一种配电物联网威胁狩猎方法技术

本发明专利技术公开了一种配电物联网威胁狩猎方法。考虑到安全数据集维度过高可能影响门控循环单元的检测性能，因此该方法首先通过自编码器进行特征提取和降维，然后结合量子并行性，采用改进的量子萤火虫算法对BiGRU

【技术实现步骤摘要】
一种配电物联网威胁狩猎方法


[0001]本专利技术涉及网络安全
，特别涉及一种配电物联网威胁狩猎方法。

技术介绍

[0002]在传统的安全监视方法中，以防火墙、IDS/IPS和安全隔离装置等技术搭建的安全体系已不足以作为安全防线，基于安全设备触发的警报在执行紧急防御措施过于被动且不能提前保护数据资产的安全，一旦数据泄露或遭受攻击将造成难以估量的损失。因此，以数据驱动、主动防御为主要思想的威胁狩猎方法应运而生。威胁狩猎指的是主动持续地在网络空间中搜索可以绕开安全检测或产生危害的威胁的过程。基于深度学习等人工智能算法进行网络空间威胁狩猎可有效提高威胁检测效率，帮助安全人员及时发现网络中的威胁以采取相应措施。

技术实现思路

[0003]本专利技术为了解决电力企业数据资产安全问题，结合量子并行性，提出了一种基于改进量子萤火虫算法优化BiGRU
‑
attention网络（Improved Quantum Firefly Algorithm to optimize BiGRU
‑
attention Networks, IQF
‑
BiGRUA）的配电物联网威胁狩猎方法。首先运用自编码网络对多源数据进行特征提取，然后采用改进的量子萤火虫算法对BiGRU
‑
attention网络参数进行自适应调节，避免参数选择的随机性，同时注意力机制的引入增强了关键特征的表达，可大大提高模型的预测精度，从而帮助安全运维人员及时发现网络中存在的威胁，采取相应的补救措施，保护电力系统的数据安全。
[0004]本专利技术的目的在于，针对传统的边界安全防御机制难以及时有效的检测到电网空间中威胁的问题，提出一种基于IQF
‑
BiGRUA的配电物联网威胁狩猎方法。该方法可以帮助安全运维人员快速、准确的检测出网络中的威胁，保护电力企业数据资产的安全。
[0005]本专利技术考虑到数据集维度过高可能影响门控循环单元的预测性能，因此通过自编码器进行特征提取和降维，同时在双向循环神经网络的基础上，采用改进的量子萤火虫算法对网络参数进行优化，引入注意力机制强化关键特征的表达，实现配电物联网威胁的准确检测。
[0006]为实现上述目的，本专利技术包括如下步骤：步骤1，采集电力系统中终端设备和网络的历史安全数据和当前状态数据，包括日志数据、网络流量、内存数据、注册表信息、网络连接等信息。
[0007]步骤2，数据预处理，对数据进行清洗、去重、归一化等处理形成数据矩阵。
[0008]步骤3，对步骤2得到的数据通过自编码网络进行特征提取，并将提取到的数据划分为训练集和测试集。
[0009]步骤4，构建BiGRU
‑
attention网络，结合注意力机制对特征向量进行特征权重分配，捕获特征之间关系。
[0010]步骤5，利用改进的量子萤火虫优化算法搜寻BiGRU
‑
attention网络的最优参数，
以提高网络威胁的预测性能，包括学习率、丢弃率和每层的神经元个数。
[0011]步骤6，将训练集作为改进的量子萤火虫算法优化BiGRU
‑
attention网络的输入，对模型进行训练，直到获得较小的训练误差，得到训练好的模型，测试集验证模型效果。
[0012]步骤7，根据输出结果，判断当前系统是否存在威胁。若存在，系统给出相应提示；若没有，结束检测。
[0013]所述的通过自编码网络进行特征提取的步骤为：步骤3.1：设自编码网络总层数为，其中编码器层数为,解码器层数为；步骤3.2：输入数据表示为向量y=[y1, y2,
ꢀ…
,y
m
]，其编码过程表达式为；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（1）
ꢀꢀꢀꢀꢀꢀꢀ
（2）式中，为编码器的输入，为编码器各层的输出，、为编码器第u层的权值与偏置，为编码器第u层的激活函数；步骤3.3：解码器第一层的输入是编码器最后一层的输出，其解码过程表达式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（3）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（4）式中，为解码器各层的输出，、为解码器第v层的权值与偏置，为解码器第v层的激活函数；步骤3.4：经过训练，通过损失函数最小化不断调整寻优，使得数据接近原始数据，从而提取出深层的时序特征。
[0014]所述的BiGRU
‑
attention网络结构满足：单向GRU模型只能从先前的序列中提取信息，忽略了后向时间序列中有价值的信息。在配电物联网威胁狩猎预测中，由于设备和网络历史安全数据和当前时刻状态可能共同发挥作用，所以本专利技术采用双向GRU搭建网络。同时，各安全数据特征对预测结果的影响程度不同，比如访问者ip地址是一个可以反映系统是否遭到威胁的重要特征，访问时间长短是一个次要特征，所以根据经验知识给予ip地址较大权重，访问时间较小权重。
[0015]步骤4.1：输入正序特征向量，利用前向GRU得到前向特征向量表示，具体为：
ꢀꢀꢀꢀꢀꢀꢀꢀ
（5）
ꢀꢀꢀꢀꢀꢀꢀꢀ
（6）
ꢀꢀꢀꢀꢀꢀꢀꢀ
（7）
ꢀꢀꢀꢀ
（8）式中，和是激活函数，是T时刻的正向输入矩阵，是前一时刻
下的正向隐藏状态，、、、分别是更新门权重矩阵、偏置矩阵和重置门权重矩阵、偏置矩阵，和分别是权重参数和偏差参数，、是正序时的重置门和更新门，是正向候选隐藏状态，是T时刻隐藏层状态。
[0016]步骤4.2：输入逆序特征向量，利用后向GRU得到后向特征向量表示，具体为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（9）
ꢀꢀꢀꢀꢀꢀꢀ
（10）
ꢀꢀ
（11）
ꢀꢀꢀꢀꢀ
（12）式中，是前一时刻下的后向隐藏状态，、是逆序时的重置门和更新门，表示点乘运算，是后向候选隐藏状态，是T时刻隐藏层状态。
[0017]ꢀꢀꢀ
（13）步骤4.3：结合上面得到的前向特征向量和后向特征向量计算，计算公式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（14）式中，和是正向和逆向GRU的隐藏状态。
[0018]步骤4.4：给特征向量分配权重，利用注意力机制捕获各特征之间的关系，具体公式如下：
ꢀꢀꢀꢀꢀꢀꢀ
（15）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（16）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（17）式中，是注意力层输出，表示T时刻隐层状态值，是T时刻记忆状态，和是激活函数，是softmax中间状态，是注意力机制层的输出，是权重矩阵。
[0019]步骤4.5：利用步骤4.4的输出结果判断系统的安全状态，具体计算公式如下：
ꢀꢀꢀꢀꢀꢀꢀ
（18）式中，表示隐层状态的输出结果，是网络记本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种配电物联网威胁狩猎方法，其特征在于，包括如下步骤：步骤1，采集电力系统中终端设备和网络的历史安全数据和当前状态数据，包括日志数据、网络流量、内存数据、注册表信息、网络连接信息；步骤2，数据预处理，对数据进行清洗、去重、归一化处理形成数据矩阵；步骤3，对预处理后的数据通过自编码网络进行特征提取，并将提取到的数据划分为训练集和测试集；步骤4，构建BiGRU
‑
attention网络，结合注意力机制对特征向量进行特征权重分配，捕获特征之间关系；步骤5，利用改进的量子萤火虫优化算法搜寻BiGRU
‑
attention网络的最优参数，包括学习率、丢弃率和每层的神经元个数；步骤6，将训练集作为改进的量子萤火虫算法优化BiGRU
‑
attention网络的输入，对模型进行训练，得到训练好的模型，测试集验证模型效果；步骤7，根据输出结果，判断当前系统是否存在威胁；若存在，系统给出相应提示；若不存在，结束检测。2.根据权利要求1所述的一种配电物联网威胁狩猎方法，其特征在于，所述的对预处理后的数据通过自编码网络进行特征提取的步骤为：步骤3.1：设自编码网络总层数为，其中编码器层数为,解码器层数为；步骤3.2：输入数据表示为向量y=[y1, y2,
ꢀ…
,y
m
]，其编码过程表达式为；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（1）
ꢀꢀꢀꢀꢀꢀꢀ
（2）式中，为编码器的输入，为编码器各层的输出，、为编码器第u层的权值与偏置，为编码器第u层的激活函数；步骤3.3：解码器第一层的输入是编码器最后一层的输出，其解码过程表达式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（3）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（4）式中，为解码器各层的输出，、为解码器第v层的权值与偏置，为解码器第v层的激活函数；步骤3.4：经过训练，通过损失函数最小化不断调整寻优，使得数据接近原始数据，从而提取出深层的时序特征。3.根据权利要求1所述的一种配电物联网威胁狩猎方法，其特征在于，所述的构建BiGRU
‑
attention网络的具体步骤为：步骤4.1：输入正序特征向量，利用前向GRU得到前向特征向量表示，具体为：（5）
（6）（7）
ꢀꢀꢀꢀ
（8）式中，和是激活函数，是T时刻的正向输入矩阵，是前一时刻下的正向隐藏状态，、、、分别是更新门权重矩阵、偏置矩阵和重置门权重矩阵、偏置矩阵，和分别是权重参数和偏差参数，、是正序时的重置门和更新门，是正向候选隐藏状态，是T时刻隐藏层状态；步骤4.2：输入逆序特征向量，利用后向GRU得到后向特征向量表示，具体为：（9）（10）（11）
ꢀꢀꢀꢀꢀ
（12）式中，是前一时刻下的后向隐藏状态，、是逆序时的重置...

【专利技术属性】
技术研发人员：邱日轩，周宇，喻诚斐，詹涛，张俊锋，支妍力，方铭，夏一博，杨浩，林楠，李炜，肖勇才，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：