CN112398862A - 一种基于gru模型的充电桩攻击聚类检测方法 - Google Patents
一种基于gru模型的充电桩攻击聚类检测方法 Download PDFInfo
- Publication number
- CN112398862A CN112398862A CN202011299612.7A CN202011299612A CN112398862A CN 112398862 A CN112398862 A CN 112398862A CN 202011299612 A CN202011299612 A CN 202011299612A CN 112398862 A CN112398862 A CN 112398862A
- Authority
- CN
- China
- Prior art keywords
- attack
- model
- charging pile
- address
- gru
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 21
- 238000012360 testing method Methods 0.000 claims abstract description 13
- 238000013507 mapping Methods 0.000 claims abstract description 10
- 238000012549 training Methods 0.000 claims abstract description 4
- 238000000034 method Methods 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 10
- 230000004913 activation Effects 0.000 claims description 3
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 239000012634 fragment Substances 0.000 claims description 3
- 238000011478 gradient descent method Methods 0.000 claims description 3
- 239000011159 matrix material Substances 0.000 claims description 3
- 238000003062 neural network model Methods 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 238000011161 development Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F15/00—Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity
- G07F15/003—Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity for electricity
- G07F15/005—Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity for electricity dispensed for the electrical charging of vehicles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Water Supply & Treatment (AREA)
- Public Health (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于GRU模型的充电桩攻击聚类检测方法,利用GRU模型对充电桩历史报文进行特征提取,并根据全连接网络将GRU模型提取的时间序列特征映射为攻击特征,用于表征不同攻击的特点,并通过三元平均损失函数进行优化,使相同攻击场景对应的攻击特征之间尽可能接近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型实现了对充电桩攻击的分类和检测,本发明方法解决了以往预测精度低、预测成本高、攻击种类多变等问题,是一种高效低成本的非侵入式充电桩攻击聚类检测方法,有利于后续针对性的对充电桩系统进行防御。
Description
技术领域
本发明属于智能电网安全领域,涉及一种基于GRU(门控递归单元)模型的充电桩攻击聚类检测方法。
背景技术
随着我国电动汽车产业的飞速发展,充电设施(充电桩)的安全性是行业发展的基本保障。为了建设安全的充电设施运行环境,需要对充电桩的安全性进行评估,在充电桩遭遇攻击时及时预警,及时处理,避免用户不必要的经济财产损失。
融合了工控系统和信息网络的充电设施为人民群众的生活带来了极大的便利,但也存在不少的安全隐患。目前对于充电桩信息安全的攻击包括恶意的网络攻击,使充电桩离线无法提供服务,或是通过篡改充电数据以造成计费损失,影响公司和用户利益,或是窃取用户信息,泄露用户账号、位置等敏感信息。作为电力基础设施,充电桩也可以成为电力攻击的入口,例如通过控制大量充电桩在同一时刻充放电,对电力系统的运行造成干扰。
充电桩作为能源互联网入口之一,承担电能供给、计量计费、信息传输等多种功能,也因此面临复杂的攻击威胁,在不同的攻击场景下,充电桩的报文特征也都呈现不同的趋势,因此可以基于充电桩的报文特征对不同的攻击形式进行分类,并在使用中进行预测。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于GRU模型的充电桩攻击聚类检测方法,本发明解决了以往预测精度低、预测成本高、攻击种类多变等问题,是一种高效低成本的非侵入式充电桩攻击聚类检测方法。
本发明采用的技术方案如下:
一种基于GRU模型的充电桩攻击聚类检测方法,利用充电桩的报文数据,采用基于门控递归单元GRU的深度神经网络模型进行特征提取,并设计损失函数将不同的攻击形式下提取的报文特征表示为高维空间中的攻击特征,使得属于同一类攻击的攻击特征距离尽可能近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型用于充电桩攻击类别检测。
进一步的,所述的方法具体包括如下步骤:
步骤1:以固定时间为间隔,收集充电桩的报文数据,将采集到的充电桩报文进行数据预处理,补全数据中的缺省值,提取报文信息;
步骤2:根据充电桩攻击对充电桩报文可能造成的影响,提取能表征攻击特点的报文特征;具体步骤如下:
步骤2.1:计算固定源IP地址到固定目的IP地址中的报文数量m1(t);
步骤2.2:计算固定源IP地址到固定目的IP地址中平均连接持续时间m2(t);
步骤2.3:计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数m3(t);
步骤2.4:计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数m4(t);
步骤2.5:计算固定源IP地址到固定目的IP地址中错误分段的数量m5(t);
步骤2.6:计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数m6(t);
步骤3:使用GRU模型将提取得到的时序特征处理为180维的输出特征H;
步骤4:通过全连接网络,将180维的输出特征H映射至90维的攻击特征M,并设计基于样本对(pair-wise)的损失函数,优化全连接网络和GRU模型,使得相同攻击场景下的攻击特征之间距离尽可能近,不同攻击场景的攻击特征之间的距离尽可能远;
步骤5:测试模型的聚类检测效果,若模型效果不符合要求,则重新选择模型中的超参数,直到模型在测试数据上满足测试要求,获得模型。
进一步的,其中步骤1具体如下:
步骤1.1:以固定时间1s为间隔,收集充电桩的报文数据,区分TCP连接基本特征和内容特征;
步骤1.2:对所收集信息中的缺省值进行补全;对于采集到的充电桩报文的TCP连接基本特征,选取以下重要信息,duration:连接持续时间;src_bytes:从源主机到目标主机的数据的字节数;dst_bytes:从目标主机到源主机的数据的字节数;wrong_fragment:错误分段的数量;对于TCP连接的内容特征,选取num_failed_logins:登陆尝试失败的次数;若其中数据存在缺省,使用平均值进行补全。
进一步的,其中步骤3具体如下:
步骤3.1:将t时刻提取的特征m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)排列为6维的输入向量m(t)=[m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)]T;
步骤3.2:搭建GRU网络模型:将向量m(t)作为GRU模型的输入层,经过重置门处理得到隐藏特征h′(t),进一步由更新门得到输出h(t),其中重置门与更新门的处理,遵循以下公式:
r(t)=σ(Wr[m(t),h(t-1)]T) (1)
z(t)=σ(Wz[m(t),h(t-1)]T) (2)
h′(t)=tanh(W[m(t),r(t)⊙h(t-1)]T) (3)
h(t)=(1-z(t))⊙h(t-1)+z(t)h′(t) (4)
其中,r表示重置门,根据当前时刻的报文特征与上一时刻的输出h(t),输出与h(t)维度相同的重置特征r(t),表示h(t)中需要被保留的特征,z表示更新门,与r类似,用来表示最终输出中上一时刻的输出h(t)与当前时刻隐藏特征h′(t)中选择保留的比例,其中⊙表示矩阵对应位置元素乘积的结果;σ和tanh为GRU使用的激活函数,计算方式如下:
输出特征h(t)维度为3维,Wr,Wz,W为大小为3*9的可学习的参数;
步骤3.3:保存当前时刻前60秒的报文特征所对应的输出h(t-60),...h(t),并将其合并展开成为180维的输出特征H。
进一步的,其中步骤4具体如下:
步骤4.1:设计包含两层隐藏层的全连接神经网络,将180维的输出特征映射至90维的攻击特征,为了降维映射过程中尽可能保留重要特征,选择两隐藏层的维度分别为150维、120维;
步骤4.2:设计三元中心损失函数,用于优化网络模型的聚类效果,三元中心损失函数表示如下:
其中用Ma表示攻击场景a在实验室环境下测得的典型攻击特征,作为同样攻击场景对应攻击特征的锚点,即希望同类攻击场景的攻击特征尽可能接近典型攻击特征,反之尽可能远离;用Mp={Mp1,Mp2,...}表示与锚点相同的攻击场景a的实测攻击特征集合,Mn={Mn1,Mn2,...}表示与锚点不同的攻击场景的实测攻击特征集合,则和分别表示二者的中心:
步骤4.2:收集实验数据,利用梯度下降法更新GRU模型和全连接网络中的参数。
本发明提供一种基于GRU的攻击聚类检测方法,利用GRU模型对充电桩历史报文进行特征提取,并根据全连接网络将GRU模型提取的时间序列特征映射为攻击特征,用于表征不同攻击的特点,并通过三元平均损失函数进行优化,使相同攻击场景对应的攻击特征之间尽可能接近,实现了对充电桩攻击的分类和检测,有利于后续针对性的对充电桩系统进行防御。
附图说明
图1是本发明的方法流程图
图2是模型网络结构图
具体实施方式
下面结合附图对本发明的技术方案做进一步的说明。
如图1所示,本发明利用充电桩在不同的攻击场景下其报文特征也都呈现不同趋势的特点,开发出一种基于充电桩的报文特征对不同的攻击形式进行分类和预测的方法,具体是一种基于GRU模型的充电桩攻击聚类检测方法,利用充电桩的报文数据,采用基于门控递归单元GRU的深度神经网络模型进行特征提取,并设计损失函数将不同的攻击形式下提取的报文特征表示为高维空间中的攻击特征,使得属于同一类攻击的攻击特征距离尽可能近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型用于充电桩攻击类别检测;具体为:
步骤1:以固定时间为间隔,收集充电桩的报文数据,将采集到的充电桩报文进行数据预处理,补全数据中的缺省值,提取报文信息;比如:
步骤1.1:以固定时间1s为间隔,收集充电桩的报文数据,区分TCP连接基本特征和内容特征;
步骤1.2:对所收集信息中的缺省值进行补全;对于采集到的充电桩报文的TCP连接基本特征,选取以下重要信息,duration:连接持续时间;src_bytes:从源主机到目标主机的数据的字节数;dst_bytes:从目标主机到源主机的数据的字节数;wrong_fragment:错误分段的数量;对于TCP连接的内容特征,选取num_failed_logins:登陆尝试失败的次数;若其中数据存在缺省,使用平均值进行补全。
步骤2:根据充电桩攻击对充电桩报文可能造成的影响,提取能表征攻击特点的报文特征;具体步骤如下:
步骤2.1:计算固定源IP地址到固定目的IP地址中的报文数量m1(t);
步骤2.2:计算固定源IP地址到固定目的IP地址中平均连接持续时间m2(t);
步骤2.3:计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数m3(t);
步骤2.4:计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数m4(t);
步骤2.5:计算固定源IP地址到固定目的IP地址中错误分段的数量m5(t);
步骤2.6:计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数m6(t);
步骤3:使用GRU模型将提取得到的时序特征处理为180维的输出特征H;具体可如图2所示,采用:
步骤3.1:将t时刻提取的特征m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)排列为6维的输入向量m(t)=[m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)]T;
步骤3.2:搭建GRU网络模型:将向量m(t)作为GRU模型的输入层,经过重置门处理得到隐藏特征h′(t),进一步由更新门得到输出h(t),其中重置门与更新门的处理,遵循以下公式:
r(t)=σ(Wr[m(t),h(t-1)]T) (1)
z(t)=σ(Wz[m(t),h(t-1)]T) (2)
h′(t)=tanh(W[m(t),r(t)⊙h(t-1)]T) (3)
h(t)=(1-z(t))⊙h(t-1)+z(t)h′(t) (4)
其中,r表示重置门,根据当前时刻的报文特征与上一时刻的输出h(t),输出与h(t)维度相同的重置特征r(t),表示h(t)中需要被保留的特征,z表示更新门,与r类似,用来表示最终输出中上一时刻的输出h(t)与当前时刻隐藏特征h′(t)中选择保留的比例,其中⊙表示矩阵对应位置元素乘积的结果;σ和tanh为GRU使用的激活函数,计算方式如下:
输出特征h(t)维度为3维,Wr,Wz,W为大小为3*9的可学习的参数;
步骤3.3:保存当前时刻前60秒的报文特征所对应的输出h(t-60),...h(t),并将其合并展开成为180维的输出特征H。
步骤4:通过全连接网络,将180维的输出特征H映射至90维的攻击特征M,并设计基于样本对(pair-wise)的损失函数,优化全连接网络和GRU模型,使得相同攻击场景下的攻击特征之间距离尽可能近,不同攻击场景的攻击特征之间的距离尽可能远;具体如下:
步骤4.1:设计包含两层隐藏层的全连接神经网络,将180维的输出特征映射至90维的攻击特征,为了降维映射过程中尽可能保留重要特征,选择两隐藏层的维度分别为150维、120维;
步骤4.2:设计三元中心损失函数,用于优化网络模型的聚类效果,三元中心损失函数表示如下:
其中用Ma表示攻击场景a在实验室环境下测得的典型攻击特征,作为同样攻击场景对应攻击特征的锚点,即希望同类攻击场景的攻击特征尽可能接近典型攻击特征,反之尽可能远离;用Mp={Mp1,Mp2,...}表示与锚点相同的攻击场景a的实测攻击特征集合,Mn={Mn1,Mn2,...}表示与锚点不同的攻击场景的实测攻击特征集合,则和分别表示二者的中心:
步骤4.2:收集实验数据,利用梯度下降法更新GRU模型和全连接网络中的参数。
步骤5:测试模型的聚类检测效果,若模型效果不符合要求,则重新选择模型中的超参数,直到模型在测试数据上满足测试要求,获得模型。
本发明通过充电桩的历史报文数据提取特征,在实践上避免了对充电桩装置的侵入,采用的GRU模型有较强的时间序列特征提取能力,相较于LSTM等模型,具有参数量、运算量少等特点,因此可以在低成本、易部署条件下实现高精度的目标提取,基于三元损失函数的攻击特征聚类方法,通过将不同攻击场景表示为多维的攻击特征,因此利用距离度量函数可以聚类大量的攻击场景,也使得可以通过简单再训练模型以实现对新攻击场景的检测,具有更强的拓展性和适应性。
Claims (6)
1.一种基于GRU模型的充电桩攻击聚类检测方法,其特征在于,利用充电桩的报文数据,采用基于门控递归单元GRU的深度神经网络模型进行特征提取,并设计损失函数将不同的攻击形式下提取的报文特征表示为高维空间中的攻击特征,使得属于同一类攻击的攻击特征距离尽可能近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型用于充电桩攻击类别检测。
2.根据权利要求1所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,所述的方法具体包括如下步骤:
步骤1:以固定时间为间隔,收集充电桩的报文数据,将采集到的充电桩报文进行数据预处理,补全数据中的缺省值,提取报文信息;
步骤2:根据充电桩攻击对充电桩报文可能造成的影响,提取能表征攻击特点的报文特征;具体步骤如下:
步骤2.1:计算固定源IP地址到固定目的IP地址中的报文数量m1(t);
步骤2.2:计算固定源IP地址到固定目的IP地址中平均连接持续时间m2(t);
步骤2.3:计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数m3(t);
步骤2.4:计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数m4(t);
步骤2.5:计算固定源IP地址到固定目的IP地址中错误分段的数量m5(t);
步骤2.6:计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数m6(t);
步骤3:使用GRU模型将提取得到的时序特征处理为180维的输出特征H;
步骤4:通过全连接网络,将180维的输出特征H映射至90维的攻击特征M,并设计基于样本对(pair-wise)的损失函数,优化全连接网络和GRU模型,使得相同攻击场景下的攻击特征之间距离尽可能近,不同攻击场景的攻击特征之间的距离尽可能远;
步骤5:测试模型的聚类检测效果,若模型效果不符合要求,则重新选择模型中的超参数,直到模型在测试数据上满足测试要求,获得模型。
3.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,其中步骤1具体如下:
步骤1.1:以固定时间1s为间隔,收集充电桩的报文数据,区分TCP连接基本特征和内容特征;
步骤1.2:对所收集信息中的缺省值进行补全;对于采集到的充电桩报文的TCP连接基本特征,选取以下重要信息,duration:连接持续时间;src_bytes:从源主机到目标主机的数据的字节数;dst_bytes:从目标主机到源主机的数据的字节数;wrong_fragment:错误分段的数量;对于TCP连接的内容特征,选取num_failed_logins:登陆尝试失败的次数;若其中数据存在缺省,使用平均值进行补全。
4.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,其中步骤3具体如下:
步骤3.1:将t时刻提取的特征m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)排列为6维的输入向量m(t)=[m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)]T;
步骤3.2:搭建GRU网络模型:将向量m(t)作为GRU模型的输入层,经过重置门处理得到隐藏特征h′(t),进一步由更新门得到输出h(t),其中重置门与更新门的处理,遵循以下公式:
r(t)=σ(Wr[m(t),h(t-1)]T) (1)
z(t)=σ(Wz[m(t),h(t-1)]T) (2)
h′(t)=tanh(W[m(t),r(t)⊙h(t-1)]T) (3)
h(t)=(1-z(t))⊙h(t-1)+z(t)h′(t) (4)
其中,r表示重置门,根据当前时刻的报文特征与上一时刻的输出h(t),输出与h(t)维度相同的重置特征r(t),表示h(t)中需要被保留的特征,z表示更新门,与r类似,用来表示最终输出中上一时刻的输出h(t)与当前时刻隐藏特征h′(t)中选择保留的比例,其中⊙表示矩阵对应位置元素乘积的结果;σ和tanh为GRU使用的激活函数,计算方式如下:
输出特征h(t)维度为3维,Wr,Wz,W为大小为3*9的可学习的参数;
步骤3.3:保存当前时刻前60秒的报文特征所对应的输出h(t-60),...h(t),并将其合并展开成为180维的输出特征H。
5.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,其中步骤4具体如下:
步骤4.1:设计包含两层隐藏层的全连接神经网络,将180维的输出特征映射至90维的攻击特征;
步骤4.2:设计三元中心损失函数,用于优化网络模型的聚类效果,三元中心损失函数表示如下:
其中用Ma表示攻击场景a在实验室环境下测得的典型攻击特征,用Mp={Mp1,Mp2,...}表示与锚点相同的攻击场景a的实测攻击特征集合,Mn={Mn1,Mn2,...}表示与锚点不同的攻击场景的实测攻击特征集合,则和分别表示二者的中心:
步骤4.2:收集实验数据,利用梯度下降法更新GRU模型和全连接网络中的参数。
6.根据权利要求5所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,步骤4.1中选择两隐藏层的维度分别为150维、120维以在降维映射过程中尽可能保留重要特征。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011299612.7A CN112398862B (zh) | 2020-11-18 | 2020-11-18 | 一种基于gru模型的充电桩攻击聚类检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011299612.7A CN112398862B (zh) | 2020-11-18 | 2020-11-18 | 一种基于gru模型的充电桩攻击聚类检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112398862A true CN112398862A (zh) | 2021-02-23 |
CN112398862B CN112398862B (zh) | 2022-06-10 |
Family
ID=74607499
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011299612.7A Active CN112398862B (zh) | 2020-11-18 | 2020-11-18 | 一种基于gru模型的充电桩攻击聚类检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112398862B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277079A (zh) * | 2022-06-22 | 2022-11-01 | 国网河南省电力公司信息通信公司 | 一种电力终端信息攻击监测方法和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109816092A (zh) * | 2018-12-13 | 2019-05-28 | 北京三快在线科技有限公司 | 深度神经网络训练方法、装置、电子设备及存储介质 |
CN110348227A (zh) * | 2019-07-15 | 2019-10-18 | 燕山大学 | 一种软件漏洞的分类方法及系统 |
US20190354689A1 (en) * | 2018-05-18 | 2019-11-21 | Deepmind Technologies Limited | Deep neural network system for similarity-based graph representations |
CN111683108A (zh) * | 2020-08-17 | 2020-09-18 | 鹏城实验室 | 一种网络流异常检测模型的生成方法和计算机设备 |
US20210185066A1 (en) * | 2017-09-15 | 2021-06-17 | Spherical Defence Labs Limited | Detecting anomalous application messages in telecommunication networks |
-
2020
- 2020-11-18 CN CN202011299612.7A patent/CN112398862B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210185066A1 (en) * | 2017-09-15 | 2021-06-17 | Spherical Defence Labs Limited | Detecting anomalous application messages in telecommunication networks |
US20190354689A1 (en) * | 2018-05-18 | 2019-11-21 | Deepmind Technologies Limited | Deep neural network system for similarity-based graph representations |
CN109816092A (zh) * | 2018-12-13 | 2019-05-28 | 北京三快在线科技有限公司 | 深度神经网络训练方法、装置、电子设备及存储介质 |
CN110348227A (zh) * | 2019-07-15 | 2019-10-18 | 燕山大学 | 一种软件漏洞的分类方法及系统 |
CN111683108A (zh) * | 2020-08-17 | 2020-09-18 | 鹏城实验室 | 一种网络流异常检测模型的生成方法和计算机设备 |
Non-Patent Citations (1)
Title |
---|
詹静等: "SEMBeF:一种基于分片循环神经网络的敏感高效的恶意代码行为检测框架", 《信息安全学报》, no. 06, 15 November 2019 (2019-11-15), pages 69 - 81 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277079A (zh) * | 2022-06-22 | 2022-11-01 | 国网河南省电力公司信息通信公司 | 一种电力终端信息攻击监测方法和系统 |
CN115277079B (zh) * | 2022-06-22 | 2023-11-24 | 国网河南省电力公司信息通信公司 | 一种电力终端信息攻击监测方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112398862B (zh) | 2022-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lv et al. | Industrial security solution for virtual reality | |
CN113612733B (zh) | 一种基于孪生网络的少样本虚假数据注入攻击检测方法 | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
Peng et al. | Network intrusion detection based on deep learning | |
CN110166484A (zh) | 一种基于LSTM-Attention网络的工业控制系统入侵检测方法 | |
Lai et al. | Industrial anomaly detection and attack classification method based on convolutional neural network | |
CN109977118A (zh) | 一种基于词嵌入技术和lstm的异常域名检测方法 | |
CN116699297B (zh) | 充电桩检测系统及其方法 | |
Chen et al. | Integration of knowledge and data in machine learning | |
CN111523588B (zh) | 基于改进的lstm对apt攻击恶意软件流量进行分类的方法 | |
CN113283909B (zh) | 一种基于深度学习的以太坊钓鱼账户检测方法 | |
CN112398862B (zh) | 一种基于gru模型的充电桩攻击聚类检测方法 | |
CN110879881A (zh) | 基于特征组分层和半监督随机森林的鼠标轨迹识别方法 | |
CN109376736A (zh) | 一种基于深度卷积神经网络的视频小目标检测方法 | |
Yang et al. | Research on subway pedestrian detection algorithms based on SSD model | |
CN113067798A (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
CN115344863A (zh) | 一种基于图神经网络的恶意软件快速检测方法 | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
CN108763926B (zh) | 一种具有安全免疫能力的工业控制系统入侵检测方法 | |
CN113361608A (zh) | 一种基于横向对比特征和神经网络的隐蔽窃电检测方法 | |
CN114218998A (zh) | 一种基于隐马尔可夫模型的电力系统异常行为分析方法 | |
CN105390132A (zh) | 一种基于语言模型的应用协议识别方法及系统 | |
CN115242458B (zh) | 一种基于shap的1d-cnn网络流量分类模型的可解释方法 | |
Ibn-Khedher et al. | Mathematical Programming Approach for Adversarial Attack Modelling. | |
Tang et al. | Association Analysis of Abnormal Behavior of Electronic Invoice Based on K-Means and Skip-Gram |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |