【技术实现步骤摘要】
本申请涉及工业控制系统安全领域,更具体地,涉及一种基于加权相似度匹配的指令级电力系统业务防护方法。
技术介绍
1、电力监控系统在现代社会中扮演着关键的角色,负责确保电力系统的稳定运行。随着信息技术的进步,电力监控系统越来越依赖于计算机化和网络化的技术。然而,这也使得系统面临着日益复杂和高级的网络威胁,如恶意软件、网络攻击和数据篡改。在这样的背景下,为电力监控系统提供指令级的业务防护变得至关重要。
2、目前,电力监控系统通常采用了一系列措施来确保其运行的安全性,包括网络防火墙、入侵检测系统(ids)、加密通信等。然而,这些方法主要集中在网络层面和通信层面,而指令级的业务防护相对较为薄弱。指令级的业务防护需要关注系统内部的软件执行,以防止恶意指令的注入、执行过程的劫持以及对关键数据的篡改。目前,针对指令级业务防护的解决方案主要是基于规则匹配的,即通过深度解析电力系统的通信流量,得到业务指令的字符串,通过专家制定的一系列规则匹配潜在的高危业务指令。然而该方法依赖于大量人力进行规则定制,且不能发现未知威胁。现有的基于指令匹配的检测方法不能发现未知业务异常的问题。
3、基于上述背景,本专利技术提供一种基于加权相似度匹配的指令级电力系统业务防护方法。该方法使用深度学习方法计算业务指令的指令哈希,通过比较业务指令哈希码之间的距离进行异常检测,能够检测未知的异常业务指令。
技术实现思路
1、本申请实施例的目的在于提供一种基于加权相似度匹配的指令级电力系统业务防护方法,解决了
2、为实现上述目的,本申请提供如下技术方案:
3、本申请实施例提供一种基于加权相似度匹配的指令级电力系统业务防护方法,其特征在于,包括以下具体步骤:
4、(1)采集电力系统中的网络流量,对其中的业务流量进行协议解析,得到包括帧头信息、地址信息、功能码、数据字段等字段的信息,将其组合成一个1*1024的向量,字段长度不足则向后填充0x00,构成业务指令向量其中vi表示第i个业务指令向量,由1024个16进制数构成。每个向量中的元素vj的长度为4bit。其中,0x00是在业务指令向量长度不足1024时,填充的默认字段;
5、(2)根据电力系统中业务的特点,将业务指令根据操作类别分为多类,并对每一个类别进行编号。所述操作类别指令分级的规则如下表所示:
6、
7、(3)根据电力系统中业务的特点,将业务指令根据安全等级分为多类,并对每一个类别进行编号。所述安全等级指令分级的规则如下表格所示:
8、
9、
10、(4)将系统异常时刻对应的业务指令向量v标记为异常,对应的值为1。其他时刻的业务指令向量标记为正常,对应的值为0。每个业务指令向量vi的标记为di;
11、(5)根据步骤(2)和步骤(3)所述分类方式,每个业务指令向量vi对应的类别编号为ci,对应的安全等级编号为si。每个业务指令向量vi对应的样本标签为yi={di,ci,si};
12、(6)对所有的业务指令向量进行两两组合,组成多个数据对其中,n为采集的所有业务指令向量的总数量,p为训练数据集;
13、(7)使用训练数据集p对事先设计好的cnn网络进行训练。具体地,将训练数据集p中的每个元组(va,vb)按顺序依次取出,第一个指令向量va输入cnn,cnn输出一个1*64维度的特征哈希ha。第二个指令向量vb输入神经网络,cnn输出一个1*64维度的特征哈希hb;
14、(8)通过加权损失函数计算训练损失lh(va,vb),具体计算步骤如下:
15、
16、
17、
18、其中,dw为ha和hb的欧氏距离。y是根据元组(va,vb)各自所属类别得到的,va和vb同为正常或者异常类别,y为0,否则为1。g(a,b)是根据元组(va,vb)对应的类别编号和等级编号计算出来的加权项。m为神经网络输出的向量维度,为64。i[.]为1函数,条件·为真时为1,否则为0。tc为类别权重,取0.6;ts为等级权重,取0.8;
19、(9)根据步骤(8)计算得到的类别损失,使用梯度下降法对当前模型的梯度ωold进行梯度更新,得到更新梯度ωnew,具体计算步骤如下:
20、
21、其中η为学习率,取0.001;
22、(10)重复步骤(7)至步骤(9),直到训练损失lh小于设定阈值,或迭代次数达到最大设定次数。得到训练好的模型
23、(11)依次将v中的业务指令向量输入模型得到对应的特征哈希,构成样本哈希组hg=(h1,h2,...,hn);
24、(12)根据步骤(1)中所述方法,实时采集业务流量并解析,得到t时刻的业务指令向量vt。将向量vt输入训练好的模型得到特征哈希ht;
25、(13)将特征哈希ht与样本哈希组hg中的特征哈希hi依次比较,计算两者之间的欧氏距离disi。具体计算步骤如下:
26、
27、其中,m为神经网络输出的向量维度,为64;
28、(14)在哈希组hg中,取与特征哈希ht的欧氏距离最小的特征哈希hm,其中,获取hm对应的标记为dm,如果dm为0,则说明当前业务指令正常。如果dm为1,则判断dism是否小于设定阈值th。如果小于,则判定当前业务指令为异常,对当前业务指令进行实时阻断,保障电力系统业务安全。
29、与现有技术相比,本专利技术的有益效果是:因为训练时利用了输入对之间的关系,而不仅仅依赖于大量的标注数据,所以可以在标注数据相对较少的的情况下进行训练,解决了工业控制网络中异常数据较少,训练深度学习模型效果不佳的问题。通过在损失函数中引入了指令分级加权项,可以使模型更快速地学习到电力系统业务指令之间的关系,具有异常检测精度高的特点。通过比较业务指令哈希码之间的距离进行异常检测,能够检测未知的异常业务指令。
本文档来自技高网...【技术保护点】
1.一种基于加权相似度匹配的指令级电力系统业务防护方法,其特征在于,包括以下具体步骤:
【技术特征摘要】
1.一种基于加权相似度匹配的指令级电力系统业...
【专利技术属性】
技术研发人员:汪俊洋,吴青,周康,张敏,魏博文,吴慧萍,陈果,姚武,王猛,郭姗姗,陈明德,陈高校,
申请(专利权)人:国网湖北省电力有限公司鄂州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。