APT制造技术

本申请公开了一种

【技术实现步骤摘要】
APT检测方法及装置、非易失性存储介质


[0001]本申请涉及电力系统
，具体而言，涉及一种
APT
检测方法及装置
、
非易失性存储介质
。

技术介绍

[0002]在开放互联的大背景下，电网系统朝着信息化和智能化不断发展，随着电网系统智能化规模的增大，网络入侵点也急剧增加，电力系统面对的网络攻击呈现出多样化和专业化的趋势，这对当前电力工业中相对独立的信息侧和物理侧安全防护体系均提出了挑战；传统的高级持续性威胁
(Advanced Persistent Threat
，
APT)
检测方法针对的攻击模式比较单一，因此存在对于攻击持续时间较长的
APT
攻击，检测的准确率低；以及难以对未知攻击进行有效识别的问题
。
[0003]针对上述的问题，目前尚未提出有效的解决方案
。

技术实现思路

[0004]本申请实施例提供了一种
APT
检测方法及装置
、
非易失性存储介质，以至少解决由于相关技术只能检测单一攻击模式的
APT
攻击造成的检测
APT
的准确率低的技术问题
。
[0005]根据本申请实施例的一个方面，提供了一种
APT
检测方法，包括：获取目标数据，其中，目标数据为智能电网管理系统在任意一个预设周期内的运行数据；根据目标数据确定智能电网管理系统的状态向量，其中，状态向量用于指示智能电网管理系统的运行状态；根据状态向量确定中央控制器的目标数量，其中，目标数量为智能电网管理系统中用于处理运行数据的中央控制器的数量；根据状态向量和目标数量确定检测策略，其中，检测策略用于检测智能电网管理系统中的
APT
攻击；通过检测策略检测智能电网管理系统，得到
APT
攻击检测结果
。
[0006]可选地，根据目标数据确定智能电网管理系统的状态向量，包括：确定状态向量中的元素，其中，元素为目标数据，目标数据包括：智能电网管理系统中每个数据集中器中存储的用电数据的数据量
、
每个数据集中器的优先级
、
每个数据集中器中在预设周期的上一周期的泄露数据的数据量和智能电网管理系统在预设周期的上一周期的检测延迟；依据元素确定状态向量
。
[0007]可选地，根据状态向量确定中央控制器的目标数量，包括：确定第一输入值和多个第二输入值，其中，第一输入值为状态向量，多个第二输入值为在目标取值集合中确定的取值，其中，目标取值集合中的取值为预设的中央控制器的数量；将第一输入值与多个第二输入值中每个第二输入值确定为一个第一变量组，得到多个第一变量组；确定
APT
攻击检测模型，其中，
APT
攻击检测模型是利用目标数据作为训练数据对基础神网络模型训练生成的模型；依据多个第一变量组和
APT
攻击检测模型确定目标数量
。
[0008]可选地，依据多个第一变量组和
APT
攻击检测模型确定目标数量，包括：将多个第一变量组分别输入
APT
攻击检测模型的顶层网络，得到顶层网络的多个第一输出值，其中，
第一输出值为智能电网管理系统在与第一变量组对应的状态下的奖励值；在多个第一输出值中确定最大第一输出值，并将最大第一输出值对应的变量组确定为第一目标变量组，其中，目标数量为第一目标变量组中的第二输入值对应的取值
。
[0009]可选地，根据状态向量和目标数量确定检测策略，包括：确定第三输入值
、
第四输入值和多个第五输入值，其中，第三输入值为状态向量，第四输入值为目标数量，多个第五输入值为在目标取值集合中确定的取值；将第三输入值
、
第四输入值和多个第五输入值中每个第五输入值确定为一个第二变量组，得到多个第二变量组；将多个第二变量组分别输入到
APT
攻击检测模型的底层网络，得到底层网络的多个第二输出值，其中，第二输出值为智能电网管理系统在与第二变量组对应的状态下的奖励值；在多个第二输出值中确定最大第二输出值，基于最大第二输出值和底层网络确定检测策略
。
[0010]可选地，基于最大第二输出值和底层网络确定检测策略，包括：在底层网络中确定目标全连接层，其中，目标全连接层为底层网络中包含两个神经元的全连接层；将状态向量和中央控制器的数量分别输入目标全连接层的第一神经元和目标全连接层的第二神经元，得到第三输出值和第四输出值，其中，第三输出值为智能电网管理系统的在第一神经元的状态价值，第四输出值为智能电网管理系统的在第二神经元的估计优势；以及，将状态向量
、
目标数量和目标取值区间中的每个取值作为第三变量组，得到多个第三变量组；将多个第三变量组中的每个第三变量组输入第二神经元，得到多个第五输出值，其中，第五输出值为智能电网管理系统在第三变量组对应的状态下的估计优势；根据第三输出值，第四输出值和多个第五输出值确定检测策略
。
[0011]可选地，根据第三输出值，第四输出值和多个第五输出值确定检测策略，包括：确定多个第五输出值在目标取值区间的平均值；确定第三输出值和第四输出值的和，并确定和与平均值的第一差值；确定和与第一差值的第二差值，并确定平均值与第二差值的比值，其中，比值为待求解的目标值，目标值为目标检测策略的模值；将目标值指示的目标策略确定为检测策略，其中，检测策略为由检测时刻和与检测时刻对应的中央控制器的数量确定述数组
。
[0012]可选地，通过检测策略检测智能电网管理系统，得到
APT
攻击检测结果，包括：在检测策略中的检测时刻指示的时刻利用多个中央控制器对智能电网管理系统进行检测，得到检测结果，其中，检测结果用于指示智能电网管理系统泄露数据的数据量，检测智能电网管理系统的中央控制器的数量为与检测时刻对应的中央控制器的数量；将检测结果输入二分类模型，得到二分类模型的输出结果，其中，二分类模型的输出结果包括：第一结果
、
第一结果的第一概率值
、
第二结果和第二结果的第二概率值；在第一概率值和第二概率值中确定最大概率值，并将最大概率值对应的结果确定为
APT
攻击检测结果
。
[0013]可选地，
APT
检测方法还包括：在每次检测智能电网管理系统之后，利用状态向量和检测策略更新
APT
攻击检测模型
。
[0014]根据本申请实施例的另一方面，还提供了一种
APT
检测装置，包括：获取模块，用于获取目标数据，其中，目标数据为智能电网管理系统在任意一个预设周期内的运行数据；第一确定模块，用于根据目标数据确定智能电网管理系统的状态向量，其中，状态向量用于指示智能电网管理系统的运行状态；第二确定模块，用于根据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种
APT
检测方法，其特征在于，包括：获取目标数据，其中，所述目标数据为智能电网管理系统在任意一个预设周期内的运行数据；根据所述目标数据确定所述智能电网管理系统的状态向量，其中，所述状态向量用于指示所述智能电网管理系统的运行状态；根据所述状态向量确定中央控制器的目标数量，其中，所述目标数量为所述智能电网管理系统中用于处理所述运行数据的中央控制器的数量；根据所述状态向量和所述目标数量确定检测策略，其中，所述检测策略用于检测所述智能电网管理系统中的
APT
攻击；通过所述检测策略检测所述智能电网管理系统，得到
APT
攻击检测结果
。2.
根据权利要求1所述的方法，其特征在于，根据所述目标数据确定所述智能电网管理系统的状态向量，包括：确定所述状态向量中的元素，其中，所述元素为所述目标数据，所述目标数据包括：所述智能电网管理系统中每个数据集中器中存储的用电数据的数据量
、
所述每个数据集中器的优先级
、
所述每个数据集中器中在所述预设周期的上一周期的泄露数据的数据量和所述智能电网管理系统在所述预设周期的上一周期的检测延迟；依据所述元素确定所述状态向量
。3.
根据权利要求1所述的方法，其特征在于，根据所述状态向量确定中央控制器的目标数量，包括：确定第一输入值和多个第二输入值，其中，所述第一输入值为所述状态向量，所述多个第二输入值为在目标取值集合中确定的取值，其中，所述目标取值集合中的取值为预设的所述中央控制器的数量；将所述第一输入值与所述多个第二输入值中每个第二输入值确定为一个第一变量组，得到多个第一变量组；确定
APT
攻击检测模型，其中，所述
APT
攻击检测模型是利用所述目标数据作为训练数据对基础神网络模型训练生成的模型；依据所述多个第一变量组和所述
APT
攻击检测模型确定所述目标数量
。4.
根据权利要求3所述的方法，其特征在于，依据所述多个第一变量组和所述
APT
攻击检测模型确定所述目标数量，包括：将所述多个第一变量组分别输入所述
APT
攻击检测模型的顶层网络，得到所述顶层网络的多个第一输出值，其中，所述第一输出值为所述智能电网管理系统在与所述第一变量组对应的状态下的奖励值；在所述多个第一输出值中确定最大第一输出值，并将所述最大第一输出值对应的变量组确定为第一目标变量组，其中，所述目标数量为所述第一目标变量组中的第二输入值对应的取值
。5.
根据权利要求3所述的方法，其特征在于，根据所述状态向量和所述目标数量确定检测策略，包括：确定第三输入值
、
第四输入值和多个第五输入值，其中，所述第三输入值为所述状态向量，所述第四输入值为所述目标数量，所述多个第五输入值为在所述目标取值集合中确定的取值；
将所述第三输入值
、
所述第四输入值和所述多个第五输入值中每个第五输入值确定为一个第二变量组，得到多个第二变量组；将所述多个第二变量组分别输入到所述
APT
攻击检测模型的底层网络，得到所述底层网络的多个第二输出值，其中，所述第二输出值为所述智能电网管理系统在与所述第二变量组对应的状态下的奖励值；在所述多个第二输出值中确定最大第二输出值，基于所述最大第二输出值和所述底层网络确定所述检测策略
。6.
根据权利要求5所述的方法，其特征在于，基于所述最大第二输出值和所述底层网络确定所述检测策略，包括：在所述底层网络中确定目标全连接层，其中，所述目标全连接层为所述底层网络中包含两个神经元的全连接层；将所述状态向量和所述中央控制器的数量...

【专利技术属性】
技术研发人员：郝佳恺，赵广怀，孙兵，金明，李宇婷，姚晓明，李俊芹，高鹏，王帅潮，亓峰，陈锦前，陈洁蔚，郭少勇，郝颖，
申请(专利权)人：国家电网有限公司北京邮电大学，
类型：发明
国别省市：