CN115221511A - 一种配电物联网威胁狩猎方法 - Google Patents

一种配电物联网威胁狩猎方法 Download PDF

Info

Publication number
CN115221511A
CN115221511A CN202211141122.3A CN202211141122A CN115221511A CN 115221511 A CN115221511 A CN 115221511A CN 202211141122 A CN202211141122 A CN 202211141122A CN 115221511 A CN115221511 A CN 115221511A
Authority
CN
China
Prior art keywords
data
formula
network
population
firefly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211141122.3A
Other languages
English (en)
Inventor
邱日轩
周宇
喻诚斐
詹涛
张俊锋
支妍力
方铭
夏一博
杨浩
林楠
李炜
肖勇才
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jiangxi Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jiangxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Jiangxi Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202211141122.3A priority Critical patent/CN115221511A/zh
Publication of CN115221511A publication Critical patent/CN115221511A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Molecular Biology (AREA)
  • Evolutionary Computation (AREA)
  • Business, Economics & Management (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Economics (AREA)
  • Computer Security & Cryptography (AREA)
  • Water Supply & Treatment (AREA)
  • Human Resources & Organizations (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Tourism & Hospitality (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种配电物联网威胁狩猎方法。考虑到安全数据集维度过高可能影响门控循环单元的检测性能,因此该方法首先通过自编码器进行特征提取和降维,然后结合量子并行性,采用改进的量子萤火虫算法对BiGRU‑attention网络参数进行自适应调节,避免参数选择的随机性,同时引入注意力机制强化关键特征的表达,可大大提高模型的检测精度,最后根据输出结果,判断当前系统是否存在威胁,若存在,系统给出相应提示,便于安全人员及时采取对应补救措施,保护电力系统的数据安全。若没有,结束检测。本发明采用改进的量子萤火虫算法优化BiGRU‑attention网络,对该网络参数进行自适应调节,可有效改善网络模型的准确性。

Description

一种配电物联网威胁狩猎方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种配电物联网威胁狩猎方法。
背景技术
在传统的安全监视方法中,以防火墙、IDS/IPS和安全隔离装置等技术搭建的安全体系已不足以作为安全防线,基于安全设备触发的警报在执行紧急防御措施过于被动且不能提前保护数据资产的安全,一旦数据泄露或遭受攻击将造成难以估量的损失。因此,以数据驱动、主动防御为主要思想的威胁狩猎方法应运而生。威胁狩猎指的是主动持续地在网络空间中搜索可以绕开安全检测或产生危害的威胁的过程。基于深度学习等人工智能算法进行网络空间威胁狩猎可有效提高威胁检测效率,帮助安全人员及时发现网络中的威胁以采取相应措施。
发明内容
本发明为了解决电力企业数据资产安全问题,结合量子并行性,提出了一种基于改进量子萤火虫算法优化BiGRU-attention网络(Improved Quantum Firefly Algorithmto optimize BiGRU-attention Networks, IQF-BiGRUA)的配电物联网威胁狩猎方法。首先运用自编码网络对多源数据进行特征提取,然后采用改进的量子萤火虫算法对BiGRU-attention网络参数进行自适应调节,避免参数选择的随机性,同时注意力机制的引入增强了关键特征的表达,可大大提高模型的预测精度,从而帮助安全运维人员及时发现网络中存在的威胁,采取相应的补救措施,保护电力系统的数据安全。
本发明的目的在于,针对传统的边界安全防御机制难以及时有效的检测到电网空间中威胁的问题,提出一种基于IQF-BiGRUA的配电物联网威胁狩猎方法。该方法可以帮助安全运维人员快速、准确的检测出网络中的威胁,保护电力企业数据资产的安全。
本发明考虑到数据集维度过高可能影响门控循环单元的预测性能,因此通过自编码器进行特征提取和降维,同时在双向循环神经网络的基础上,采用改进的量子萤火虫算法对网络参数进行优化,引入注意力机制强化关键特征的表达,实现配电物联网威胁的准确检测。
为实现上述目的,本发明包括如下步骤:
步骤1,采集电力系统中终端设备和网络的历史安全数据和当前状态数据,包括日志数据、网络流量、内存数据、注册表信息、网络连接等信息。
步骤2,数据预处理,对数据进行清洗、去重、归一化等处理形成数据矩阵。
步骤3,对步骤2得到的数据通过自编码网络进行特征提取,并将提取到的数据划分为训练集和测试集。
步骤4,构建BiGRU-attention网络,结合注意力机制对特征向量进行特征权重分配,捕获特征之间关系。
步骤5,利用改进的量子萤火虫优化算法搜寻BiGRU-attention网络的最优参数,以提高网络威胁的预测性能,包括学习率、丢弃率和每层的神经元个数。
步骤6,将训练集作为改进的量子萤火虫算法优化BiGRU-attention网络的输入,对模型进行训练,直到获得较小的训练误差,得到训练好的模型,测试集验证模型效果。
步骤7,根据输出结果,判断当前系统是否存在威胁。若存在,系统给出相应提示;若没有,结束检测。
所述的通过自编码网络进行特征提取的步骤为:
步骤3.1:设自编码网络总层数为
Figure 249951DEST_PATH_IMAGE001
,其中编码器层数为
Figure 573616DEST_PATH_IMAGE002
,解码器层数为
Figure 618932DEST_PATH_IMAGE003
步骤3.2:输入数据表示为向量y=[y1, y2, …,ym],其编码过程表达式为;
Figure 545300DEST_PATH_IMAGE004
(1)
Figure 264732DEST_PATH_IMAGE005
(2)
式中,
Figure 618353DEST_PATH_IMAGE006
为编码器的输入,
Figure 26331DEST_PATH_IMAGE007
为编码器各层的输出,
Figure 756390DEST_PATH_IMAGE008
Figure 628531DEST_PATH_IMAGE009
为编码器第u层的权值与偏置,
Figure 28420DEST_PATH_IMAGE010
为编码器第u层的激活函数;
步骤3.3:解码器第一层的输入是编码器最后一层的输出,其解码过程表达式为:
Figure 953388DEST_PATH_IMAGE011
(3)
Figure 487138DEST_PATH_IMAGE012
(4)
式中,
Figure 417047DEST_PATH_IMAGE013
为解码器各层的输出,
Figure 378050DEST_PATH_IMAGE014
Figure 26200DEST_PATH_IMAGE015
为解码器第v层的权值与偏置,
Figure 832482DEST_PATH_IMAGE016
为解码器第v层的激活函数;
步骤3.4:经过训练,通过损失函数最小化不断调整寻优,使得数据接近原始数据,从而提取出深层的时序特征。
所述的BiGRU-attention网络结构满足:
单向GRU模型只能从先前的序列中提取信息,忽略了后向时间序列中有价值的信息。在配电物联网威胁狩猎预测中,由于设备和网络历史安全数据和当前时刻状态可能共同发挥作用,所以本发明采用双向GRU搭建网络。同时,各安全数据特征对预测结果的影响程度不同,比如访问者ip地址是一个可以反映系统是否遭到威胁的重要特征,访问时间长短是一个次要特征,所以根据经验知识给予ip地址较大权重,访问时间较小权重。
步骤4.1:输入正序特征向量,利用前向GRU得到前向特征向量表示,具体为:
Figure 882478DEST_PATH_IMAGE017
(5)
Figure 748803DEST_PATH_IMAGE018
(6)
Figure 54888DEST_PATH_IMAGE019
(7)
Figure 930440DEST_PATH_IMAGE020
(8)
式中,
Figure 569363DEST_PATH_IMAGE021
Figure 872168DEST_PATH_IMAGE022
是激活函数,
Figure 494911DEST_PATH_IMAGE023
是T时刻的正向输入矩阵,
Figure 908575DEST_PATH_IMAGE024
是前一时刻
Figure 900539DEST_PATH_IMAGE025
下的正向隐藏状态,
Figure 374246DEST_PATH_IMAGE026
Figure 218705DEST_PATH_IMAGE027
Figure 170480DEST_PATH_IMAGE028
Figure 908629DEST_PATH_IMAGE029
分别是更新门权重矩阵、偏置矩阵和重置门权重矩阵、偏置矩阵,
Figure 428604DEST_PATH_IMAGE030
Figure 884993DEST_PATH_IMAGE031
分别是权重参数和偏差参数,
Figure 250246DEST_PATH_IMAGE032
Figure 842901DEST_PATH_IMAGE033
是正序时的重置门和更新门,
Figure 392831DEST_PATH_IMAGE034
是正向候选隐藏状态,
Figure 710418DEST_PATH_IMAGE035
是T时刻隐藏层状态。
步骤4.2:输入逆序特征向量,利用后向GRU得到后向特征向量表示,具体为:
Figure 269575DEST_PATH_IMAGE036
(9)
Figure 592103DEST_PATH_IMAGE037
(10)
Figure 312935DEST_PATH_IMAGE038
(11)
Figure 619282DEST_PATH_IMAGE039
(12)
式中,
Figure 450972DEST_PATH_IMAGE040
是前一时刻
Figure 283799DEST_PATH_IMAGE041
下的后向隐藏状态,
Figure 50898DEST_PATH_IMAGE042
Figure 703596DEST_PATH_IMAGE043
是逆序时的重置门和更新门,
Figure 978457DEST_PATH_IMAGE044
表示点乘运算,
Figure 400211DEST_PATH_IMAGE045
是后向候选隐藏状态,
Figure 462845DEST_PATH_IMAGE046
是T时刻隐藏层状态。
Figure 478206DEST_PATH_IMAGE047
(13)
步骤4.3:结合上面得到的前向特征向量和后向特征向量计算
Figure 182857DEST_PATH_IMAGE048
,计算公式为:
Figure 334483DEST_PATH_IMAGE049
(14)
式中,
Figure 833598DEST_PATH_IMAGE050
Figure 336254DEST_PATH_IMAGE051
是正向和逆向GRU的隐藏状态。
步骤4.4:给特征向量分配权重,利用注意力机制捕获各特征之间的关系,具体公式如下:
Figure 313438DEST_PATH_IMAGE052
(15)
Figure 709784DEST_PATH_IMAGE053
(16)
Figure 488122DEST_PATH_IMAGE054
(17)
式中,
Figure 602708DEST_PATH_IMAGE055
是注意力层输出,
Figure 258949DEST_PATH_IMAGE056
表示T时刻隐层状态值,
Figure 509802DEST_PATH_IMAGE057
是T时刻记忆状态,
Figure 350719DEST_PATH_IMAGE058
Figure 827967DEST_PATH_IMAGE059
是激活函数,
Figure 146953DEST_PATH_IMAGE060
是softmax中间状态,
Figure 393258DEST_PATH_IMAGE061
是注意力机制层的输出,
Figure 405076DEST_PATH_IMAGE062
是权重矩阵。
步骤4.5:利用步骤4.4的输出结果判断系统的安全状态,具体计算公式如下:
Figure 963097DEST_PATH_IMAGE063
(18)
式中,
Figure 725254DEST_PATH_IMAGE064
表示隐层状态的输出结果,
Figure 950699DEST_PATH_IMAGE065
是网络记忆的状态值,
Figure 743206DEST_PATH_IMAGE066
为分类结果的概率。
改进的量子萤火虫优化算法步骤如下。
步骤5.1:设置算法相关参数。设萤火虫种群规模为N,待优化问题维度为D,步长为step0 ,初始吸引度因子为attr0,光吸收系数为γ,广义反向学习次数为count,算法循环最大次数为MAG,生成初始种群
Figure 319681DEST_PATH_IMAGE067
步骤5.2:按照以下公式编码萤火虫初始位置。
Figure 121414DEST_PATH_IMAGE068
(19)
式中,i为萤火虫的个体数量,i=1,2,…,n;
Figure 935787DEST_PATH_IMAGE069
为量子旋转门的旋转角,
Figure 554987DEST_PATH_IMAGE070
Figure 228545DEST_PATH_IMAGE071
是位于0和1之间的随机数。
步骤5.3:随机初始化种群位置,并计算适应度值
Figure 693024DEST_PATH_IMAGE072
步骤5.4:按照公式(20)计算个体反向解
Figure 1383DEST_PATH_IMAGE073
,反向解记录粒子更新前位置为
Figure 791485DEST_PATH_IMAGE074
,精英反向学习后的位置记为
Figure 952339DEST_PATH_IMAGE075
,若适应度
Figure 954930DEST_PATH_IMAGE076
,则
Figure 9474DEST_PATH_IMAGE077
为广义精英个体
Figure 580263DEST_PATH_IMAGE078
,记广义精英个体大小为EL,否则为普通个体,精英个体和普通群体的反向解群体构成当前种群,并计算种群亮度,进行排序,选出最优个体
Figure 87468DEST_PATH_IMAGE079
Figure 34696DEST_PATH_IMAGE080
(20)
式中,k是介于0~1的随机数,
Figure 943746DEST_PATH_IMAGE081
Figure 810071DEST_PATH_IMAGE082
Figure 444052DEST_PATH_IMAGE083
,为广义精英群体的取值范围。
步骤5.5:根据公式(21)计算萤火虫i和j之间的距离,根据公式(22)萤火虫位置移动操作,通过量子旋转门来指导萤火虫种群向最优方向进化。
Figure 788446DEST_PATH_IMAGE084
(21)
Figure 692948DEST_PATH_IMAGE086
(22)
式中,d为优化问题的维数,
Figure 730174DEST_PATH_IMAGE087
表示第i只萤火虫在第q维的位置。o为正相关系数,用
Figure 211971DEST_PATH_IMAGE088
代替固定步长,使得萤火虫的步长随着
Figure 501001DEST_PATH_IMAGE089
的变化而变化。
步骤5.6:若萤火虫越界,则通过式(23)边界调整策略加快调整,否则执行步骤5.7。
Figure 384643DEST_PATH_IMAGE090
(23)
步骤5.7:计算位置更新后的群体中每个萤火虫的亮度。
步骤5.8:判断算法是否满足结束条件。若满足条件,则终止进化过程执行步骤5.9,并输出最优解;否则转到步骤5.4重复操作直至满足条件结束。
步骤5.9:输出全局最优解和最优位置。
与现有技术相比,本发明方法具有以下优点:
1、本发明采用自编码器进行特征数据的提取和降维,有效避免了门控循环神经网络对高维数据的不适应问题,同时,提取后的抽象特征更加凝练,可大大提高模型的检测效率。
2、本发明采用加入了注意力机制的双向门控循环神经网络,不仅可以充分提取特征数据的上下文信息,捕捉前向时间序列和后向时间序列的特征信息,而且注意力机制的引入使得网络更加关注关键特征,提高检测效率,节省检测时间。
3、本发明采用改进的量子萤火虫算法优化BiGRU-attention网络,对该网络参数进行自适应调节,可有效改善网络模型的准确性。
附图说明
图1是基于IQF-BiGRUA的配电物联网威胁狩猎方法结构图。
图2是BiGRU-attention网络结构图。
图3是改进的量子萤火虫算法流程图。
具体实施方式
下面结合附图1、附图2、附图3和实施例对基于改进量子萤火虫算法优化BiGRU-attention网络的威胁狩猎方法作详细介绍,但本发明的实施不局限于此。
实施例:
如图1所示,本实施例的基于改进量子萤火虫算法优化BiGRU-attention网络的配电物联网威胁狩猎方法结构图。
如图2所示,本实施例的BiGRU-attention网络结构,自编码器降维后的特征作为BiGRU的输入,然后对特征向量引入attention机制强化关键特征的表达。
如图3所示,本实施例的改进的量子萤火虫算法流程,经过种群初始化、计算适应度、确定精英反向解以及越界调整策略,使算法能更快收敛到全局最优解。
整个模型的建立步骤如下:
步骤1,采集电力系统中终端设备和网络的历史安全数据和当前状态数据,包括日志数据、网络流量、内存数据、注册表信息、网络连接等信息。
步骤2,对数据进行数据清洗,并进行归一化处理得到数据矩阵。数据处理包括数据清理和数据规范化。数据清理包括删除数据集中的异常值和补充缺失的值。数据归一化可以加快梯度下降的收敛速度,提高预测模型的性能。规范化还可以使深度学习模型更好地从多个历史输出序列数据中提取高级特征,从而提高所提出模型的性能。本发明通过以下公式将每个输入序列归一化为
Figure 468137DEST_PATH_IMAGE091
范围:
Figure 437230DEST_PATH_IMAGE092
其中:
Figure 123426DEST_PATH_IMAGE093
为归一化值,
Figure 501056DEST_PATH_IMAGE094
为原始数据,
Figure 614505DEST_PATH_IMAGE095
Figure 946261DEST_PATH_IMAGE096
分别为原始数据的最大值和最小值。
步骤3,对预处理后的数据通过自编码网络进行特征提取,并将提取到的数据划分为训练集和测试集。具体步骤如下:
步骤3.1:设自编码网络总层数为
Figure 701727DEST_PATH_IMAGE097
,其中编码器层数为
Figure 294382DEST_PATH_IMAGE098
,解码器层数为
Figure 985258DEST_PATH_IMAGE099
步骤3.2:输入数据表示为向量
Figure 928943DEST_PATH_IMAGE100
,其编码过程表达式为;
Figure 97887DEST_PATH_IMAGE101
(1)
Figure 545049DEST_PATH_IMAGE102
(2)
式中,
Figure 905361DEST_PATH_IMAGE103
为编码器的输入,
Figure 70763DEST_PATH_IMAGE104
为编码器各层的输出,
Figure 168032DEST_PATH_IMAGE105
Figure 345067DEST_PATH_IMAGE106
为编码器第u层的权值与偏置,
Figure 502379DEST_PATH_IMAGE107
为编码器第u层的激活函数。
步骤3.3:解码器第一层的输入是编码器最后一层的输出,其解码过程表达式为:
Figure 296022DEST_PATH_IMAGE108
(3)
Figure 665824DEST_PATH_IMAGE109
(4)
式中,
Figure 353157DEST_PATH_IMAGE110
为解码器各层的输出,
Figure 556736DEST_PATH_IMAGE111
Figure 696731DEST_PATH_IMAGE112
为解码器第v层的权值与偏置,
Figure 533141DEST_PATH_IMAGE113
为解码器第v层的激活函数。
步骤3.4:经过训练,通过损失函数最小化不断调整寻优,使得数据接近原始数据,从而提取出深层的时序特征。
步骤4,构建BiGRU-attention网络,结合注意力机制对特征向量进行特征权重分配,捕获特征之间关系。所述的BiGRU-attention网络结构满足:
单向GRU模型只能从先前的序列中提取信息,忽略了后向时间序列中有价值的信息。在配电物联网威胁狩猎预测中,由于设备和网络历史安全数据和当前时刻状态可能共同发挥作用,所以本发明采用双向GRU搭建网络。同时,各安全数据特征对预测结果的影响程度不同,比如访问者ip地址是一个可以反映系统是否遭到威胁的重要特征,访问时间长短是一个次要特征,所以根据经验知识给予ip地址较大权重,访问时间较小权重。
步骤4.1:输入正序特征向量,利用前向GRU得到前向特征向量表示,具体为:
Figure 74981DEST_PATH_IMAGE114
(5)
Figure 449462DEST_PATH_IMAGE018
(6)
Figure 483277DEST_PATH_IMAGE115
(7)
Figure 194881DEST_PATH_IMAGE020
(8)
式中,
Figure 856806DEST_PATH_IMAGE116
Figure 402188DEST_PATH_IMAGE117
是激活函数,
Figure 251195DEST_PATH_IMAGE118
是T时刻的正向输入矩阵,
Figure 405971DEST_PATH_IMAGE119
是前一时刻
Figure 922403DEST_PATH_IMAGE120
下的正向隐藏状态,
Figure 497741DEST_PATH_IMAGE121
Figure 974990DEST_PATH_IMAGE122
Figure 559555DEST_PATH_IMAGE123
Figure 540280DEST_PATH_IMAGE124
分别是更新门权重矩阵、偏置矩阵和重置门权重矩阵、偏置矩阵,
Figure 552099DEST_PATH_IMAGE125
Figure 251064DEST_PATH_IMAGE126
分别是权重参数和偏差参数,
Figure 373741DEST_PATH_IMAGE127
Figure 599186DEST_PATH_IMAGE128
是正序时的重置门和更新门,
Figure 890228DEST_PATH_IMAGE129
是正向候选隐藏状态,
Figure 466703DEST_PATH_IMAGE130
是T时刻隐藏层状态。
步骤4.2:输入逆序特征向量,利用后向GRU得到后向特征向量表示,具体为:
Figure 127491DEST_PATH_IMAGE036
(9)
Figure 82809DEST_PATH_IMAGE037
(10)
Figure 702009DEST_PATH_IMAGE038
(11)
Figure 641146DEST_PATH_IMAGE039
(12)
式中,
Figure 840046DEST_PATH_IMAGE131
是前一时刻
Figure 915450DEST_PATH_IMAGE132
下的后向隐藏状态,
Figure 705551DEST_PATH_IMAGE133
Figure 833782DEST_PATH_IMAGE134
是逆序时的重置门和更新门,
Figure 367532DEST_PATH_IMAGE135
表示点乘运算,
Figure 297441DEST_PATH_IMAGE136
是后向候选隐藏状态,
Figure 992865DEST_PATH_IMAGE137
是T时刻隐藏层状态。
Figure 500070DEST_PATH_IMAGE138
(13)
步骤4.3:结合上面得到的前向特征向量和后向特征向量计算
Figure 447297DEST_PATH_IMAGE139
,计算公式为:
Figure 90768DEST_PATH_IMAGE140
(14)
式中,
Figure 98038DEST_PATH_IMAGE141
Figure 826960DEST_PATH_IMAGE142
是正向和逆向GRU的隐藏状态。
步骤4.4:给特征向量分配权重,利用注意力机制捕获各特征之间的关系,具体公式如下:
Figure 702512DEST_PATH_IMAGE143
(15)
Figure 105549DEST_PATH_IMAGE144
(16)
Figure 142775DEST_PATH_IMAGE145
(17)
式中,
Figure 499939DEST_PATH_IMAGE146
是注意力层输出,
Figure 913602DEST_PATH_IMAGE147
表示T时刻隐层状态值,
Figure 672611DEST_PATH_IMAGE148
是T时刻记忆状态,
Figure 615159DEST_PATH_IMAGE149
Figure 584252DEST_PATH_IMAGE150
是激活函数,
Figure 676973DEST_PATH_IMAGE151
是softmax中间状态,
Figure 149543DEST_PATH_IMAGE152
是注意力机制层的输出,
Figure 168052DEST_PATH_IMAGE153
是权重矩阵。
步骤4.5:利用步骤4.4的输出结果判断系统的安全状态,具体计算公式如下:
Figure 358862DEST_PATH_IMAGE154
(18)
式中,
Figure 114328DEST_PATH_IMAGE155
表示隐层状态的输出结果,
Figure 847929DEST_PATH_IMAGE156
是网络记忆的状态值,
Figure 663438DEST_PATH_IMAGE157
为分类结果的概率。
步骤5,利用改进的量子萤火虫优化算法搜寻BiGRU-attention网络的最优参数,以提高网络威胁的检测性能,包括学习率、丢弃率和每层的神经元个数。具体步骤如下:
步骤5.1:设置算法相关参数。设萤火虫种群规模为N,待优化问题维度为d,步长为step0 ,初始吸引度因子为attr0,光吸收系数为γ,广义反向学习次数为count,算法循环最大次数为MAG,生成初始种群
Figure 951331DEST_PATH_IMAGE158
步骤5.2:按照以下公式编码萤火虫初始位置。
Figure 510489DEST_PATH_IMAGE159
(19)
式中,i为萤火虫的个体数量,i=1,2,…,n;
Figure 98596DEST_PATH_IMAGE160
为量子旋转门的旋转角,
Figure 819427DEST_PATH_IMAGE161
Figure 250409DEST_PATH_IMAGE162
是位于0和1之间的随机数。
步骤5.3:随机初始化种群位置,并计算适应度值
Figure 456000DEST_PATH_IMAGE163
步骤5.4:按照公式(20)计算个体反向解
Figure 23247DEST_PATH_IMAGE164
,反向解记录粒子更新前位置为
Figure 914980DEST_PATH_IMAGE165
,精英反向学习后的位置记为
Figure 443044DEST_PATH_IMAGE166
,若适应度
Figure 78425DEST_PATH_IMAGE167
,则
Figure 641125DEST_PATH_IMAGE168
为广义精英个体
Figure 969338DEST_PATH_IMAGE169
,记广义精英个体大小为EL,否则为普通个体,精英个体和普通群体的反向解群体构成当前种群,并计算种群亮度,进行排序,选出最优个体
Figure 984698DEST_PATH_IMAGE170
Figure 423770DEST_PATH_IMAGE171
(20)
式中,k是介于0~1的随机数,
Figure 700031DEST_PATH_IMAGE172
Figure 573046DEST_PATH_IMAGE173
Figure 934758DEST_PATH_IMAGE174
,为广义精英群体的取值范围。
步骤5.5:根据公式(21)计算萤火虫i和j之间的距离,根据公式(22)萤火虫位置移动操作,通过量子旋转门来指导萤火虫种群向最优方向进化。
Figure 52886DEST_PATH_IMAGE175
(21)
Figure 714812DEST_PATH_IMAGE177
(22)
式中,d为优化问题的维数,
Figure 260194DEST_PATH_IMAGE178
表示第i只萤火虫在第q维的位置。o为正相关系数,用
Figure 109201DEST_PATH_IMAGE179
代替固定步长,使得萤火虫的步长随着
Figure 890075DEST_PATH_IMAGE180
的变化而变化。
步骤5.6:若萤火虫越界,则通过式(23)边界调整策略加快调整,否则执行步骤5.7。
Figure 281873DEST_PATH_IMAGE181
(23)
步骤5.7:计算位置更新后的群体中每个萤火虫的亮度。
步骤5.8:判断算法是否满足结束条件。若满足条件,则终止进化过程执行步骤5.9,并输出最优解;否则转到步骤5.4重复操作直至满足条件结束。
步骤5.9:输出全局最优解和最优位置。
步骤6,将训练集作为改进的量子萤火虫算法优化BiGRU-attention网络的输入,对模型进行训练,直到获得较小的训练误差,得到训练好的模型,测试集验证模型效果。
步骤7,根据输出结果,判断当前系统是否存在威胁。若存在,系统给出相应提示;若没有,则结束检测。
以上所述仅表达了本发明的优选实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形、改进及替代,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (4)

1.一种配电物联网威胁狩猎方法,其特征在于,包括如下步骤:
步骤1,采集电力系统中终端设备和网络的历史安全数据和当前状态数据,包括日志数据、网络流量、内存数据、注册表信息、网络连接信息;
步骤2,数据预处理,对数据进行清洗、去重、归一化处理形成数据矩阵;
步骤3,对预处理后的数据通过自编码网络进行特征提取,并将提取到的数据划分为训练集和测试集;
步骤4,构建BiGRU-attention网络,结合注意力机制对特征向量进行特征权重分配,捕获特征之间关系;
步骤5,利用改进的量子萤火虫优化算法搜寻BiGRU-attention网络的最优参数,包括学习率、丢弃率和每层的神经元个数;
步骤6,将训练集作为改进的量子萤火虫算法优化BiGRU-attention网络的输入,对模型进行训练,得到训练好的模型,测试集验证模型效果;
步骤7,根据输出结果,判断当前系统是否存在威胁;若存在,系统给出相应提示;若不存在,结束检测。
2.根据权利要求1所述的一种配电物联网威胁狩猎方法,其特征在于,所述的对预处理后的数据通过自编码网络进行特征提取的步骤为:
步骤3.1:设自编码网络总层数为
Figure DEST_PATH_IMAGE001
,其中编码器层数为
Figure DEST_PATH_IMAGE002
,解码器层数为
Figure DEST_PATH_IMAGE003
步骤3.2:输入数据表示为向量y=[y1, y2, …,ym],其编码过程表达式为;
Figure DEST_PATH_IMAGE004
(1)
Figure DEST_PATH_IMAGE005
(2)
式中,
Figure DEST_PATH_IMAGE006
为编码器的输入,
Figure DEST_PATH_IMAGE007
为编码器各层的输出,
Figure DEST_PATH_IMAGE008
Figure DEST_PATH_IMAGE009
为编码器第u层的权值与偏置,
Figure DEST_PATH_IMAGE010
为编码器第u层的激活函数;
步骤3.3:解码器第一层的输入是编码器最后一层的输出,其解码过程表达式为:
Figure DEST_PATH_IMAGE011
(3)
Figure DEST_PATH_IMAGE012
(4)
式中,
Figure DEST_PATH_IMAGE013
为解码器各层的输出,
Figure DEST_PATH_IMAGE014
Figure DEST_PATH_IMAGE015
为解码器第v层的权值与偏置,
Figure DEST_PATH_IMAGE016
为解码器第v层的激活函数;
步骤3.4:经过训练,通过损失函数最小化不断调整寻优,使得数据接近原始数据,从而提取出深层的时序特征。
3.根据权利要求1所述的一种配电物联网威胁狩猎方法,其特征在于,所述的构建BiGRU-attention网络的具体步骤为:
步骤4.1:输入正序特征向量,利用前向GRU得到前向特征向量表示,具体为:
Figure DEST_PATH_IMAGE017
(5)
Figure DEST_PATH_IMAGE018
(6)
Figure DEST_PATH_IMAGE019
(7)
Figure DEST_PATH_IMAGE020
(8)
式中,
Figure DEST_PATH_IMAGE021
Figure DEST_PATH_IMAGE022
是激活函数,
Figure DEST_PATH_IMAGE023
是T时刻的正向输入矩阵,
Figure DEST_PATH_IMAGE024
是前一时刻
Figure DEST_PATH_IMAGE025
下的正向隐藏状态,
Figure DEST_PATH_IMAGE026
Figure DEST_PATH_IMAGE027
Figure DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE029
分别是更新门权重矩阵、偏置矩阵和重置门权重矩阵、偏置矩阵,
Figure DEST_PATH_IMAGE030
Figure DEST_PATH_IMAGE031
分别是权重参数和偏差参数,
Figure DEST_PATH_IMAGE032
Figure DEST_PATH_IMAGE033
是正序时的重置门和更新门,
Figure DEST_PATH_IMAGE034
是正向候选隐藏状态,
Figure DEST_PATH_IMAGE035
是T时刻隐藏层状态;
步骤4.2:输入逆序特征向量,利用后向GRU得到后向特征向量表示,具体为:
Figure DEST_PATH_IMAGE036
(9)
Figure DEST_PATH_IMAGE037
(10)
Figure DEST_PATH_IMAGE038
(11)
Figure DEST_PATH_IMAGE039
(12)
式中,
Figure DEST_PATH_IMAGE040
是前一时刻
Figure DEST_PATH_IMAGE041
下的后向隐藏状态,
Figure DEST_PATH_IMAGE042
Figure DEST_PATH_IMAGE043
是逆序时的重置门和更新门,
Figure DEST_PATH_IMAGE044
表示点乘运算,
Figure DEST_PATH_IMAGE045
是后向候选隐藏状态,
Figure DEST_PATH_IMAGE046
是T时刻隐藏层状态;
Figure DEST_PATH_IMAGE047
(13)
步骤4.3:结合上面得到的前向特征向量和后向特征向量计算
Figure DEST_PATH_IMAGE048
,计算公式为:
Figure DEST_PATH_IMAGE049
(14)
式中,
Figure DEST_PATH_IMAGE050
Figure DEST_PATH_IMAGE051
是正向和逆向GRU的隐藏状态;
步骤4.4:给特征向量分配权重,利用注意力机制捕获各特征之间的关系,具体公式如下:
Figure DEST_PATH_IMAGE052
(15)
Figure DEST_PATH_IMAGE053
(16)
Figure DEST_PATH_IMAGE054
(17)
式中,
Figure DEST_PATH_IMAGE055
是注意力层输出,
Figure DEST_PATH_IMAGE056
表示T时刻隐层状态值,
Figure DEST_PATH_IMAGE057
是T时刻记忆状态,
Figure DEST_PATH_IMAGE058
Figure DEST_PATH_IMAGE059
是激活函数,
Figure DEST_PATH_IMAGE060
是softmax中间状态,
Figure DEST_PATH_IMAGE061
是注意力机制层的输出,
Figure DEST_PATH_IMAGE062
是权重矩阵;
步骤4.5:利用步骤4.4的输出结果判断系统的安全状态,得到最终结果,具体计算公式如下:
Figure DEST_PATH_IMAGE063
(18)
式中,
Figure DEST_PATH_IMAGE064
表示隐层状态的输出结果,
Figure DEST_PATH_IMAGE065
是网络记忆的状态值,
Figure DEST_PATH_IMAGE066
为分类结果的概率。
4.根据权利要求1所述的一种配电物联网威胁狩猎方法,其特征在于,利用改进的量子萤火虫优化算法搜寻BiGRU-attention网络的最优参数的步骤为:
步骤5.1:设置算法相关参数,设萤火虫种群规模为N,待优化问题维度为D,步长为step0 ,初始吸引度因子为attr0,光吸收系数为γ,广义反向学习次数为count,算法循环最大次数为MAG,生成初始种群
Figure DEST_PATH_IMAGE067
步骤5.2:按照以下公式编码萤火虫初始位置;
Figure DEST_PATH_IMAGE068
(19)
式中,i为萤火虫的个体数量,i=1,2,…,n;
Figure DEST_PATH_IMAGE069
为量子旋转门的旋转角,
Figure DEST_PATH_IMAGE070
Figure DEST_PATH_IMAGE071
是位于0和1之间的随机数;
步骤5.3:随机初始化种群位置,并计算适应度值
Figure DEST_PATH_IMAGE072
步骤 5.4:按照公式(20)计算个体反向解
Figure DEST_PATH_IMAGE073
,反向解记录粒子更新前位置为
Figure DEST_PATH_IMAGE074
,精英反向学习后的位置记为
Figure DEST_PATH_IMAGE075
,若适应度
Figure DEST_PATH_IMAGE076
,则
Figure DEST_PATH_IMAGE077
为广义精英个体
Figure DEST_PATH_IMAGE078
,记广义精英个体大小为EL,否则为普通个体,精英个体和普通群体的反向解群体构成当前种群,并计算种群亮度,进行排序,选出最优个体
Figure DEST_PATH_IMAGE079
Figure DEST_PATH_IMAGE080
(20)
式中,k是介于0~1的随机数,
Figure DEST_PATH_IMAGE081
Figure DEST_PATH_IMAGE082
Figure DEST_PATH_IMAGE083
,为广义精英群体的取值范围;
步骤5.5:根据公式(21)计算萤火虫i和j之间的距离,根据公式(22)萤火虫位置移动操作,通过量子旋转门来指导萤火虫种群向最优方向进化;
Figure DEST_PATH_IMAGE084
(21)
Figure DEST_PATH_IMAGE085
(22)
式中,d为优化问题的维数,
Figure DEST_PATH_IMAGE086
表示第i只萤火虫在第q维的位置;o为正相关系数,用
Figure DEST_PATH_IMAGE087
代替固定步长,使得萤火虫的步长随着
Figure DEST_PATH_IMAGE088
的变化而变化;
步骤5.6:若萤火虫越界,则通过式(23)边界调整策略加快调整,否则执行步骤5.7;
Figure DEST_PATH_IMAGE089
(23)
步骤5.7:计算位置更新后的群体中每个萤火虫的亮度;
步骤5.8:判断算法是否满足结束条件;若满足条件,则终止进化过程执行步骤5.9,并输出最优解;否则转到步骤5.4重复操作直至满足条件结束;
步骤5.9:输出全局最优解和最优位置。
CN202211141122.3A 2022-09-20 2022-09-20 一种配电物联网威胁狩猎方法 Pending CN115221511A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211141122.3A CN115221511A (zh) 2022-09-20 2022-09-20 一种配电物联网威胁狩猎方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211141122.3A CN115221511A (zh) 2022-09-20 2022-09-20 一种配电物联网威胁狩猎方法

Publications (1)

Publication Number Publication Date
CN115221511A true CN115221511A (zh) 2022-10-21

Family

ID=83616917

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211141122.3A Pending CN115221511A (zh) 2022-09-20 2022-09-20 一种配电物联网威胁狩猎方法

Country Status (1)

Country Link
CN (1) CN115221511A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115834251A (zh) * 2023-02-14 2023-03-21 国网江西省电力有限公司信息通信分公司 基于超图Transformer威胁狩猎模型建立方法
CN117834299A (zh) * 2024-03-04 2024-04-05 福建银数信息技术有限公司 一种网络安全智能监督管理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102046789B1 (ko) * 2019-04-05 2019-11-20 호서대학교 산학협력단 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램
CN112087442A (zh) * 2020-09-03 2020-12-15 北京交通大学 基于注意力机制的时序相关网络入侵检测方法
CN113596012A (zh) * 2021-07-26 2021-11-02 工银科技有限公司 攻击行为的识别方法、装置、设备、介质及程序产品

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102046789B1 (ko) * 2019-04-05 2019-11-20 호서대학교 산학협력단 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램
CN112087442A (zh) * 2020-09-03 2020-12-15 北京交通大学 基于注意力机制的时序相关网络入侵检测方法
CN113596012A (zh) * 2021-07-26 2021-11-02 工银科技有限公司 攻击行为的识别方法、装置、设备、介质及程序产品

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
张建权: "基于CNN和BiGRU-attention的互联网敏感实体识别方法", 《网络安全技术与应用》 *
杨宏宇等: "基于并行特征提取和改进BiGRU的网络安全态势评估", 《清华大学学报 自然科学版》 *
赵俊丽: "改进的量子萤火虫算法在多阈值分割中应用", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115834251A (zh) * 2023-02-14 2023-03-21 国网江西省电力有限公司信息通信分公司 基于超图Transformer威胁狩猎模型建立方法
CN115834251B (zh) * 2023-02-14 2023-09-29 国网江西省电力有限公司信息通信分公司 基于超图Transformer威胁狩猎模型建立方法
CN117834299A (zh) * 2024-03-04 2024-04-05 福建银数信息技术有限公司 一种网络安全智能监督管理方法及系统

Similar Documents

Publication Publication Date Title
Kravchik et al. Detecting cyber attacks in industrial control systems using convolutional neural networks
Yuan et al. DeepDefense: identifying DDoS attack via deep learning
CN115221511A (zh) 一种配电物联网威胁狩猎方法
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN116760742B (zh) 基于多阶段混合时空融合的网络流量异常检测方法及系统
CN112199717B (zh) 一种基于少量公共数据的隐私模型训练方法及装置
CN112165485A (zh) 一种大规模网络安全态势智能预测方法
CN107292166B (zh) 一种基于cfa算法和bp神经网络的入侵检测方法
Xiao et al. Addressing Overfitting Problem in Deep Learning‐Based Solutions for Next Generation Data‐Driven Networks
Chen et al. Deeppoison: Feature transfer based stealthy poisoning attack for dnns
CN112418361A (zh) 一种基于深度学习的工控系统异常检测方法、装置
Shan et al. NeuPot: A neural network-based honeypot for detecting cyber threats in industrial control systems
Li et al. Unbalanced network attack traffic detection based on feature extraction and GFDA-WGAN
Ahmadi et al. Neurounlock: Unlocking the architecture of obfuscated deep neural networks
Gungor et al. Adversarial-hd: Hyperdimensional computing adversarial attack design for secure industrial internet of things
Popoola et al. Optimizing deep learning model hyperparameters for botnet attack detection in IoT networks
CN116304959B (zh) 一种用于工业控制系统的对抗样本攻击防御方法及系统
CN117669651A (zh) 基于arma模型的对抗样本黑盒攻击防御方法及系统
Jonnalagadda et al. Modelling Data Poisoning Attacks Against Convolutional Neural Networks
Meng et al. Gru and multi-autoencoder based insider threat detection for cyber security
CN115834251B (zh) 基于超图Transformer威胁狩猎模型建立方法
Lin et al. SPA: An efficient adversarial attack on spiking neural networks using spike probabilistic
Xu et al. Cyber Intrusion Detection Based on a Mutative Scale Chaotic Bat Algorithm with Backpropagation Neural Network
Alrawashdeh et al. Optimizing Deep Learning Based Intrusion Detection Systems Defense Against White-Box and Backdoor Adversarial Attacks Through a Genetic Algorithm
Zhao et al. Compound attack prediction method based on improved algorithm of hidden Markov model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20221021