基于STSA-transformer算法的新型电力系统APT攻击检测方法技术方案

本发明专利技术提出了一种基于STSA

【技术实现步骤摘要】
基于STSA
‑
transformer算法的新型电力系统APT攻击检测方法


[0001]本专利技术属于电气信息
，具体涉及一种针对新型电力系统的APT攻击检测方法。

技术介绍

[0002]“双碳”目标下的新型电力系统的特点包括高渗透率的可再生能源与高比例的电力电子设备，高增长的电力负荷与高比例电气化水平，新型数字、智能技术深度融合与灵活高效广泛的能源配置，开放包容安全与多系统多形态互联互动。这些特点使得新型电力系统的不确定性、开放性、复杂性增加，这给电力系统的安全稳定运行带来了新的挑战。
[0003]近年来发生多起针对电力系统的网络安全事件，攻击者大都通过发起高级可持续威胁(Advanced Persistent Threat,APT)攻击导致电力系统瘫痪，APT攻击已经成为目前电网中最重要的新型威胁，并造成了巨大损失。与其他攻击形式相比，APT具有强针对性、潜伏性、长期纠缠性等特点，其攻击过程更为隐蔽，并利用复杂的攻击手段对电力系统进行有针对性地、持续性攻击和渗透，在长时间跨度下只产生少量混杂在正常活动中的攻击行为。因此，以检测和隔离为主的传统被动防御方法通常对APT失效。新型电力系统的双高、双随机特征增加了系统的攻击面，因此比传统电网更容易遭受APT攻击。因此，提出一种新的方法来对新型电力系统的APT攻击进行检测十分重要。

技术实现思路

[0004]本专利技术的目的在于提供针对新型电力系统中存在的潜伏时间长、危害程度高、检测难度大的APT攻击，能够有效检测的一种基于STSA
‑
transformer算法的APT攻击检测方法。和之前的相关技术进行比较，本专利技术的目的在于找到一种对长时间序列数据敏感的检测方法，能够捕获更大范围的APT攻击序列，从而提高APT攻击检测的效果。
[0005]为达到以上目的，本专利技术采取的技术方案是：
[0006]一种基于STSA
‑
transformer算法的新型电力系统APT攻击检测方法，其特征在于，
[0007]基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征，模拟电力系统遭受的网络攻击，从信息侧的数据采集设备收集网络流量数据，并进行整理，作为下一步的输入；
[0008]将所述网络流量数据进行预处理；
[0009]提出一种软阈值化自注意力机制(STSA)，对时间序列数据之间的相关性进行捕捉，并消除部分冗余信息；
[0010]依据所述软阈值化自注意力机制，使用PowerNorm归一化的 transformer编码层对输入进行计算，最后通过softmax层将结果进行分类输出；
[0011]初始化参数，依据所述通过softmax层将结果进行分类输出搭建模型，对模型进行训练，使用梯度下降法对权值进行更新，作为下一步的输入；
[0012]用训练好的模型对新型电力系统的APT攻击进行检测，如果检测结果为正常，则流量可以进行正常操作；如果检测结果为攻击类别，则需要对系统发出警报提醒。
[0013]在上述方案的基础上，所述预处理包括离散特征数值化和特征值归一化。
[0014]在上述方案的基础上，基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征，模拟电力系统遭受的网络攻击，从信息侧的数据采集设备收集网络流量数据，并进行整理，作为下一步的输入具体包括：
[0015]了解新型电力系统基本结构组成，分析新型电力系统基本特征；
[0016]对新型电力系统进行模拟网络攻击，在信息侧设备收集长时间范围内的网络流量数据，并按不同阶段进行划分，整理成数据集。
[0017]在上述方案的基础上，将所述网络流量数据进行预处理，所述预处理包括离散特征数值化和特征值归一化具体包括：
[0018]对数据中的离散型数据进行二进制的独热编码，将其转换为数值型数据；
[0019]对所有特征向量进行归一化操作，公式如下所示：
[0020][0021]其中，X
max
与X
min
分别表示原始特征值取值范围上的最大值和最小值，X表示原始特征值，X
n
表示归一化之后的特征值。
[0022]在上述方案的基础上，提出一种软阈值化自注意力机制(STSA)，对时间序列数据之间的相关性进行捕捉，并消除部分冗余信息具体包括：
[0023]对数据集的特征向量进行位置编码，保存数据的位置信息，公式如下所示：
[0024]PE(pos,2i)＝sin(pos/10000
2i/dmodel
)
[0025]PE(pos,2i+1)＝cos(pos/10000
2i/dmodel
)
[0026]其中pos为序列中的位置，d
model
为位置信息编码的特征向量的维度，i表示位置信息编码特征向量的第i个元素，编码向量中的奇数位用cos来编码，偶数位用sin来编码；
[0027]将原始数据的特征向量与位置编码的结果相加，将结果输入到自注意力层；
[0028]初始化三个权重矩阵，将它们分别乘以输入向量，得到Q、K、 V三个矩阵，利用这三个矩阵进行多头自注意力的计算，计算公式如下：
[0029][0030]其中Q、K、V为三个需要进行权重更新的矩阵，d为特征向量的维度；
[0031]将得到的注意力结果输入一个神经网络模块之中，该模块包含全局平均池化层以及两个全连接层，最后通过sigmoid函数将结果输出，与全局平均池化层的结果相乘，得到每一条样本数据的阈值；
[0032]根据上述阈值，利用软阈值算法计算公式，对注意力结果进行软阈值操作，保留注意力的重要部分，不重要的部分舍去，并对冗余部分进行消除：
[0033][0034]在上述方案的基础上，依据所述软阈值化自注意力机制，使用 PowerNorm归一化的transformer编码层对输入进行计算，最后通过 softmax层将结果进行分类输出具体包括：
[0035]将计算得到的软阈值自注意力的结果输入到transformer编码器除多头自注意力之外的部分，主要包括残差网络、归一化以及前馈神经网络，最后通过softmax函数将结果分类输出，其中的归一化操作将传统transformer中的LN层替换为一种新的归一化操作PoweNorm，将原来的强制零均值和单位方差的操作改为强制二次均值的操作，其计算公式如下所示：
[0036][0037][0038][0039]其中X
i
为每一批次的特征向量，B为批次大小，其余变量分别为 X与Y归一化之后的结果。
[0040]在上述方案的基础上，初始化参数，依据所述通过softmax层将结果进行分类输出搭建模型，对模型进行训练，使用梯度下降法对权值进行更新，作为下一步的输入具体包括：
[0041]根据提出一种软阈值化自注意力机制(STSA)，对时间本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于STSA
‑
transformer算法的新型电力系统APT攻击检测方法，其特征在于，基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征，模拟电力系统遭受的网络攻击，从信息侧的数据采集设备收集网络流量数据，并进行整理，作为下一步的输入；将所述网络流量数据进行预处理；提出一种软阈值化自注意力机制(STSA)，对时间序列数据之间的相关性进行捕捉，并消除部分冗余信息；依据所述软阈值化自注意力机制，使用PowerNorm归一化的transformer编码层对输入进行计算，最后通过softmax层将结果进行分类输出；初始化参数，依据所述通过softmax层将结果进行分类输出搭建模型，对模型进行训练，使用梯度下降法对权值进行更新，作为下一步的输入；用训练好的模型对新型电力系统的APT攻击进行检测，如果检测结果为正常，则流量可以进行正常操作；如果检测结果为攻击类别，则需要对系统发出警报提醒。2.如权利要求1所述一种基于STSA
‑
transformer算法的新型电力系统APT攻击检测方法，其特征在于，所述预处理包括离散特征数值化和特征值归一化。3.如权利要求1所述一种基于STSA
‑
transformer算法的新型电力系统APT攻击检测方法，其特征在于，基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征，模拟电力系统遭受的网络攻击，从信息侧的数据采集设备收集网络流量数据，并进行整理，作为下一步的输入具体包括：了解新型电力系统基本结构组成，分析新型电力系统基本特征；对新型电力系统进行模拟网络攻击，在信息侧设备收集长时间范围内的网络流量数据，并按不同阶段进行划分，整理成数据集。4.如权利要求2所述一种基于STSA
‑
transformer算法的新型电力系统APT攻击检测方法，其特征在于，将所述网络流量数据进行预处理，所述预处理包括离散特征数值化和特征值归一化具体包括：对数据中的离散型数据进行二进制的独热编码，将其转换为数值型数据；对所有特征向量进行归一化操作，公式如下所示：其中，X
max
与X
min
分别表示原始特征值取值范围上的最大值和最小值，X表示原始特征值，Xn表示归一化之后的特征值。5.如权利要求1所述一种基于STSA
‑
transformer算法的新型电力系统APT攻击检测方法，其特征在于，所述提出一种软阈值化自注意力机制(STSA)，对时间序列数据之间的相关性进行捕捉，并消除部分冗余信息具体包括：对数据集的特征向量进行位置编码，保存数据的位置信息，公式如下所示：PE(pos,2i)＝sin(pos/10000
2i/dmodel
)PE(pos,2i+1)＝cos(pos/10000
2i/dmodel
)其中pos为序列中的位置，d
model
为位置信息编码的特征向量的维度，i表示位置信息编码特征向量的第i个元素，编码向量中的奇数位用cos来编码，偶数位用sin来编码；
将原始数据的特征向量与位置编码的结果相加，将结果输入到自注意力层；初始化三个权重矩...

【专利技术属性】
技术研发人员：李元诚，原洁璇，王庆乐，支妍力，曾萍，
申请(专利权)人：国网江西省电力有限公司国网江西省电力有限公司吉安供电分公司，
类型：发明
国别省市：