买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明公开了一种虚拟电厂的APT攻击检测方法，涉及虚拟电厂APT攻击检测领域，包括：捕获虚拟电厂控制网络中的数据信息；构建集成学习融合模型对虚拟电厂历史APT攻击流量数据进行分类；构建流量数据特征提取网络对不同类别APT攻击流量数据进行特征提取，得到APT攻击特征集合；建立APT攻击流量数据预测模型，预测未来十分钟虚拟电厂流量数据；对未来十分钟虚拟电厂流量数据进行特征提取，得到预测流量数据特征；构建APT攻击判别规则，对未来十分钟虚拟电厂是否会遭受APT攻击进行判断，得到虚拟电厂判断结果。本发明能够精准识别不同类别APT攻击，提高APT攻击检测的准确性。

主权项：1.一种虚拟电厂的APT攻击检测方法，其特征在于，包括：S100：使用网络监控硬件不间断地捕获虚拟电厂控制网络中的数据信息；S200：构建集成学习融合模型对所述虚拟电厂历史APT攻击流量数据进行分类，得到不同类别APT攻击流量数据；S300：构建流量数据特征提取网络对所述不同类别APT攻击流量数据进行特征提取，得到APT攻击特征集合；S400：基于LSTM神经网络建立APT攻击流量数据预测模型，通过APT攻击流量数据预测模型预测未来十分钟虚拟电厂流量数据；S500：根据所述流量数据特征提取网络对所述未来十分钟虚拟电厂流量数据进行特征提取，得到预测流量数据特征；S600：构建APT攻击判别规则，对未来十分钟虚拟电厂是否会遭受APT攻击进行判断，得到虚拟电厂风险判断结果；所述数据信息，包括：虚拟电厂历史流量数据和虚拟电厂当前流量数据；所述虚拟电厂历史流量数据，包括：虚拟电厂历史APT攻击流量数据和虚拟电厂历史正常流量数据；所述S200，包括：S210：对所述虚拟电厂历史APT攻击流量数据进行预处理操作，得到元数据；S220：将所述元数据进行向量化，得到检测特征向量；S230：将所述检测特征向量输入到集成学习融合模型中进行分类，得到不同类别APT攻击流量数据；所述预处理操作，是指提取所述虚拟电厂历史APT攻击流量数据部分信息作为下一步TCP流重组的元数据，元数据记录信息包括数据包采集时间戳，源目IP，源目端口，数据包长度，SYN位数值和FIN位数值；所述S230，包括：S231：将所述检测特征向量划分为80%的训练集和20%的测试集；S232：构建SVM模型与随机森林模型，根据所述训练集进行联合训练，得到集成学习融合模型；S233：将所述测试集输入至所述集成学习融合模型，得到不同类别APT攻击流量数据；所述联合训练，包括使用自助抽样法随机抽取多个样本集，对每个自助抽样得到的样本集，都独立地训练一个决策树，随机选择特征的一个子集并采用ID3决策算法来作为候选分割点，将所有决策树形成一个随机森林，定义判决函数，预测新样本的分类，通过代价函数优化模型参数；所述判决函数，表达式为： ；其中，为判决函数，为判决函数的权值向量，为判决函数的阈值；所述代价函数，表达式为： ；其中，为代价函数，约束条件为，为松弛变量，为惩罚常数，为行列互换的转置符号，为判决函数的权值向量，为判决函数的阈值，为项次，为序号参数；所述流量数据特征提取网络，包括：5层卷积层、3层全连接层构成，激活单元采用ReLU激活函数，在全连接层后连接Dropout层；所述APT攻击特征集合，是指所述虚拟电厂历史APT攻击流量数据中含有各种类别的APT攻击的集合，表示为：，其中，为第种攻击特征，为攻击特征类别数量。

全文数据：

权利要求：

百度查询： 陕西思极科技有限公司 一种虚拟电厂的APT攻击检测方法