买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:国网湖北省电力有限公司电力科学研究院
摘要:一种虚拟电厂多阶段APT攻击检测方法,包括解析虚拟电厂IEC104协议网络流量和APT攻击网络流量,提取多维流量特征,并进行数据清洗;利用迁移学习进行域知识迁移,生成具有虚拟电厂通信特性的多阶段APT攻击流量数据;利用序列生成对抗网络和信息增益算法,对多阶段APT攻击流量进行数据增强和特征提取,结合随机森林模型检测虚拟电厂多阶段APT攻击,得到攻击检测结果。本发明可形成具有虚拟电厂通信特性的多阶段APT攻击流量数据集;利用序列生成对抗网络和信息增益算法优化流量数据特征,结合随机森林模型检测APT攻击,不仅能够实现虚拟电厂多阶段APT攻击的有效检测,也可明确攻击所处的阶段,对于保障虚拟电厂的信息安全和稳定运行具有重要意义。
主权项:1.一种虚拟电厂多阶段APT攻击检测方法,其特征在于包括:步骤1:解析虚拟电厂IEC104协议网络流量和APT攻击网络流量,提取多维流量特征,并进行数据清洗;所述步骤1具体包括以下子步骤:1解析虚拟电厂IEC104协议网络流量和APT攻击网络流量为:获取虚拟电厂IEC104协议网络流量pcap数据包和APT攻击网络流量pcap数据包;配置CICFlowmeter工具对上述数据包进行解析得到多维流量特征,包括源端口号、目的端口号、流持续时间;2数据清洗包括:去除含空值的特征、去除非数值的特征和去除仅含单一值的特征;步骤2:利用迁移学习进行域知识迁移,生成具有虚拟电厂通信特性的多阶段APT攻击流量数据;所述步骤2具体包括以下子步骤:步骤2.1:以虚拟电厂IEC104协议网络流量作为迁移学习源域以APT攻击网络流量作为迁移学习目标域其中,Ds和Dt分别表示源域和目标域,Xs和Xt分别表示源域和目标域流量数据,Ys和Yt分别表示源域和目标域流量数据对应的真实标签,和分别表示源域第i条流量数据和其对应的标签,和分别表示目标域第j条流量数据和其对应的标签,n和m分别表示源域和目标域的流量数据数目;步骤2.2:去除目标域相似冗余的流量数据;步骤2.3:利用迁移学习迁移成分分析算法,将两个域的数据嵌入高维再生核希尔伯特空间,提取两个域之间相似的流量特征以最小化两个域之间的分布距离,使得源域知识能够应用到目标域中,生成具有虚拟电厂通信特性的多阶段APT攻击流量数据;所述步骤2.3中包括以下子步骤:1提取两个域之间相似的流量特征以最小化两个域之间的分布距离用MMD最大均值差异算法表示为: 其中,DistXs,Xt表示两个域之间的分布距离,||·||H表示希尔伯特范数,最小化分布距离后得到期望的特征映射2引入核矩阵K表示为: 其中,Ks,s和Kt,t分别表示由核函数定义的在源域和目标域的核矩阵,Ks,t和Kt,s表示由核函数定义的在跨域的核矩阵;3引入系数矩阵L表示为: 4利用核技巧化简MMD距离,化简后该分布距离表示为:DistXs,Xt=trKL-λtrK其中tr·表示矩阵的迹,λtrK为正则项,λ大于等于0;5将核矩阵K分解表示为K=KK-12K-12K;6引入矩阵将核矩阵K变换到d维空间,d≤n+m,表示为: 其中,矩阵T为矩阵的转置;7利用转换后的核矩阵K表示MMD距离,该分布距离表示为:DistXs,Xt=trKWWTKL=trWTKLKW;8迁移成分分析优化目标为对W矩阵求解如下mintrWTKLKW+μtrWTWs.t.WTKHKW=I其中,μ为平衡参数,I为单位矩阵,H为中心矩阵;最终得到W的解为I+μKLK-1KHK的前d个特征向量组成的矩阵,也就是源域和目标域经过迁移学习迁移成分分析计算后,提取的得到的d维流量特征数据集,即具有虚拟电厂通信特性的APT攻击流量数据集;步骤3:利用序列生成对抗网络和信息增益算法,对多阶段APT攻击流量进行数据增强,而后进行特征提取,结合随机森林模型检测虚拟电厂多阶段APT攻击,得到攻击检测结果;所述步骤3包括以下子步骤:步骤3.1:对虚拟电厂多阶段APT攻击流量进行数据缩放;步骤3.2:利用SeqGAN序列生成对抗网络对多阶段APT攻击流量进行数据增强;所述步骤3.2包括以下子步骤:1构建LSTM长短期记忆神经网络和CNN卷积神经网络;2以LSTM为生成器,以CNN为判别器,构建SeqGAN序列生成对抗网络;3SeqGAN的生成器和判别器进行预训练及测试;4利用SeqGAN生成器和判别器的对抗训练及测试,生成虚拟电厂多阶段APT攻击流量;步骤3.3:对SeqGAN生成的虚拟电厂多阶段APT攻击流量数据进行数据逆缩放;步骤3.4:计算每个流量特征的信息增益,提取信息增益较大的流量特征;步骤3.5:构建随机森林模型,输入流量数据进行模型的训练和测试,得到攻击检测结果,该结果可指示虚拟电厂内是否存在APT攻击,以及在攻击存在的情况下,明确攻击所处的阶段。
全文数据:
权利要求:
百度查询: 国网湖北省电力有限公司电力科学研究院 一种虚拟电厂多阶段APT攻击检测方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。