CN115051834B - 一种基于STSA-transformer算法的新型电力系统APT攻击检测方法 - Google Patents

一种基于STSA-transformer算法的新型电力系统APT攻击检测方法 Download PDF

Info

Publication number
CN115051834B
CN115051834B CN202210532321.0A CN202210532321A CN115051834B CN 115051834 B CN115051834 B CN 115051834B CN 202210532321 A CN202210532321 A CN 202210532321A CN 115051834 B CN115051834 B CN 115051834B
Authority
CN
China
Prior art keywords
data
power system
result
stsa
attention
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210532321.0A
Other languages
English (en)
Other versions
CN115051834A (zh
Inventor
李元诚
原洁璇
王庆乐
支妍力
曾萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Jiangxi Electric Power Co ltd
State Grid Jiangxi Electric Power Co ltd Ji'an Power Supply Branch
North China Electric Power University
Original Assignee
State Grid Jiangxi Electric Power Co ltd
State Grid Jiangxi Electric Power Co ltd Ji'an Power Supply Branch
North China Electric Power University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Jiangxi Electric Power Co ltd, State Grid Jiangxi Electric Power Co ltd Ji'an Power Supply Branch, North China Electric Power University filed Critical State Grid Jiangxi Electric Power Co ltd
Priority to CN202210532321.0A priority Critical patent/CN115051834B/zh
Publication of CN115051834A publication Critical patent/CN115051834A/zh
Application granted granted Critical
Publication of CN115051834B publication Critical patent/CN115051834B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Supply And Distribution Of Alternating Current (AREA)
  • Feedback Control In General (AREA)

Abstract

本发明提出了一种基于STSA‑transformer算法的新型电力系统APT攻击检测方法及电子设备,通过STSA‑transformer算法结合一种新的归一化操作PowerNorm的步骤,记忆了网络流量的历史记录,捕获了更大范围的序列长度,降低了检测过程中的网络计算资源的开销,提升了神经网络运行的效率,对时序性数据具有较好的检测能力,增强了对新型电力系统中APT攻击检测的能力。

Description

一种基于STSA-transformer算法的新型电力系统APT攻击检 测方法
技术领域
本发明属于电气信息技术领域,具体涉及一种针对新型电力系统的APT攻击检测方法。
背景技术
“双碳”目标下的新型电力系统的特点包括高渗透率的可再生能源与高比例的电力电子设备,高增长的电力负荷与高比例电气化水平,新型数字、智能技术深度融合与灵活高效广泛的能源配置,开放包容安全与多系统多形态互联互动。这些特点使得新型电力系统的不确定性、开放性、复杂性增加,这给电力系统的安全稳定运行带来了新的挑战。
近年来发生多起针对电力系统的网络安全事件,攻击者大都通过发起高级可持续威胁(Advanced Persistent Threat,APT)攻击导致电力系统瘫痪,APT攻击已经成为目前电网中最重要的新型威胁,并造成了巨大损失。与其他攻击形式相比,APT具有强针对性、潜伏性、长期纠缠性等特点,其攻击过程更为隐蔽,并利用复杂的攻击手段对电力系统进行有针对性地、持续性攻击和渗透,在长时间跨度下只产生少量混杂在正常活动中的攻击行为。因此,以检测和隔离为主的传统被动防御方法通常对APT失效。新型电力系统的双高、双随机特征增加了系统的攻击面,因此比传统电网更容易遭受APT攻击。因此,提出一种新的方法来对新型电力系统的APT攻击进行检测十分重要。
发明内容
本发明的目的在于提供针对新型电力系统中存在的潜伏时间长、危害程度高、检测难度大的APT攻击,能够有效检测的一种基于STSA-transformer算法的APT攻击检测方法。和之前的相关技术进行比较,本发明的目的在于找到一种对长时间序列数据敏感的检测方法,能够捕获更大范围的APT攻击序列,从而提高APT攻击检测的效果。
为达到以上目的,本发明采取的技术方案是:
一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,
基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征,模拟电力系统遭受的网络攻击,从信息侧的数据采集设备收集网络流量数据,并进行整理,作为下一步的输入;
将所述网络流量数据进行预处理;
提出一种软阈值化自注意力机制(STSA),对时间序列数据之间的相关性进行捕捉,并消除部分冗余信息;
依据所述软阈值化自注意力机制,使用PowerNorm归一化的transformer编码层对输入进行计算,最后通过softmax层将结果进行分类输出;
初始化参数,依据所述通过softmax层将结果进行分类输出搭建模型,对模型进行训练,使用梯度下降法对权值进行更新,作为下一步的输入;
用训练好的模型对新型电力系统的APT攻击进行检测,如果检测结果为正常,则流量可以进行正常操作;如果检测结果为攻击类别,则需要对系统发出警报提醒。
在上述方案的基础上,所述预处理包括离散特征数值化和特征值归一化。
在上述方案的基础上,基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征,模拟电力系统遭受的网络攻击,从信息侧的数据采集设备收集网络流量数据,并进行整理,作为下一步的输入具体包括:
了解新型电力系统基本结构组成,分析新型电力系统基本特征;
对新型电力系统进行模拟网络攻击,在信息侧设备收集长时间范围内的网络流量数据,并按不同阶段进行划分,整理成数据集。
在上述方案的基础上,将所述网络流量数据进行预处理,所述预处理包括离散特征数值化和特征值归一化具体包括:
对数据中的离散型数据进行二进制的独热编码,将其转换为数值型数据;
对所有特征向量进行归一化操作,公式如下所示:
Figure BDA0003637742770000031
其中,Xmax与Xmin分别表示原始特征值取值范围上的最大值和最小值,X表示原始特征值,Xn表示归一化之后的特征值。
在上述方案的基础上,提出一种软阈值化自注意力机制(STSA),对时间序列数据之间的相关性进行捕捉,并消除部分冗余信息具体包括:
对数据集的特征向量进行位置编码,保存数据的位置信息,公式如下所示:
PE(pos,2i)=sin(pos/100002i/dmodel)
PE(pos,2i+1)=cos(pos/100002i/dmodel)
其中pos为序列中的位置,dmodel为位置信息编码的特征向量的维度,i表示位置信息编码特征向量的第i个元素,编码向量中的奇数位用cos来编码,偶数位用sin来编码;
将原始数据的特征向量与位置编码的结果相加,将结果输入到自注意力层;
初始化三个权重矩阵,将它们分别乘以输入向量,得到Q、K、V三个矩阵,利用这三个矩阵进行多头自注意力的计算,计算公式如下:
Figure BDA0003637742770000032
其中Q、K、V为三个需要进行权重更新的矩阵,d为特征向量的维度;
将得到的注意力结果输入一个神经网络模块之中,该模块包含全局平均池化层以及两个全连接层,最后通过sigmoid函数将结果输出,与全局平均池化层的结果相乘,得到每一条样本数据的阈值;
根据上述阈值,利用软阈值算法计算公式,对注意力结果进行软阈值操作,保留注意力的重要部分,不重要的部分舍去,并对冗余部分进行消除:
Figure BDA0003637742770000041
在上述方案的基础上,依据所述软阈值化自注意力机制,使用PowerNorm归一化的transformer编码层对输入进行计算,最后通过softmax层将结果进行分类输出具体包括:
将计算得到的软阈值自注意力的结果输入到transformer编码器除多头自注意力之外的部分,主要包括残差网络、归一化以及前馈神经网络,最后通过softmax函数将结果分类输出,其中的归一化操作将传统transformer中的LN层替换为一种新的归一化操作PoweNorm,将原来的强制零均值和单位方差的操作改为强制二次均值的操作,其计算公式如下所示:
Figure BDA0003637742770000042
Figure BDA0003637742770000043
Figure BDA0003637742770000044
其中Xi为每一批次的特征向量,B为批次大小,其余变量分别为X与Y归一化之后的结果。
在上述方案的基础上,初始化参数,依据所述通过softmax层将结果进行分类输出搭建模型,对模型进行训练,使用梯度下降法对权值进行更新,作为下一步的输入具体包括:
根据提出一种软阈值化自注意力机制(STSA),对时间序列数据之间的相关性进行捕捉,并消除部分冗余信息;
依据所述软阈值化自注意力机制,使用PowerNorm归一化的transformer编码层对输入进行计算,最后通过softmax层将结果进行分类输出所提出的方法搭建算法模型;
初始化参数,设置多头自注意力头数、编码器层数、全连接层输入与输出维数、激活函数、训练批次以及迭代次数等参数值;
将数据分为训练集与测试集输入到搭建好的模型之中,损失函数选取分类的交叉熵损失函数,权值更新规则采用基于时序的反向传播算法进行权值更新,采用梯度下降算法加速神经网络的优化。
在上述方案的基础上,用训练好的模型对新型电力系统的APT攻击进行检测,如果检测结果为正常,则流量可以进行正常操作;如果检测结果为攻击类别,则需要对系统发出警报提醒具体包括:
将训练好的模型在测试集上进行测试,如果训练出的神经网络的准确率能够达到预期要求,则所述神经网络为训练好的神经网络;
如果对数据集的检测结果为正常,则流量可以进行正常操作;如果对数据集的检测结果为攻击,则需要发出警报提醒。
在上述方案的基础上,还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于在执行所述计算机程序时实现上述任一方案的基于STSA-transformer算法的新型电力系统APT攻击检测方法。
本发明的有益效果:
本发明通过STSA-transformer算法结合一种新的归一化操作PowerNorm的步骤,记忆了网络流量的历史记录,捕获了更大范围的序列长度,降低了检测过程中的网络计算资源的开销,提升了神经网络运行的效率,对时序性数据具有较好的检测能力,增强了对新型电力系统中APT攻击检测的能力。
附图说明
本发明有如下附图:
图1本发明方法的流程图。
图2 transformer编码器网络内部结构。
图3 STSA注意力机制示意图。
具体实施方式
以下结合图1-3对本发明作进一步详细说明。
本发明提供一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,该方法的流程如图1:
步骤1:基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征,模拟电力系统遭受的网络攻击,从信息侧的数据采集设备收集网络流量数据,并进行整理,作为下一步的输入;
步骤2:将收集到的流量数据进行预处理,所述预处理包括离散特征数值化和特征值归一化;
步骤3:提出了一种软阈值化自注意力机制(STSA),对时间序列数据之间的相关性进行捕捉,并消除部分冗余信息;
步骤4:依据步骤3中提到的软阈值化自注意力机制,使用PowerNorm归一化的transformer编码层对输入进行计算,最后通过softmax层将结果进行分类输出;
步骤5:初始化参数,依据步骤3和步骤4中提到的模块搭建模型,对模型进行训练,使用梯度下降法对权值进行更新;
步骤6:用训练好的模型对新型电力系统的APT攻击进行检测,如果检测结果为正常,则流量可以进行正常操作;如果检测结果为攻击类别,则需要对系统发出警报提醒;
所述步骤1具体包括:
步骤1.1:了解新型电力系统基本结构组成,分析新型电力系统基本特征;
步骤1.2:对新型电力系统进行模拟网络攻击,在信息侧设备收集长时间范围内的网络流量数据,并按不同阶段进行划分,整理成数据集;
所述步骤2具体包括:
步骤2.1:对数据中的离散型数据进行二进制的独热编码,将其转换为数值型数据;
步骤2.2:对所有特征向量进行归一化操作,公式如下所示:
Figure BDA0003637742770000071
其中,Xmax与Xmin分别表示原始特征值取值范围上的最大值和最小值,X表示原始特征值,Xn表示归一化之后的特征值;
所述步骤3具体包括:
步骤3.1:对数据集的特征向量进行位置编码,保存数据的位置信息,让神经网络学习到更多的时序特性,提升对APT攻击的检测效果,这里使用相对位置编码,公式如下所示:
PE(pos,2i)=sin(pos/100002i/dmodel)
PE(pos,2i+1)=cos(pos/100002i/dmodel)
其中pos为序列中的位置,dmodel为位置信息编码的特征向量的维度,i表示位置信息编码特征向量的第i个元素,编码向量中的奇数位用cos来编码,偶数位用sin来编码;
步骤3.2:将原始数据的特征向量与位置编码的结果相加,将结果输入到自注意力层;
步骤3.3:初始化三个权重矩阵,将它们分别乘以输入向量,得到Q、K、V三个矩阵,利用这三个矩阵进行多头自注意力的计算,计算公式如下:
Figure BDA0003637742770000072
其中Q、K、V为三个需要进行权重更新的矩阵,d为特征向量的维度;
步骤3.4:将得到的注意力结果输入一个神经网络模块之中,该模块包含全局平均池化层以及两个全连接层,最后通过sigmoid函数将结果输出,与全局平均池化层的结果相乘,得到每一条样本数据的阈值;
步骤3.5:根据步骤3.4中求出来的阈值,利用软阈值算法计算公式,对注意力结果进行软阈值操作,保留注意力的重要部分,不重要的部分舍去,并对冗余部分进行消除,方便进行下一步的计算;
Figure BDA0003637742770000081
所述步骤4具体包括:
步骤4.1:将计算得到的软阈值自注意力的结果输入到transformer编码器除多头自注意力之外的部分,主要包括残差网络、归一化以及前馈神经网络,最后通过softmax函数将结果分类输出,其中的归一化操作将传统transformer中的LN层替换为一种新的归一化操作PoweNorm,将原来的强制零均值和单位方差的操作改为强制二次均值的操作,该操作显示出较小数量级的波动,在数据的处理上表现出较好的效果,其计算公式如下所示:
Figure BDA0003637742770000082
Figure BDA0003637742770000083
Figure BDA0003637742770000084
其中Xi为每一批次的特征向量,B为批次大小,其余变量分别为X与Y归一化之后的结果。
所述步骤5具体包括:
步骤5.1:根据步骤3和步骤4提出的方法搭建算法模型;
步骤5.2:初始化参数,设置多头自注意力头数、编码器层数、全连接层输入与输出维数、激活函数、训练批次以及迭代次数等参数值;
步骤5.3:将数据分为训练集与测试集输入到搭建好的模型之中,损失函数选取分类的交叉熵损失函数,权值更新规则采用基于时序的反向传播算法进行权值更新,采用梯度下降算法加速神经网络的优化;
所述步骤6具体包括:
步骤6.1:将训练好的模型在测试集上进行测试,如果训练出的神经网络的准确率能够达到预期要求,则所述神经网络为训练好的神经网络。
步骤6.2:如果对数据集的检测结果为正常,则流量可以进行正常操作;如果对数据集的检测结果为攻击,则需要发出警报提醒。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于在执行所述计算机程序时实现上述步骤的基于STSA-transformer算法的新型电力系统APT攻击检测方法。
如图2,提供了一种transformer编码器网络内部结构。
过程1:对数据集的特征向量进行位置编码,保存数据的位置信息,让神经网络学习到更多的时序特性,提升对APT攻击的检测效果,这里使用相对位置编码,公式如下所示:
PE(pos,2i)=sin(pos/100002i/dmodel)
PE(pos,2i+1)=cos(pos/100002i/dmodel)
其中pos为序列中的位置,dmodel为位置信息编码的特征向量的维度,i表示位置信息编码特征向量的第i个元素,编码向量中的奇数位用cos来编码,偶数位用sin来编码;将原始数据的特征向量与位置编码的结果相加,将结果输入到多头注意力层;
过程2:初始化三个权重矩阵,将它们分别乘以输入向量,得到Q、K、V三个矩阵,利用这三个矩阵进行多头自注意力的计算,计算公式如下:
Figure BDA0003637742770000101
其中Q、K、V为三个需要进行权重更新的矩阵,d为特征向量的维度;多头注意力的目的是构造多个子空间的注意力向量,最后将多个注意力的值进行拼接,这样可以学习序列之间不同方面的信息。
过程3:将计算得到的多头自注意力的结果输入到求和与归一化层,求和主要是利用了残差网络的原理,将网络的输出结果与输入相加,目的在于对深层神经网络运行过程中的损失进行优化,归一化的目的在于对数据进行预处理,方便后续过程的计算,这里的归一化操作将传统transformer中的LN层替换为一种新的归一化操作PoweNorm,将原来的强制零均值和单位方差的操作改为强制二次均值的操作,该操作显示出较小数量级的波动,在数据的处理上表现出较好的效果,其计算公式如下所示:
Figure BDA0003637742770000102
Figure BDA0003637742770000103
Figure BDA0003637742770000104
其中Xi为每一批次的特征向量,B为批次大小,其余变量分别为X与Y归一化之后的结果。
过程4:将上述结果输入到一个全连接的神经网络之中,输出层个数为分类任务的类别个数,最后通过softmax层输出结果为各个类别的概率值,得到最终的分类结果。
如图3,提供了一种软阈值化自注意力机制(STSA)。
过程1:将计算得到的多头注意力向量输入到软阈值神经网络之中,该模块包含全局平均池化层以及两个全连接层,中间通过Relu激活函数层进行连接,最后通过sigmoid函数将结果输出,此结果将作为后续软阈值过程的系数,与全局平均池化层的结果相乘,得到每一条样本数据的阈值;
过程2:根据过程1求出来的阈值,利用软阈值算法计算公式,对注意力结果进行软阈值操作,保留注意力的重要部分,不重要的部分舍去,并对冗余部分进行消除,方便进行下一步的计算,软阈值操作计算公式如下;
Figure BDA0003637742770000111
其中,T为每一条样本数据的阈值,x为计算得到的注意力向量。
以上实施方式仅用于说明本发明专利,而并非对本发明专利的限制,有关技术领域的普通技术人员,在不脱离本发明专利的实质和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明专利的范畴,本发明专利的专利保护范围应由权利要求限定。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (8)

1.一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,
模拟电力系统遭受的网络攻击,从信息侧的数据采集设备收集网络流量数据,并进行整理,作为下一步的输入;
将所述网络流量数据进行预处理;
提出一种软阈值化自注意力机制(STSA),对时间序列数据之间的相关性进行捕捉,并消除部分冗余信息;
依据所述软阈值化自注意力机制,使用PowerNorm归一化的transformer编码层对输入进行计算,最后通过softmax层将结果进行分类输出;
初始化参数,依据所述通过softmax层将结果进行分类输出搭建模型,对模型进行训练,使用梯度下降法对权值进行更新,作为下一步的输入;
用训练好的模型对新型电力系统的APT攻击进行检测,如果检测结果为正常,则流量可以进行正常操作;如果检测结果为攻击类别,则需要对系统发出警报提醒;
所述提出一种软阈值化自注意力机制(STSA),对时间序列数据之间的相关性进行捕捉,并消除部分冗余信息具体包括:
对数据集的特征向量进行位置编码,保存数据的位置信息,公式如下所示:
PE(pos,2i)=sin(pos/100002i/dmodel)
PE(pos,2i+1)=cos(pos/100002i/dmodel)
其中pos为序列中的位置,dmodel为位置信息编码的特征向量的维度,i表示位置信息编码特征向量的第i个元素,编码向量中的奇数位用cos来编码,偶数位用sin来编码;
将原始数据的特征向量与位置编码的结果相加,将结果输入到自注意力层;
初始化三个权重矩阵,将它们分别乘以输入向量,得到Q、K、V三个矩阵,利用这三个矩阵进行多头自注意力的计算,计算公式如下:
Figure FDA0004053841450000021
其中Q、K、V为三个需要进行权重更新的矩阵,d为特征向量的维度;
将得到的注意力结果输入一个神经网络模块之中,该模块包含全局平均池化层以及两个全连接层,最后通过sigmoid函数将结果输出,与全局平均池化层的结果相乘,得到每一条样本数据的阈值;
根据上述阈值,利用软阈值算法计算公式,对注意力结果进行软阈值操作,保留注意力的重要部分,不重要的部分舍去,并对冗余部分进行消除:
Figure FDA0004053841450000022
2.如权利要求1所述一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,所述预处理包括离散特征数值化和特征值归一化。
3.如权利要求1所述一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,模拟电力系统遭受的网络攻击,从信息侧的数据采集设备收集网络流量数据,并进行整理,作为下一步的输入具体包括:
了解新型电力系统基本结构组成,分析新型电力系统基本特征;
对新型电力系统进行模拟网络攻击,在信息侧设备收集网络流量数据,并按不同阶段进行划分,整理成数据集。
4.如权利要求2所述一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,将所述网络流量数据进行预处理,所述预处理包括离散特征数值化和特征值归一化具体包括:
对数据中的离散型数据进行二进制的独热编码,将其转换为数值型数据;
对所有特征向量进行归一化操作,公式如下所示:
Figure FDA0004053841450000031
其中,Xmax与Xmin分别表示原始特征值取值范围上的最大值和最小值,X表示原始特征值,Xn表示归一化之后的特征值。
5.如权利要求1所述一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,依据所述软阈值化自注意力机制,使用PowerNorm归一化的transformer编码层对输入进行计算,
最后通过softmax层将结果进行分类输出具体包括:
将计算得到的软阈值自注意力的结果输入到transformer编码器除多头自注意力之外的部分,包括残差网络、归一化以及前馈神经网络,最后通过softmax函数将结果分类输出,其中的归一化操作将传统transformer中的LN层替换为一种新的归一化操作PoweNorm,将原来的强制零均值和单位方差的操作改为强制二次均值的操作,其计算公式如下所示:
Figure FDA0004053841450000032
Figure FDA0004053841450000033
Figure FDA0004053841450000034
其中Xi为每一批次的特征向量,B为批次大小,其余变量分别为X与Y归一化之后的结果。
6.如权利要求1所述一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,初始化参数,依据所述通过softmax层将结果进行分类输出搭建模型,对模型进行训练,使用梯度下降法对权值进行更新,作为下一步的输入具体包括:
根据提出一种软阈值化自注意力机制(STSA),对时间序列数据之间的相关性进行捕捉,并消除部分冗余信息;
依据所述软阈值化自注意力机制,使用PowerNorm归一化的transformer编码层对输入进行计算,最后通过softmax层将结果进行分类输出所提出的方法搭建算法模型;
初始化参数,设置多头自注意力头数、编码器层数、全连接层输入与输出维数、激活函数、训练批次以及迭代次数参数值;
将数据分为训练集与测试集输入到搭建好的模型之中,损失函数选取分类的交叉熵损失函数,权值更新规则采用基于时序的反向传播算法进行权值更新,采用梯度下降算法加速神经网络的优化。
7.如权利要求1所述一种基于STSA-transformer算法的新型电力系统APT攻击检测方法,其特征在于,用训练好的模型对新型电力系统的APT攻击进行检测,如果检测结果为正常,则流量可以进行正常操作;如果检测结果为攻击类别,则需要对系统发出警报提醒具体包括:将训练好的模型在测试集上进行测试,如果训练出的神经网络的准确率能够达到预期要求,则所述神经网络为训练好的神经网络;
如果对数据集的检测结果为正常,则流量可以进行正常操作;如果对数据集的检测结果为攻击,则需要发出警报提醒。
8.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于在执行所述计算机程序时实现如权利要求1至7任一项所述的基于STSA-transformer算法的新型电力系统APT攻击检测方法。
CN202210532321.0A 2022-05-11 2022-05-11 一种基于STSA-transformer算法的新型电力系统APT攻击检测方法 Active CN115051834B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210532321.0A CN115051834B (zh) 2022-05-11 2022-05-11 一种基于STSA-transformer算法的新型电力系统APT攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210532321.0A CN115051834B (zh) 2022-05-11 2022-05-11 一种基于STSA-transformer算法的新型电力系统APT攻击检测方法

Publications (2)

Publication Number Publication Date
CN115051834A CN115051834A (zh) 2022-09-13
CN115051834B true CN115051834B (zh) 2023-05-16

Family

ID=83158374

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210532321.0A Active CN115051834B (zh) 2022-05-11 2022-05-11 一种基于STSA-transformer算法的新型电力系统APT攻击检测方法

Country Status (1)

Country Link
CN (1) CN115051834B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116192421B (zh) * 2022-11-28 2024-04-30 北京交通大学 一种基于溯源图和自注意力机制的apt攻击检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111027058A (zh) * 2019-11-12 2020-04-17 深圳供电局有限公司 一种电力系统检测数据攻击的方法、计算机设备和存储介质
CN111447212A (zh) * 2020-03-24 2020-07-24 哈尔滨工程大学 一种基于gan的apt攻击序列的生成与检测方法
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030236995A1 (en) * 2002-06-21 2003-12-25 Fretwell Lyman Jefferson Method and apparatus for facilitating detection of network intrusion
CN101420758B (zh) * 2008-11-26 2010-04-21 北京科技大学 一种认知无线电中对抗模仿主用户攻击的方法
CN111786979B (zh) * 2020-06-24 2022-07-22 杭州电子科技大学 一种基于多模态学习的电力攻击识别方法
CN111988130B (zh) * 2020-08-18 2022-06-07 中南大学 离散量子密钥分发中针对器件缺陷的攻击检测方法
CN114003900A (zh) * 2021-10-25 2022-02-01 广东电网有限责任公司广州供电局 变电站二次系统网络入侵检测方法、装置及系统
CN114172701B (zh) * 2021-11-25 2024-02-02 北京天融信网络安全技术有限公司 基于知识图谱的apt攻击检测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111027058A (zh) * 2019-11-12 2020-04-17 深圳供电局有限公司 一种电力系统检测数据攻击的方法、计算机设备和存储介质
CN111447212A (zh) * 2020-03-24 2020-07-24 哈尔滨工程大学 一种基于gan的apt攻击序列的生成与检测方法
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法

Also Published As

Publication number Publication date
CN115051834A (zh) 2022-09-13

Similar Documents

Publication Publication Date Title
CN110287983B (zh) 基于最大相关熵深度神经网络单分类器异常检测方法
CN110298663B (zh) 基于序列宽深学习的欺诈交易检测方法
CN111967343A (zh) 基于简单神经网络和极端梯度提升模型融合的检测方法
CN112087442B (zh) 基于注意力机制的时序相关网络入侵检测方法
CN111353153A (zh) 一种基于gep-cnn的电网恶意数据注入检测方法
CN114760098A (zh) 一种基于cnn-gru的电网虚假数据注入检测方法及装置
CN114462520A (zh) 一种基于流量分类的网络入侵检测方法
CN113158722A (zh) 基于多尺度深度神经网络的旋转机械故障诊断方法
CN115051834B (zh) 一种基于STSA-transformer算法的新型电力系统APT攻击检测方法
CN115659254A (zh) 一种双模态特征融合的配电网电能质量扰动分析方法
CN112633377A (zh) 一种基于生成对抗网络的人体行为预测方法及系统
CN117407770A (zh) 基于神经网络的高压开关柜故障模式分类及预测方法
CN116720095A (zh) 一种基于遗传算法优化模糊c均值的电特性信号聚类方法
CN118152859A (zh) 一种振动台功率放大器的多工况谐波分析方法及系统
CN115208619A (zh) 基于STSA-transformer算法的新型电力系统APT攻击检测方法
CN114282647A (zh) 基于脉冲神经网络的神经形态视觉传感器目标检测方法
CN117792788A (zh) 一种融合多头注意力机制和双向长短期记忆网络的pmu数据操纵攻击检测方法
CN117375983A (zh) 一种基于改进cnn-lstm的电网虚假数据注入辨识方法
CN115712064B (zh) 一种基于lstm-cnn混合神经网络的励磁系统故障诊断方法
CN113746813B (zh) 基于两阶段学习模型的网络攻击检测系统及方法
CN116318877A (zh) 利用多种特征流形向量的入侵检测系统对抗样本防御方法
CN115396198A (zh) 基于cnn架构与参数并行优化的电网入侵检测系统及方法
Hu et al. Detection of False Data Injection Attacks in Smart Grids Under Power Fluctuation Uncertainty Based on Deep Learning
Khotanzad et al. Hand written digit recognition using BKS combination of neural network classifiers
CN118094346B (zh) 基于Conformer的串联故障电弧检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20230410

Address after: No.2, Beinong Road, Huilongguan, Changping District, Beijing, 102200

Applicant after: NORTH CHINA ELECTRIC POWER University

Applicant after: STATE GRID JIANGXI ELECTRIC POWER Co.,Ltd.

Applicant after: STATE GRID JIANGXI ELECTRIC POWER Co.,Ltd. JI'AN POWER SUPPLY BRANCH

Address before: No.2, Beinong Road, Huilongguan, Changping District, Beijing, 102200

Applicant before: NORTH CHINA ELECTRIC POWER University

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant