CN112333194B - 基于gru-cnn的综合能源网络安全攻击检测方法 - Google Patents

基于gru-cnn的综合能源网络安全攻击检测方法 Download PDF

Info

Publication number
CN112333194B
CN112333194B CN202011239713.5A CN202011239713A CN112333194B CN 112333194 B CN112333194 B CN 112333194B CN 202011239713 A CN202011239713 A CN 202011239713A CN 112333194 B CN112333194 B CN 112333194B
Authority
CN
China
Prior art keywords
network
data set
gru
cnn
time step
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011239713.5A
Other languages
English (en)
Other versions
CN112333194A (zh
Inventor
吕政权
陈怡君
罗潇
陈京
彭道刚
李朝阳
张涵
王丹豪
戚尔江
韦亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai University of Electric Power
State Grid Shanghai Electric Power Co Ltd
Original Assignee
Shanghai University of Electric Power
State Grid Shanghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai University of Electric Power, State Grid Shanghai Electric Power Co Ltd filed Critical Shanghai University of Electric Power
Priority to CN202011239713.5A priority Critical patent/CN112333194B/zh
Publication of CN112333194A publication Critical patent/CN112333194A/zh
Application granted granted Critical
Publication of CN112333194B publication Critical patent/CN112333194B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • Human Resources & Organizations (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Biology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Public Health (AREA)
  • Water Supply & Treatment (AREA)
  • Computational Linguistics (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于GRU‑CNN的综合能源网络安全攻击检测方法,包含步骤:S1、按时序采集网络节点的第一至第d类工作数据,建立第一工作数据集;S2、根据GRU‑CNN网络的门控循环单元的时间步长,基于所述第一工作数据集生成训练数据集和测试数据集,为所述训练数据集设置对应的标签;S3、通过所述训练数据集训练GRU‑CNN网络,其中训练数据集作为门循环控制单元的输入,通过门循环控制单元提取训练数据集的序列特征,并将该序列特征输入GRU‑CNN网络的卷积神经网络,通过卷积神经网络根据序列特征提取对应的多维度特征,并建立多维度特征到攻击类型的映射;S4、将测试数据集输入训练好的GRU‑CNN网络,得到综合能源网络的安全攻击类型的分类结果。

Description

基于GRU-CNN的综合能源网络安全攻击检测方法
技术领域
本发明涉及本发明涉及综合能源信息安全技术领域,尤其涉及一种基于GRU-CNN的综合能源网络安全攻击检测方法。
背景技术
近年来,我国光伏、风机、生物质能等新能源创新高度活跃,承担缓冲器、聚合器、稳定器作用的多类储能技术不断改进,“云大物移智链”的应用逐渐渗透。构建综合能源系统,打破传统供能单打独斗的固有模式,实现电气热多能系统的协同规划运行是大势所趋。国家电网公司以实现“清洁、科学、高效、节约、经济用能”为宗旨,为各种能源之间整合设计规划、协调运行,方便可再生能源的安全消纳,建立了较为成熟的综合能源网络。但伴随信息化和工业化的高层次深度结合合以及信息物理系统的高度集成,网络空间形式日益复杂。由于新业务模式下大量现场电力终端设备的产品特性新颖,且各终端设备间进行信息交互,因此综合能源网络信息安全是整个电力系统安全、稳定、经济运行的重要保证。而且对综合能源网络进行攻击的针对性、持续性、隐蔽性显著增强,各种威胁源相互交织,呈现出多元复杂的局势。
继等保2.0之后,信息安全战略地位愈发受到重视,当前综合能源网络主要面临的安全风险主要来自于所接入的互联网系统、智能终端、无线网络。在综合能源网络环境下,未来对工控系统病毒破坏大量智能设备部署、采用开放式通信协议网络产生担忧;同时也对综合能源网络的信息质量、时效性给予更高期待。传统的攻击检测按照检测原理和入侵属性不同,包括了根据计算机资源情况的异常检测和已知系统弱点攻击模式的误用检测。通过采用深度学习进行特征采集提取,获得攻击类别映射分类,以实现综合能源环境下高效准确的网络攻击检测,提出综合能源系统安全整改建议并实施安全整改,确保综合能源系统的生命周期安全性。
现有的综合能源网络安全攻击评估方法和系统一般采用如K-means聚类、随机森林模型等浅层学习理论,或多或少存在泛化性能不佳,只能针对特定攻击种类;数据集标签类型有限,影响模型学习效果;不能满足数据集动态增长的精度要求等问题,有必要随着信息安全与综合能源发展,提出相适应的网络攻击检测方法。
发明内容
本发明的目的在于提供一种基于GRU-CNN的综合能源网络安全攻击检测方法,能够适用于综合能源网络中各种类型的节点,并能够通过GRU-CNN网络中的门控循环单元(GRU),从包含时间序列特性的多维度节点工作数据中提取出有效特征,通过CNN网络对所提取的有效特征进行识别、分类,精确的得到该节点的安全攻击类型。
为了达到上述目的,本发明提供一种基于GRU-CNN的综合能源网络安全攻击检测方法,包含步骤:
S1、选取综合能源网络的节点,按时序采集该节点的第一至第d类工作数据,建立第一工作数据集E={er}r∈[1n,um,num为采集的总次数;er={e′r1,…,e′rd};
Figure GDA0003674519350000021
e′rp为第r次采集的所述节点的第p类工作数据,p∈[1,d];预处理第一工作数据集E;
S2、根据GRU-CNN网络的门控循环单元的时间步长,基于所述第一工作数据集E生成训练数据集和测试数据集;为所述训练数据集设置对应的标签,通过所述标签表示综合能源网络的安全攻击类型;
S3、通过所述训练数据集训练GRU-CNN网络;其中训练数据集作为门控循环单元的输入,通过门控循环单元提取训练数据集的有效特征,将所述有效特征输入GRU-CNN网络的卷积神经网络,对所述卷积神经网络进行训练;所述卷积神经网络用于判断综合能源网络的安全攻击类型;
S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络,得到综合能源网络的安全攻击类型的分类结果。
优选的,步骤S1所述预处理第一工作数据集E,包含:
当第p类工作数据为离散型数据,对{e′rp}r∈[1,num]进行独热编码处理;
当第p类工作数据为连续型数据,对{e′rp}r∈[1,num]进行归一化处理。
优选的,步骤S2中生成训练数据集和测试数据集的方法包含:
令训练数据Xi=[e(i-1)×n+1,e(i-1)×n+2,…,ei×n]′,
Figure GDA0003674519350000031
其中,
Figure GDA0003674519350000032
n为门控循环单元的时间步长,[·]′表示矩阵的转置;将X1~XL作为训练数据集,将
Figure GDA0003674519350000033
作为测试数据集,L为设定的常数。
优选的,所述步骤S3中包含:
S31、令门控循环单元的隐藏单元个数为h,令当前时间步为时间步t;Xt作为门控循环单元在时间步t的输入,Ht-1为门控循环单元在时间步t-1的隐藏状态,
Figure GDA0003674519350000034
H0为n×h的全零矩阵;时间步t-1为时间步t的上一时间步,t∈[1,L];L为训练数据集中所包含的训练数据总个数;门控循环单元在时间步t的重置门Rt和更新门Zt分别为:
Rt=σ(XtWxr+Ht-1Whr+br)
Zt=σ(XtWxz+Ht-1Whz+bz)
其中,时间步0的隐藏状态H0是n*h的零矩阵,Rt
Figure GDA0003674519350000035
σ为sigmoid函数;Wxr、Wxz、Whr
Figure GDA0003674519350000036
是权重参数;br
Figure GDA0003674519350000037
是偏差参数;
S32、计算门控循环单元在时间步t的候选隐藏状态Ht
Ht=tanh(XtWxh+(Rt⊙Ht-1)Whh+bh)
其中⊙表示做元素乘法,tanh为激活函数,Wxh
Figure GDA0003674519350000038
是权重参数,
Figure GDA0003674519350000039
是偏差参数;
S33、计算时间步t的隐藏状态Ht,Ht为门控循环单元在时间步t的输出结果,
Figure GDA00036745193500000310
Ht=Zt⊙Ht-1+(1-Zt)Ht
S34、重复步骤S31至S34,当t≡0modT,门控循环单元在该时间步t的隐藏状态Ht作为所述卷积神经网络的输入,训练所述卷积神经网络;T为设定的常数;进入步骤S31。
优选的,所述卷积神经网络包含依序连接的第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和丢弃层;其中,第一、第二卷积层的卷积核大小均为2×2,卷积步长均为1;第一、第二卷积层的卷积深度分别为10、20;所述全连接层采用Softmax函数,丢弃层的随机失活率为0.5;卷积神经网络采用Adam梯度下降算法,其优化学习率为1e-5。
优选的,所述节点为综合能源网络中的用电设备,所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。
优选的,所述节点为综合能源网络中的网络节点,所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。
与现有技术相比,本发明的有益效果在于:
1)通过将GRU与深度学习算法相结合,有效提高综合能源网络安全攻击检测精度,便于安全技术人员针对性配置安全策略,提高综合能源系统在风险分析过程中的效率,确保多种能源在源-输-储-荷各环节稳定运行,对综合能源系统整体的信息安全性具有重要意义;
2)本发明解决了传统人工提取综合能源网络征特数据的过程中,易于丢失信息的问题,不仅节省了大量的工作时间,同时还可以从基于时间序列的工作数据中挖掘与各种攻击类型相关的隐藏特征,大大提高了综合能源网络安全攻击的检测准确度;
3)本发明能够适用于从节点采集的离散和连续型的工作数据,不受节点类型限制。
附图说明
为了更清楚地说明本发明技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图:
图1为本发明的综合能源网络安全攻击检测方法的流程图;
图2为本发明中才用的GRU-CNN网络结构示意图;
图3为本发明的CNN网络结构示意图。
图4为本发明实施例二中的综合能源网络结构示意图。
图5为实施例二的虚假数据注入攻击中,网络攻击安全检测准确率与攻击强度、虚假数据概率密度的关系示意图。
图中:1、第一卷积层;2、第一池化层;3、第二卷积层;4、第二池化层;5、全连接层;6、丢弃层。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明是基于GRU-CNN网络实现的,所述GRU-CNN网络包含门控循环单元(GRU)和卷积神经网络(Convolutional Neural Networks CNN)。门控循环单元(GRU)作为循环神经网络的变体之一,它通过可以学习的门(重置门、更新门)来控制信息流动,更好地捕捉依时间序列采集的数据中,时间步距离较大的数据之间的依赖关系,且不同于长短期记忆网络的是,GRU具有更为合理的结构,具有更好的收敛性,目前主要用于自然语言处理。GRU优化了循环神经网络中隐藏状态的计算方式,其中重置门可以用来丢弃与预测无关的历史信息,更新门可以控制隐藏状态如何被候选隐藏状态所更新。本发明在综合能源系统的节点依时序采集各类工作数据,并通过GRU提取所述各类工作数据的特征,得到工作特征数据,并通过卷积神经网络(CNN)对提取的工作特征数据进行分类,判断综合能源网络的安全攻击类型。
本发明提供一种基于GRU-CNN的综合能源网络安全攻击检测方法,如图1所示,包含步骤:
S1、选取综合能源网络的节点,按时序采集该节点的第一至第d类工作数据,建立第一工作数据集E={er}r∈[1n,um,num为采集的总次数;er={e′r1,…,e′rd};
Figure GDA0003674519350000051
e′rp为第r次采集的所述节点的第p类工作数据,p∈[1,d];预处理第一工作数据集E;
当第p类工作数据为离散型数据,对{e′rp}r∈[1,num]进行独热编码处理。
当第p类工作数据为连续型数据,对{e′rp}r∈[1,num]进行归一化处理:本发明中采用Z-core法对采集的时间序列数据{e′rp}r∈[1,num]进行标准化处理。举例来说,若第p类工作数据e′1p,e′2p,…中存在缺失值,则用第p类工作数据e′1p,e′2p,…的均值替代该缺失值。替换完所有的缺失值后,更新
Figure GDA0003674519350000061
其中μp为第p类工作数据e′1p,e′2p,…的均值,σp为第p类工作数据e′1p,e′2p,…的标准差。
在本发明的一个实施例中,所述节点为综合能源网络中的用电设备,所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。
在本发明的另一个实施例中,所述节点为综合能源网络中的网络节点,所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。
S2、根据GRU-CNN网络的门控循环单元的时间步长n(在本发明的实施例中n=256),基于所述第一工作数据集E生成训练数据集和测试数据集;为所述训练数据集设置对应的标签,通过所述标签表示综合能源网络的安全攻击类型;
生成训练数据集和测试数据集的具体方法为:
令训练数据Xi=[e(i-1)×n+1,e(i-1)×n+2,…,ei×n]′,
Figure GDA0003674519350000062
其中,
Figure GDA0003674519350000063
n为门控循环单元的时间步长,[·]′表示矩阵的转置;将X1~XL作为训练数据集,将
Figure GDA0003674519350000064
作为测试数据集,L为设定的常数。
S3、通过所述训练数据集训练GRU-CNN网络;其中训练数据集作为所述门控循环单元的输入,通过门控循环单元提取训练数据集的有效特征,将所述有效特征输入GRU-CNN网络的卷积神经网络,对所述卷积神经网络进行训练;所述卷积神经网络用于判断综合能源网络的安全攻击类型;
步骤S3中具体包含:
S31、令门控循环单元的隐藏单元个数为h,令当前时间步为时间步t,时间步t-1为时间步t的上一时间步,t∈[1,L];Xt作为门控循环单元在时间步t的输入,Ht-1为门控循环单元在时间步t-1的隐藏状态,
Figure GDA0003674519350000065
H0为n×h的全零矩阵;L为训练数据集中所包含的训练数据总个数;门控循环单元在时间步t的重置门Rt和更新门Zt分别为:
Rt=σ(XtWxr+Ht-1Whr+br)
Zt=σ(XtWxz+Ht-1Whz+bz)
其中,时间步0的隐藏状态H0是n*h的零矩阵,Rt
Figure GDA0003674519350000071
σ为sigmoid函数;Wxr、Wxz、Whr
Figure GDA0003674519350000072
是权重参数;br
Figure GDA0003674519350000073
是偏差参数;
S32、计算门控循环单元在时间步t的候选隐藏状态Ht
Ht=tanh(XtWxh+(Rt⊙Ht-1)Whh+bh)
其中⊙表示做元素乘法,tanh为激活函数,Wxh
Figure GDA0003674519350000074
是权重参数,
Figure GDA0003674519350000075
是偏差参数;
S33、计算时间步t的隐藏状态Ht,Ht为门控循环单元在时间步t的输出结果,
Figure GDA0003674519350000076
Ht=Zt⊙Ht-1+(1-Zt)⊙Ht
S34、重复步骤S31至S34,当t≡0modT,门控循环单元在该时间步t的隐藏状态Ht作为所述卷积神经网络的输入,训练所述卷积神经网络,进入步骤S31;当
Figure GDA0003674519350000077
停止训练GRU-CNN网络;其中T为设定的常数,本实施例中T=4。
图2中示出了对GRU-CNN网络的一次完整训练过程。门控循环单元通过训练数据X1~X4进行四个时间步的训练,根据X1~X4提取得到有效特征(也即H4),并将提取的有效特征注入卷积神经网络,对卷积神经网络进行训练。在下一次训练GRU-CNN网络的过程中,通过训练数据X5~X8进行四个时间步的训练,以此类推。
如图2、图3所示,所述卷积神经网络包含依序连接的第一卷积层1、第一池化层2、第二卷积层3、第二池化层4、全连接层5和丢弃层6。GRU的输出HT作为CNN的数据输入,CNN网络依次通过第一卷积层1、第一池化层2、第二卷积层3、第二池化层4进行多维度特征提取,最终通过全连接层5、丢弃层6判断综合能源系统遭受网络安全攻击的类型。第一、第二卷积层用来从其输入数据中进一步提取特征,第一、第二卷积层的卷积核大小均为2×2,卷积步长均为1,卷积深度分别为10、20。第一、第二池化层则用来对其输入数据进行降维、去除冗余信息,本发明的第一、第二池化层均为最大池化层。全连接层5又叫输出层,起到特征分类器的作用。所述全连接层5采用Softmax函数。丢弃层6的随机失活率为0.5;本发明的卷积神经网络采用Adam梯度下降算法优化训练效率,其优化学习率为1e-5。
如图3所示,输入第一卷积层1的单通道数据样本的高和宽均为7,可以看到,单通道数据样本输入的高和宽从第一卷积层1至第二池化层4逐层减小。
为解决CNN费时及容易过拟合的问题,本发明通过在全连接层5之后加入丢弃层6以削弱CNN网络神经元节点间的联合适应性。在训练卷积神经网络的阶段,随机选取丢弃层6的若干元素,将所选元素的权值设为0,实现将该元素从网络中丢弃,增强泛化能力。全连接层5、丢弃层6的输出数据个数分别为128和5,也呈逐层减少。
S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络,得到综合能源网络的安全攻击类型的分类结果。
实施例一
本实施例中通过选取KDDCup99数据集的10%作为所述第一工作数据集E。KDDCup99的原始数据来自于1998年的DARPA入侵检测评估项目,所有的网络数据来自于一个模拟的美国空军局域网,网络中加了很多模拟的攻击。KDDCup99数据集被广泛用于检测评估,作为入侵检测的行业基准,
KDDCup99数据集中包含了若干个网络连接,每个网络连接包含从一段时间内的数据包序列中提取的若干个特征。每个网络连接被标记为正常(normal)或异常(attack),异常类型被细分为四大标志类型(共包含39种攻击类型)。所述四大类为拒绝服务攻击(DoS)、远程主机未授权访问(R2L)、未授权的本地超级用户特权访问(U2R)和端口扫描(Probing)。
为验证本发明的检测方法的有效性和泛化性,本发明的训练集中出现22种已知攻击方式,测试集包含17种未知攻击方式。
表1、数据集样本分布
Figure GDA0003674519350000091
KDDCup99数据集中每个网络连接由41特征描述,其中包括了9种离散类型,分别是:协议类型protocol_type、网络服务类型service、连接状态flag、连接主机/端口是否相同land、登录是否成功logged_in、超级用户权限root_shell、su_attempted、is_hot_login、is_guest_login。以下为KDDCup99数据集中的一个网络连接。
0,tcp,smtp,SF,787,329,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,76,117,0.49,0.08,0.01,0.02,0.00,0.00,0.00,0.00,normal。
前41个数据表示网络连接的41个特征(此为现有技术,在此不做具体描述),网络连接中的normal表示未遭受攻击。为方便数据处理,本发明将各离散状态字符用数值型替代,如网络连接中的第二个特征表示三种协议类型(TCP,UDP,ICMP),即可用数字0、1、2替代。对于上述网络连接,可用0代替其中的“tcp”。
每个网络连接相当于所述第一工作数据集E中的一条工作数据er,网络连接中的每个特征对应一类工作数据(如上述网络连接中的第五个特征“787”相当于er中的第五类工作数据。)则第一工作数据集E中包含了第一至第41类工作数据。
在另一个实施例中,网络连接中的41个特征被扩展为136个特征(关于特征扩展为现有技术,此处不做具体描述)。一个特征对应一类工作数据,则第一工作数据集E中包含了第一至第136类工作数据。
本实施例中将从准确率(AC)、召回率(REC)和误报率(FAR)三个方向评价本发明的综合能源网络安全攻击检测算法分类结果的正确率。定义如下变量:真正例TP表示检测出正常标签normal,真反例TN表示检测出具体异常标签,伪正例FP和伪反例FN分别表示错误检测正常与异常样本,计算公式为:
Figure GDA0003674519350000101
Figure GDA0003674519350000102
Figure GDA0003674519350000103
表2为本发明的基于GRU-CNN的综合能源网络安全攻击检测方法,与传统的基于GRU网络、CNN网络、SVM网络、DT网络、ANN网络、ELM网络的检测方法的对比结果。本发明在准确率和误报率方面显著高于其它方法,具有相当的优越性。
表2、实验结果对比
Figure GDA0003674519350000104
实施例二。
为了应对分布式发电、新能源汽车等接入综合能源网络,本实施例中的综合能源网络在IEEE33标准节点系统的基础上做出修改,通过对综合能源网络所选节点模拟虚假数据注入攻击(false data injection attacks,FDIAs),检测本发明的适用性。
虚假数据注入攻击(false data injection attack FDIA)作为新兴攻击,一般指攻击者根据电力系统拓扑图,操纵量测装置,通过注入恶意数据篡改量测装置的测量结果,并使得电力系统传统的坏数据检测算法检测不出这些恶意数据,致使电力系统进行错误状态估计的攻击方式。
本实施例中的综合能源网络模型如图4所示,包含与调度中心连接的33个节点,分别记为节点1至节点33。其中在节点6引入光伏电源PV,节点18处引入微型燃气轮机MT,节点22引入电动汽车EV,节点33处引入风力发电机WT。
以节点22为例,向节点22注入的恶意数据为向量a=[a1,a2,…,am]T,本实施例中,虚假的恶意数据的注入方式为对采集的每类工作数据(量测向量)均添加符合正态分布的噪声。潮流中的状态变量误差向量c=[c1,c2,…,cn]T,不可观察的虚假数据注入攻击用下式表示:
||ra||=||Za-Hxa||=||z+a-H(x+c)||
ra表示残差,H表示雅可比量测矩阵,z表示节点22未被虚假数据注入攻击时的量测向量,节点22的被虚假数据注入攻击后的实际量测向量Za=z+a,x表示节点22的状态向量。当a=Hc时,下式成立:
||ra||=||Za-Hxa||=||z-Hx||<τ
其中,τ表示最大标准化残差阈值。此时表示对节点22的虚假数据注入攻击成功,且通过传统的方法很难检测到。
通过本发明的方法能够有效地检测出注入成功的虚假数据。更进一步地,本发明还根据攻击者可能采取攻击强度的强弱进行了多组对比试验,试验结果证明,综合能源网络安全攻击检测准确率主要受到攻击强度A和虚假数据概率密度分布P的影响。
攻击强度用方差σ2表示,设置σ2=5、σ2=0.5、σ2=0.05三组强度对比试验,分别代表较大、中等及较小强度。另外虚假数据注入的概率密度分布用P表示,取值范围0.05~1.0,且间隔为0.05。对图4所示的综合能源网络进行测试,图5表示通过本发明的检测方法在低、中、高攻击强度下,随着虚假数据概率密度分布变化的安全攻击检测准确率变化曲线。可以清楚地发现,攻击强度越高,攻击特征越明显,在同一概率密度分布下的安全攻击检测准确率起始值越高(也即图5中,注入概率密度为0.5时,三种攻击强度σ2=5、σ2=0.5、σ2=0.05下,安全攻击检测准确率分别为92.5%、93.6%、95.8%)。随着P的逐渐增大,三种攻击强度下的安全攻击检测率均能实现99%左右,达到高准确率的收敛,且收敛的速度仍是随着攻击强度的提高而加快。
本发明的实施例一中,通过KDDCup99数据集,验证了本发明的检测方法在检测四大信息网络攻击类型的可靠性,因此本发明能够应用于综合能源网络中的信息网络;本发明的实施例二中,采集接入分布式电源和电动汽车的假数据注入攻击节点测试系统信号,验证了本发明的检测方法在综合能源网络的电力系统的适用性。
本发明得检测方法不仅可以提高电网在网络攻击检测过程中的效率,而且能够提取出时间序列特性和多维度特性作为表征,有效提升了攻击检测准确率,便于电网企业安全技术人员针对性配置安全策略,提高综合能源系统在风险分析过程中的效率,确保多种能源在源-输-储-荷各环节稳定运行。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (7)

1.一种基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,包含步骤:
S1、选取综合能源网络的节点,按时序采集该节点的第一至第d类工作数据,建立第一工作数据集
Figure FDA0003674519340000015
num为采集的总次数;er={e′r1,…,e′rd};
Figure FDA0003674519340000011
e′rp为第r次采集的所述节点的第p类工作数据,p∈[1,d];预处理第一工作数据集E;
S2、根据GRU-CNN网络的门控循环单元的时间步长,基于所述第一工作数据集E生成训练数据集和测试数据集;为所述训练数据集设置对应的标签,通过所述标签表示综合能源网络的安全攻击类型;
S3、通过所述训练数据集训练GRU-CNN网络;其中训练数据集作为门控循环单元的输入,通过门控循环单元提取训练数据集的有效特征,将所述有效特征输入GRU-CNN网络的卷积神经网络,对所述卷积神经网络进行训练;所述卷积神经网络用于判断综合能源网络的安全攻击类型;
S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络,得到综合能源网络的安全攻击类型的分类结果。
2.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,步骤S1所述预处理第一工作数据集E,包含:
当第p类工作数据为离散型数据,对{e′rp}r∈[1,num]进行独热编码处理;
当第p类工作数据为连续型数据,对{e′rp}r∈[1,num]进行归一化处理。
3.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,步骤S2中生成训练数据集和测试数据集的方法包含:
令训练数据Xi=[e(i-1)×n+1,e(i-1)×n+2,…,ei×n]′,
Figure FDA0003674519340000012
其中,
Figure FDA0003674519340000013
n为门控循环单元的时间步长,[·]′表示矩阵的转置;将X1~XL作为训练数据集,将
Figure FDA0003674519340000014
作为测试数据集,L为设定的常数。
4.如权利要求3所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述步骤S3中包含:
S31、令门控循环单元的隐藏单元个数为h,令当前时间步为时间步t,时间步t-1为时间步t的上一时间步,t∈[1,L];Xt作为门控循环单元在时间步t的输入,Ht-1为门控循环单元在时间步t-1的隐藏状态,
Figure FDA0003674519340000021
H0为n×h的全零矩阵;L为训练数据集中所包含的训练数据总个数;门控循环单元在时间步t的重置门Rt和更新门Zt分别为:
Rt=σ(XtWxr+Ht-1Whr+br)
Zt=σ(XtWxz+Ht-1Whz+bz)
其中,时间步0的隐藏状态H0是n*h的零矩阵,Rt
Figure FDA0003674519340000022
σ为sigmoid函数;
Figure FDA0003674519340000023
是权重参数;
Figure FDA0003674519340000024
是偏差参数;
S32、计算门控循环单元在时间步t的候选隐藏状态Ht
Ht=tanh(XtWxh+(Rt⊙Ht-1)Whh+bh)
其中⊙表示做元素乘法,tanh为激活函数,
Figure FDA0003674519340000025
是权重参数,
Figure FDA0003674519340000026
是偏差参数;
S33、计算时间步t的隐藏状态Ht,Ht为门控循环单元在时间步t的输出结果,
Figure FDA0003674519340000027
Ht=Zt⊙Ht-1+(1-Zt)⊙Ht
S34、重复步骤S31至S34,当t≡0modT,门控循环单元在该时间步t的隐藏状态Ht作为所述卷积神经网络的输入,训练所述卷积神经网络,进入步骤S31;当
Figure FDA0003674519340000028
停止训练GRU-CNN网络;其中T为设定的常数。
5.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述卷积神经网络包含依序连接的第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和丢弃层;其中,第一、第二卷积层的卷积核大小均为2×2,卷积步长均为1;第一、第二卷积层的卷积深度分别为10、20;所述全连接层采用Softmax函数,丢弃层的随机失活率为0.5;卷积神经网络采用Adam梯度下降算法,其优化学习率为1e-5。
6.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述节点为综合能源网络中的用电设备,所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。
7.如权利要求1所述的基于GRU-CNN的综合能源网络安全攻击检测方法,其特征在于,所述节点为综合能源网络中的网络节点,所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。
CN202011239713.5A 2020-11-09 2020-11-09 基于gru-cnn的综合能源网络安全攻击检测方法 Active CN112333194B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011239713.5A CN112333194B (zh) 2020-11-09 2020-11-09 基于gru-cnn的综合能源网络安全攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011239713.5A CN112333194B (zh) 2020-11-09 2020-11-09 基于gru-cnn的综合能源网络安全攻击检测方法

Publications (2)

Publication Number Publication Date
CN112333194A CN112333194A (zh) 2021-02-05
CN112333194B true CN112333194B (zh) 2022-08-09

Family

ID=74316577

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011239713.5A Active CN112333194B (zh) 2020-11-09 2020-11-09 基于gru-cnn的综合能源网络安全攻击检测方法

Country Status (1)

Country Link
CN (1) CN112333194B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113065606B (zh) * 2021-04-19 2023-11-17 北京石油化工学院 一种基于轻量级深度学习的异常点位检测方法及系统
CN113472742B (zh) * 2021-05-28 2022-09-27 中国科学院信息工程研究所 一种基于门控循环单元的内部威胁检测方法和装置
CN113469412B (zh) * 2021-06-02 2024-04-09 国核电力规划设计研究院有限公司 一种综合能源系统实时运行策略优化方法及系统
CN113645182B (zh) * 2021-06-21 2023-07-14 上海电力大学 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN113794742B (zh) * 2021-11-18 2022-02-15 国网浙江浙电招标咨询有限公司 一种电力系统fdia高精度检测方法
CN114760098A (zh) * 2022-03-16 2022-07-15 南京邮电大学 一种基于cnn-gru的电网虚假数据注入检测方法及装置
CN115277079B (zh) * 2022-06-22 2023-11-24 国网河南省电力公司信息通信公司 一种电力终端信息攻击监测方法和系统
CN116226702B (zh) * 2022-09-09 2024-04-26 武汉中数医疗科技有限公司 一种基于生物电阻抗的甲状腺采样数据识别方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108448610A (zh) * 2018-03-12 2018-08-24 华南理工大学 一种基于深度学习的短期风功率预测方法
CN109376242A (zh) * 2018-10-18 2019-02-22 西安工程大学 基于循环神经网络变体和卷积神经网络的文本分类算法
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN109978228A (zh) * 2019-01-31 2019-07-05 中南大学 一种pm2.5浓度预测方法、装置及介质
CN110348271A (zh) * 2018-04-04 2019-10-18 山东大学 一种基于长短时记忆网络的微表情识别方法
CN110348632A (zh) * 2019-07-11 2019-10-18 广东电网有限责任公司 一种基于奇异谱分析和深度学习的风电功率预测方法
CN110597240A (zh) * 2019-10-24 2019-12-20 福州大学 一种基于深度学习的水轮发电机组故障诊断方法
CN111371806A (zh) * 2020-03-18 2020-07-03 北京邮电大学 一种Web攻击检测方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11775313B2 (en) * 2017-05-26 2023-10-03 Purdue Research Foundation Hardware accelerator for convolutional neural networks and method of operation thereof
CN107729497B (zh) * 2017-10-20 2020-08-14 同济大学 一种基于知识图谱的词嵌入深度学习方法
CN108282262B (zh) * 2018-04-16 2019-11-26 西安电子科技大学 基于门控循环单元深度网络的智能时序信号分类方法
CN109522716B (zh) * 2018-11-15 2021-02-23 中国人民解放军战略支援部队信息工程大学 一种基于时序神经网络的网络入侵检测方法及装置
CN109961034B (zh) * 2019-03-18 2022-12-06 西安电子科技大学 基于卷积门控循环神经单元的视频目标检测方法
CN109992779B (zh) * 2019-03-29 2023-04-28 长沙理工大学 一种基于cnn的情感分析方法、装置、设备及存储介质
US20200349414A1 (en) * 2019-04-30 2020-11-05 The Regents Of The University Of California Systems and methods for neuronal networks for associative gestalt learning
CN111338002A (zh) * 2020-03-19 2020-06-26 长江大学 基于门控循环神经网络模型的孔隙度预测方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108448610A (zh) * 2018-03-12 2018-08-24 华南理工大学 一种基于深度学习的短期风功率预测方法
CN110348271A (zh) * 2018-04-04 2019-10-18 山东大学 一种基于长短时记忆网络的微表情识别方法
CN109376242A (zh) * 2018-10-18 2019-02-22 西安工程大学 基于循环神经网络变体和卷积神经网络的文本分类算法
CN109729091A (zh) * 2019-01-03 2019-05-07 湖南大学 一种基于多特征融合和CNN算法的LDoS攻击检测方法
CN109978228A (zh) * 2019-01-31 2019-07-05 中南大学 一种pm2.5浓度预测方法、装置及介质
CN110348632A (zh) * 2019-07-11 2019-10-18 广东电网有限责任公司 一种基于奇异谱分析和深度学习的风电功率预测方法
CN110597240A (zh) * 2019-10-24 2019-12-20 福州大学 一种基于深度学习的水轮发电机组故障诊断方法
CN111371806A (zh) * 2020-03-18 2020-07-03 北京邮电大学 一种Web攻击检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A High-performance Web Attack Detection Method based on CNN-GRU Model;Qiangqiang Niu,Xiaoyong Li;《2020 IEEE 4th Information Technology,Networking,Electronic and Automation Control Conference (ITNEC 2020)》;20200513;全文 *
采用CNN和Bidirectional GRU的时间序列分类研究;张国豪,刘波;《计算机科学与探索》;20190630;第13卷(第6期);全文 *

Also Published As

Publication number Publication date
CN112333194A (zh) 2021-02-05

Similar Documents

Publication Publication Date Title
CN112333194B (zh) 基于gru-cnn的综合能源网络安全攻击检测方法
Zhang et al. Intrusion detection for IoT based on improved genetic algorithm and deep belief network
Xin et al. Machine learning and deep learning methods for cybersecurity
Dong et al. An Intrusion Detection Model for Wireless Sensor Network Based on Information Gain Ratio and Bagging Algorithm.
Presekal et al. Attack graph model for cyber-physical power systems using hybrid deep learning
Peng et al. Network intrusion detection based on deep learning
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN107846012A (zh) 一种基于深度学习技术的电力系统暂态稳定评估方法
Du et al. NIDS-CNNLSTM: Network intrusion detection classification model based on deep learning
CN103679025B (zh) 一种基于树突细胞算法的恶意代码检测方法
Chen et al. DDoS attack detection based on random forest
Marino et al. Cyber and physical anomaly detection in smart-grids
CN111027697A (zh) 一种遗传算法包裹式特征选择电网入侵检测方法
Lu et al. False data injection attacks detection on power systems with convolutional neural network
Han et al. An intrusion detection system based on neural network
Na et al. Fake data injection attack detection in AMI system using a hybrid method
Shi et al. Extreme trees network intrusion detection framework based on ensemble learning
Gao et al. The prediction role of hidden markov model in intrusion detection
Qi Computer Real-Time Location Forensics Method for Network Intrusion Crimes.
CN117171619A (zh) 一种智能电网终端网络异常检测模型和方法
CN116916317A (zh) 一种基于大白鲨和随机森林的入侵检测方法
CN115643108A (zh) 面向工业互联网边缘计算平台安全评估方法、系统及产品
CN111865947B (zh) 一种基于迁移学习的电力终端异常数据生成方法
Lian et al. Critical meter identification and network embedding based attack detection for power systems against false data injection attacks
Li et al. Improved Wasserstein generative adversarial networks defense method against data integrity attack on smart grid

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant