一种考虑类别不平衡的电力系统网络攻击检测方法及系统技术方案

本发明专利技术提供了一种考虑类别不平衡的电力系统网络攻击检测方法及系统，所述方法包括：获取电力系统的待检测网络连接数据；对待检测网络连接数据进行特征处理，得到对应的初始数据特征，并将初始数据特征输入预先构建的网络连接特征提取模型进行特征重构，得到重构特征向量；根据重构特征向量，得到对应的重构误差，并根据重构误差和预设误差阈值，得到网络连接状态；在网络连接状态为异常连接时，将重构特征向量和待检测网络连接数据输入预先构建的网络攻击检测模型，得到攻击分类结果。本发明专利技术不仅能够有效应对电力系统网络连接的类别不平衡情况，而且能有效提高网络攻击分类识别的精准性，为电力系统的供电可靠性和运行稳定性提供可靠保障。提供可靠保障。提供可靠保障。

【技术实现步骤摘要】
一种考虑类别不平衡的电力系统网络攻击检测方法及系统


[0001]本专利技术涉及电力系统网络安全检测
，特别是涉及一种考虑类别不平衡的电力系统网络攻击检测方法及系统。

技术介绍

[0002]电力系统是一个庞大复杂的控制系统，其安全性直接涉及到整个社会的供电稳定问题，而网络攻击对电力系统的供电可靠性和运行稳定性构成极大威胁，其通过夺取开关操作控制权、瘫痪业务系统、引爆逻辑炸弹、修改保护定值等方法，引发开关跳闸、保护误动或拒动、业务系统崩溃，进而造成一次设备故障、电网震荡，严重时导致整个电网瘫痪，甚至出现大面积停电事故；因此，如何有效进行电力系统网络攻击检测变得越来越重要。
[0003]目前电力系统网络攻击检测技术主要分为基于规则和基于机器学习的两种方法。然而，随着电力系统自动化网络规模的增大，其复杂性也随之增加，各系统之间的交互机制变得越来越复杂，基于规则的检测方法其召回率较低的问题变得更加突出，无法满足新型电力系统对于网络攻击检测高精度和高可靠性的需求。此外，在电力系统网络攻击检测面临的诸多挑战中，类别不平衡问题尤为突出，即实际业务运行场景下正常网络连接数量远远大于攻击连接数量，且忽略类别不平衡问题或处理不当，都可能导致检测器性能恶化，无法保障检测精度和可靠性。尽管基于机器学习的方法在异常网络连接识别方面具备较强的适应能力，但在类别不平衡考量上仍存在主观性、采样过拟合等诸多问题，进而影响网络攻击检测的精准性，难以真正满足电力系统安全防控的应用需求。

技术实现思路

[0004]本专利技术的目的是提供一种考虑类别不平衡的电力系统网络攻击检测方法，通过采用Transformer降噪自编码器异常检测结合最小最大模块化集成攻击分类的两阶段模型对电力系统的网络攻击进行考虑类别不平衡的可靠检测，解决了现有电力系统网络攻击检测方法的应用缺陷，不仅能够有效应对电力系统网络连接的类别不平衡情况，而且能有效提高网络攻击分类识别的精准性，满足新型电力系统网络攻击检测的高精度和高可靠性需求，为电力系统的供电可靠性和运行稳定性提供可靠保障，具有较高的应用价值。
[0005]为了实现上述目的，有必要针对上述技术问题，提供一种考虑类别不平衡的电力系统网络攻击检测方法及系统。
[0006]第一方面，本专利技术实施例提供了一种考虑类别不平衡的电力系统网络攻击检测方法，所述方法包括以下步骤：
[0007]获取电力系统的待检测网络连接数据；
[0008]对所述待检测网络连接数据进行特征处理，得到对应的初始数据特征，并将所述初始数据特征输入预先构建的网络连接特征提取模型进行特征重构，得到重构特征向量；
[0009]根据所述重构特征向量，得到对应的重构误差，并根据所述重构误差和预设误差阈值，得到网络连接状态；
[0010]在所述网络连接状态为异常连接时，将所述重构特征向量和所述待检测网络连接数据输入预先构建的网络攻击检测模型，得到攻击分类结果。
[0011]进一步地，所述初始数据特征包括初始类别型特征和初始数值型特征；
[0012]所述对所述待检测网络连接数据进行特征处理，得到初始数据特征的步骤包括：
[0013]将所述待检测网络连接数据中的类别型数据和数值型数据分别进行对应的独热编码处理和归一化处理，得到对应的初始类别型特征和初始数值型特征。
[0014]进一步地，所述网络连接特征提取模型为基于Transformer的降噪自编码器；所述降噪自编码器包括依次连接的预处理模块、编码器和解码器；所述编码器包括依次连接的全连接层和若干个Transformer编码器；所述解码器包括依次连接的噪声估计器和特征重构器。
[0015]进一步地，所述网络连接特征提取模型的构建方法包括：
[0016]获取电力系统的历史网络连接数据，并对所述历史网络连接数据进行类别标注，构建网络连接数据集；所述网络连接数据集划分为训练集和测试集；
[0017]将所述训练集中的各个样本数据进行特征处理，得到对应的样本初始特征；
[0018]将所述样本初始特征输入所述预处理模块进行特征拼接和噪声注入，得对应的样本增强特征；
[0019]将所述样本增强特征输入所述编码器进行特征编码，得到对应的样本编码特征；
[0020]将所述样本编码特征输入所述解码器进行解码重构，得到对应的样本重构特征；
[0021]根据所述样本重构特征和预设损失函数，对所述基于Transformer的降噪自编码器的模型参数进行更新训练，得到所述网络连接特征提取模型。
[0022]进一步地，所述预设损失函数表示为：
[0023][0024]其中，Loc表示预测损失值；和为示性函数；和分别表示训练集中第i个样本数据对应的样本初始特征和样本重构特征；M
i
和分别表示预处理模块对第i个样本初始特征注入的噪声因子和噪声估计器估计得到的噪声估计结果；dis(
·
)和dism(
·
)分别表示样本特征误差函数和噪声估计误差函数。
[0025]进一步地，所述网络连接特征提取模型的构建方法，还包括：
[0026]根据所述样本重构特征，统计得到训练集重构误差，并根据所述训练集重构误差和所述网络连接特征提取模型的分类精度，得到所述预设误差阈值。
[0027]进一步地，所述网络攻击检测模型为基于定簇大小聚类构建的最小最大模块化集成分类器；所述最小最大模块化集成分类器包括多个CatBoost子分类器。
[0028]进一步地，所述网络攻击检测模型的构建方法包括：
[0029]获取电力系统的历史网络连接数据，并将攻击类别标注后的历史网络连接数据输入所述网络连接特征提取模型，得到对应的样本重构特征向量和对应的样本重构误差；
[0030]在根据所述样本重构误差确定对应的网络连接状态为异常连接时，根据所述样本重构特征向量和所述样本数据，得到攻击分类数据集；
[0031]基于多分类任务分解为二分类任务的分解原则，将所述攻击分类数据集按照攻击类别进行分解，得到对应的二分类数据集；
[0032]基于定簇大小聚类方法，对各个二分类数据集进行分解，得到对应的若干个类别平衡的二分类子数据集；
[0033]根据各个二分类子数据集训练所述CatBoost子分类器，并将各个CatBoost子分类器通过最小最大模块化集成，得到所述网络攻击检测模型。
[0034]进一步地，所述基于定簇大小聚类方法，对各个二分类数据集进行分解，得到对应的若干个类别平衡的二分类子数据集的步骤包括：
[0035]从所述二分类数据集的未分配样本中随机挑选一个样本数据作为新聚类簇中心，并将与所述聚类簇中心的距离在预设范围内的预设数目个未分配样本指派到新聚类簇中，直至所有样本得到划分，得到若干个初始聚类簇；
[0036]计算各个初始聚类簇的簇直径，并根据所述簇直径，得到簇直径中位数，以及获取所述簇直径大于所述簇直径中位数的初始聚类簇，得本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种考虑类别不平衡的电力系统网络攻击检测方法，其特征在于，所述方法包括以下步骤：获取电力系统的待检测网络连接数据；对所述待检测网络连接数据进行特征处理，得到对应的初始数据特征，并将所述初始数据特征输入预先构建的网络连接特征提取模型进行特征重构，得到重构特征向量；根据所述重构特征向量，得到对应的重构误差，并根据所述重构误差和预设误差阈值，得到网络连接状态；在所述网络连接状态为异常连接时，将所述重构特征向量和所述待检测网络连接数据输入预先构建的网络攻击检测模型，得到攻击分类结果。2.如权利要求1所述的考虑类别不平衡的电力系统网络攻击检测方法，其特征在于，所述初始数据特征包括初始类别型特征和初始数值型特征；所述对所述待检测网络连接数据进行特征处理，得到初始数据特征的步骤包括：将所述待检测网络连接数据中的类别型数据和数值型数据分别进行对应的独热编码处理和归一化处理，得到对应的初始类别型特征和初始数值型特征。3.如权利要求1所述的考虑类别不平衡的电力系统网络攻击检测方法，其特征在于，所述网络连接特征提取模型为基于Transformer的降噪自编码器；所述降噪自编码器包括依次连接的预处理模块、编码器和解码器；所述编码器包括依次连接的全连接层和若干个Transformer编码器；所述解码器包括依次连接的噪声估计器和特征重构器。4.如权利要求3所述的考虑类别不平衡的电力系统网络攻击检测方法，其特征在于，所述网络连接特征提取模型的构建方法包括：获取电力系统的历史网络连接数据，并对所述历史网络连接数据进行类别标注，构建网络连接数据集；所述网络连接数据集划分为训练集和测试集；将所述训练集中的各个样本数据进行特征处理，得到对应的样本初始特征；将所述样本初始特征输入所述预处理模块进行特征拼接和噪声注入，得对应的样本增强特征；将所述样本增强特征输入所述编码器进行特征编码，得到对应的样本编码特征；将所述样本编码特征输入所述解码器进行解码重构，得到对应的样本重构特征；根据所述样本重构特征和预设损失函数，对所述基于Transformer的降噪自编码器的模型参数进行更新训练，得到所述网络连接特征提取模型。5.如权利要求4所述的考虑类别不平衡的电力系统网络攻击检测方法，其特征在于，所述预设损失函数表示为：其中，Loc表示预测损失值；和为示性函数；和分别表示训练集中第i个样本数据对应的样本初始特征和样本重构特征；M
i
和分别表示预处理模块对第i个样本初始特征注入的噪声因子和噪声估计器估计得到的噪声估计结果；dis(
·
)和dism(
·
)分别表示样本特征误差函数和噪声估计误差函数。6.如权利要求4所述的考虑类别不平衡的电力系统网络攻击检测方法，其特征在于，所述网络连接特征提取模型的构建方法，还包括：
根据所述样本重构特征，统计得到训练集重构误差，并根据所述训练集重构误差和所述网络连接特征提取模型的分类精度，得到所述预设误差阈值。7.如权利要求1所述的考虑类别不平衡的电力系统网络攻击检测方法，其特征在于，所述网络攻击检测模型为基于定簇大小聚类构建的最小最大模块化集成分...

【专利技术属性】
技术研发人员：谢志云，瞿合祚，赖欢欢，刘辉乐，林国松，奚洪磊，杨剑友，俞凯，薛大立，陆千毅，戚峰，宓群超，陈凡，郑建，黄佳佳，朱乐超，黄达铁，姚海蛟，臧怡宁，郑洪波，余知真，
申请(专利权)人：国网浙江省电力有限公司温州供电公司，
类型：发明
国别省市：