基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法技术

本发明专利技术公开了一种基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法，将汽轮机物理侧和网络侧数据结合，采用双向生成对抗网络算法，判断汽轮机系统中是否存在网络入侵行为。该方法包括：采用数据分析方法筛选和提取物理侧和网络层特征构造入侵检测特征集；基于生成对抗网络生成滑动指数平均的双向生成对抗网络；基于入侵检测特征集训练双向生成对抗网络；基于训练后的双向生成对抗网络对汽轮机网络入侵行为进行检测。该方法得到的汽轮机网络入侵检测准确率较高，可以检测出汽轮机系统中潜在的网络攻击行为，具有一定的理论价值和工程价值。工程价值。工程价值。

【技术实现步骤摘要】
基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法


[0001]本专利技术属于电网
，特别是在汽轮机网络安全中，一种基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法。

技术介绍

[0002]随着通信设备在火电厂汽轮机中的广泛应用，汽轮机逐渐成为集通信和控制于一体的信息物理系统(Cyber
‑
Physical System,CPS)。但各种通信设备提高了汽轮机控制性能的同时，也使其成为了网络攻击的目标，威胁汽轮机的安全运行。各种类型的网络攻击行为开始入侵汽轮机控制系统，给电厂乃至电网的安全稳定运行造成了潜在的威胁。
[0003]由于这些潜在的来自网络空间的攻击行为的存在，可能会给汽轮机系统带来一系列安全问题。由此，有必要研究一种汽轮机网络安全异常检测算法。目前处理异常检测问题的方法有局部异常因子法、孤立森林方法、自编码器方法等。但各类检测方法均需要实际电厂中的运行数据，同时已有的方法往往只考虑网络侧数据而忽视了汽轮机运行的物理数据，这样使得检测的正确率大大降低。

技术实现思路

[0004]本专利技术的目的在于针对上述现有技术存在的问题，提供一种基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法。
[0005]实现本专利技术目的的技术解决方案为：一种基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法，所述方法包括以下步骤：
[0006]步骤1，采用数据分析方法筛选和提取汽轮机物理侧和网络层特征，构造入侵检测特征集；
[0007]步骤2，基于生成对抗网络生成滑动指数平均的双向生成对抗网络；
[0008]步骤3，基于入侵检测特征集训练双向生成对抗网络；
[0009]步骤4，基于训练后的双向生成对抗网络对汽轮机网络入侵行为进行检测。
[0010]进一步地，步骤1所述采用数据分析方法筛选和提取汽轮机物理侧和网络层特征，构造入侵检测特征集，具体过程包括：
[0011]步骤1
‑
1，选择汽轮机物理侧特征如下表1所示：
[0012]表1物理侧数据特征表
[0013][0014]步骤1
‑
2，选择汽轮机网络侧特征如下表2所示：
[0015]表2网络侧数据特征表
[0016][0017][0018]步骤1
‑
3，采集表1和表2各特征的实际数据；
[0019]步骤1
‑
4，求取步骤1
‑
3各数据之间的相关性，筛选去除特征表中相似性高于预设阈值的特征；
[0020]步骤1
‑
5，对步骤1
‑
4筛选后的各特征数据进行正态化，之后筛选出符合正态分布的特征，形成最终的入侵检测特征集。
[0021]进一步地，步骤2中基于生成对抗网络生成滑动指数平均的双向生成对抗网络，具体过程包括：
[0022]步骤2
‑
1，构建双向生成对抗网络模型为：
[0023][0024]式中，G表示生成器网络，E表示编码器网络，D表示判别器网络，G(*)表示生成器网络前向计算，E(*)表示编码器网络前向计算，D(*)表示判别器网络前向计算，x表示神经网络原始输入数据，p(x)表示原始输入数据的概率分布，z表示生成器输入数据，即隐空间数据；p
E
(
·
|x)表示原始输入数据和编码器网络参数确定情况下，编码器输出的概率分布；p(z)表示隐空间数据的概率分布；p
G
(
·
|z)表示生成器输入数据和生成器网络参数确定情况下，生成器输出的概率分布；
[0025]迭代优化D网络参数时的损失函数D
loss
为：
[0026][0027]其中，
[0028][0029]式中，sigmoid()为激活函数；D(z,G(z))为生成器输入输出数据对通过判别器计算的输出；
[0030][0031]式中，D(E(x),x)为编码器输入输出数据对通过判别器计算的输出；
[0032]迭代优化G网络和E网络参数时的损失函数分别为loss
G
、loss
E
：
[0033][0034][0035]步骤2
‑
2，对双向生成对抗网络进行训练时在时间轴上加入指数滑动平均EMA：
[0036][0037]式中，x
n
为序列第n个数据取值；N为指数滑动平均的周期，EMA
N
(x
n
‑1)、EMA
N
(x
n
)分别为以N为计算周期在序列第n
‑
1个、第n个数据处进行指数滑动平均的计算结果；
[0038]同时，在双向生成对抗网络训练过程中，创建影子变量v
t
平滑神经网络模型参数；
[0039]神经网络权重和偏置参数的更新变化方式如下：
[0040]v
t
＝β
×
v
t
‑1+(1
‑
β)
×
θ
t
[0041]式中，v
t
、v
t
‑1分别表示待进行滑动平均的变量在t时步、t
‑
1时步的取值；β表示权重，β越大代表经过滑动平均后的值与历史值越相关，反之与当前值越相关；θ
t
表示不使用滑动平均模型时，变量在t时步的取值。
[0042]进一步地，步骤3所述基于入侵检测特征集训练双向生成对抗网络，具体过程包括：
[0043]步骤3
‑
1，基于步骤1获得的入侵检测特征集，获取汽轮机正常通信时的特征数据集；
[0044]步骤3
‑
2，以步骤3
‑
1获得的特征数据集作为输入，采用自适应梯度算法对步骤2的双向生成对抗网络进行训练，获得神经网络参数符合网络入侵检测需求的双向生成对抗网络；
[0045]步骤3
‑
3，基于步骤1获得的入侵检测特征集，获取汽轮机正常通信以及包含网络入侵时的特征数据集；
[0046]步骤3
‑
4，将步骤3
‑
3获得的特征数据集作为步骤3
‑
2训练后的双向生成对抗网络的输入，得到网络的输出并计算输入的异常得分，计算公式为：
[0047]A＝(1
‑
w)*gen_score+w*dis_score
[0048]式中，A表示异常得分，w为权重，gen_score和dis_score分别为生成器重构误差得分和判别器判别得分，表达式分别如下：
[0049][0050]步骤3
‑
5，重复执行步骤3
‑
3至步骤3
‑
4，获得若干组异常得分；
[0051]步骤3
...

【技术保护点】

【技术特征摘要】
1.一种基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法，其特征在于，所述方法包括以下步骤：步骤1，采用数据分析方法筛选和提取汽轮机物理侧和网络层特征，构造入侵检测特征集；步骤2，基于生成对抗网络生成滑动指数平均的双向生成对抗网络；步骤3，基于入侵检测特征集训练双向生成对抗网络；步骤4，基于训练后的双向生成对抗网络对汽轮机网络入侵行为进行检测。2.根据权利要求1所述的基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法，其特征在于，步骤1所述采用数据分析方法筛选和提取汽轮机物理侧和网络层特征，构造入侵检测特征集，具体过程包括：步骤1
‑
1，选择汽轮机物理侧特征如下表1所示：表1物理侧数据特征表步骤1
‑
2，选择汽轮机网络侧特征如下表2所示：表2网络侧数据特征表
步骤1
‑
3，采集表1和表2各特征的实际数据；步骤1
‑
4，求取步骤1
‑
3各数据之间的相关性，筛选去除特征表中相似性高于预设阈值的特征；
步骤1
‑
5，对步骤1
‑
4筛选后的各特征数据进行正态化，之后筛选出符合正态分布的特征，形成最终的入侵检测特征集。3.根据权利要求2所述的基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法，其特征在于，步骤1
‑
4中相关性通过皮尔逊相关性衡量。4.根据权利要求2所述的基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法，其特征在于，步骤1
‑
5中通过Yeo
‑
Johnson正态变换对步骤1
‑
4筛选后的各特征数据进行正态化，并通过K
‑
S检验筛选出符合正态分布的特征。5.根据权利要求2所述的基于双侧特征的双向生成对抗网络汽轮机网络入侵检测方法，其特征在于，步骤2中基于生成对抗网络生成滑动指数平均的双向生成对抗网络，具体过程包括：步骤2
‑
1，构建双向生成对抗网络模型为：式中，G表示生成器网络，E表示编码器网络，D表示判别器网络，G(*)表示生成器网络前向计算，E(*)表示编码器网络前向计算，D(*)表示判别器网络前向计算，x表示神经网络原始输入数据，p(x)表示原始输入数据的概率分布，z表示生成器输入数据，即隐空间数据；p
E
(|x)表示原始输入数据和编码器网络参数确定情况下，编码器输出的概率分布；p(z)表示隐空间数据的概率分布；p
G
(|z)表示生成器输入数据和生成器网络参数确定情况下，生成器输出的概率分布；迭代优化D网络参数时的损失函数D
loss
为：其中，式中，sigmoid()为激活函数；D(z,G(z))为生成器输入输出数据对通过判别器计算的输出；式中，D(E(x),x)为编码器输入输出数据对通过判别器计算的输出；迭代优化G网络和E网络参数时的损失函数分别为loss
G
、loss
E
：：步骤2
‑
2，对双向生成对抗网络进行训练时在时间轴上加入指数滑动平均EMA：式中，x
n
为序列第n个数据取值；N为指数滑动平均的周期，EMA
N
(x
n
‑1)、EMA
N
(x
n
)分别为以
N为计算周期在序列第n
‑
1个、第n个数据处进行指数滑动平均的计算结果；同时，在双向生成对抗网络训练过程中，创建影子变量v
t
平滑神经网络模型参数；神经网络权重和偏置参数的更新变化方式如下：v
t
＝β...

【专利技术属性】
技术研发人员：谢云云，赵铖冲，刘爱静，燕子熬，闫蕙馨，沈宇，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：