2. 技术
  3. 一种虚拟电厂的APT攻击检测方法与流程

一种虚拟电厂的APT攻击检测方法与流程

xiaoxiao8月前  121

本发明涉及虚拟电厂apt攻击检测领域,特别是涉及一种虚拟电厂的apt攻击检测方法。


背景技术:

1、随着可再生能源(如风能、太阳能)的快速发展和大规模接入电力系统,其间歇性和波动性给电力系统的运行带来挑战。又由于智能电网技术的发展和普及,虚拟电厂作为一种新型的市场参与主体,可以为市场提供更多的电力资源选择。在虚拟电厂建设中若网络安全措施不足时可能产生apt攻击,高级持续性威胁 (advanced persistent threat,apt),是一种针对性强、组织严密、手段高超、隐蔽性强且持续时间长的网络攻击。旨在长期潜伏在目标系统内部,窃取敏感信息或破坏系统。现有的检测apt攻击的方法虽然包括基于行为分析、网络流量分析、终端监控等多种手段,但仍存在着难以应对攻击的高度隐蔽性和复杂性、误报警情增多、缺乏全面的威胁情报共享,预防效率不高,预测精度不高等不足之处。因此,需要不断创新和完善安全防御手段,加强威胁情报共享,以提高对抗apt攻击的效果和效率。

2、公开号为cn117692254a,名称为一种虚拟电厂多阶段apt攻击检测方法,该方法包括:通过解析虚拟电厂iec104协议网络流量和apt攻击网络流量,提取多维流量特征,并进行数据清洗;利用迁移学习进行域知识迁移,生成具有虚拟电厂通信特性的多阶段apt攻击流量数据;利用序列生成对抗网络和信息增益算法,对多阶段apt攻击流量进行数据增强和特征提取,结合随机森林模型检测虚拟电厂多阶段apt攻击,得到攻击检测结果。该方法通过序列生成对抗网络和信息增益算法优化数据特征,结合随机森林模型检测apt攻击,能有效检测多阶段apt攻击,还能明确攻击阶段,能够保障虚拟电厂的信息安全,但不能对虚拟电厂未来时刻的安全状态进行预测。

3、公开号为cn111953697a,名称为一种apt攻击识别及防御方法,该方法包括:通过获取网络及系统日志,识别apt攻击行为;再基于网络日志挖掘攻击主体,确定出不同目标的攻击主体;再统计不同目标的各个攻击主体的攻击时间线,预测不同目标的各个攻击主体的下一次攻击时间;最后获取各个不同目标的攻击主体所期待的攻击文件类型,制造虚假的同类型文件,按照预测出的不同目标的各个攻击主体的下一次攻击时间,提供给apt攻击者,进行apt攻击防御。该方法能识别apt攻击,挖掘出apt攻击的攻击主体,预测攻击时间线,自动生成和篡改大量的错误文件混淆视听,在攻击时间线过后自动将错误文件删除,恢复文件内容信息,能从根本上解决apt攻击的问题。但不能对apt攻击类型进行识别分类,采取更加合适的防御行为。


技术实现思路

1、本发明主要解决的技术问题是提供一种虚拟电厂的apt攻击检测方法,能够解决不能对apt攻击类型进行识别分类,无法预测虚拟电厂未来时刻是否会遭受攻击的问题。

2、为了解决上述技术问题,本发明采用的一个技术方案是:提供一种虚拟电厂的apt攻击检测方法,包括:

3、s100:使用网络监控硬件不间断地捕获虚拟电厂控制网络中的数据信息;

4、s200:构建集成学习融合模型对所述虚拟电厂历史apt攻击流量数据进行分类,得到不同类别apt攻击流量数据;

5、s300:构建流量数据特征提取网络对所述不同类别apt攻击流量数据进行特征提取,得到apt攻击特征集合;

6、s400:基于lstm神经网络建立apt攻击流量数据预测模型,通过apt攻击流量数据预测模型预测未来十分钟虚拟电厂流量数据;

7、s500:根据所述流量数据特征提取网络对所述未来十分钟虚拟电厂流量数据进行特征提取,得到预测流量数据特征;

8、s600:构建apt攻击判别规则,对未来十分钟虚拟电厂是否会遭受apt攻击进行判断,得到虚拟电厂风险判断结果;

9、所述数据信息,包括:虚拟电厂历史流量数据和虚拟电厂当前流量数据;

10、所述虚拟电厂历史流量数据,包括:虚拟电厂历史apt攻击流量数据和虚拟电厂历史正常流量数据。

11、进一步地,所述s200,包括:

12、s210:对所述虚拟电厂历史apt攻击流量数据进行预处理操作,得到元数据;

13、s220:将所述元数据进行向量化,得到检测特征向量;

14、s230:将所述检测特征向量输入到集成学习融合模型中进行分类,得到不同类别apt攻击流量数据;

15、所述预处理操作,是指提取所述虚拟电厂历史apt攻击流量数据部分信息作为下一步tcp流重组的元数据,元数据记录信息包括数据包采集时间戳,源目ip,源目端口,数据包长度,syn位数值和fin位数值。

16、进一步地,所述s230,包括:

17、s231:将所述检测特征向量划分为80%的训练集和20%的测试集;

18、s232:构建svm模型与随机森林模型,根据所述训练集进行联合训练,得到集成学习融合模型;

19、s233:将所述测试集输入至所述集成学习融合模型,得到不同类别apt攻击流量数据;

20、所述联合训练,包括使用自助抽样法随机抽取多个样本集,对每个自助抽样得到的样本集,都独立地训练一个决策树,随机选择特征的一个子集并采用id3决策算法来作为候选分割点,将所有决策树形成一个随机森林,定义判决函数,预测新样本的分类,通过代价函数优化模型参数;

21、所述判决函数,表达式为:

22、;

23、其中,为判决函数,为判决函数的权值向量,为判决函数的阈值;

24、所述代价函数,表达式为:

25、;

26、其中,为代价函数,约束条件为,为松弛变量,为惩罚常数,为行列互换的转置符号,为判决函数的权值向量,为判决函数的阈值,为项次,为序号参数。

27、进一步地,所述流量数据特征提取网络,包括:5层卷积层、3层全连接层构成,激活单元采用relu激活函数,在全连接层后连接dropout层;

28、所述apt攻击特征集合,是指所述虚拟电厂历史apt攻击流量数据中含有各种类别的apt攻击的集合,表示为:,其中,为第种攻击特征,为攻击特征类别数量。

29、进一步地,所述s400,包括:

30、s410:将所述虚拟电厂历史流量数据进行划分,得到流量数据训练集与流量数据测试集;

31、s420:根据所述流量数据训练集对lstm神经网络进行训练,通过反向传播优化模型参数;

32、s430:根据所述流量数据测试集评估模型性能,根据评估结果调整模型结构,得到apt攻击流量数据预测模型;

33、s440:将所述虚拟电厂当前流量数据输入所述apt攻击流量数据预测模型,预测未来十分钟虚拟电厂流量数据;

34、所述lstm神经网络,由输入层、卷积层、池化层、隐藏层和输出层组成;

35、所述隐藏层,包含多个lstm细胞单元循环连接,其中包括遗忘门、输出门和输入门;

36、所述遗忘门、输出门和输入门,表达式为:

37、;

38、;

39、;

40、;

41、;

42、;

43、其中,为时刻遗忘门的状态,为时刻输入门的状态,为时刻输出门的状态,为时刻候选单元状态,为时刻输入的单元状态,为时刻输入的单元状态,为时刻输入的信息,为时刻隐藏状态,为时刻隐藏状态,和分别为遗忘门的权重矩阵和偏置向量,和分别为输入门的权重矩阵和偏置向量,和分别为输出门的权重矩阵和偏置向量,和分别为候选单元状态的权重矩阵和偏置向量,为sigmoid函数,为双曲正切函数。

44、进一步地,所述apt攻击判别规则,包括:

45、s610:根据所述流量数据特征提取网络对所述虚拟电厂历史正常流量数据进行特征提取,得到正常流量数据特征;

46、s620:设定正常阈值,计算所述预测流量数据特征与所述正常流量数据特征相似度并与正常阈值比较,判断未来十分钟虚拟电厂是否会遭受apt攻击,若是,则转s630捕获所属apt攻击类型,若否,则判断未来十分钟虚拟电厂不会遭受apt攻击;

47、s630:计算所述预测流量数据特征与所述apt攻击特征集合中各类apt攻击相似度并与异常阈值比较,捕获所属apt攻击类型;

48、所述正常阈值为0.5;

49、所述异常阈值为0.5;

50、所述相似度,计算公式为:

51、;

52、其中,为预测流量数据特征与第种攻击特征的相似度,为预测流量数据特征,为第种攻击特征,为攻击特征类别数量;

53、所述判断未来十分钟虚拟电厂是否会遭受apt攻击,是指所述流量数据特征与所述正常流量数据特征相似度是否小于等于正常阈值,若是,未来十分钟虚拟电厂会遭受apt攻击,若否,则判断未来十分钟虚拟电厂不会遭受apt攻击;

54、所述捕获所属apt攻击类型,是指所述流量数据特征与所述apt攻击特征集合中各类apt攻击相似度并与异常阈值比较,如果大于等于异常阈值,则判断未来十分钟虚拟电厂会遭受apt攻击,且将相似度最大的apt攻击类型作为未来十分钟虚拟电厂遭受apt攻击类型,若否,则将所遭受攻击类型交由人工分析并捕获。

55、综上所述,由于采用了上述技术方案,本发明有益效果是:

56、1.本发明提供了一种虚拟电厂的apt攻击检测方法,通过了构建集成学习融合模型对历史apt攻击流量数据进行分类,能够精准识别不同类别apt攻击流量数据,提高了apt攻击检测的准确性。

57、2.本发明提供了一种虚拟电厂的apt攻击检测方法,通过了基于lstm神经网络建立apt攻击流量数据预测模型,能够准确预测未来十分钟虚拟电厂流量数据,提高了对潜在apt攻击的检测能力。


技术特征:

1.一种虚拟电厂的apt攻击检测方法,其特征在于,包括:

2.如权利要求1所述的一种虚拟电厂的apt攻击检测方法,其特征在于,所述s200,包括:

3.如权利要求2所述的一种虚拟电厂的apt攻击检测方法,其特征在于,所述s230,包括:

4.如权利要求1所述的一种虚拟电厂的apt攻击检测方法,其特征在于,所述流量数据特征提取网络,包括:5层卷积层、3层全连接层构成,激活单元采用relu激活函数,在全连接层后连接dropout层;

5.如权利要求1所述的一种虚拟电厂的apt攻击检测方法,其特征在于,所述s400,包括:

6.如权利要求1所述的一种虚拟电厂的apt攻击检测方法,其特征在于,所述apt攻击判别规则,包括:


技术总结
本发明公开了一种虚拟电厂的APT攻击检测方法,涉及虚拟电厂APT攻击检测领域,包括:捕获虚拟电厂控制网络中的数据信息;构建集成学习融合模型对虚拟电厂历史APT攻击流量数据进行分类;构建流量数据特征提取网络对不同类别APT攻击流量数据进行特征提取,得到APT攻击特征集合;建立APT攻击流量数据预测模型,预测未来十分钟虚拟电厂流量数据;对未来十分钟虚拟电厂流量数据进行特征提取,得到预测流量数据特征;构建APT攻击判别规则,对未来十分钟虚拟电厂是否会遭受APT攻击进行判断,得到虚拟电厂判断结果。本发明能够精准识别不同类别APT攻击,提高APT攻击检测的准确性。

技术研发人员:房涛,蔡昕原,戴光,郭晶晶
受保护的技术使用者:陕西思极科技有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)