CN112686775A - 基于孤立森林算法的电力网络攻击检测方法及系统 - Google Patents
基于孤立森林算法的电力网络攻击检测方法及系统 Download PDFInfo
- Publication number
- CN112686775A CN112686775A CN202110004429.8A CN202110004429A CN112686775A CN 112686775 A CN112686775 A CN 112686775A CN 202110004429 A CN202110004429 A CN 202110004429A CN 112686775 A CN112686775 A CN 112686775A
- Authority
- CN
- China
- Prior art keywords
- data
- attack detection
- forest algorithm
- sample
- isolated forest
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 84
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 40
- 230000002159 abnormal effect Effects 0.000 claims abstract description 35
- 238000002347 injection Methods 0.000 claims abstract description 29
- 239000007924 injection Substances 0.000 claims abstract description 29
- 238000004364 calculation method Methods 0.000 claims abstract description 18
- 238000010801 machine learning Methods 0.000 claims abstract description 13
- 238000005259 measurement Methods 0.000 claims description 49
- 230000006870 function Effects 0.000 claims description 28
- 230000009467 reduction Effects 0.000 claims description 23
- 239000011159 matrix material Substances 0.000 claims description 19
- 238000003066 decision tree Methods 0.000 claims description 16
- 238000012549 training Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 6
- 238000005070 sampling Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000013145 classification model Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000009394 selective breeding Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于孤立森林算法的电力网络攻击检测方法,包括获取注入虚假数据的数据集;对数据进行降维,得到低维数据空间;采用孤立森林算法计算每个数据样本的异常分值,并将每个数据样本的异常分值作为独立的数据特征;在低维数据空间中提取数据特征,将数据特征输入基于机器学习构建的攻击检测模型,进行攻击检测。能够有效的降低计算量,过挖掘数据间的关系,计算精度高,可有效提升虚假数据注入攻击的检测精度和稳定性。
Description
技术领域
本发明涉及电力网络攻击检测技术领域,尤其涉及一种基于孤立森林算法的电力网络攻击检测方法及系统。
背景技术
随着电力物联网的深化推进,我国电力系统的智能化程度将进一步提升,这意味着网络攻击所产生的破坏可能超出正常预期。目前,电力物理网与信息网的界限逐步模糊,电力系统正成为典型的信息物理融合系统,物理系统的生产运维与调度控制高度依赖于信息系统,发生信息安全事件可能会传播至整个系统,引发电网瘫痪、大规模停电等严重后果。作为具有重要战略意义的国家大型基础设施,电力系统一直是网络攻防的高价值目标,如何有效认识、检测和抵御各类恶意网络攻击是近年来电力系统安全领域的热门研究课题。
虚假信息攻击意味着,攻击者通过向电力量测数据中注入预先制定的虚假数据,利用状态估计不良数据检测的漏洞,成功绕过检测模块,可以在极为隐蔽的条件下有预谋地篡改电力量测值,导致错误的状态估计结果,进而破坏电力系统的稳定运行或者使其按照攻击者的意图运行,该攻击可长期潜伏不易察觉,使系统长期处于危险的操作状态,待发现时,攻击带来的影响已经传播至整个电力系统,带来不可逆转的连锁破坏。由于虚假数据注入攻击极度隐蔽,对电力系统稳定运行危害极大,已经引起了电力公司和学术界的广泛重视。
传统检测方法与当前的边界防护体系不足以检测这种新型网络攻击。因此,提出一种基于机器学习的攻击检测方法的电力网络攻击检测系统是极为必要的。
发明内容
为了解决以上问题,本发明提供了一种基于孤立森林算法的电力网络攻击检测方法,采用孤立森林的异常分值提取方法,将其作为一个独立的特征,然后使用非线性的降维局部线性嵌入法的特征提取方案对高维的电力量测数据进行属性约简,能够有效的降低计算量。使用机器学习的分类方法训练攻击检测模型,这种方式避免了人为选择阈值,通过挖掘数据间的关系,计算精度高,可有效提升虚假数据注入攻击的检测精度和稳定性。
本发明一方面的实施例提供一种基于孤立森林算法的电力网络攻击检测方法,包括以下步骤:
获取注入虚假数据的数据集;
将数据集中非线性数据,进行局部线性嵌入,对数据进行降维,得到低维数据空间;
采用孤立森林算法计算所述数据集中每个数据样本的异常分值,并将每个数据样本的异常分值作为独立的数据特征;
在所述低维数据空间中,提取所述数据特征,将数据特征输入构建的攻击检测模型,进行攻击检测。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,采用孤立森林的异常分值提取方法,将其作为一个独立的特征,然后使用非线性的降维局部线性嵌入法的特征提取方案对高维的电力量测数据进行属性约简,能够有效的降低计算量。
优选的,采用标准IEEE节点系统,生成正常量测数据样本;
将所述正常量测数据样本进行虚假数据注入攻击,生成受攻击后的电力量测向量;其中所述虚假数据注入攻击,包括以下任意一种或多种注入攻击:满足状态估计不良数据检测的注入攻击;完整拓扑信息下的虚假信息注入攻击:非完整拓扑信息下的虚假信息注入攻击;
将受攻击后的电力量测向量作为受攻击后的数据样本与正常量测数据样本相结合,生成注入虚假数据的数据集。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,获取虚假数据时,充分考虑多种虚假数据的注入机理,保证了数据来源的全面性和复杂性,有利于提高了攻击检测模型的计算精度并减少冗余计算。
在上述任意一项实施例中优选的,所述状态估计不良数据检测按照如下公式计算;
||r||>t
在上述任意一项实施例中优选的,所述采用孤立森林算法计算数据集中每个数据样本的异常分值的具体步骤为:
S201、从电力量测数据集中,随机选择由多个样本构成的子集,与所选择子集中,随机选择一个特征p;
S202、随机选择特征P中的单个值Q,进行二分裂,若属性P中的任意记录R<Q,则将此记录放在左子节点,若R≥Q,则放在右子节点:
S203、递归构造左子节点和右子节点,构建二叉树,直到满足每条样本都被孤立或树的高度达到了限定高度,构成孤立树;
S204、对量测数据集进行多次采样,得到众多子数据集,分别根据子数据集建立多个孤立树,以此构成孤立森林;
S205、统计任意一个数据点在孤立森林中每棵树的路径长度,计算异常分值。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,采用基于孤立森林的异常分值提取技术,根据数据集中的随机特征构造二叉树,直到所有的随机特征被孤立,或者树达到了指定的高度,生成孤立树,并在多次采样的基础上生成孤立森林,减少传统异常检测和特征提取中的大量计算量,并且提高针对性,更高效的计算异常分值,相比于直接采用聚类及关联算法进行异常数据的检测时产生的庞大计算量,孤立森立算法设计了一套高效且特别的策略,不需对正常的数据构建模型可以直接计算数据的异常分值,因此,孤立森林同时具备较短的计算时间和更高的检测稳定性,适用于大规模、复杂性高的电力量测数据,符合攻击检测对全天候实时性的要求。
在上述任意一项实施例中优选的,所述对数据进行降维,包括如下过程:在原始高维数据中,对高维数据样本点,计算临近点距离;将样本点与临近点作为线性结构,构建局部重建权值矩阵;根据局部重建权值矩阵,建立高维空间在低维空间的映射关系,求取从高维空间投影至低维空间的数据点,实现数据降维。
在上述任意一项实施例中优选的,所述局部重建权值矩阵由误差最小化函数得出,所述误差为将样本点与临近点作为线性结构时生成;
所述误差最小化函数采用如下公式表示:
j=(1,2,…,k)
其中,xi和xj分别表示高维空间的数据点,yi为xi投影至低维空间的数据点;yj为xj投影至低维空间的数据点。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,采用高维数据样本点和临近点作为局部线性嵌入的形式,对数据进行降维,可以改善攻击检测模型的效能,减少计算量和冗余度,对高维的电力量测数据进行属性约简,能够有效的降低计算量;计算精度高。
在上述任意一项实施例中优选的,所述攻击检测模型采用如下方式进行构建:对基学习器与损失函数;采用梯度提升决策树算法,选取叶子数量较少、复杂度较低的决策树弱模型进行迭代;每次迭代前学习,放大上一次学习的错误,使当前迭代步骤的误差比上一次迭代的误差更小,且每次迭代保留之前迭代步骤的全部模型,增加一个误差更小的新模型;按照预设迭代次数迭代完成后形成由多个弱模型组合得到最终的强分类器模型。
在上述任意一项实施例中优选的,所述攻击检测模型在进行攻击检测之前通过机器学习的分类方法进行训练;训练后,所述攻击检测模型按照如下公式进行攻击检测:
其中,P+(x)为计算数据样本受到虚假数据注入攻击的概率,P-(x)为没有受到攻击的概率:Fboost(x)为训练过程中迭代的弱分类器组合得到最终梯度提升决策树模型。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中采用监督学习的方式,基于梯度提升决策树,创新性地将传统的决策树与梯度提升的迭代组合,使单一的决策树分类模型在串行训练中不断提升精度,使用机器学习的分类方法训练攻击检测模型,这种方式避免了人为选择阈值,通过挖掘数据间的关系,可有效提升虚假数据注入攻击的检测精度和稳定性,现代电力系统的量测数据量呈爆发式增长,随着训练数据量的增加,可使检测模型的精度进一步提升。
本发明还提供一种基于孤立森林算法的电力网络攻击检测系统,包括
数据获取模块,用于获取注入虚假数据的数据集;
数据降维模块,用于将数据集中非线性数据,进行局部线性嵌入,对数据进行降维,得到低维数据空间;
异常分值计算模块,用于采用孤立森林算法计算每个数据样本的异常分值,并将每个数据样本的异常分值作为独立的数据特征;
攻击检测模块,用于在所述低维数据空间中提取所述数据特征,将数据特征输入基于机器学习构建的攻击检测模型,进行攻击检测。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明提供的基于孤立森林算法的电力网络攻击检测方法的流程图;
图2为本发明提供的基于孤立森林算法的电力网络攻击检测方法中数据样本特征提取与分析流程图;
图3为本发明提供的基于孤立森林算法的电力网络攻击检测方法中梯度提升构建模型的学习过程图;
图4为本发明提供的基于孤立森林算法的电力网络攻击检测系统的结构框图。
具体实施方式
下面将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
以下详细说明均是示例性的说明,旨在对本发明提供进一步的详细说明。除非另有指明,本发明所采用的所有技术术语与本发明所属领域的一般技术人员的通常理解的含义相同。本发明所使用的术语仅是为了描述具体实施方式,而并非意图限制根据本发明的示例性实施方式。
如图1所示,本发明一方面的实施例提供一种基于孤立森林算法的电力网络攻击检测方法,包括以下步骤:
S1、获取注入虚假数据的数据集;
S2、将数据集中非线性数据,进行局部线性嵌入,对数据进行降维,得到低维数据空间;
S3、采用孤立森林算法计算所述数据集中每个数据样本的异常分值,并将每个数据样本的异常分值作为独立的数据特征;
S4、在所述低维数据空间中,提取所述数据特征,将数据特征输入构建的攻击检测模型,进行攻击检测。
在本实施例中,S2和S3为两个独立的计算过程,并没有先后顺序之分,在执行S4时,攻击检测提取数据特征时,需要在低维数据空间提取。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,采用孤立森林的异常分值提取方法,将其作为一个独立的特征,然后使用非线性的降维局部线性嵌入法的特征提取方案对高维的电力量测数据进行属性约简,能够有效的降低计算量。
在S1中,在获取注入虚假数据的数据集时,包括以下步骤:
S101、采用标准IEEE节点系统,生成正常量测数据样本;
S102、将所述正常量测数据样本进行虚假数据注入攻击,生成受攻击后的电力量测向量;其中所述虚假数据注入攻击,包括以下任意一种或多种注入攻击:满足状态估计不良数据检测的注入攻击;完整拓扑信息下的虚假信息注入攻击:非完整拓扑信息下的虚假信息注入攻击;
S103、将受攻击后的电力量测向量作为受攻击后的数据样本与正常量测数据样本相结合,生成注入虚假数据的数据集。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,获取虚假数据时,充分考虑多种虚假数据的注入机理,保证了数据来源的全面性和复杂性,有利于提高了攻击检测模型的计算精度并减少冗余计算。
进一步,所述虚假数据注入攻击,以下任意一种或多种注入攻击,具体包括:
满足状态估计不良数据检测的注入攻击;状态估计以冗余测量为基础,通过对冗余数据的计算并与阈值进行比较,根据比较结果判断系统量测值中是否存在不良数据。
完整拓扑信息下的虚假信息注入攻击:攻击者提前掌握电网拓扑信息,完全获取了雅可比矩阵,此时构造成功的虚假数据注入攻击难度与成本最低,产生的后果也最为严重,攻击者可以随机控制电力系统运行状态。
非完整拓扑信息下的虚假信息注入攻击。攻击者只掌握局部的网络拓扑、电力系统参数以及电力量测值。在非完整网络拓扑信息的条件下,仍然可以成功构造虚假数据注入攻击。
具体的,上述机理中状态估计不良数据检测算法的过程如下:
电力量测值z与状态估计量x存在非线性关系,h(x)表示此关系,在标准直流系统下,可忽略线路电阻,电压幅值均为1,只考虑带有相位角的状态变量。并假设量测误差为e,m×n的电网拓扑雅可比矩阵为H,W为量测误差对角矩阵,W-1为m维量测值的权值矩阵,r为残差。
量测值和状态变量之间可近似表示为如下线性关系:
z=Hx+e (公式1)
求误差最小的状态估计量x,定义为使加权残差平方和最小的量:
minf(x)=j(x)=(z-Hx)TW(-1)(z-Hx) (公式2)
假设t为判断阈值,若||r||>t,则认为系统量测值中存在不良数据。
假设攻击者提前掌握电网拓扑信息,完全获取了雅可比矩阵H,此时构造成功的FDIAs难度与成本最低,产生的后果也最为严重,攻击者可以随机控制电力系统运行状态,若FDIAs的攻击向量为b,则注入攻击后的量测数据zb如下式所示.
令c为攻击后对系统状态量的干扰值,此时的残差表达式为:
由上式可见,当注入的虚假数据满足b=H时,此时求解使加权残差平方和最小的量(前文minf(x))的目标函数,结果为
此时,不良数据检测的残差表达式为:
如图2所示,在S2中,所述采用孤立森林算法计算每个数据样本的异常分值的具体步骤为:
S201、从电力量测数据集中,随机选择由多个样本构成的子集,与所选择子集中,随机选择一个特征p;
S202、随机选择特征P中的单个值Q,进行二分裂,若属性P中的任意记录R<Q,则将此记录放在左子节点,若R≥Q,则放在右子节点:
S203、递归构造左子节点和右子节点,构建二叉树,直到满足每条样本都被孤立或树的高度达到了限定高度,构成孤立树;
S204、对量测数据集进行多次采样,得到众多子数据集,分别根据子数据集建立多个孤立树,以此构成孤立森林;
S205、统计任意一个数据点在孤立森林中每棵树的路径长度,计算异常分值。
输出每条量测数据的异常分值。对于一个电力量测数据样本x,其在全部孤立树的平均遍历深度,深度越小,说明平均情况更早被孤立,则异常分值越大,深度越大,则异常分值越小。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,采用基于孤立森林的异常分值提取技术,根据数据集中的随机特征构造二叉树,直到所有的随机特征被孤立,或者树达到了指定的高度,生成孤立树,并在多次采样的基础上生成孤立森林,减少传统异常检测和特征提取中的大量计算量,并且提高针对性,更高效的计算异常分值,相比于直接采用聚类及关联算法进行异常数据的检测时产生的庞大计算量,孤立森立算法设计了一套高效且特别的策略,不需对正常的数据构建模型可以直接计算数据的异常分值,因此,孤立森林同时具备较短的计算时间和更高的检测稳定性,适用于大规模、复杂性高的电力量测数据,符合攻击检测对全天候实时性的要求。
在S3中,所述对数据进行降维,包括如下过程:
在原始高维数据中,对高维数据样本点,计算临近点距离;
在原始的高维数据中,对于每一个数据点xi,人为指定相近k(k<N)个点作为临近点,依次计算xi与临近点的距离,公式如下:
将样本点与临近点作为线性结构,构建局部重建权值矩阵;
定义局部重建权值矩阵W,在每一个局部范围,样本点与临近点可近似看作为一个线性结构,则存在误差P(W),建立使误差最小化的如下目标函数:
其中:
利用拉格朗日乘子法,得到如下局部重建权值矩阵:
所述局部重建权值矩阵由误差最小化函数得出,所述误差为将样本点与临近点作为线性结构时生成;所述误差最小化函数采用公式(9)表示:
当Qi为奇异矩阵时,将其正则化:
Q′=Qi+rI (公式13)
其中r是正则化参数,I为单位矩阵
根据局部重建权值矩阵,建立高维空间在低维空间的映射关系;
求取从高维空间投影至低维空间的数据点,实现数据降维。
定义高维空间的数据点xi和xj,求得投影至低维空间的yi和yj,局部权值矩阵wij保持不变,以保持高维空间的非线性结构,建立如下目标函数:
其中M的定义如下:
M=(I-W)T(I-W) (公式15)
同时,目标函数满足下式:
在上述任意一项实施例中优选的,所述高维空间在低维空间的映射关系词用如下公式表示:
使用拉格朗日乘子法,获得如下解:
MYT=λYT (公式19)
其中,xi和xj分别表示高维空间的数据点,yi为xi投影至低维空间的数据点;yj为xj投影至低维空间的数据点。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中,采用高维数据样本点和临近点作为局部线性嵌入的形式,对数据进行降维,可以改善攻击检测模型的效能,减少计算量和冗余度,对高维的电力量测数据进行属性约简,能够有效的降低计算量;计算精度高。
在上述任意一项实施例中优选的,所述攻击检测模型采用如下方式进行构建:对基学习器与损失函数;采用梯度提升决策树算法,选取叶子数量较少、复杂度较低的决策树弱模型进行迭代;每次迭代前学习,放大上一次学习的错误,使当前迭代步骤的误差比上一次迭代的误差更小,且每次迭代保留之前迭代步骤的全部模型,增加一个误差更小的新模型;按照预设迭代次数迭代完成后形成由多个弱模型组合得到最终的强分类器模型。
通过分析虚假数据注入攻击机理,将数据样本划分为正常量测数据和受攻击后的量测数据,构建带标签的正负数据样本,使用机器学习的分类方法训练攻击检测模型,这种方式避免了人为选择阈值,机器学习的攻击检测机理如下
假设给定包含攻击前后正负样本的电力量测数据集:
X={xi},i=(1,2,…,n) (公式20)
有如下分类标记值:
Y={yi},i=(1,2,…,n),yi={-1,1} (公式21)
假设需要判断的测试数据(检测样本)为xi’,分类结果为ci,则与训练完成的预测函数有如下关系:
虚假数据注入攻击的检测问题可转化为如下关系:
其中,α为上文所提的攻击向量,若α=1,则说明第i个量测向量没有受到攻击,反之,则第i个量测向量受到攻击。
学习过程如图3所示,构造模型具体步骤如下:
(1)初始化基学习器及损失函数。
假设基学习器F0(x),损失函数:L(y,F(x)),攻击检测特征训练集D,估计使损失函数最小化的常数值β:
损失函数如下:
L(y,F(x))=log(1+exp(-2yF(x))) (公式24)
(2)如下式设迭代次数为m,定义上一代模型损失函数极小值方向的残差rim,i=1,2,…,N:
(3)将上式中得到的估计残差作为输入,求得M棵决策树的叶节点区域Rnm,其中n=1,2,…,N:
(4)用下设求得损失函数梯度下降方向的最优步长βnm,使损失函数极小值化:
(5)构建更高精度的弱分类器模型Fboost(x),定义v∈(0,1]为学习率,在模型中避免过拟合:
(6)迭代结束,由m个更高精度的弱分类器组合得到最终梯度提升决策树模型:
(7)计算数据样本受到虚假数据注入攻击的概率P+(x),和没有受到攻击的概率P-(x):
其中,P+(x)为计算数据样本受到虚假数据注入攻击的概率,P-(x)为没有受到攻击的概率:Fboost(x)为训练过程中迭代的弱分类器组合得到最终梯度提升决策树模型。
在本实施例提供的基于孤立森林算法的电力网络攻击检测方法中采用监督学习的方式,基于梯度提升决策树,创新性地将传统的决策树与梯度提升的迭代组合,使单一的决策树分类模型在串行训练中不断提升精度,使用机器学习的分类方法训练攻击检测模型,这种方式避免了人为选择阈值,通过挖掘数据间的关系,可有效提升虚假数据注入攻击的检测精度和稳定性,现代电力系统的量测数据量呈爆发式增长,随着训练数据量的增加,可使检测模型的精度进一步提升。
如图4所示,本发明还提供一种基于孤立森林算法的电力网络攻击检测系统,用于实施上述方法,其包括:
数据获取模块1,用于获取注入虚假数据的数据集;
数据降维模块2,用于将数据集中非线性数据,进行局部线性嵌入,对数据进行降维,得到低维数据空间;
异常分值计算模块3,用于采用孤立森林算法计算每个数据样本的异常分值,并将每个数据样本的异常分值作为独立的数据特征;
攻击检测模块4,用于在低维数据空间中提取数据特征,将数据特征输入基于机器学习构建的攻击检测模型,进行攻击检测。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
由技术常识可知,本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此,上述公开的实施方案,就各方面而言,都只是举例说明,并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。
Claims (10)
1.一种基于孤立森林算法的电力网络攻击检测方法,其特征在于,包括以下步骤:
获取注入虚假数据的数据集;
将数据集中非线性数据,进行局部线性嵌入,对数据进行降维,得到低维数据空间;
采用孤立森林算法计算所述数据集中每个数据样本的异常分值,并将每个数据样本的异常分值作为独立的数据特征;
在所述低维数据空间中提取所述数据特征,将数据特征输入基于机器学习构建的攻击检测模型,进行攻击检测。
2.根据权利要求1所述基于孤立森林算法的电力网络攻击检测方法,其特征在于,获取注入虚假数据的数据集,包括以下步骤:
采用标准IEEE节点系统,生成正常量测数据样本;
将所述正常量测数据样本进行虚假数据注入攻击,生成受攻击后的电力量测向量;其中所述虚假数据注入攻击,包括以下任意一种或多种注入攻击:满足状态估计不良数据检测的注入攻击;完整拓扑信息下的虚假信息注入攻击:非完整拓扑信息下的虚假信息注入攻击;
将受攻击后的电力量测向量作为受攻击后的数据样本与正常量测数据样本相结合,生成注入虚假数据的数据集。
4.根据权利要求1所述基于孤立森林算法的电力网络攻击检测方法,其特征在于,所述采用孤立森林算法计算每个数据样本的异常分值的具体步骤为:
S201、从电力量测数据集中,随机选择由多个样本构成的子集,与所选择子集中,随机选择一个特征p;
S202、随机选择特征P中的单个值Q,进行二分裂,若属性P中的任意记录R<Q,则将此记录放在左子节点,若R≥Q,则放在右子节点:
S203、递归构造左子节点和右子节点,构建二叉树,直到满足每条样本都被孤立或树的高度达到了限定高度,构成孤立树;
S204、对量测数据集进行多次采样,得到众多子数据集,分别根据子数据集建立多个孤立树,以此构成孤立森林;
S205、统计任意一个数据点在孤立森林中每棵树的路径长度,计算异常分值。
5.根据权利要求1所述基于孤立森林算法的电力网络攻击检测方法,其特征在于,所述对数据进行降维,包括如下过程:
在原始高维数据中,对高维数据样本点,计算临近点距离;
将样本点与临近点作为线性结构,构建局部重建权值矩阵;
根据局部重建权值矩阵,建立高维空间在低维空间的映射关系,求取从高维空间投影至低维空间的数据点,实现数据降维。
8.根据权利要求1所述的基于孤立森林算法的电力网络攻击检测方法,其特征在于,所述攻击检测模型采用如下方式进行构建:
对基学习器与损失函数;采用梯度提升决策树算法,选取叶子数量较少、复杂度较低的决策树弱模型进行迭代;
每次迭代前学习,放大上一次学习的错误,使当前迭代步骤的误差比上一次迭代的误差更小,且每次迭代保留之前迭代步骤的全部模型,增加一个误差更小的新模型;
按照预设迭代次数迭代完成后形成由多个弱模型组合得到最终的强分类器模型。
10.一种基于孤立森林算法的电力网络攻击检测系统,其特征在于,包括
数据获取模块,用于获取注入虚假数据的数据集;
数据降维模块,用于将数据集中非线性数据,进行局部线性嵌入,对数据进行降维,得到低维数据空间;
异常分值计算模块,用于采用孤立森林算法计算所述数据集中每个数据样本的异常分值,并将每个数据样本的异常分值作为独立的数据特征;
攻击检测模块,用于在所述低维数据空间中提取所述数据特征,将数据特征输入基于机器学习构建的攻击检测模型,进行攻击检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110004429.8A CN112686775A (zh) | 2021-01-04 | 2021-01-04 | 基于孤立森林算法的电力网络攻击检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110004429.8A CN112686775A (zh) | 2021-01-04 | 2021-01-04 | 基于孤立森林算法的电力网络攻击检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112686775A true CN112686775A (zh) | 2021-04-20 |
Family
ID=75457124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110004429.8A Pending CN112686775A (zh) | 2021-01-04 | 2021-01-04 | 基于孤立森林算法的电力网络攻击检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112686775A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113191485A (zh) * | 2021-04-26 | 2021-07-30 | 东北大学 | 一种基于narx神经网络的电力信息网络安全检测系统及方法 |
CN113281998A (zh) * | 2021-04-21 | 2021-08-20 | 浙江工业大学 | 基于生成对抗网络的工业信息物理系统多点fdi攻击检测方法 |
CN113591896A (zh) * | 2021-05-18 | 2021-11-02 | 广西电网有限责任公司电力科学研究院 | 一种电网攻击事件分类检测方法 |
CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
CN113762405A (zh) * | 2021-09-15 | 2021-12-07 | 国网河北省电力有限公司电力科学研究院 | 一种电力网络攻击识别系统及其识别方法 |
CN114372045A (zh) * | 2021-12-08 | 2022-04-19 | 燕山大学 | 基于数据驱动的电力系统受攻击量测数据二层修复方法 |
CN114615042A (zh) * | 2022-03-08 | 2022-06-10 | 中国矿业大学 | 一种针对发电商恶意攻击电网以获利的攻击防御方法 |
CN114928500A (zh) * | 2022-06-27 | 2022-08-19 | 华东理工大学 | 数据注入使能的电网网络参数的攻击检测方法及装置 |
CN114978586A (zh) * | 2022-04-12 | 2022-08-30 | 东北电力大学 | 一种基于攻击基因的电网攻击检测方法、系统和电子设备 |
CN115118482A (zh) * | 2022-06-22 | 2022-09-27 | 西安电子科技大学广州研究院 | 工业控制系统入侵检测线索分析溯源方法、系统及终端 |
CN117150244A (zh) * | 2023-10-30 | 2023-12-01 | 山东凯莱电气设备有限公司 | 基于电参数分析的智能配电柜状态监测方法及系统 |
WO2024117883A1 (ko) * | 2022-12-02 | 2024-06-06 | 주식회사 엘지 경영개발원 | 기계 학습 기반 이상 검출 장치 및 방법 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111783845A (zh) * | 2020-06-12 | 2020-10-16 | 浙江工业大学 | 一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法 |
-
2021
- 2021-01-04 CN CN202110004429.8A patent/CN112686775A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111783845A (zh) * | 2020-06-12 | 2020-10-16 | 浙江工业大学 | 一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法 |
Non-Patent Citations (2)
Title |
---|
王冠森: "基于机器学习的电网虚假数据注入攻击检测方法研究", 中国优秀硕士学位论文全文数据库工程科技Ⅱ辑, 1 May 2019 (2019-05-01), pages 1 - 43 * |
魏金太 等: "基于信息增益和随机森林分类器的入侵检测系统研究", 中北大学学报(自然科学版), no. 01, 15 February 2018 (2018-02-15) * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113281998A (zh) * | 2021-04-21 | 2021-08-20 | 浙江工业大学 | 基于生成对抗网络的工业信息物理系统多点fdi攻击检测方法 |
CN113191485A (zh) * | 2021-04-26 | 2021-07-30 | 东北大学 | 一种基于narx神经网络的电力信息网络安全检测系统及方法 |
CN113191485B (zh) * | 2021-04-26 | 2024-05-10 | 东北大学 | 一种基于narx神经网络的电力信息网络安全检测系统及方法 |
CN113591896A (zh) * | 2021-05-18 | 2021-11-02 | 广西电网有限责任公司电力科学研究院 | 一种电网攻击事件分类检测方法 |
CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
CN113762405A (zh) * | 2021-09-15 | 2021-12-07 | 国网河北省电力有限公司电力科学研究院 | 一种电力网络攻击识别系统及其识别方法 |
CN114372045A (zh) * | 2021-12-08 | 2022-04-19 | 燕山大学 | 基于数据驱动的电力系统受攻击量测数据二层修复方法 |
CN114615042A (zh) * | 2022-03-08 | 2022-06-10 | 中国矿业大学 | 一种针对发电商恶意攻击电网以获利的攻击防御方法 |
CN114978586A (zh) * | 2022-04-12 | 2022-08-30 | 东北电力大学 | 一种基于攻击基因的电网攻击检测方法、系统和电子设备 |
CN115118482A (zh) * | 2022-06-22 | 2022-09-27 | 西安电子科技大学广州研究院 | 工业控制系统入侵检测线索分析溯源方法、系统及终端 |
CN115118482B (zh) * | 2022-06-22 | 2023-05-09 | 西安电子科技大学广州研究院 | 工业控制系统入侵检测线索分析溯源方法、系统及终端 |
CN114928500B (zh) * | 2022-06-27 | 2023-02-24 | 华东理工大学 | 数据注入使能的电网网络参数的攻击检测方法及装置 |
CN114928500A (zh) * | 2022-06-27 | 2022-08-19 | 华东理工大学 | 数据注入使能的电网网络参数的攻击检测方法及装置 |
WO2024117883A1 (ko) * | 2022-12-02 | 2024-06-06 | 주식회사 엘지 경영개발원 | 기계 학습 기반 이상 검출 장치 및 방법 |
CN117150244A (zh) * | 2023-10-30 | 2023-12-01 | 山东凯莱电气设备有限公司 | 基于电参数分析的智能配电柜状态监测方法及系统 |
CN117150244B (zh) * | 2023-10-30 | 2024-01-26 | 山东凯莱电气设备有限公司 | 基于电参数分析的智能配电柜状态监测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112686775A (zh) | 基于孤立森林算法的电力网络攻击检测方法及系统 | |
CN107122809B (zh) | 基于图像自编码的神经网络特征学习方法 | |
CN110555455A (zh) | 一种基于实体关系的在线交易欺诈检测方法 | |
CN101976313B (zh) | 基于频繁子图挖掘的异常入侵检测方法 | |
CN109902740B (zh) | 一种基于多算法融合并行的再学习工业控制入侵检测方法 | |
Zhao et al. | A malware detection method of code texture visualization based on an improved faster RCNN combining transfer learning | |
CN111143838B (zh) | 数据库用户异常行为检测方法 | |
CN113887643B (zh) | 一种基于伪标签自训练和源域再训练的新对话意图识别方法 | |
Yang et al. | Auxiliary information regularized machine for multiple modality feature learning | |
CN112199670B (zh) | 一种基于深度学习改进iforest对行为异常检测的日志监控方法 | |
CN114609994A (zh) | 基于多粒度正则化重平衡增量学习的故障诊断方法及装置 | |
CN116400168A (zh) | 一种基于深度特征聚类的电网故障诊断方法及系统 | |
Si et al. | [Retracted] Image Matching Algorithm Based on the Pattern Recognition Genetic Algorithm | |
CN117521063A (zh) | 基于残差神经网络并结合迁移学习的恶意软件检测方法及装置 | |
CN112422546A (zh) | 一种基于变邻域算法和模糊聚类的网络异常检测方法 | |
CN104200222B (zh) | 一种基于因子图模型的图片中对象识别方法 | |
CN115935179A (zh) | 结合训练集数据分布和w距离的模型窃取检测方法 | |
CN114969761A (zh) | 一种基于lda主题特征的日志异常检测方法 | |
CN111797732B (zh) | 一种对采样不敏感的视频动作识别对抗攻击方法 | |
CN112738724A (zh) | 一种区域目标人群的精准识别方法、装置、设备和介质 | |
Chen | Power system malware detection based on deep belief network classifier | |
CN111581640A (zh) | 一种恶意软件检测方法、装置及设备、存储介质 | |
Ding et al. | Efficient Time Series Classification Based on Learning Similar Trend Features in the Same Class Sequences | |
CN117527451B (zh) | 一种网络入侵检测方法、装置、电子设备及存储介质 | |
CN113505798B (zh) | 一种时变数据的特征提取与追踪方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |