定大小的数据包，发送至监控中台中，用于中台中可视化查看、电力供给判断的消费。其中模态队列的发送机制以算法2的形式实现：

getProperSize()：获取合适的网络传输包体积；

netSatus：网络状态字典；

avaibleBandwidthRate：可用网络带宽比例；

bandwidth：当前局域网带宽使用情况；

maxBandwidth：当前局域网可承载最大带宽；

avgLatency：局域网请求平均延时；

historicalLantency：历史延时序列；

logSize：延时计算采样窗口长度；

k：网络传输包体积矫正参数；

defaultSize：网络传输包默认体积；

properSize：合适的网络传输包体积；

M：系统使用的模态集合；

Queue_i,m：局域网i的模态m的队列；

restSize：队列的剩余容量；

restThreshold：队列剩余容量阈值，小于阈值则发送数据。

data_i,m：局域网i内产生的模态m的新数据；

send(packageSize)：以packageSize为发送体积，将队列中的数据压缩发送到监控中台中。

算法2步骤详解：

对于每个局域网中的每个模态队列采取相同的操作：

1.当局域网i的模态m队列Queue_i,m的剩余容量restSize小于给定阈值restThreshold时，计算当前网络情况netSatus适合的传输包发送体积properSize：

a.利用当前带宽占用情况bandwidth、系统事先获得的带宽上限maxBandwidth，计算当前可用带宽比例avaibleBandwidthRate。

b.通过历史延时序列historicalLantency与滑动采样窗口长度logSize计算近期延时水平avgLatency。

c.综合可用带宽比例avaibleBandwidthRate与近期延时水平avgLatency，得到合适的包体积properSize。

2.将队列中的缓存数据以适合的传输包发送体积进行压缩，发送至监控中台。

3.如果局域网i的模态m队列的剩余容量restSize仍小于给定阈值restThreshold，则重复步骤1～2，直到大于给定阈值restThreshold。

4.将监控单元中的模态特征发送至模态队列；

5.在监控收集开启期间，重复步骤1～4；

(4)利用多源注意力门控循环记忆网络判断遭受电力攻击的概率

该步骤中，利用发明的多源注意力门控循环记忆网络算法，借助接收到的时序多模态监控数据，以顺序滑动窗口的方式进行攻击的判断。该算法主要由2项模块构成：a.多源注意力模块；b.循环记忆模块。最终实现一个能够利用时序模态数据对攻击类型进行判断的深度网络模型。该部分的实现原理由图2展现，随时间推进读取时序化的模态特征、上一序列的跨模态动态与记忆，传入循环记忆模块，用以更新门控，并生成当前时刻的记忆。该记忆后续传入多源注意力模块中，用以生成跨模态动态并生成电力供给判别结果。因为多源注意力模块与循环记忆模块构成了一个循环记忆更新与存储的机制，所以时序间的动态可以被捕获。

该步骤的主要流程由算法3展现，其中有关a.多源注意力模块的细节由算法3.1呈现，有关b.循环记忆模块的细节由算法3.2呈现。

random.normal(μ＝0,σ²＝1)：期望为0，方差为1的标准高斯分布；

x[t]：取t时刻的模态数据；

x_t：t时刻的模态参数；

mem_t：t时刻的记忆(mem₀为0时刻的记忆初始值)；

c_t：t时刻的跨模态动态(mem₀为0时刻的初始值)；

h_t：t时刻的攻击判别结论；

y_t：t时刻的攻击标签；

算法3步骤详解：

1.初始化记忆mem₀、跨模态动态c₀为标准高斯分布。

遍历从0到T-1的时刻t：

2.从时序数据库中获取t时刻的模态数据x_t。

3.利用t时刻的模态数据x_t、t-1时刻的记忆mem_t-1、t-1时刻的更新循环记忆模块中的门控参数ResetGate_t-1,UpdateGate_t-1，计算获得t时刻的记忆mem_t，门控参数ResetGate_t,UpdateGate_t。

4.将t时刻的记忆送入多源注意力模块，获得t时刻的跨模态动态c_t与攻击判别概率h_t。

5.利用与攻击判别概率h_t相同时刻的攻击标签y_t计算损失，用于反向传播更新网络参数，优化攻击识别效果。

6.直到训练结束前，重复步骤2～5，如仅应用模型而非训练模型，重复步骤2～4。

其中多源注意力模块、循环记忆模块细节如下：

a.多源注意力模块

提出新的输入方式以运用多源注意力机制，以同一时刻的门控记忆作为输入，实现不同环境下不同的模态权重，降低不利于训练的模态权重，并为循环记忆模块输出跨模态动态。同时，跨模态动态在多源注意力模块进一步通过攻击判别神经网络获得该时刻每个局域网遭受攻击的概率。其中实现流程在图3中展示。具体实现步骤在算法3.1中详细说明。

⊙：矩阵按元素相乘

N：注意力机制参数。

M：模态的集合。

t时刻的注意力矩阵的第n行中属于模态m的列。

Dense：对矩阵进行全连接层运算。

c_t：t时刻的跨模态动态。

mem_t：t时刻的记忆。

atten_t：t时刻的注意力矩阵。

t时刻模态m的模态动态信息。

σ：利用激活函数运算。

h_t：t时刻的攻击判别结论

算法3.1步骤详解：

1.对输入的mem_t依次进行全连接层Dense、激活层σ的计算，扩展为N倍mem_t体积的注意力矩阵atten_t。

2.对于注意力矩阵的每一行，与mem_t作按位相乘操作，获得动态矩阵dyn^t。

3.对动态矩阵中，属于同模态，但是不同行的部分作拼接操作，获得各模态的动态信息

4.将各模态的动态信息

拼合，获得跨模态动态信息c_t。

5.将跨模态动态信息c_t送入攻击判别模块，进行其中全连接层Dense、激活层σ的计算，获得受攻击概率h_t。

b.循环记忆模块

为了避免传统LSTM门控参数多的缺陷，发明了一种适用于多模态训练的门控策略，将门控的数量降为2个，并能够接受跨模态动态的输入。

t时刻m模态的重置门控的参数矩阵。

t时刻m模态的更新门控的参数矩阵。

ResetGate_t：t时刻所有模态的重置门控的参数拼接矩阵。

UpdateGate_t：t时刻所有模态的更新门控的参数拼接矩阵。

tanh:双曲正切激活函数。

算法3.2步骤详解：

1.利用t时刻的模态输入x_t、t-1时刻的记忆mem_t-1、跨模态动态信息c_t-1更新各个模态m的门控

2.将不同模态m的门控参数

进行拼接，输出包含所有模态操作的门控参数矩阵ResetGate_t、UpdateGate_t。

3.针对每个模态，利用重置门控参数矩阵

对t-1时刻的记忆进行处理，并结合t时刻的模态输入x_t、t-1时刻的跨模态动态信息c_t-1，通过全连接层

双曲正切激活函数tanh计算获得t时刻的记忆mem_t。

4.利用更新门控参数矩阵

权衡新旧记忆

的比重，并赋值给新的t-1时刻的记忆

5.对t时刻的各模态的记忆

进行拼接，并输出mem_t。

以上步骤(1)～(4)为本发明实现的一个完整的从模态数据生成加工、传输至模态队列进行缓存、发送至监控中台、利用神经网络进行攻击判别的完整流程，即一种基于多模态学习的电力攻击识别方法。

Claims

1.一种基于多模态学习的电力攻击识别方法，其特征在于该方法包含如下步骤：

步骤1：从服务器各组件中获取时空配置属性、半结构化服务日志、资源负载日志和电力供给质量，并进行特征工程，形成特征化的模态数据；

步骤2：局域网中各服务器利用分布式的多模态数据监控单元，获取强一致性的多模态数据，发送至模态队列；

步骤3：模态队列参考当前网络情况，实时调整各个模态的传输包体积大小，将模态数据发送至监控中台；

步骤4：监控中台利用多源注意力门控循环记忆网络判断当前时刻各个局域网内服务器遭受电力攻击的概率；所述多源注意力门控循环记忆网络由多源注意力模块和循环记忆模块构成，其中，

所述的多源注意力模块执行以下步骤：

1-1.对输入的t时刻的记忆mem_t依次进行全连接层Dense、激活层σ的计算，扩展为N倍mem_t体积的注意力矩阵atten_t；

1-2.对于注意力矩阵atten_t的每一行，与t时刻的记忆mem_t作按位相乘操作，获得动态矩阵dyn^t；

1-3.对动态矩阵中dyn^t，属于同模态，但是不同行的部分作拼接操作，获得各模态的动态信息

1-4.将各模态的动态信息

拼合，获得跨模态动态信息c_t；

1-5.将跨模态动态信息c_t送入攻击判别模块，进行全连接层Dense、激活层σ的计算，获得受攻击概率h_t；

所述循环记忆模块执行以下步骤：

2-1.利用t时刻的模态输入x_t、t-1时刻的记忆mem_t-1、跨模态动态信息c_t-1更新各个模态m的重置门控参数矩阵

和更新门控参数矩阵

2-2.将不同模态m的

进行拼接，输出包含所有模态操作的门控参数矩阵ResetGate_t、UpdateGate_t；

2-3.针对每个模态，利用重置门控参数矩阵

双曲正切激活函数tanh计算获得t时刻的记忆mem_t；

2-4.利用更新门控参数矩阵

权衡新旧记忆

的比重，并赋值给新的t-1时刻的记忆

2-5.对t时刻的各模态的记忆

进行拼接，并输出mem_t。

2.根据权利要求1所述的一种基于多模态学习的电力攻击识别方法，其特征在于：所述步骤1中对服务器所处覆盖层网络位置变化以时间戳为索引进行记录，并将物理机在集群中关于角色和优先级的历史沿革信息的配置文件进行备份，并利用自然语言处理工具转换为特征向量。

3.根据权利要求1所述的一种基于多模态学习的电力攻击识别方法，其特征在于：所述步骤1中对在线服务产生的半结构化日志数据利用事件模板解析为差异化的行为事件。

4.根据权利要求1所述的一种基于多模态学习的电力攻击识别方法，其特征在于：所述步骤2中利用定期选举机制，根据各服务器网络状况、负载状况，实现多模态数据采样同步代理、备用同步代理的选定。

5.根据权利要求1所述的一种基于多模态学习的电力攻击识别方法，其特征在于：步骤3中综合利用可用带宽比例、历史延时序列计算得到的近期延时水平，计算得到合适的传输包体积。

6.根据权利要求1所述的一种基于多模态学习的电力攻击识别方法，其特征在于：步骤4中对将传输至监控中台的多模态数据，利用多源注意力门控循环记忆网络算法，在循环记忆模块与多源注意力模块中构成的循环结构中计算，从而进行攻击判别。