买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：国网湖北省电力有限公司电力科学研究院

摘要：一种虚拟电厂多阶段APT攻击检测方法，包括解析虚拟电厂IEC104协议网络流量和APT攻击网络流量，提取多维流量特征，并进行数据清洗；利用迁移学习进行域知识迁移，生成具有虚拟电厂通信特性的多阶段APT攻击流量数据；利用序列生成对抗网络和信息增益算法，对多阶段APT攻击流量进行数据增强和特征提取，结合随机森林模型检测虚拟电厂多阶段APT攻击，得到攻击检测结果。本发明可形成具有虚拟电厂通信特性的多阶段APT攻击流量数据集；利用序列生成对抗网络和信息增益算法优化流量数据特征，结合随机森林模型检测APT攻击，不仅能够实现虚拟电厂多阶段APT攻击的有效检测，也可明确攻击所处的阶段，对于保障虚拟电厂的信息安全和稳定运行具有重要意义。

主权项：1.一种虚拟电厂多阶段APT攻击检测方法，其特征在于包括：步骤1：解析虚拟电厂IEC104协议网络流量和APT攻击网络流量，提取多维流量特征，并进行数据清洗；所述步骤1具体包括以下子步骤：1解析虚拟电厂IEC104协议网络流量和APT攻击网络流量为：获取虚拟电厂IEC104协议网络流量pcap数据包和APT攻击网络流量pcap数据包；配置CICFlowmeter工具对上述数据包进行解析得到多维流量特征，包括源端口号、目的端口号、流持续时间；2数据清洗包括：去除含空值的特征、去除非数值的特征和去除仅含单一值的特征；步骤2：利用迁移学习进行域知识迁移，生成具有虚拟电厂通信特性的多阶段APT攻击流量数据；所述步骤2具体包括以下子步骤：步骤2.1：以虚拟电厂IEC104协议网络流量作为迁移学习源域以APT攻击网络流量作为迁移学习目标域其中，Ds和Dt分别表示源域和目标域，Xs和Xt分别表示源域和目标域流量数据，Ys和Yt分别表示源域和目标域流量数据对应的真实标签，和分别表示源域第i条流量数据和其对应的标签，和分别表示目标域第j条流量数据和其对应的标签，n和m分别表示源域和目标域的流量数据数目；步骤2.2：去除目标域相似冗余的流量数据；步骤2.3：利用迁移学习迁移成分分析算法，将两个域的数据嵌入高维再生核希尔伯特空间，提取两个域之间相似的流量特征以最小化两个域之间的分布距离，使得源域知识能够应用到目标域中，生成具有虚拟电厂通信特性的多阶段APT攻击流量数据；所述步骤2.3中包括以下子步骤：1提取两个域之间相似的流量特征以最小化两个域之间的分布距离用MMD最大均值差异算法表示为： 其中，DistXs,Xt表示两个域之间的分布距离，||·||H表示希尔伯特范数，最小化分布距离后得到期望的特征映射2引入核矩阵K表示为： 其中，Ks,s和Kt,t分别表示由核函数定义的在源域和目标域的核矩阵，Ks,t和Kt,s表示由核函数定义的在跨域的核矩阵；3引入系数矩阵L表示为： 4利用核技巧化简MMD距离，化简后该分布距离表示为：DistXs,Xt＝trKL-λtrK其中tr·表示矩阵的迹，λtrK为正则项，λ大于等于0；5将核矩阵K分解表示为K＝KK-12K-12K；6引入矩阵将核矩阵K变换到d维空间，d≤n+m，表示为： 其中，矩阵T为矩阵的转置；7利用转换后的核矩阵K表示MMD距离，该分布距离表示为：DistXs,Xt＝trKWWTKL＝trWTKLKW；8迁移成分分析优化目标为对W矩阵求解如下mintrWTKLKW+μtrWTWs.t.WTKHKW＝I其中，μ为平衡参数，I为单位矩阵，H为中心矩阵；最终得到W的解为I+μKLK-1KHK的前d个特征向量组成的矩阵，也就是源域和目标域经过迁移学习迁移成分分析计算后，提取的得到的d维流量特征数据集，即具有虚拟电厂通信特性的APT攻击流量数据集；步骤3：利用序列生成对抗网络和信息增益算法，对多阶段APT攻击流量进行数据增强，而后进行特征提取，结合随机森林模型检测虚拟电厂多阶段APT攻击，得到攻击检测结果；所述步骤3包括以下子步骤：步骤3.1：对虚拟电厂多阶段APT攻击流量进行数据缩放；步骤3.2：利用SeqGAN序列生成对抗网络对多阶段APT攻击流量进行数据增强；所述步骤3.2包括以下子步骤：1构建LSTM长短期记忆神经网络和CNN卷积神经网络；2以LSTM为生成器，以CNN为判别器，构建SeqGAN序列生成对抗网络；3SeqGAN的生成器和判别器进行预训练及测试；4利用SeqGAN生成器和判别器的对抗训练及测试，生成虚拟电厂多阶段APT攻击流量；步骤3.3：对SeqGAN生成的虚拟电厂多阶段APT攻击流量数据进行数据逆缩放；步骤3.4：计算每个流量特征的信息增益，提取信息增益较大的流量特征；步骤3.5：构建随机森林模型，输入流量数据进行模型的训练和测试，得到攻击检测结果，该结果可指示虚拟电厂内是否存在APT攻击，以及在攻击存在的情况下，明确攻击所处的阶段。

全文数据：

权利要求：

百度查询： 国网湖北省电力有限公司电力科学研究院 一种虚拟电厂多阶段APT攻击检测方法