CN114499997A - 攻击行为检测方法、装置、设备、介质和计算机程序产品 - Google Patents
攻击行为检测方法、装置、设备、介质和计算机程序产品 Download PDFInfo
- Publication number
- CN114499997A CN114499997A CN202111660776.2A CN202111660776A CN114499997A CN 114499997 A CN114499997 A CN 114499997A CN 202111660776 A CN202111660776 A CN 202111660776A CN 114499997 A CN114499997 A CN 114499997A
- Authority
- CN
- China
- Prior art keywords
- data
- subspace
- prediction error
- ami
- matrix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 47
- 238000004590 computer program Methods 0.000 title claims abstract description 28
- 230000002159 abnormal effect Effects 0.000 claims abstract description 67
- 238000013507 mapping Methods 0.000 claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 54
- 238000000605 extraction Methods 0.000 claims abstract description 15
- 238000005259 measurement Methods 0.000 claims abstract description 14
- 239000011159 matrix material Substances 0.000 claims description 89
- 230000006399 behavior Effects 0.000 claims description 87
- 239000013598 vector Substances 0.000 claims description 41
- 238000001914 filtration Methods 0.000 claims description 27
- 230000006870 function Effects 0.000 claims description 26
- 238000005070 sampling Methods 0.000 claims description 14
- 230000001629 suppression Effects 0.000 claims description 11
- 238000010276 construction Methods 0.000 claims description 7
- 230000010355 oscillation Effects 0.000 claims description 7
- 206010001488 Aggression Diseases 0.000 claims description 3
- 230000016571 aggressive behavior Effects 0.000 claims description 3
- 208000012761 aggressive behavior Diseases 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 17
- 230000008901 benefit Effects 0.000 abstract description 5
- 230000006854 communication Effects 0.000 description 19
- 238000004891 communication Methods 0.000 description 18
- 230000007123 defense Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 238000000354 decomposition reaction Methods 0.000 description 4
- 238000012067 mathematical method Methods 0.000 description 4
- 238000000513 principal component analysis Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- IQLZWWDXNXZGPK-UHFFFAOYSA-N methylsulfonyloxymethyl methanesulfonate Chemical compound CS(=O)(=O)OCOS(C)(=O)=O IQLZWWDXNXZGPK-UHFFFAOYSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种攻击行为检测方法、装置、设备、介质和计算机程序产品。该方法包括:对高级量测体系AMI系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取,得到时间序列数据;根据时间序列数据构建正常子空间和异常子空间;将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;根据预测误差确定AMI中是否存在攻击行为。能够对任意节点之间进行传输的报文数据进行了特征提取与建模,具有一定程度的通用性,一定程度上克服了AMI系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题,且适用于电力企业AMI系统数据传输的各个环节。
Description
技术领域
本申请涉及人工智能技术领域,特别是涉及一种攻击行为检测方法、装置、设备、介质和计算机程序产品。
背景技术
高级量测体系(Advanced Metering Infrastructure,AMI)作为智能电网的建设支柱,能够实现对用电信息的采集、存储和分析等功能。在AMI系统中,通常使用无线传感器网络(Wireless Sensor Network,WSN)实现数据间传输。但是,由于WSN是一种开放式的通信信道,易受到恶意攻击,因此需要对采用 WSN传输的数据进行检测,并在数据异常时触发主动或被动防御,以避免遭受到网络攻击。
现有技术对AMI系统中各个节点间传输的数据进行检测时,需要针对不同的节点采用不同的检测规则来确定WSN信道是否存在网络攻击。然而,目前的网络攻击检测方式,存在通用性差的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够在检测AMI系统中是否存在攻击行为的通用的攻击行为检测方法、装置、设备、介质和计算机程序产品。
第一方面,本申请提供了一种攻击行为检测方法。该方法包括:
对高级量测体系AMI系统中的多个数据包进行特征提取,得到时间序列数据;数据包为AMI中任意两个待检测节点在预设时间段内进行通信的数据包;
根据时间序列数据构建正常子空间和异常子空间;
将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;
根据预测误差确定AMI中是否存在攻击行为。
在其中一个实施例中,将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差,包括:
将各数据包中的数据分别映射至正常子空间和异常子空间,得到正常子空间的第一映射结果和异常子空间的第二映射结果;
根据第一映射结果、第二映射结果和时间序列数据,确定各数据包的预测误差。
在其中一个实施例中,根据时间序列数据,确定时间序列数据对应的正常子空间和异常子空间,包括:
采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制,得到数据特征向量序列;
根据数据特征向量序列构建正常子空间和异常子空间。
在其中一个实施例中,数据特征向量序列包括m个分量数据,根据数据特征向量序列构建正常子空间和异常子空间,包括:
提取数据特征向量序列中的r个分量数据作为矩阵的第一列,并将r个数值为m的分量数据作为矩阵的第二列,得到特征矩阵;r小于m;
根据特征矩阵和特征矩阵的转置矩阵,构建正常子空间;
根据特征矩阵、特征矩阵的转置矩阵和单位矩阵,构建异常子空间。
在其中一个实施例中,时间序列数据中包括k个数据;采用预设的滤波方式对时间序列数据进行干扰抑制,得到数据特征向量序列,包括:
获取各数据包中的滤波参数;滤波参数包括:网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值;
将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中,确定第i个特征数据,直至确定出k个特征数据,得到数据特征向量序列;i小于等于k。
在其中一个实施例中,根据预测误差确定AMI中是否存在攻击行为,包括:
将各数据包的预测误差分别和预测误差阈值进行比较;
若预测误差大于预测误差阈值,则AMI中存在攻击行为。
第二方面,本申请还提供了一种攻击行为检测装置。该装置包括:
提取模块,用于对高级量测体系系统AMI中的多个数据包进行特征提取,得到时间序列数据;数据包为AMI中任意两个待检测节点在预设时间段内进行通信的数据包;
构建模块,用于根据时间序列数据构建正常子空间和异常子空间;
映射模块,用于将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;
确定模块,用于根据预测误差确定AMI中是否存在攻击行为。
第三方面,本申请还提供了一种计算机设备。该计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述第一方面任一项实施例中方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一项实施例中方法的步骤。
第五方面,本申请还提供了一种计算机程序产品。计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面任一项实施例中方法的步骤。
上述攻击行为检测方法、装置、设备、介质和计算机程序产品。通过对高级量测体系AMI系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取,得到时间序列数据;根据时间序列数据构建正常子空间和异常子空间;将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;根据预测误差确定AMI中是否存在攻击行为。能够不受限于 AMI系统中复杂的结构,不必针对各个节点设置不同的检测规则,仅需使用该种通用的方法,对任意节点之间进行传输的报文数据进行了特征提取与建模,具有一定程度的通用性,一定程度上克服了AMI系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题,且适用于电力企业AMI系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行AMI系统恶意软件攻击行为检测,运算量较小且具有实用性、可靠性,适用于底层AMI系统节点,不会造成较大的运算负载。
附图说明
图1为一个实施例中AMI系统的示意图;
图2为一个实施例中攻击行为检测方法的应用环境图;
图3为一个实施例中攻击行为检测方法的流程示意图;
图4为另一个实施例中攻击行为检测方法的流程示意图;
图5为另一个实施例中攻击行为检测方法的流程示意图;
图6为另一个实施例中攻击行为检测方法的流程示意图;
图7为另一个实施例中攻击行为检测方法的流程示意图;
图8为另一个实施例中攻击行为检测方法的流程示意图;
图9为一个实施例中攻击行为检测装置的结构框图;
图10为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
智能电网(Smart Grid,SG)作为电力行业发展的新目标,有助于电力能源的高质量的、可靠的供应。智能电网作为能量流和数据流的双向通信网络,支持传输发电、输电、变电、用电环节的运行信息,保证系统稳定和高效地运行。
高级量测体系(Advanced Metering Infrastructure,AMI)是智能电网的建设支柱,能够实现对用电信息的采集、存储和分析等功能,该系统主要由智能电表(SmartMeter)、通讯系统与设备、电表信息管理系统(Meter Database Management system,MDMS)组成如图1所示,涵盖了从电网控制中心到终端用户电表的全部数据传输过程。
AMI系统设备数量庞大、分布广泛且多采用开放式结构,并且系统通常使用双向通信网络,不仅传输用户个人信息、用电量信息、设备控制信号与运行状态信息等。鉴于通信成本与传输效率,若使用传统的有线信道,则布线、维护复杂且成本难以控制,因此通常使用无线传感器网络(Wireless Sensor Network,WSN)进行数据传输,WSN是一种开放式的通信信道,具有传输效率高、通信成本低、高容错、多跳路由等特点,因此WSN广泛应用于AMI系统的通信过程中。
由于AMI系统的智能电表所处环境复杂,且传输数据内容敏感,例如用户原始用电量数据、用户个人信息等,涉及用户隐私与电力企业经济利益,加之 AMI采用WSN信道,其通信信道公开,这使得AMI的WSN信道存在受到外部恶意软件攻击的风险,造成用户信息泄露,用电量数据或电能数据异常甚至 AMI系统的破坏和瘫痪。因此为了保证AMI系统安全稳定的运行,需要在AMI 系统的通信环节对恶意软件的攻击行为进行防御,以防止恶意软件对AMI系统的破坏。
对于AMI系统恶意软件攻击的防御,分为主动式防御和被动式防御。对于 AMI系统来自外部的攻击,通常采用身份认证和加密等方式进行被动式防御,而由于AMI复杂的结构和功能,常存在窃电、恶意干扰、伪造数据等问题,若仅仅采用被动式防御,并不能有效掌握AMI系统各个节点的安全状态,因此需要在被动式防御的基础上进行主动式防御,对AMI系统的恶意软件攻击行为进行特征建模与实时检测,在检测到AMI通信网络中存在的异常报文时,分析是否AMI系统是否存在安全威胁,主动展开安全防御措施与各个节点的信任管理措施,以防止恶意程序对AMI系统的入侵,保证涉及数据的真实、有效和可用性。
目前有关学者提出的面向AMI系统的攻击行为检测大多源自计算机网络系统的攻击行为检测,然而AMI系统与计算机网络系统仍存在一定差异,例如AMI 系统底层设备运算能力受限,计算存储资源有限导致无法运行复杂的算法和安全防护措施,因此将计算机网络系统的攻击行为检测方法直接套用可能会产生不适用的情况,例如,使用神经网络、遗传算法等机器学习方法进行AMI系统攻击行为检测,普遍要进行较为复杂的运算,对于底层AMI系统节点难以负担如此复杂的计算。因此需要针对AMI系统的攻击行为检测,提出轻量、实时、可靠的攻击行为建模与检测方法;
并且,AMI系统结构具有结构的复杂性和组件的异构性,目前针对AMI攻击行为的检测较为局限,分析的目标主要集中在数据集中器、智能电表以及AMI 通信协议,对于不同的环节采用不同的攻击行为检测方法与防御措施,这使得 AMI系统整体的攻击行为检测与整体防御的实现较为复杂,因此需要针对AMI 系统设计一个具有一定通用性的AMI系统攻击行为检测方法,使得其能够适应 AMI系统的复杂性与异构性。
基于此,本申请实施例提供一种能够实现通用性的攻击行为检测方法,可以应用于如图2所示的应用环境中。该应用环境中包括终端11和AMI系统12,其中,终端102通过网络获取AMI系统中各个节点之间进行通信的通信数据。当获取到AMI系统中各个节点之间采用WSN信道进行交互的数据包后,对数据包中的数据进行分析,以确定AMI系统是否存在攻击行为。其中,终端102 可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。
在一个实施例中,如图3所示,提供了一种攻击行为检测方法,以该方法应用于图2中的终端为例进行说明,包括以下步骤:
S302,对高级量测体系AMI系统中的多个数据包进行特征提取,得到时间序列数据;数据包为AMI中任意两个待检测节点在预设时间段内进行通信的数据包。
其中,待检测节点为AMI系统中不同设备,AMI系统中不同设备之间进行数据通信的过程中,会产生多个数据包。
具体地,首先终端可以获取AMI系统中各个待检测节点在预设时间段内通过WSN信道进行通信的数据包,根据各个数据包中的初始建模参数,可以确定多个数据包对应的时间序列数据,对各数据包中的初始建模参数,采用线性拟合的方式得到拟合后的目标建模参数;将拟合后的目标建模参数代入预设的数据特征公式进行特征提取,即可确定时间序列数据(v1,v2,…,vm)。其中,初始建模参数包括:初始阶段频率交叉项、软件攻击行为数据时间序列的噪声、软件攻击行为数据识别输出中心距、软件攻击行为数据特征峰度。其中线性拟合的方式为二项式拟合。可选地,数据包中为网络报文数据。
其中,预设的数据特征公式为:vx(t):表示恶意软件攻击行为数据特征频率交叉项,即确定时间序列数据的函数;Rp(u):表示恶意软件攻击行为数据传输的时间尺度脉冲响应;v0:拟合后的初始阶段频率交叉项;Xp(u):拟合后的软件攻击行为数据识别输出中心距;vr:拟合后的软件攻击行为数据特征峰度;βt:拟合后的恶意软件攻击行为数据时间序列的噪声。
S304,根据时间序列数据构建正常子空间和异常子空间。
具体地,可以通过对时间序列数据中提取预设个数的数据作为特征矩阵的一列;并将个数为预设的个数,数值的大小为时间序列数据中的数据总个数对应的数值作为特征矩阵的另一列,构建特征矩阵。根据特征矩阵以及特征矩阵的转置矩阵,构建正常子空间。根据特征矩阵、特征矩阵的转置矩阵以及单位矩阵,构建异常子空间。
还可以是,对时间序列数据进行滤波降噪,得到数据特征向量序列。提取数据特征向量序列中预设个数的数据作为特征矩阵的一列;并将个数为预设的个数,数值的大小为数据特征向量序列中的数据总个数对应的数值作为特征矩阵的另一列,构建特征矩阵。根据特征矩阵以及特征矩阵的转置矩阵,构建正常子空间。根据特征矩阵、特征矩阵的转置矩阵以及单位矩阵,构建异常子空间。
S306,将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差。
具体地,将各个数据包中的网络数据通过映射公式映射至正常子空间和异常子空间中;将第一映射结果和第二映射结果代入至预测误差公式中,即可得到各数据包的预测误差。
其中映射公式为:
S308,根据预测误差确定AMI中是否存在攻击行为。
具体地,当确定预测误差后,根据预测误差和误差阈值进行比较,根据比较结果,确定AMI中是否存在攻击行为。可以是通过将预测误差和误差阈值直接进行比较,若预测误差大于误差阈值,则AMI中存在攻击行为。也可以是将预测误差和误差阈值进行作差,若差值大于0,则AMI中存在攻击行为。还可以是将预测误差和误差阈值进行作商,若商值大于1,则AMI中存在攻击行为。
在本实施例中,通过对高级量测体系AMI系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取,得到时间序列数据;根据时间序列数据构建正常子空间和异常子空间;将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;根据预测误差确定AMI中是否存在攻击行为。能够不受限于AMI系统中复杂的结构,不必针对各个节点设置不同的检测规则,对任意节点之间进行传输的报文数据进行了特征提取与建模,具有一定程度的通用性,一定程度上克服了AMI系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题,且适用于电力企业AMI系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行AMI系统恶意软件攻击行为检测,运算量较小且具有实用性、可靠性,适用于底层AMI系统节点,不会造成较大的运算负载。
上述实施例对攻击行为检测方法进行了说明,现以一个实施例对如何确定各数据包的预测误差进一步说明,在一个实施例中,如图4所示,将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差,包括:
S402,将各数据包中的数据分别映射至正常子空间和异常子空间,得到正常子空间的第一映射结果和异常子空间的第二映射结果。
S404,根据第一映射结果、第二映射结果和时间序列数据,确定各数据包的预测误差。
具体地,将各个数据包中的网络数据通过映射公式映射至正常子空间和异常子空间中;将第一映射结果和第二映射结果代入至预测误差公式中,即可得到各数据包的预测误差。
其中映射公式为:
在本实施例中,将各数据包中的数据分别映射至正常子空间和异常子空间,得到正常子空间的第一映射结果和异常子空间的第二映射结果,根据第一映射结果、第二映射结果和时间序列数据,确定各数据包的预测误差。确定出预测结果,以便为后续的确定是否存在攻击行为提供依据。
上述实施例对如何确定预测误差进行了说明,现以一个实施例对如何确定正常子空间和异常子空间进行说明,在一个实施例中,如图5所示,根据时间序列数据,确定时间序列数据对应的正常子空间和异常子空间,包括:
S502,采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制,得到数据特征向量序列。
其中,预设的滤波方式为FIR滤波方式。
具体地,由于在AMI系统数据传输中,恶意软件进行攻击行为时,时间序列数据中包含的噪声为非高斯噪声,且恶意软件攻击行为数据呈现线性相关的时间序列数据,因此使用FIR滤波的方式即可对时间序列数据中的噪声进行干扰抑制,得到降噪后的数据特征向量序列。
进一步地,在一个实施例中,如图6,时间序列数据中包括k个数据;采用预设的滤波方式对时间序列数据进行干扰抑制,得到数据特征向量序列,包括:
S602,获取各数据包中的滤波参数;滤波参数包括:网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值。
具体地,当获取到数据包后,即可从数据包中的报文数据中获取到各数据包中的滤波参数,网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值。
S604,将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中,确定第i个特征数据,直至确定出k个特征数据,得到数据特征向量序列;i小于等于k。
其中,预设的滤波函数为FIR滤波的网络数据干扰抑制函数:其中:c0表示AMI系统数据传输过程中网络数据初始采样 赋值;ci表示AMI系统数据传输过程中指定时刻的采样赋值;xn-i表示时间序列 数据中的第i-1个数据;MAR表示多元数量值函数;ηn-j表示恶意软件攻击行为数 据特征时变瞬时频率;MMA表示AMI系统中网络数据时间时间序列在时频特征 空间子域中短时窗函数;bj表示AMI系统中信息传输过程网络数据的震荡赋值; xn为第i个特征数据。
具体地,由于时间序列数据中包括k个数据,可以将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中,确定出第i个特征数据,直至确定出k个特征数据,得到数据特征向量序列(x1,x2,x3,x4,…… xk);i小于等于k。
S504,根据数据特征向量序列构建正常子空间和异常子空间。
具体地,数据特征向量序列中包括k个数据。提取数据特征向量序列(x1, x2,x3,x4,……xk)中预设个数的数据作为特征矩阵的一列;并将个数为预设的个数,数值的大小为数据特征向量序列中的数据总个数对应的数值作为特征矩阵的另一列,构建特征矩阵。根据特征矩阵以及特征矩阵的转置矩阵,构建正常子空间。根据特征矩阵、特征矩阵的转置矩阵以及单位矩阵,构建异常子空间。
进一步地,在一个实施例中,如图7所示,数据特征向量序列包括m个分量数据,根据数据特征向量序列构建正常子空间和异常子空间,包括:
S702,提取数据特征向量序列中的r个分量数据作为矩阵的第一列,并将r 个数值为m的分量数据作为矩阵的第二列,得到特征矩阵;r小于m。
具体地,数据特征向量序列中包括m个数据。可以提取数据特征向量序列 (x1,x2,x3,x4,……xm)中r个分量数据作为矩阵的第一列,即提取(x1, x2,x3,x4,…xr)作为网络数据包正常空间的主成分,并将r个数值为m的分量数据作为矩阵的第二列,即(m,m,…,m);进而得到特征矩阵P:其中,r小于m。
S704,根据特征矩阵和特征矩阵的转置矩阵,构建正常子空间。
具体地,将特征矩阵和特征矩阵的转置矩阵相乘得到正常子空间B;即 B=PPT。
S706,根据特征矩阵、特征矩阵的转置矩阵和单位矩阵,构建异常子空间。
其中,单位矩阵为大小为r*r单位矩阵。
在本实施例中,通过采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制,得到数据特征向量序列,根据数据特征向量序列构建正常子空间和异常子空间。通过正常子空间和异常子空间以便于对后续的预测误差进行计算,提供依据。
上述实施例对如何构建正常子空间和异常子空间进行了说明,现以一个实施例对如何确定攻击行为进行说明,在一个实施例中,如图8所示,根据预测误差确定AMI中是否存在攻击行为,包括:
S802,将各数据包的预测误差分别和预测误差阈值进行比较。
S804,若预测误差大于预测误差阈值,则AMI中存在攻击行为。
在本实施例中,将各数据包的预测误差分别和预测误差阈值进行比较,若预测误差大于预测误差阈值,则AMI中存在攻击行为。使用某一置信度下的SPE 对应的预测误差阈值作为判断依据,由于置信度可控,因此可以根据实际情况控制攻击行为检测的灵敏度,具有一定的灵活性。
为了便于本领域技术人员的理解,现以一个实施例对攻击行为检测方法进一步说明,在一个实施例中,攻击行为检测方法,包括:
S100,对高级量测体系AMI系统中的多个数据包进行特征提取,得到时间序列数据;数据包为AMI中任意两个待检测节点在预设时间段内进行通信的数据包。
S200,获取各数据包中的滤波参数;滤波参数包括:网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值。
S300,将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中,确定第i个特征数据,直至确定出k个特征数据,得到数据特征向量序列;i小于等于k。
S400,提取数据特征向量序列中的r个分量数据作为矩阵的第一列,并将r 个数值为m的分量数据作为矩阵的第二列,得到特征矩阵;r小于m。
S500,根据特征矩阵和特征矩阵的转置矩阵,构建正常子空间。
S600,根据特征矩阵、特征矩阵的转置矩阵和单位矩阵,构建异常子空间。
S700,将各数据包中的数据分别映射至正常子空间和异常子空间,得到正常子空间的第一映射结果和异常子空间的第二映射结果。
S800,根据第一映射结果、第二映射结果和时间序列数据,确定各数据包的预测误差。
S900,将各数据包的预测误差分别和预测误差阈值进行比较。
S1000,若预测误差大于预测误差阈值,则AMI中存在攻击行为。
在本实施例中,通过对高级量测体系AMI系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取,得到时间序列数据;根据时间序列数据构建正常子空间和异常子空间;将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;根据预测误差确定AMI中是否存在攻击行为。能够不受限于AMI系统中复杂的结构,不必针对各个节点设置不同的检测规则,对任意节点之间进行传输的报文数据进行了特征提取与建模,具有一定程度的通用性,一定程度上克服了AMI系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题,且适用于电力企业AMI系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行AMI系统恶意软件攻击行为检测,运算量较小且具有实用性、可靠性,适用于底层AMI系统节点,不会造成较大的运算负载。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的攻击行为检测方法的攻击行为检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个攻击行为检测装置实施例中的具体限定可以参见上文中对于攻击行为检测方法的限定,在此不再赘述。
在一个实施例中,如图9所示,提供了一种攻击行为检测装置,包括:
提取模块901,用于对高级量测体系系统AMI中的多个数据包进行特征提取,得到时间序列数据;数据包为AMI中任意两个待检测节点在预设时间段内进行通信的数据包;
构建模块902,用于根据时间序列数据构建正常子空间和异常子空间;
映射模块903,用于将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;
确定模块904,用于根据预测误差确定AMI中是否存在攻击行为。
在本实施例中,提取模块对高级量测体系AMI系统中任意两个待检测节点在预设时间段内的多个数据包进行特征提取,得到时间序列数据;构建模块根据时间序列数据构建正常子空间和异常子空间;映射模块将各数据包中的网络数据映射至正常子空间和异常子空间中,以得到各数据包的预测误差;确定模块根据预测误差确定AMI中是否存在攻击行为。能够不受限于AMI系统中复杂的结构,不必针对各个节点设置不同的检测规则,仅需使用该种通用的方法,对任意节点之间进行传输的报文数据进行了特征提取与建模,具有一定程度的通用性,一定程度上克服了AMI系统复杂性与异构性带来了攻击行为检测问题复杂且繁琐的问题,且适用于电力企业AMI系统数据传输的各个环节。并且使用主成分分析与特征分解的数学方法进行AMI系统恶意软件攻击行为检测,运算量较小且具有实用性、可靠性,适用于底层AMI系统节点,不会造成较大的运算负载。
在一个实施例中,映射模块,包括:
映射单元,用于将各数据包中的数据分别映射至正常子空间和异常子空间,得到正常子空间的第一映射结果和异常子空间的第二映射结果;
确定单元,用于根据第一映射结果、第二映射结果和时间序列数据,确定各数据包的预测误差。
在一个实施例中,构建模块,包括
干扰抑制单元,用于采用预设的滤波的方式对时间序列数据中的噪声进行干扰抑制,得到数据特征向量序列;
构建单元,用于根据数据特征向量序列构建正常子空间和异常子空间。
在一个实施例中,数据特征向量序列包括m个分量数据,构建单元,具体用于提取数据特征向量序列中的r个分量数据作为矩阵的第一列,并将r个数值为m的分量数据作为矩阵的第二列,得到特征矩阵;r小于m;根据特征矩阵和特征矩阵的转置矩阵,构建正常子空间;根据特征矩阵、特征矩阵的转置矩阵和单位矩阵,构建异常子空间。
在一个实施例中,时间序列数据中包括k个数据,干扰抑制单元,具体用于获取各数据包中的滤波参数;滤波参数包括:网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值;将滤波参数、时间序列数据中的第i-1个数据依次代入至预设的滤波函数中,确定第i个特征数据,直至确定出k个特征数据,得到数据特征向量序列;i小于等于k。
在一个实施例中,确定模块,包括:
比较单元,用于将各数据包的预测误差分别和预测误差阈值进行比较;
攻击行为确定单元,用于若预测误差大于预测误差阈值,则AMI中存在攻击行为。
上述攻击行为检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种攻击行为检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器 (Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory, DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种攻击行为检测方法,其特征在于,所述方法包括:
对高级量测体系AMI系统中的多个数据包进行特征提取,得到时间序列数据;所述数据包为所述AMI中任意两个待检测节点在预设时间段内进行通信的数据包;
根据所述时间序列数据构建正常子空间和异常子空间;
将各所述数据包中的网络数据映射至所述正常子空间和所述异常子空间中,以得到各所述数据包的预测误差;
根据所述预测误差确定所述AMI中是否存在攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述将各所述数据包中的网络数据映射至所述正常子空间和所述异常子空间中,以得到各所述数据包的预测误差,包括:
将各所述数据包中的数据分别映射至所述正常子空间和所述异常子空间,得到所述正常子空间的第一映射结果和所述异常子空间的第二映射结果;
根据所述第一映射结果、所述第二映射结果和所述时间序列数据,确定各所述数据包的预测误差。
3.根据权利要求2所述的方法,其特征在于,所述根据所述时间序列数据,确定所述时间序列数据对应的正常子空间和异常子空间,包括:
采用预设的滤波的方式对所述时间序列数据中的噪声进行干扰抑制,得到数据特征向量序列;
根据所述数据特征向量序列构建所述正常子空间和所述异常子空间。
4.根据权利要求3所述的方法,其特征在于,所述数据特征向量序列包括m个分量数据,所述根据所述数据特征向量序列构建所述正常子空间和所述异常子空间,包括:
提取所述数据特征向量序列中的r个分量数据作为矩阵的第一列,并将r个数值为m的分量数据作为所述矩阵的第二列,得到特征矩阵;r小于m;
根据所述特征矩阵和所述特征矩阵的转置矩阵,构建所述正常子空间;
根据所述特征矩阵、所述特征矩阵的转置矩阵和单位矩阵,构建所述异常子空间。
5.根据权利要求3所述的方法,其特征在于,所述时间序列数据中包括k个数据;所述采用预设的滤波方式对所述时间序列数据进行干扰抑制,得到数据特征向量序列,包括:
获取各所述数据包中的滤波参数;所述滤波参数包括:网络数据初始采样赋值、网路数据在指定时刻的采样赋值、多元数量值函数、攻击行为数据特征时变瞬时频率、时间序列数据在时频特征空间子域中短时窗函数、网络数据的震荡赋值;
将所述滤波参数、所述时间序列数据中的第i-1个数据依次代入至预设的滤波函数中,确定第i个特征数据,直至确定出k个特征数据,得到所述数据特征向量序列;i小于等于k。
6.根据权利要求1所述的方法,其特征在于,所述根据所述预测误差确定所述AMI中是否存在攻击行为,包括:
将各所述数据包的预测误差分别和预测误差阈值进行比较;
若所述预测误差大于所述预测误差阈值,则所述AMI中存在攻击行为。
7.一种攻击行为检测装置,其特征在于,所述装置包括:
提取模块,用于对高级量测体系系统AMI中的多个数据包进行特征提取,得到时间序列数据;所述数据包为所述AMI中任意两个待检测节点在预设时间段内进行通信的数据包;
构建模块,用于根据所述时间序列数据构建正常子空间和异常子空间;
映射模块,用于将各所述数据包中的网络数据映射至所述正常子空间和所述异常子空间中,以得到各所述数据包的预测误差;
确定模块,用于根据所述预测误差确定所述AMI中是否存在攻击行为。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111660776.2A CN114499997B (zh) | 2021-12-30 | 2021-12-30 | 攻击行为检测方法、装置、设备、介质和计算机程序产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111660776.2A CN114499997B (zh) | 2021-12-30 | 2021-12-30 | 攻击行为检测方法、装置、设备、介质和计算机程序产品 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114499997A true CN114499997A (zh) | 2022-05-13 |
CN114499997B CN114499997B (zh) | 2024-03-15 |
Family
ID=81509021
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111660776.2A Active CN114499997B (zh) | 2021-12-30 | 2021-12-30 | 攻击行为检测方法、装置、设备、介质和计算机程序产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114499997B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101534305A (zh) * | 2009-04-24 | 2009-09-16 | 中国科学院计算技术研究所 | 网络流量异常检测方法和系统 |
US20130285835A1 (en) * | 2012-04-27 | 2013-10-31 | Electronics And Telecommunications Research Institute | Method and apparatus for data management in advanced metering infrastructure network |
CN106295323A (zh) * | 2016-07-27 | 2017-01-04 | 苏盛 | 基于云安全的高级计量体系恶意软件检测方法 |
CN108574691A (zh) * | 2017-03-09 | 2018-09-25 | 通用电气公司 | 用于保护电力网控制系统的系统、方法以及计算机可读介质 |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
CN111600919A (zh) * | 2019-02-21 | 2020-08-28 | 北京金睛云华科技有限公司 | 基于人工智能的web检测方法和装置 |
CN112800461A (zh) * | 2021-01-28 | 2021-05-14 | 深圳供电局有限公司 | 一种基于联邦学习框架的电力计量系统网络入侵检测方法 |
CN113408609A (zh) * | 2021-06-17 | 2021-09-17 | 武汉卓尔信息科技有限公司 | 一种网络攻击检测方法及系统 |
-
2021
- 2021-12-30 CN CN202111660776.2A patent/CN114499997B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101534305A (zh) * | 2009-04-24 | 2009-09-16 | 中国科学院计算技术研究所 | 网络流量异常检测方法和系统 |
US20130285835A1 (en) * | 2012-04-27 | 2013-10-31 | Electronics And Telecommunications Research Institute | Method and apparatus for data management in advanced metering infrastructure network |
CN106295323A (zh) * | 2016-07-27 | 2017-01-04 | 苏盛 | 基于云安全的高级计量体系恶意软件检测方法 |
CN108574691A (zh) * | 2017-03-09 | 2018-09-25 | 通用电气公司 | 用于保护电力网控制系统的系统、方法以及计算机可读介质 |
CN111600919A (zh) * | 2019-02-21 | 2020-08-28 | 北京金睛云华科技有限公司 | 基于人工智能的web检测方法和装置 |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
CN112800461A (zh) * | 2021-01-28 | 2021-05-14 | 深圳供电局有限公司 | 一种基于联邦学习框架的电力计量系统网络入侵检测方法 |
CN113408609A (zh) * | 2021-06-17 | 2021-09-17 | 武汉卓尔信息科技有限公司 | 一种网络攻击检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114499997B (zh) | 2024-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11792229B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
Qu et al. | Chance-constrained H∞ state estimation for recursive neural networks under deception attacks and energy constraints: The finite-horizon case | |
US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
Zhang et al. | Protecting critical infrastructures against intentional attacks: A two-stage game with incomplete information | |
EP2814218B1 (en) | Detecting anomalies in work practice data by combining multiple domains of information | |
US11501008B2 (en) | Differential privacy using a multibit histogram | |
CN114846468A (zh) | 检测异常网络活动 | |
Lavrova et al. | Applying correlation and regression analysis to detect security incidents in the internet of things | |
CN111475838B (zh) | 基于深度神经网络的图数据匿名方法、装置、存储介质 | |
Akter et al. | Edge intelligence: Federated learning-based privacy protection framework for smart healthcare systems | |
Ye et al. | Secure and efficient outsourcing differential privacy data release scheme in cyber–physical system | |
Kapadia et al. | Secure cloud computing with brokered trusted sensor networks | |
CN112073444B (zh) | 数据集的处理方法、装置和服务器 | |
Akter et al. | Edge intelligence-based privacy protection framework for iot-based smart healthcare systems | |
Che et al. | KNEMAG: key node estimation mechanism based on attack graph for IOT security | |
CN117395043A (zh) | 跨域攻击路径的评估方法、装置、设备及存储介质 | |
Shi et al. | A dynamic programming model for internal attack detection in wireless sensor networks | |
CN114499997B (zh) | 攻击行为检测方法、装置、设备、介质和计算机程序产品 | |
Yun et al. | Wake-Up Security: Effective Security Improvement Mechanism for Low Power Internet of Things. | |
Yan et al. | Modeling and control of malware propagation in wireless IoT networks | |
CN115225359A (zh) | 蜜罐数据溯源方法、装置、计算机设备和存储介质 | |
Ksibi et al. | IoMT security model based on machine learning and risk assessment techniques | |
Pan et al. | Side-channel analysis-based model extraction on intelligent CPS: An information theory perspective | |
WO2021074773A1 (en) | Learning pattern dictionary from noisy numerical data in distributed networks | |
Domb et al. | Anomaly Detection in IoT: Recent Advances, AI and ML Perspectives and Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |