一种能源互联网网络威胁检测方法技术

本发明专利技术涉及一种能源互联网网络威胁检测方法，具体步骤为：首先使用公共互联网数据在客户端本地上预训练特征嵌入模型；再借鉴联邦学习和迁移学习思想，由各工业代理使用各自的工业数据对预训练后的模型进行联邦训练；在此基础上，部署在各网络的IDS使用极少量的小样本攻击样本就可构建相应的检测模型，进而生成最终的入侵检测模型，从而使得最终的入侵检测模型可针对小样本攻击进行有效的入侵检测。模型可针对小样本攻击进行有效的入侵检测。模型可针对小样本攻击进行有效的入侵检测。

【技术实现步骤摘要】
一种能源互联网网络威胁检测方法


[0001]本专利技术涉及一种能源互联网网络威胁检测方法，属于网络攻击检测


技术介绍

[0002]在生产活动中，通常需要多个能源互联网协作以实现高效生产和控制。例如，国家能源互联网公司的业务和设施遍布各省、市，需要在各省公司、市公司建立多级能源互联网，以提高能源互联网运行效率和故障定位能力。然而，分布式的结构在给能源互联网带来高效计算、通信、远程控制等方面好处的同时，也引入了安全风险，大量的测量和控制数据在各级网络汇聚、转发，使得这些网络成为攻击者的重要目标。为实现能源互联网的入侵检测，通常采用集中式的入侵检测方法实现，然而，集中式的入侵检测方法需要收集大量的流量数据以训练模型，数据收集过程中经过多个网络和中间设备，容易造成数据泄露。
[0003]为解决现有技术中集中式入侵检测方法出现的数据隐私问题，现有技术中，一些学者提出基于联邦学习的协同式入侵检测方法。例如，2021年，Li B等人面向工业CPS(Cyber
‑
Physical Systems，信息物理系统)提出了一种基于深度联邦学习的入侵检测方案(Li B,Wu Y,Song J,et al.DeepFed:Federated deep learning for intrusion detection in industrial cyber
–
physical systems[J].IEEE Transactions on Industrial Informatics,2020,17(8):5615
‑
5624)，该方案设计了一个由门控循环单元、CNN(Convolutional Neural Networks,卷积神经网络)模块和MLP模块构成的检测模型；同年，Li J等人设计了一种用于缓解工业互联网DDoS(Distributed Denial of Service，分布式阻断服务)攻击的联邦学习架构(Li J,Lyu L,Liu X,et al.FLEAM:A federated learning empowered architecture to mitigate DDoS in industrial IoT[J/OL].IEEE Transactions on Industrial Informatics,2021.http://dx.doi.org/10.1109/TII.2021.3088938.)，通过结合联邦学习和边缘计算，建立了一个分布式协作的DDoS攻击缓解系统；2020年，Chen Y等人提出了一种基于CNN的联邦学习框架用于数据分类(Chen Y,Qin X,Wang J,et al.Fedhealth:A federated transfer learning framework for wearable healthcare[J].IEEE Intelligent Systems,2020,35(4):83
–
93.)，其中包含两个卷积层、两个池化层、两个全连接层和一个softmax(神经网络的最后一个激活单元)层，这些方法在建立模型的同时可以有效保护数据隐私。
[0004]但是，在使用现有技术过程中，专利技术人发现现有技术中至少存在如下问题：
[0005]上述现有技术通常建立在各个网络可以提供充足标记样本的基础上，然而，现实的能源互联网环境中，并不总能捕获充足的常见攻击样本，更有甚者，所有能源互联网捕获的样本总和仍不能为模型训练提供充足的先验知识，此时使用现有的技术不能有效建立入侵检测模型。此外，由于缺少标记的小样本，导致现有基于联邦学习的方法不能针对这类攻击建立有效的入侵检测模型。

技术实现思路

[0006]为了解决上述现有技术中存在的问题，本专利技术提出了一种能源互联网网络威胁检测方法。
[0007]本专利技术的技术方案如下：
[0008]一方面，本专利技术提供了一种能源互联网网络威胁检测方法，包括以下步骤：
[0009]构建初始机器学习模型，并获取公共数据集，然后使用所述公共数据集的随机子集对所述初始机器学习模型进行预训练，得到预训练特征嵌入模型；
[0010]获取能源互联网本地的能源互联网数据集，并使用所述能源互联网数据集对所述预训练特征嵌入模型进行联邦训练，得到联邦训练特征嵌入模型；
[0011]获取正常样本数据集和指定网络入侵类型的小样本攻击数据集，并将所述正常样本数据集和所述小样本攻击数据集输入所述联邦训练特征嵌入模型，并根据所述联邦训练特征嵌入模型的输出结果，生成最终的入侵检测模型；
[0012]获取能源互联网的实时运行数据，并对所述能源互联网运行数据进行预处理，得到预处理后数据；
[0013]将所述预处理后数据输入所述最终的入侵检测模型，得到能源互联网入侵预测结果。
[0014]作为本专利技术的优选实施方式，所述初始机器学习模型采用FE
‑
Net模型。
[0015]作为本专利技术的优选实施方式，在本地客户端上对所述初始机器学习模型进行预训练，训练好的模型参数上传至云服务器存储；
[0016]在各工业代理上对所述预训练特征嵌入模型进行联邦训练，并通过云服务器对所述预训练特征嵌入模型的参数采用FedAvg方法进行聚合。
[0017]作为本专利技术的优选实施方式，所述预训练特征嵌入模型具体构建步骤为：
[0018]首先将公共数据集设为
[0019]其中，表示第i个公共数据样本，为第i个公共数据样本的特征向量(x
i1
,x
i2
,
…
,x
it
)，为第i个样本的标签，i为公共数据样本的序号，N
net
为公共数据样本总数；
[0020]所述公共数据集携带有标签类型集，所述标签类型集为：L
net
＝{0,1,...,l
net
}，标签类型0,1,...,l
net
中，0代表正面标签，1,...,l
net
代表不同类型的负面标签；
[0021]根据所述公共数据集中的负面标签的标签类型，获取预训练任务，并使用所述公共数据集构建所述预训练任务的预训练数据集；
[0022]使用所述预训练任务的预训练数据集对所述初始机器学习模型进行预训练，得到所述预训练任务对应的损失函数；
[0023]利用所述预训练任务对应的损失函数，对所述初始机器学习模型中的模型参数进行更新，得到预训练特征嵌入模型。
[0024]作为本专利技术的优选实施方式，使用所述公共数据集构建所述预训练任务的预训练数据集的具体步骤为：
[0025]当所述预训练任务是负面标签为atk对应的预训练任务时，将所述公共数据集中，
标签类型为0的所有公共数据构成的数据集合设为第一数据集合将标签类型为atk的所有公共数据构成的数据集合设为第二数据集合
[002本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种能源互联网网络威胁检测方法，其特征在于，包括以下步骤：构建初始机器学习模型，并获取公共数据集，然后使用所述公共数据集的随机子集对所述初始机器学习模型进行预训练，得到预训练特征嵌入模型；获取能源互联网本地的能源互联网数据集，并使用所述能源互联网数据集对所述预训练特征嵌入模型进行联邦训练，得到联邦训练特征嵌入模型；获取正常样本数据集和指定网络入侵类型的小样本攻击数据集，并将所述正常样本数据集和所述小样本攻击数据集输入所述联邦训练特征嵌入模型，并根据所述联邦训练特征嵌入模型的输出结果，生成最终的入侵检测模型；获取能源互联网的实时运行数据，并对所述能源互联网运行数据进行预处理，得到预处理后数据；将所述预处理后数据输入所述最终的入侵检测模型，得到能源互联网入侵预测结果。2.根据权利要求1所述的一种能源互联网网络威胁检测方法，其特征在于，所述初始机器学习模型采用FE
‑
Net模型。3.根据权利要求1所述的一种能源互联网网络威胁检测方法，其特征在于，在本地客户端上对所述初始机器学习模型进行预训练，训练好的模型参数上传至云服务器存储；在各工业代理上对所述预训练特征嵌入模型进行联邦训练，并通过云服务器对所述预训练特征嵌入模型的参数采用FedAvg方法进行聚合。4.根据权利要求1所述的一种能源互联网网络威胁检测方法，其特征在于，所述预训练特征嵌入模型具体构建步骤为：首先将公共数据集设为其中，表示第i个公共数据样本，为第i个公共数据样本的特征向量(x
i1
,x
i2
,
…
,x
it
)，为第i个样本的标签，i为公共数据样本的序号，N
net
为公共数据样本总数；所述公共数据集携带有标签类型集，所述标签类型集为：L
net
＝{0,1,...,l
net
}，标签类型0,1,...,l
net
中，0代表正面标签，1,...,l
net
代表不同类型的负面标签；根据所述公共数据集中的负面标签的标签类型，获取预训练任务，并使用所述公共数据集构建所述预训练任务的预训练数据集；使用所述预训练任务的预训练数据集对所述初始机器学习模型进行预训练，得到所述预训练任务对应的损失函数；利用所述预训练任务对应的损失函数，对所述初始机器学习模型中的模型参数进行更新，得到预训练特征嵌入模型。5.根据权利要求4所述的一种能源互联网网络威胁检测方法，其特征在于，使用所述公共数据集构建所述预训练任务的预训练数据集的具体步骤为：当所述预训练任务包括的标签有负面标签时，将所述公共数据集中标签类型为0的所有公共数据样本构成的数据集合设为第一数据集合将标签类型为负面标签的所有公共数据样本构成的数据集合设为第二数据集合
从所述第一数据集合和所述第二数据集合中，分别选取k个公共数据样本，得到支持数据集Ds
net
；其中，所述支持数据集Ds
net
＝{(x1，y1)，...，(x
2k
，y
2k
)}；从所述第一数据集合中除选取的k个公共数据样本外的剩余公共数据样本和所述第二数据集合中除选取的k个公共数据样本外的剩余公共数据样本中，分别选取k
’
个公共数据样本，得到查询数据集Dq
net
；其中，所述查询数据集Dq
net
＝{(x1′
，y1′
)，...，(x
2k
′
，y
2k
′
)}；将所述支持数据集Ds
net
和所述查询数据集Dq
net
组合构成所述预训练任务的预训练数据集T
net
；其中，所述预训练数据集T
net
＝{Ds
net
，Dq
net
}。6.根据权利要求5所述的一种能源互联网网络威胁检测方法，其特征在于，使用所述预训练任务的预训练数据集T
net
对所述初始机器学习模型进行预训练，得到所述预训练任务对应的损失函数，具体步骤为：从所述预训练数据集T
net
的支持数据集Ds
net
中的样本数据(x
s
，y
s
)，提取得到所有标签为0的第一样本数据集将所有非0标签转换为1，然后再提取得到所有标签为1的第二样本数据集根据所述第一样本数据集得到第一正类代表向量，根据所述第二样本数据集得到第一负类代表向量；其中，所述第一正类代表向量为：所述第一负类代表向量为：式中，为所述初始机器学习模型的预设参数；x
s
为特征向量；为x
s
对应的模型代表向量；根据所述预训练数据集T
net
的查询数据集中的样本数据(
q
,
q
)、所述第一正类代表向量和所述第一负类代表向量，得到所述查询数据集Dq
net
中的样本数据被正确预测的概率值：其中：d(a,b)为数据a与数据b之间的欧式平方距离，x
′
q
和y
′
q
均为常数；为y
q
对应的代表向量；
根据所述查询数据集Dq
net
中的样本数据被正确预测的概率值，得到所述初始机器学习模型对x
q
的损失值：其中：表示x
q
由所述初始机器学习模型产生的预测分布，p(x
q
)表示样本真实分布；根据所述预训练数据集T
net
的查询数据集Dq
net
中所有样本数据x
q
的损失值，得到所述预训练任务对应的损失函数：训练任务对应的损失函数：其中：α是用于调节...

【专利技术属性】
技术研发人员：傅杰，林思辰，王怡婷，郭蔡炜，郑嘉明，纪文，高董英，张坤三，刘宇轩，林晨晗，倪文书，吕智垒，吉眉颖，方志坚，李铮，李少杰，陈昕昊，
申请(专利权)人：国网福建省电力有限公司信息通信分公司，
类型：发明
国别省市：