CN117113228B - 一种基于深度学习的电力社会工程学攻击监测方法及系统 - Google Patents

一种基于深度学习的电力社会工程学攻击监测方法及系统 Download PDF

Info

Publication number
CN117113228B
CN117113228B CN202311354867.2A CN202311354867A CN117113228B CN 117113228 B CN117113228 B CN 117113228B CN 202311354867 A CN202311354867 A CN 202311354867A CN 117113228 B CN117113228 B CN 117113228B
Authority
CN
China
Prior art keywords
data
power
power system
attack
social engineering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311354867.2A
Other languages
English (en)
Other versions
CN117113228A (zh
Inventor
冯永青
高红亮
周鹏
杨林
侯方迪
陈宏山
单政博
石侃
杨政权
廖霄
邓振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202311354867.2A priority Critical patent/CN117113228B/zh
Publication of CN117113228A publication Critical patent/CN117113228A/zh
Application granted granted Critical
Publication of CN117113228B publication Critical patent/CN117113228B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/10Pre-processing; Data cleansing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • G06F18/2131Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods based on a transform domain processing, e.g. wavelet transform
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/06Electricity, gas or water supply
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J3/00Circuit arrangements for ac mains or ac distribution networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J2203/00Indexing scheme relating to details of circuit arrangements for AC mains or AC distribution networks
    • H02J2203/20Simulating, e g planning, reliability check, modelling or computer assisted design [CAD]

Abstract

一种基于深度学习的电力社会工程学攻击监测方法及系统,包括步骤:步骤S1数据采集器采集电力系统中社会工程学攻击数据,步骤S2对采集的电力系统中社会工程学攻击数据进行预处理;步骤S3将数值向量矩阵输入至采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型;步骤S4将当前时刻的隐藏状态H t 进行线性变换,得到最终预测结果输出值Y;步骤S5当最终预测结果Y大于设定阈值时,则检测到电力社会工程学攻击行为,电力控制系统关闭或切断电源并限制网络访问。本发明根据电力数据特点采用改进的循环神经网络算法,能够有效地识别电力社会工程学攻击行为,提高电力系统的安全性和稳定性。

Description

一种基于深度学习的电力社会工程学攻击监测方法及系统
技术领域
本发明涉及电力故障技术领域,具体地涉及一种基于深度学习的电力社会工程学攻击监测方法及系统。
背景技术
电力社会工程学攻击是指利用社会工程学手段,通过操纵人的思想、行为等途径,对电力系统进行攻击,从而达到破坏电力系统的目的。电力社会工程学攻击具有隐蔽性、可持续性、破坏性强等特点,给电力系统的安全稳定带来了极大的威胁。目前,电力系统的安全防护主要依靠传统的网络安全技术,如防火墙、入侵检测等。然而,这些技术往往无法有效应对电力社会工程学攻击,因为电力社会工程学攻击的目标是人而不是机器,这就需要采用新的技术手段来解决这一问题。
深度学习是一种机器学习的方法,通过构建多层神经网络,使得计算机可以模拟人类的学习方式,从而具有很强的分类、识别、预测能力。深度学习已经广泛应用于图像识别、语音识别、自然语言处理等领域,并取得了很大的成功。然而,深度学习在电力社会工程学攻击防护领域的应用还比较少,如何利用深度学习算法识别电力社会工程学攻击行为,仍然是一个亟待解决的问题。
目前,通过深度学习应对电力社会工程学攻击虽然有一定的效果,但现有的监测方法中,主要是考虑单一的登录信息或攻击信息等,且综合考虑多种电力数据特点类型因素以提高精度的测量方法较少,而没有针对不同信息的综合分级分类根据电力社会工程学攻击相关数据特征进行训练应对的方式,且现有的深度学习不能够根据电力社会工程学攻击数据特征特点进行针对性构建识别模型;导致本来隐蔽的电力社会工程学攻击行为监测较为粗糙且不准确。
发明内容
为解决上述技术问题,本发明提供一种基于深度学习的电力社会工程学攻击监测方法及系统,本发明的一种基于深度学习的电力社会工程学攻击监测方法及系统显著提升了监测社会工程学攻击的准确性和速率,且电力系统工作的安全性和便捷性大大提升,增强了用户体验;本发明是通过以下方式实现的:
一种基于深度学习的电力社会工程学攻击监测方法,包括:步骤S1:数据采集器采集电力系统中社会工程学攻击数据,包括用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据;
步骤S2:对采集的电力系统中社会工程学攻击数据进行预处理,对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>
步骤S3:将数值向量矩阵输入至采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,深度学习模型的当前时刻的隐藏状态为:
为第一输入权重矩阵,/>是隐藏层第一状态权重矩阵,/>是第一偏置向量,/>为ReLU激活函数,/>为当前时刻的第一隐藏状态,/>为第二输入权重矩阵,是隐藏层第二状态权重矩阵,/>是第二偏置向量,/>为ReLU激活函数,/>为当前时刻的第二隐藏状态;/>为第三输入权重矩阵,/>是隐藏层第三状态权重矩阵,/>是第三偏置向量,/>为当前时刻的第三隐藏状态;/>、/>、/>分别为用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别对应的隐藏层输出权重;
步骤S4:将当前时刻的隐藏状态进行线性变换,得到最终预测结果输出值Y为:
其中,为隐藏状态和输出状态之间的权重矩阵,/>是输出层偏置向量;为交叉熵损失函数;
步骤S5:当最终预测结果Y大于设定阈值时,则检测到电力社会工程学攻击行为,报警器及时触发警报、电力控制系统将受到攻击的电力设备进行关闭或切断电源并限制网络访问。
优选地,所述用户登录信息包括记录用户的账号、密码、登录时间;所述电力系统操作记录包括用户的键盘输入频次、鼠标点击频率、操作时间、操作对象;所述传感器数据包括电压、电流、温度、湿度、电量以及监控摄像头获取的视频、图像数据,所述安全日志数据包括入侵尝试次数、恶意软件攻击次数、漏洞补丁个数;所述网络流量包括数据源地址、目的地址、协议类型、传输数据量。
优选地,所述对采集的电力系统中社会工程学攻击数据进行预处理,包括:采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波。
优选地,所述对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>,其中编码操作包括采用词袋模型和词嵌入模型进行编码。
优选地,所述限制网络访问包括通过防火墙对攻击源IP地址进行限制或封锁,以保障电力系统的网络安全和稳定。
本发明还包括一种基于深度学习的电力社会工程学攻击监测系统,包括数据采集模块,通过数据采集器采集电力系统中社会工程学攻击数据,包括用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据;
数据预处理模块,对采集的电力系统中社会工程学攻击数据进行预处理,对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>
当前时刻隐藏状态计算模块:将数值向量矩阵输入至采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,深度学习模型的当前时刻的隐藏状态为:/>
为第一输入权重矩阵,/>是隐藏层第一状态权重矩阵,/>是第一偏置向量,/>为ReLU激活函数,/>为当前时刻的第一隐藏状态,/>为第二输入权重矩阵,是隐藏层第二状态权重矩阵,/>是第二偏置向量,/>为ReLU激活函数,/>为当前时刻的第二隐藏状态;/>为第三输入权重矩阵,/>是隐藏层第三状态权重矩阵,/>是第三偏置向量,/>为当前时刻的第三隐藏状态;/>、/>、/>分别为用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别对应的隐藏层输出权重;
最终预测结果输出值确认模块:将当前时刻的隐藏状态进行线性变换,得到最终预测结果输出值Y为:/>
其中,为隐藏状态和输出状态之间的权重矩阵,/>是输出层偏置向量;为交叉熵损失函数;
监测应对模块:当最终预测结果Y大于设定阈值时,则检测到电力社会工程学攻击行为,报警器及时触发警报、电力控制系统将受到攻击的电力设备进行关闭或切断电源并限制网络访问。
优选地,所述用户登录信息包括记录用户的账号、密码、登录时间;所述电力系统操作记录包括用户的键盘输入频次、鼠标点击频率、操作时间、操作对象;所述传感器数据包括电压、电流、温度、湿度、电量以及监控摄像头获取的视频、图像数据,所述安全日志数据包括入侵尝试次数、恶意软件攻击次数、漏洞补丁个数;所述网络流量包括数据源地址、目的地址、协议类型、传输数据量。
优选地,所述对采集的电力系统中社会工程学攻击数据进行预处理,包括:采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波。
优选地,所述对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>,其中编码操作包括采用词袋模型和词嵌入模型进行编码。
优选地,所述限制网络访问包括通过防火墙对攻击源IP地址进行限制或封锁,以保障电力系统的网络安全和稳定。
与现有技术相比,本发明的技术方案具有以下有益效果:
解决了传统技术中存在考虑电力社会工程学攻击数据单一特征等问题,导致监测的准确率较低,本申请创造性的将电力社会工程学攻击数据进行分级分类,综合考虑用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据情况并分别进行编码操作转换成数值向量矩阵、/>、/>,根据用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据的不同特点,创造性的采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,将深度学习模型的当前时刻的隐藏状态/>分别依据用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据的不同特点,分别配以不同的权重计算当前时刻的隐藏状态/>
此外,本申请在计算最终预测结果输出值时,将、/>、/>加入到/>输出层偏置向量的考虑因素中,通过将隐藏层的输出权重结合到输出层的偏置向量大大增强了预测准确率。
本申请根据电力数据特点以及与社会工程学攻击的特点进行综合分析,针对性的改进循环神经网络隐藏层、输出层结构,并采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波,大大增强了训练效果,显著提升了电力社会工程学攻击数据识别的准确度。
本申请能够有效地识别电力社会工程学攻击行为,提高电力系统的安全性和稳定性。本发明采用改进了隐藏层输出层结构的循环神经网络算法,具有很强的识别能力和鲁棒性,能够在攻击发生之初就及时发现并采取相应的防护措施。
附图说明
图1是本发明一种基于深度学习的电力社会工程学攻击监测方法系统图。
具体实施方式
本领域技术人员理解,如背景技术所言,传统技术中主要是考虑单一的登录信息或攻击信息,并没有根据电力数据特点进行分级分类处理,且综合考虑多种电力数据特点类型因素以提高精度的测量方法较少,而没有针对不同信息的综合分级分类根据电力社会工程学攻击相关数据特征进行训练应对的方式,且现有的深度学习不能够根据电力社会工程学攻击数据特征特点进行针对性构建识别模型;导致本来隐蔽的电力社会工程学攻击行为监测较为粗糙且不准确。为使本发明的上述目的、特征和有益效果能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
实施例1:
图1示出了本申请的一种基于深度学习的电力社会工程学攻击监测方法系统图,在一些实施例中,一种基于深度学习的电力社会工程学攻击监测方法,包括步骤S1:数据采集器采集电力系统中社会工程学攻击数据,包括用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据;
在一些实施例中还可以采集以下与电力社会工程学攻击相关的数据:社交媒体数据:社交媒体平台上的用户信息、评论、转发、点赞等数据,以及与电力系统有关的话题、事件等信息。通信记录:短信、电话、邮件等通信记录,包括发送方、接收方、内容等信息。其他传感器数据:包括电力设备气压、风速、降雨量等环境数据等数据。安全日志数据:安全日志记录了电力系统中的所有安全事件,包括入侵尝试、恶意软件攻击、漏洞利用等信息。
步骤S2:对采集的电力系统中社会工程学攻击数据进行预处理,对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>
步骤S3:将数值向量矩阵输入至采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,深度学习模型的当前时刻的隐藏状态为:
为第一输入权重矩阵,/>是隐藏层第一状态权重矩阵,/>是第一偏置向量,/>为ReLU激活函数,/>为当前时刻的第一隐藏状态,/>为第二输入权重矩阵,是隐藏层第二状态权重矩阵,/>是第二偏置向量,/>为ReLU激活函数,/>为当前时刻的第二隐藏状态;/>为第三输入权重矩阵,/>是隐藏层第三状态权重矩阵,/>是第三偏置向量,/>为当前时刻的第三隐藏状态;/>、/>、/>分别为用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别对应的隐藏层输出权重;
在RNN模型中,当前时刻的隐藏状态可以用来预测下一个时刻的输出结果,也可以作为后续处理的输入特征。具体地说,将当前时刻的隐藏状态输入到后续的全连接层或其他分类器中,可以对当前时刻所对应的输入数据进行分类,判断是否存在电力社会工程学攻击行为。
举例来说,假设当前时刻的输入是某个用户的登录信息,包括用户名和密码。在训练过程中,RNN模型通过学习历史登录信息的特征,能够学习到正常登录和恶意登录的差异,从而预测当前时刻用户登录行为是否存在异常。如果当前时刻的隐藏状态与历史正常登录的隐藏状态相似度较高,则判定为正常登录,否则判定为恶意登录。
需要注意的是,由于电力社会工程学攻击具有隐蔽性和欺骗性,因此单凭隐藏状态可能无法完全判断是否受到攻击,需要结合其他特征进行综合分析和判断。
步骤S4:将当前时刻的隐藏状态进行线性变换,得到最终预测结果输出值Y为:
其中,为隐藏状态和输出状态之间的权重矩阵,/>是输出层偏置向量;为交叉熵损失函数;
举例来说,如果我们要构建一个RNN模型来识别电力系统中的社会工程学攻击,我们可以将用户的登录信息、电力系统操作记录等作为输入数据,然后通过RNN模型学习这些数据的时间序列特征,最终输出该用户是否存在可能的攻击行为。在训练过程中,我们会将已知的攻击样本和正常样本输入到模型中进行学习,通过不断调整模型参数,使得模型在训练集上的准确率逐步提高。在测试过程中,我们可以将新的数据输入到模型中进行预测,如果模型输出的概率值超过了一个预先设定的阈值,那么就判断该用户存在可能的攻击行为,触发相应的警报。
步骤S5:当最终预测结果Y大于设定阈值时,则检测到电力社会工程学攻击行为,报警器及时触发警报、电力控制系统将受到攻击的电力设备进行关闭或切断电源并限制网络访问。
在一些实施例中,所述用户登录信息包括记录用户的账号、密码、登录时间;所述电力系统操作记录包括用户的键盘输入频次、鼠标点击频率、操作时间、操作对象;所述传感器数据包括电压、电流、温度、湿度、电量以及监控摄像头获取的视频、图像数据,所述安全日志数据包括入侵尝试次数、恶意软件攻击次数、漏洞补丁个数;所述网络流量包括数据源地址、目的地址、协议类型、传输数据量。
在一些实施例中,所述对采集的电力系统中社会工程学攻击数据进行预处理,包括:采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波。数据清洗:根据数据的特点和应用需求,对数据进行去重、去噪、异常值处理等操作,以提高数据质量。将原始数据转换为有意义的特征,以便将其输入到深度学习模型中进行训练和分类。常用的特征提取方法包括时域特征提取、频域特征提取、小波变换、灰度共生矩阵等方法。例如,可以从电力系统操作记录中提取出各种操作指令的频率、操作持续时间、操作时间等特征,用于训练模型。在一些实施例中还包括特征选择:对提取出来的特征进行筛选和选择,以减少冗余特征和噪声特征对模型的影响。常用的特征选择方法包括过滤式特征选择、包裹式特征选择、嵌入式特征选择等方法。例如,可以采用相关系数、卡方检验、互信息等方法对特征进行选择。
在一些实施例中,所述对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>,其中编码操作包括采用词袋模型和词嵌入模型进行编码。
在一些实施例中,所述限制网络访问包括通过防火墙对攻击源IP地址进行限制或封锁,以保障电力系统的网络安全和稳定。可以将已经训练好的深度学习模型应用于实时监测和识别电力社会工程学攻击。实时监测电力系统中的攻击行为通常需要从电力系统中采集实时数据,并对这些数据进行实时处理和分析。具体地,可以采集一些电力系统中的关键参数,如电压、电流、温度、湿度、电量等参数,并将这些参数输入到已经训练好的深度学习模型中进行实时分析和识别。在模型分析的过程中,如果模型检测到异常行为,则会触发警报并采取相应的防护措施。
例如,在电力系统中,电流是一个非常重要的参数。攻击者可能会通过改变电路中的电流值来达到控制电力系统的目的。因此,可以在深度学习模型中对电流参数进行重点监测和识别,以及根据模型的结果采取相应的防护措施。
具体来说,深度学习模型可以通过输入当前时刻的电流值和前面若干个时刻的电流值序列,来预测下一个时刻的电流值是否正常。如果深度学习模型检测到当前时刻的电流值异常,则会触发警报并采取相应的防护措施,如关闭相关的电力设备,限制网络访问等。这样可以及时有效地保护电力系统的安全稳定。
实施例二
本发明还包括一种基于深度学习的电力社会工程学攻击监测系统,包括数据采集模块,通过数据采集器采集电力系统中社会工程学攻击数据,包括用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据;
数据预处理模块,对采集的电力系统中社会工程学攻击数据进行预处理,对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>
当前时刻隐藏状态计算模块:将数值向量矩阵输入至采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,深度学习模型的当前时刻的隐藏状态为:/>
为第一输入权重矩阵,/>是隐藏层第一状态权重矩阵,/>是第一偏置向量,/>为ReLU激活函数,/>为当前时刻的第一隐藏状态,/>为第二输入权重矩阵,是隐藏层第二状态权重矩阵,/>是第二偏置向量,/>为ReLU激活函数,/>为当前时刻的第二隐藏状态;/>为第三输入权重矩阵,/>是隐藏层第三状态权重矩阵,/>是第三偏置向量,/>为当前时刻的第三隐藏状态;/>、/>、/>分别为用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别对应的隐藏层输出权重;
最终预测结果输出值确认模块:将当前时刻的隐藏状态进行线性变换,得到最终预测结果输出值Y为:/>
其中,为隐藏状态和输出状态之间的权重矩阵,/>是输出层偏置向量;为交叉熵损失函数;
监测应对模块:当最终预测结果Y大于设定阈值时,则检测到电力社会工程学攻击行为,报警器及时触发警报、电力控制系统将受到攻击的电力设备进行关闭或切断电源并限制网络访问。
在一些实施例中,所述用户登录信息包括记录用户的账号、密码、登录时间;所述电力系统操作记录包括用户的键盘输入频次、鼠标点击频率、操作时间、操作对象;所述传感器数据包括电压、电流、温度、湿度、电量以及监控摄像头获取的视频、图像数据,所述安全日志数据包括入侵尝试次数、恶意软件攻击次数、漏洞补丁个数;所述网络流量包括数据源地址、目的地址、协议类型、传输数据量。
在一些实施例中,所述对采集的电力系统中社会工程学攻击数据进行预处理,包括:采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波。
在一些实施例中,所述对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>,其中编码操作包括采用词袋模型和词嵌入模型进行编码。
词袋模型和词嵌入模型是常用的文本编码方法,下面分别举例说明:
词袋模型编码:假设有如下两个句子作为训练集:
句子1:登录账号;
句子2:第5次输入密码,
首先需要对训练集进行预处理,如分词、去停用词、转换成小写等操作。然后根据训练集构建一个词典,构建好词典后,可以对训练集进行编码,将文本转换成数值向量。常用的编码方法是将每个句子表示成一个向量,向量的长度为词典大小,每个位置对应一个词,如果该词在句子中出现,则对应位置上的数值为该词在句子中的出现次数,否则为0。这样就可以将原始的文本数据转换成数值向量,方便输入到RNN模型中进行训练和分类。
词嵌入模型编码:
假设有如下两个句子作为训练集:
句子1:键盘输入了4
句子2:鼠标点击了启动
同样需要对训练集进行预处理,然后构建一个词典。接下来需要使用词嵌入模型将每个词表示成一个向量。常用的词嵌入模型有Word2Vec和GloVe等。以Word2Vec为例,假设使用Skip-Gram模型训练得到了每个词的向量表示,得到每个词的向量表示后,可以将句子表示成一个矩阵,矩阵的行数为句子长度,列数为向量维度。这样就可以将每个句子表示成一个矩阵,方便输入到RNN模型中进行训练和分类。与词袋模型相比,词嵌入模型可以更好地表示词与词之间的关系,可以提高模型的性能。
在一些实施例中,所述限制网络访问包括通过防火墙对攻击源IP地址进行限制或封锁,以保障电力系统的网络安全和稳定。
当最终预测结果Y大于设定阈值时,可以通过以下步骤进行电力设备的关闭和网络访问的限制:
触发警报:通过报警器或者其他声光设备发出声音、光亮等形式的警报信号,提醒相关工作人员或安全人员及时采取措施。
关闭电力设备:通过电力控制系统控制相关电力设备的开关状态,将受到攻击的电力设备进行关闭或切断电源,以避免电力系统的进一步损失。
限制网络访问:通过网络安全系统或防火墙等网络设备对攻击源IP地址进行限制或封锁,以保障电力系统的网络安全和稳定。
需要注意的是,在采取上述措施时,应及时对受到攻击的设备进行检修和修复,以恢复电力系统的正常运行。
本申请的解决了传统技术中存在考虑电力社会工程学攻击数据单一特征等问题,导致监测的准确率较低,本申请创造性的将电力社会工程学攻击数据进行分级分类,综合考虑用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据情况并分别进行编码操作转换成数值向量矩阵、/>、/>,根据用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据的不同特点,创造性的采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,将深度学习模型的当前时刻的隐藏状态/>分别依据用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据的不同特点,分别配以不同的权重计算当前时刻的隐藏状态/>
此外,本申请在计算最终预测结果输出值时,将、/>、/>加入到/>输出层偏置向量的考虑因素中,通过将隐藏层的输出权重结合到输出层的偏置向量大大增强了预测准确率。
本申请根据电力数据特点以及与社会工程学攻击的特点进行综合分析,针对性的改进循环神经网络隐藏层、输出层结构,并采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波,大大增强了训练效果,显著提升了电力社会工程学攻击数据识别的准确度。
本领域技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品,因此本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。

Claims (10)

1.一种基于深度学习的电力社会工程学攻击监测方法,其特征在于,包括:步骤S1:数据采集器采集电力系统中社会工程学攻击数据,包括用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据;
步骤S2:对采集的电力系统中社会工程学攻击数据进行预处理,对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>
步骤S3:将数值向量矩阵输入至采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,深度学习模型的当前时刻的隐藏状态为:
为第一输入权重矩阵,/>是隐藏层第一状态权重矩阵,/>是第一偏置向量,为ReLU激活函数,/>为当前时刻的第一隐藏状态,/>为第二输入权重矩阵,/>是隐藏层第二状态权重矩阵,/>是第二偏置向量,/>为ReLU激活函数,/>为当前时刻的第二隐藏状态;/>为第三输入权重矩阵,/>是隐藏层第三状态权重矩阵,/>是第三偏置向量,/>为当前时刻的第三隐藏状态;/>、/>、/>分别为用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别对应的隐藏层输出权重;
步骤S4:将当前时刻的隐藏状态进行线性变换,得到最终预测结果输出值Y为:
其中,为隐藏状态和输出状态之间的权重矩阵,/>是输出层偏置向量;/>为交叉熵损失函数;
步骤S5:当最终预测结果Y大于设定阈值时,则检测到电力社会工程学攻击行为,报警器及时触发警报、电力控制系统将受到攻击的电力设备进行关闭或切断电源并限制网络访问。
2.根据权利要求1所述的一种基于深度学习的电力社会工程学攻击监测方法,其特征在于,所述用户登录信息包括记录用户的账号、密码、登录时间;所述电力系统操作记录包括用户的键盘输入频次、鼠标点击频率、操作时间、操作对象;所述传感器数据包括电压、电流、温度、湿度、电量以及监控摄像头获取的视频、图像数据,所述安全日志数据包括入侵尝试次数、恶意软件攻击次数、漏洞补丁个数;所述网络流量包括数据源地址、目的地址、协议类型、传输数据量。
3.根据权利要求1所述的一种基于深度学习的电力社会工程学攻击监测方法,其特征在于,所述对采集的电力系统中社会工程学攻击数据进行预处理,包括:采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波。
4.根据权利要求1所述的一种基于深度学习的电力社会工程学攻击监测方法,其特征在于,所述对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>,其中编码操作包括采用词袋模型和词嵌入模型进行编码。
5.根据权利要求1所述的一种基于深度学习的电力社会工程学攻击监测方法,其特征在于,所述限制网络访问包括通过防火墙对攻击源IP地址进行限制或封锁,以保障电力系统的网络安全和稳定。
6.一种基于深度学习的电力社会工程学攻击监测系统,其特征在于,包括数据采集模块,通过数据采集器采集电力系统中社会工程学攻击数据,包括用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据;
数据预处理模块,对采集的电力系统中社会工程学攻击数据进行预处理,对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>
当前时刻隐藏状态计算模块:将数值向量矩阵输入至采用改进的循环神经网络训练构建好的识别电力社会工程学攻击深度学习模型,深度学习模型的当前时刻的隐藏状态为:/>
为第一输入权重矩阵,/>是隐藏层第一状态权重矩阵,/>是第一偏置向量,为ReLU激活函数,/>为当前时刻的第一隐藏状态,/>为第二输入权重矩阵,/>是隐藏层第二状态权重矩阵,/>是第二偏置向量,/>为ReLU激活函数,/>为当前时刻的第二隐藏状态;/>为第三输入权重矩阵,/>是隐藏层第三状态权重矩阵,/>是第三偏置向量,/>为当前时刻的第三隐藏状态;/>、/>、/>分别为用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别对应的隐藏层输出权重;
最终预测结果输出值确认模块:将当前时刻的隐藏状态进行线性变换,得到最终预测结果输出值Y为:/>
其中,为隐藏状态和输出状态之间的权重矩阵,/>是输出层偏置向量;/>为交叉熵损失函数;
监测应对模块:当最终预测结果Y大于设定阈值时,则检测到电力社会工程学攻击行为,报警器及时触发警报、电力控制系统将受到攻击的电力设备进行关闭或切断电源并限制网络访问。
7.根据权利要求6所述的一种基于深度学习的电力社会工程学攻击监测系统,其特征在于,所述用户登录信息包括记录用户的账号、密码、登录时间;所述电力系统操作记录包括用户的键盘输入频次、鼠标点击频率、操作时间、操作对象;所述传感器数据包括电压、电流、温度、湿度、电量以及监控摄像头获取的视频、图像数据,所述安全日志数据包括入侵尝试次数、恶意软件攻击次数、漏洞补丁个数;所述网络流量包括数据源地址、目的地址、协议类型、传输数据量。
8.根据权利要求6所述的一种基于深度学习的电力社会工程学攻击监测系统,其特征在于,所述对采集的电力系统中社会工程学攻击数据进行预处理,包括:采用高斯滤波对用户登录信息、网络流量数据及安全日志数据进行数据清洗,对电力系统操作记录进行特征提取,提取出操作指令的频率、操作时刻、操作持续时间特征,采用中位数过滤对传感器数据进行滤波。
9.根据权利要求6所述的一种基于深度学习的电力社会工程学攻击监测系统,其特征在于,所述对经过预处理的用户登录信息、电力系统操作记录及传感器数据、网络流量数据及安全日志数据分别进行编码操作转换成数值向量矩阵、/>、/>,其中编码操作包括采用词袋模型和词嵌入模型进行编码。
10.根据权利要求6所述的一种基于深度学习的电力社会工程学攻击监测系统,其特征在于,所述限制网络访问包括通过防火墙对攻击源IP地址进行限制或封锁,以保障电力系统的网络安全和稳定。
CN202311354867.2A 2023-10-19 2023-10-19 一种基于深度学习的电力社会工程学攻击监测方法及系统 Active CN117113228B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311354867.2A CN117113228B (zh) 2023-10-19 2023-10-19 一种基于深度学习的电力社会工程学攻击监测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311354867.2A CN117113228B (zh) 2023-10-19 2023-10-19 一种基于深度学习的电力社会工程学攻击监测方法及系统

Publications (2)

Publication Number Publication Date
CN117113228A CN117113228A (zh) 2023-11-24
CN117113228B true CN117113228B (zh) 2023-12-29

Family

ID=88804207

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311354867.2A Active CN117113228B (zh) 2023-10-19 2023-10-19 一种基于深度学习的电力社会工程学攻击监测方法及系统

Country Status (1)

Country Link
CN (1) CN117113228B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574135B (zh) * 2024-01-16 2024-03-26 国网浙江省电力有限公司丽水供电公司 一种电网攻击事件检测方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107220541A (zh) * 2017-05-26 2017-09-29 成都信息工程大学 一种基于soeks的社工攻击知识表示与挖掘方法
CN110070102A (zh) * 2019-03-13 2019-07-30 西安理工大学 基于双向独立循环神经网络的序列对序列模型的建立方法
CN112543176A (zh) * 2020-10-22 2021-03-23 新华三信息安全技术有限公司 一种异常网络访问检测方法、装置、存储介质及终端
US11494486B1 (en) * 2019-01-15 2022-11-08 Hrl Laboratories, Llc Continuously habituating elicitation strategies for social-engineering-attacks (CHESS)
CN116582330A (zh) * 2023-05-19 2023-08-11 哈尔滨工业大学(威海) 一种面向部分未知安全状态的工控网络自动防御决策方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230063489A1 (en) * 2021-08-25 2023-03-02 Bank Of America Corporation Malware Detection with Multi-Level, Ensemble Artificial Intelligence Using Bidirectional Long Short-Term Memory Recurrent Neural Networks and Natural Language Processing

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107220541A (zh) * 2017-05-26 2017-09-29 成都信息工程大学 一种基于soeks的社工攻击知识表示与挖掘方法
US11494486B1 (en) * 2019-01-15 2022-11-08 Hrl Laboratories, Llc Continuously habituating elicitation strategies for social-engineering-attacks (CHESS)
CN110070102A (zh) * 2019-03-13 2019-07-30 西安理工大学 基于双向独立循环神经网络的序列对序列模型的建立方法
CN112543176A (zh) * 2020-10-22 2021-03-23 新华三信息安全技术有限公司 一种异常网络访问检测方法、装置、存储介质及终端
CN116582330A (zh) * 2023-05-19 2023-08-11 哈尔滨工业大学(威海) 一种面向部分未知安全状态的工控网络自动防御决策方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SEADer++: social engineering attack detection in online environments using machine learning;Merton Lansley 等;Journal of Information and Telecommunication;第4卷(第3期);第346-362页 *

Also Published As

Publication number Publication date
CN117113228A (zh) 2023-11-24

Similar Documents

Publication Publication Date Title
CN107154950A (zh) 一种日志流异常检测的方法及系统
Piplai et al. NAttack! Adversarial Attacks to bypass a GAN based classifier trained to detect Network intrusion
Yoon et al. Communication pattern monitoring: Improving the utility of anomaly detection for industrial control systems
CN117113228B (zh) 一种基于深度学习的电力社会工程学攻击监测方法及系统
CN110909348B (zh) 一种内部威胁检测方法及装置
CN112905421A (zh) 基于注意力机制的lstm网络的容器异常行为检测方法
CN109309675A (zh) 一种基于卷积神经网络的网络入侵检测方法
Dhakar et al. A novel data mining based hybrid intrusion detection framework
CN112019497A (zh) 一种基于词嵌入的多阶段网络攻击检测方法
CN111526144A (zh) 基于DVAE-Catboost的异常流量检测方法与系统
CN111464510B (zh) 基于快速梯度提升树分类模型的网络实时入侵检测方法
CN112688946A (zh) 异常检测特征的构造方法、模块、存储介质、设备及系统
Lu et al. Black-box attacks against log anomaly detection with adversarial examples
Du et al. A hidden Markov models-based anomaly intrusion detection method
CN116318928A (zh) 一种基于数据增强和特征融合的恶意流量识别方法及系统
CN111935099A (zh) 一种基于深度降噪自编码网络的恶意域名检测方法
CN115396169A (zh) 基于ttp的多步骤攻击检测与场景还原的方法及系统
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
CN117332411B (zh) 一种基于Transformer模型的异常登录检测方法
CN114915496B (zh) 基于时间权重和深度神经网络的网络入侵检测方法和装置
CN117176433A (zh) 网络数据的异常行为检测系统及方法
CN113918936A (zh) Sql注入攻击检测的方法以及装置
Wang et al. An efficient intrusion detection model combined bidirectional gated recurrent units with attention mechanism
CN113420293A (zh) 一种基于深度学习的安卓恶意应用检测方法及系统
CN113162904A (zh) 一种基于概率图模型的电力监控系统网络安全告警评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant