CN112398862A - 一种基于gru模型的充电桩攻击聚类检测方法 - Google Patents

一种基于gru模型的充电桩攻击聚类检测方法 Download PDF

Info

Publication number
CN112398862A
CN112398862A CN202011299612.7A CN202011299612A CN112398862A CN 112398862 A CN112398862 A CN 112398862A CN 202011299612 A CN202011299612 A CN 202011299612A CN 112398862 A CN112398862 A CN 112398862A
Authority
CN
China
Prior art keywords
attack
model
charging pile
address
gru
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011299612.7A
Other languages
English (en)
Other versions
CN112398862B (zh
Inventor
刘威
宁柏锋
罗伟峰
徐文渊
冀晓宇
汪锴波
李鹏
习伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Shenzhen Power Supply Bureau Co Ltd
Research Institute of Southern Power Grid Co Ltd
Original Assignee
Zhejiang University ZJU
Shenzhen Power Supply Bureau Co Ltd
Research Institute of Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU, Shenzhen Power Supply Bureau Co Ltd, Research Institute of Southern Power Grid Co Ltd filed Critical Zhejiang University ZJU
Priority to CN202011299612.7A priority Critical patent/CN112398862B/zh
Publication of CN112398862A publication Critical patent/CN112398862A/zh
Application granted granted Critical
Publication of CN112398862B publication Critical patent/CN112398862B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F15/00Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity
    • G07F15/003Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity for electricity
    • G07F15/005Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity for electricity dispensed for the electrical charging of vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Water Supply & Treatment (AREA)
  • Public Health (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于GRU模型的充电桩攻击聚类检测方法,利用GRU模型对充电桩历史报文进行特征提取,并根据全连接网络将GRU模型提取的时间序列特征映射为攻击特征,用于表征不同攻击的特点,并通过三元平均损失函数进行优化,使相同攻击场景对应的攻击特征之间尽可能接近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型实现了对充电桩攻击的分类和检测,本发明方法解决了以往预测精度低、预测成本高、攻击种类多变等问题,是一种高效低成本的非侵入式充电桩攻击聚类检测方法,有利于后续针对性的对充电桩系统进行防御。

Description

一种基于GRU模型的充电桩攻击聚类检测方法
技术领域
本发明属于智能电网安全领域,涉及一种基于GRU(门控递归单元)模型的充电桩攻击聚类检测方法。
背景技术
随着我国电动汽车产业的飞速发展,充电设施(充电桩)的安全性是行业发展的基本保障。为了建设安全的充电设施运行环境,需要对充电桩的安全性进行评估,在充电桩遭遇攻击时及时预警,及时处理,避免用户不必要的经济财产损失。
融合了工控系统和信息网络的充电设施为人民群众的生活带来了极大的便利,但也存在不少的安全隐患。目前对于充电桩信息安全的攻击包括恶意的网络攻击,使充电桩离线无法提供服务,或是通过篡改充电数据以造成计费损失,影响公司和用户利益,或是窃取用户信息,泄露用户账号、位置等敏感信息。作为电力基础设施,充电桩也可以成为电力攻击的入口,例如通过控制大量充电桩在同一时刻充放电,对电力系统的运行造成干扰。
充电桩作为能源互联网入口之一,承担电能供给、计量计费、信息传输等多种功能,也因此面临复杂的攻击威胁,在不同的攻击场景下,充电桩的报文特征也都呈现不同的趋势,因此可以基于充电桩的报文特征对不同的攻击形式进行分类,并在使用中进行预测。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于GRU模型的充电桩攻击聚类检测方法,本发明解决了以往预测精度低、预测成本高、攻击种类多变等问题,是一种高效低成本的非侵入式充电桩攻击聚类检测方法。
本发明采用的技术方案如下:
一种基于GRU模型的充电桩攻击聚类检测方法,利用充电桩的报文数据,采用基于门控递归单元GRU的深度神经网络模型进行特征提取,并设计损失函数将不同的攻击形式下提取的报文特征表示为高维空间中的攻击特征,使得属于同一类攻击的攻击特征距离尽可能近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型用于充电桩攻击类别检测。
进一步的,所述的方法具体包括如下步骤:
步骤1:以固定时间为间隔,收集充电桩的报文数据,将采集到的充电桩报文进行数据预处理,补全数据中的缺省值,提取报文信息;
步骤2:根据充电桩攻击对充电桩报文可能造成的影响,提取能表征攻击特点的报文特征;具体步骤如下:
步骤2.1:计算固定源IP地址到固定目的IP地址中的报文数量m1(t);
步骤2.2:计算固定源IP地址到固定目的IP地址中平均连接持续时间m2(t);
步骤2.3:计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数m3(t);
步骤2.4:计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数m4(t);
步骤2.5:计算固定源IP地址到固定目的IP地址中错误分段的数量m5(t);
步骤2.6:计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数m6(t);
步骤3:使用GRU模型将提取得到的时序特征处理为180维的输出特征H;
步骤4:通过全连接网络,将180维的输出特征H映射至90维的攻击特征M,并设计基于样本对(pair-wise)的损失函数,优化全连接网络和GRU模型,使得相同攻击场景下的攻击特征之间距离尽可能近,不同攻击场景的攻击特征之间的距离尽可能远;
步骤5:测试模型的聚类检测效果,若模型效果不符合要求,则重新选择模型中的超参数,直到模型在测试数据上满足测试要求,获得模型。
进一步的,其中步骤1具体如下:
步骤1.1:以固定时间1s为间隔,收集充电桩的报文数据,区分TCP连接基本特征和内容特征;
步骤1.2:对所收集信息中的缺省值进行补全;对于采集到的充电桩报文的TCP连接基本特征,选取以下重要信息,duration:连接持续时间;src_bytes:从源主机到目标主机的数据的字节数;dst_bytes:从目标主机到源主机的数据的字节数;wrong_fragment:错误分段的数量;对于TCP连接的内容特征,选取num_failed_logins:登陆尝试失败的次数;若其中数据存在缺省,使用平均值进行补全。
进一步的,其中步骤3具体如下:
步骤3.1:将t时刻提取的特征m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)排列为6维的输入向量m(t)=[m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)]T
步骤3.2:搭建GRU网络模型:将向量m(t)作为GRU模型的输入层,经过重置门处理得到隐藏特征h′(t),进一步由更新门得到输出h(t),其中重置门与更新门的处理,遵循以下公式:
r(t)=σ(Wr[m(t),h(t-1)]T) (1)
z(t)=σ(Wz[m(t),h(t-1)]T) (2)
h′(t)=tanh(W[m(t),r(t)⊙h(t-1)]T) (3)
h(t)=(1-z(t))⊙h(t-1)+z(t)h′(t) (4)
其中,r表示重置门,根据当前时刻的报文特征与上一时刻的输出h(t),输出与h(t)维度相同的重置特征r(t),表示h(t)中需要被保留的特征,z表示更新门,与r类似,用来表示最终输出中上一时刻的输出h(t)与当前时刻隐藏特征h′(t)中选择保留的比例,其中⊙表示矩阵对应位置元素乘积的结果;σ和tanh为GRU使用的激活函数,计算方式如下:
Figure BDA0002786420730000031
Figure BDA0002786420730000032
输出特征h(t)维度为3维,Wr,Wz,W为大小为3*9的可学习的参数;
步骤3.3:保存当前时刻前60秒的报文特征所对应的输出h(t-60),...h(t),并将其合并展开成为180维的输出特征H。
进一步的,其中步骤4具体如下:
步骤4.1:设计包含两层隐藏层的全连接神经网络,将180维的输出特征映射至90维的攻击特征,为了降维映射过程中尽可能保留重要特征,选择两隐藏层的维度分别为150维、120维;
步骤4.2:设计三元中心损失函数,用于优化网络模型的聚类效果,三元中心损失函数表示如下:
其中用Ma表示攻击场景a在实验室环境下测得的典型攻击特征,作为同样攻击场景对应攻击特征的锚点,即希望同类攻击场景的攻击特征尽可能接近典型攻击特征,反之尽可能远离;用Mp={Mp1,Mp2,...}表示与锚点相同的攻击场景a的实测攻击特征集合,Mn={Mn1,Mn2,...}表示与锚点不同的攻击场景的实测攻击特征集合,则
Figure BDA0002786420730000033
Figure BDA0002786420730000034
分别表示二者的中心:
Figure BDA0002786420730000041
其中Np=|Mp|,Np=|Mn|,则
Figure BDA0002786420730000042
Figure BDA0002786420730000043
分别表示Ma与
Figure BDA0002786420730000044
Figure BDA0002786420730000045
之间的距离,m表示正负样本之间的边界宽度,为了提高效率同时保持聚类效果,选取m=0.2,[]+表示ReLU函数:
Figure BDA0002786420730000046
步骤4.2:收集实验数据,利用梯度下降法更新GRU模型和全连接网络中的参数。
本发明提供一种基于GRU的攻击聚类检测方法,利用GRU模型对充电桩历史报文进行特征提取,并根据全连接网络将GRU模型提取的时间序列特征映射为攻击特征,用于表征不同攻击的特点,并通过三元平均损失函数进行优化,使相同攻击场景对应的攻击特征之间尽可能接近,实现了对充电桩攻击的分类和检测,有利于后续针对性的对充电桩系统进行防御。
附图说明
图1是本发明的方法流程图
图2是模型网络结构图
具体实施方式
下面结合附图对本发明的技术方案做进一步的说明。
如图1所示,本发明利用充电桩在不同的攻击场景下其报文特征也都呈现不同趋势的特点,开发出一种基于充电桩的报文特征对不同的攻击形式进行分类和预测的方法,具体是一种基于GRU模型的充电桩攻击聚类检测方法,利用充电桩的报文数据,采用基于门控递归单元GRU的深度神经网络模型进行特征提取,并设计损失函数将不同的攻击形式下提取的报文特征表示为高维空间中的攻击特征,使得属于同一类攻击的攻击特征距离尽可能近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型用于充电桩攻击类别检测;具体为:
步骤1:以固定时间为间隔,收集充电桩的报文数据,将采集到的充电桩报文进行数据预处理,补全数据中的缺省值,提取报文信息;比如:
步骤1.1:以固定时间1s为间隔,收集充电桩的报文数据,区分TCP连接基本特征和内容特征;
步骤1.2:对所收集信息中的缺省值进行补全;对于采集到的充电桩报文的TCP连接基本特征,选取以下重要信息,duration:连接持续时间;src_bytes:从源主机到目标主机的数据的字节数;dst_bytes:从目标主机到源主机的数据的字节数;wrong_fragment:错误分段的数量;对于TCP连接的内容特征,选取num_failed_logins:登陆尝试失败的次数;若其中数据存在缺省,使用平均值进行补全。
步骤2:根据充电桩攻击对充电桩报文可能造成的影响,提取能表征攻击特点的报文特征;具体步骤如下:
步骤2.1:计算固定源IP地址到固定目的IP地址中的报文数量m1(t);
步骤2.2:计算固定源IP地址到固定目的IP地址中平均连接持续时间m2(t);
步骤2.3:计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数m3(t);
步骤2.4:计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数m4(t);
步骤2.5:计算固定源IP地址到固定目的IP地址中错误分段的数量m5(t);
步骤2.6:计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数m6(t);
步骤3:使用GRU模型将提取得到的时序特征处理为180维的输出特征H;具体可如图2所示,采用:
步骤3.1:将t时刻提取的特征m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)排列为6维的输入向量m(t)=[m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)]T
步骤3.2:搭建GRU网络模型:将向量m(t)作为GRU模型的输入层,经过重置门处理得到隐藏特征h′(t),进一步由更新门得到输出h(t),其中重置门与更新门的处理,遵循以下公式:
r(t)=σ(Wr[m(t),h(t-1)]T) (1)
z(t)=σ(Wz[m(t),h(t-1)]T) (2)
h′(t)=tanh(W[m(t),r(t)⊙h(t-1)]T) (3)
h(t)=(1-z(t))⊙h(t-1)+z(t)h′(t) (4)
其中,r表示重置门,根据当前时刻的报文特征与上一时刻的输出h(t),输出与h(t)维度相同的重置特征r(t),表示h(t)中需要被保留的特征,z表示更新门,与r类似,用来表示最终输出中上一时刻的输出h(t)与当前时刻隐藏特征h′(t)中选择保留的比例,其中⊙表示矩阵对应位置元素乘积的结果;σ和tanh为GRU使用的激活函数,计算方式如下:
Figure BDA0002786420730000051
Figure BDA0002786420730000061
输出特征h(t)维度为3维,Wr,Wz,W为大小为3*9的可学习的参数;
步骤3.3:保存当前时刻前60秒的报文特征所对应的输出h(t-60),...h(t),并将其合并展开成为180维的输出特征H。
步骤4:通过全连接网络,将180维的输出特征H映射至90维的攻击特征M,并设计基于样本对(pair-wise)的损失函数,优化全连接网络和GRU模型,使得相同攻击场景下的攻击特征之间距离尽可能近,不同攻击场景的攻击特征之间的距离尽可能远;具体如下:
步骤4.1:设计包含两层隐藏层的全连接神经网络,将180维的输出特征映射至90维的攻击特征,为了降维映射过程中尽可能保留重要特征,选择两隐藏层的维度分别为150维、120维;
步骤4.2:设计三元中心损失函数,用于优化网络模型的聚类效果,三元中心损失函数表示如下:
Figure BDA0002786420730000062
其中用Ma表示攻击场景a在实验室环境下测得的典型攻击特征,作为同样攻击场景对应攻击特征的锚点,即希望同类攻击场景的攻击特征尽可能接近典型攻击特征,反之尽可能远离;用Mp={Mp1,Mp2,...}表示与锚点相同的攻击场景a的实测攻击特征集合,Mn={Mn1,Mn2,...}表示与锚点不同的攻击场景的实测攻击特征集合,则
Figure BDA0002786420730000063
Figure BDA0002786420730000064
分别表示二者的中心:
Figure BDA0002786420730000065
其中Np=|Mp|,Np=|Mn|,则
Figure BDA0002786420730000066
Figure BDA0002786420730000067
分别表示Ma与
Figure BDA0002786420730000068
Figure BDA0002786420730000069
之间的距离,m表示正负样本之间的边界宽度,为了提高效率同时保持聚类效果,选取m=0.2,[]+表示ReLU函数:
Figure BDA00027864207300000610
步骤4.2:收集实验数据,利用梯度下降法更新GRU模型和全连接网络中的参数。
步骤5:测试模型的聚类检测效果,若模型效果不符合要求,则重新选择模型中的超参数,直到模型在测试数据上满足测试要求,获得模型。
本发明通过充电桩的历史报文数据提取特征,在实践上避免了对充电桩装置的侵入,采用的GRU模型有较强的时间序列特征提取能力,相较于LSTM等模型,具有参数量、运算量少等特点,因此可以在低成本、易部署条件下实现高精度的目标提取,基于三元损失函数的攻击特征聚类方法,通过将不同攻击场景表示为多维的攻击特征,因此利用距离度量函数可以聚类大量的攻击场景,也使得可以通过简单再训练模型以实现对新攻击场景的检测,具有更强的拓展性和适应性。

Claims (6)

1.一种基于GRU模型的充电桩攻击聚类检测方法,其特征在于,利用充电桩的报文数据,采用基于门控递归单元GRU的深度神经网络模型进行特征提取,并设计损失函数将不同的攻击形式下提取的报文特征表示为高维空间中的攻击特征,使得属于同一类攻击的攻击特征距离尽可能近,反之尽可能远;使用标注后的数据集作为模型的训练样本,并在预留的测试集上进行模型的评估与调优,确定模型用于充电桩攻击类别检测。
2.根据权利要求1所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,所述的方法具体包括如下步骤:
步骤1:以固定时间为间隔,收集充电桩的报文数据,将采集到的充电桩报文进行数据预处理,补全数据中的缺省值,提取报文信息;
步骤2:根据充电桩攻击对充电桩报文可能造成的影响,提取能表征攻击特点的报文特征;具体步骤如下:
步骤2.1:计算固定源IP地址到固定目的IP地址中的报文数量m1(t);
步骤2.2:计算固定源IP地址到固定目的IP地址中平均连接持续时间m2(t);
步骤2.3:计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数m3(t);
步骤2.4:计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数m4(t);
步骤2.5:计算固定源IP地址到固定目的IP地址中错误分段的数量m5(t);
步骤2.6:计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数m6(t);
步骤3:使用GRU模型将提取得到的时序特征处理为180维的输出特征H;
步骤4:通过全连接网络,将180维的输出特征H映射至90维的攻击特征M,并设计基于样本对(pair-wise)的损失函数,优化全连接网络和GRU模型,使得相同攻击场景下的攻击特征之间距离尽可能近,不同攻击场景的攻击特征之间的距离尽可能远;
步骤5:测试模型的聚类检测效果,若模型效果不符合要求,则重新选择模型中的超参数,直到模型在测试数据上满足测试要求,获得模型。
3.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,其中步骤1具体如下:
步骤1.1:以固定时间1s为间隔,收集充电桩的报文数据,区分TCP连接基本特征和内容特征;
步骤1.2:对所收集信息中的缺省值进行补全;对于采集到的充电桩报文的TCP连接基本特征,选取以下重要信息,duration:连接持续时间;src_bytes:从源主机到目标主机的数据的字节数;dst_bytes:从目标主机到源主机的数据的字节数;wrong_fragment:错误分段的数量;对于TCP连接的内容特征,选取num_failed_logins:登陆尝试失败的次数;若其中数据存在缺省,使用平均值进行补全。
4.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,其中步骤3具体如下:
步骤3.1:将t时刻提取的特征m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)排列为6维的输入向量m(t)=[m1(t),m2(t),m3(t),m4(t),m5(t),m6(t)]T
步骤3.2:搭建GRU网络模型:将向量m(t)作为GRU模型的输入层,经过重置门处理得到隐藏特征h′(t),进一步由更新门得到输出h(t),其中重置门与更新门的处理,遵循以下公式:
r(t)=σ(Wr[m(t),h(t-1)]T) (1)
z(t)=σ(Wz[m(t),h(t-1)]T) (2)
h′(t)=tanh(W[m(t),r(t)⊙h(t-1)]T) (3)
h(t)=(1-z(t))⊙h(t-1)+z(t)h′(t) (4)
其中,r表示重置门,根据当前时刻的报文特征与上一时刻的输出h(t),输出与h(t)维度相同的重置特征r(t),表示h(t)中需要被保留的特征,z表示更新门,与r类似,用来表示最终输出中上一时刻的输出h(t)与当前时刻隐藏特征h′(t)中选择保留的比例,其中⊙表示矩阵对应位置元素乘积的结果;σ和tanh为GRU使用的激活函数,计算方式如下:
Figure FDA0002786420720000021
Figure FDA0002786420720000022
输出特征h(t)维度为3维,Wr,Wz,W为大小为3*9的可学习的参数;
步骤3.3:保存当前时刻前60秒的报文特征所对应的输出h(t-60),...h(t),并将其合并展开成为180维的输出特征H。
5.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,其中步骤4具体如下:
步骤4.1:设计包含两层隐藏层的全连接神经网络,将180维的输出特征映射至90维的攻击特征;
步骤4.2:设计三元中心损失函数,用于优化网络模型的聚类效果,三元中心损失函数表示如下:
Figure FDA0002786420720000031
其中用Ma表示攻击场景a在实验室环境下测得的典型攻击特征,用Mp={Mp1,Mp2,...}表示与锚点相同的攻击场景a的实测攻击特征集合,Mn={Mn1,Mn2,...}表示与锚点不同的攻击场景的实测攻击特征集合,则
Figure FDA0002786420720000032
Figure FDA0002786420720000033
分别表示二者的中心:
Figure FDA0002786420720000034
其中Np=|Mp|,Np=|Mn|,则
Figure FDA0002786420720000035
Figure FDA0002786420720000036
分别表示Ma
Figure FDA0002786420720000037
Figure FDA0002786420720000038
之间的距离,m表示正负样本之间的边界宽度,选取m=0.2,[]+表示ReLU函数:
Figure FDA0002786420720000039
步骤4.2:收集实验数据,利用梯度下降法更新GRU模型和全连接网络中的参数。
6.根据权利要求5所述的基于GRU模型的充电桩攻击聚类检测方法,其特征在于,步骤4.1中选择两隐藏层的维度分别为150维、120维以在降维映射过程中尽可能保留重要特征。
CN202011299612.7A 2020-11-18 2020-11-18 一种基于gru模型的充电桩攻击聚类检测方法 Active CN112398862B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011299612.7A CN112398862B (zh) 2020-11-18 2020-11-18 一种基于gru模型的充电桩攻击聚类检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011299612.7A CN112398862B (zh) 2020-11-18 2020-11-18 一种基于gru模型的充电桩攻击聚类检测方法

Publications (2)

Publication Number Publication Date
CN112398862A true CN112398862A (zh) 2021-02-23
CN112398862B CN112398862B (zh) 2022-06-10

Family

ID=74607499

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011299612.7A Active CN112398862B (zh) 2020-11-18 2020-11-18 一种基于gru模型的充电桩攻击聚类检测方法

Country Status (1)

Country Link
CN (1) CN112398862B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277079A (zh) * 2022-06-22 2022-11-01 国网河南省电力公司信息通信公司 一种电力终端信息攻击监测方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109816092A (zh) * 2018-12-13 2019-05-28 北京三快在线科技有限公司 深度神经网络训练方法、装置、电子设备及存储介质
CN110348227A (zh) * 2019-07-15 2019-10-18 燕山大学 一种软件漏洞的分类方法及系统
US20190354689A1 (en) * 2018-05-18 2019-11-21 Deepmind Technologies Limited Deep neural network system for similarity-based graph representations
CN111683108A (zh) * 2020-08-17 2020-09-18 鹏城实验室 一种网络流异常检测模型的生成方法和计算机设备
US20210185066A1 (en) * 2017-09-15 2021-06-17 Spherical Defence Labs Limited Detecting anomalous application messages in telecommunication networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210185066A1 (en) * 2017-09-15 2021-06-17 Spherical Defence Labs Limited Detecting anomalous application messages in telecommunication networks
US20190354689A1 (en) * 2018-05-18 2019-11-21 Deepmind Technologies Limited Deep neural network system for similarity-based graph representations
CN109816092A (zh) * 2018-12-13 2019-05-28 北京三快在线科技有限公司 深度神经网络训练方法、装置、电子设备及存储介质
CN110348227A (zh) * 2019-07-15 2019-10-18 燕山大学 一种软件漏洞的分类方法及系统
CN111683108A (zh) * 2020-08-17 2020-09-18 鹏城实验室 一种网络流异常检测模型的生成方法和计算机设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
詹静等: "SEMBeF:一种基于分片循环神经网络的敏感高效的恶意代码行为检测框架", 《信息安全学报》, no. 06, 15 November 2019 (2019-11-15), pages 69 - 81 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277079A (zh) * 2022-06-22 2022-11-01 国网河南省电力公司信息通信公司 一种电力终端信息攻击监测方法和系统
CN115277079B (zh) * 2022-06-22 2023-11-24 国网河南省电力公司信息通信公司 一种电力终端信息攻击监测方法和系统

Also Published As

Publication number Publication date
CN112398862B (zh) 2022-06-10

Similar Documents

Publication Publication Date Title
Lv et al. Industrial security solution for virtual reality
CN113612733B (zh) 一种基于孪生网络的少样本虚假数据注入攻击检测方法
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
Peng et al. Network intrusion detection based on deep learning
CN110166484A (zh) 一种基于LSTM-Attention网络的工业控制系统入侵检测方法
Lai et al. Industrial anomaly detection and attack classification method based on convolutional neural network
CN109977118A (zh) 一种基于词嵌入技术和lstm的异常域名检测方法
CN116699297B (zh) 充电桩检测系统及其方法
Chen et al. Integration of knowledge and data in machine learning
CN111523588B (zh) 基于改进的lstm对apt攻击恶意软件流量进行分类的方法
CN113283909B (zh) 一种基于深度学习的以太坊钓鱼账户检测方法
CN112398862B (zh) 一种基于gru模型的充电桩攻击聚类检测方法
CN110879881A (zh) 基于特征组分层和半监督随机森林的鼠标轨迹识别方法
CN109376736A (zh) 一种基于深度卷积神经网络的视频小目标检测方法
Yang et al. Research on subway pedestrian detection algorithms based on SSD model
CN113067798A (zh) Ics入侵检测方法、装置、电子设备和存储介质
CN115344863A (zh) 一种基于图神经网络的恶意软件快速检测方法
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN108763926B (zh) 一种具有安全免疫能力的工业控制系统入侵检测方法
CN113361608A (zh) 一种基于横向对比特征和神经网络的隐蔽窃电检测方法
CN114218998A (zh) 一种基于隐马尔可夫模型的电力系统异常行为分析方法
CN105390132A (zh) 一种基于语言模型的应用协议识别方法及系统
CN115242458B (zh) 一种基于shap的1d-cnn网络流量分类模型的可解释方法
Ibn-Khedher et al. Mathematical Programming Approach for Adversarial Attack Modelling.
Tang et al. Association Analysis of Abnormal Behavior of Electronic Invoice Based on K-Means and Skip-Gram

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant