【技术实现步骤摘要】
本专利技术涉及电力软件异常检测领域,具体为一种基于transformer架构的电力攻击威胁检测与溯源方法及系统。
技术介绍
1、随着信息技术的快速发展,电力系统作为现代社会的重要基础设施,其稳定和安全运行对经济和民生具有至关重要的作用,然而,电力系统也日益成为网络攻击的目标,面临着越来越多的安全威胁,包括零日攻击、内部威胁、数据泄露等,这些威胁直接影响了电力系统的可靠性和安全性,特别是电力系统中的威胁行为涉及的传感器数据多样且复杂,时序数据的高维度、关联性和复杂性为威胁检测与溯源带来了巨大挑战,传统的安全防护方法主要基于预设规则来检测恶意行为,这种方法依赖于专业知识和对攻击行为的深入理解,但规则的静态定义使得其在灵活性、应对未知攻击方面存在明显不足,此外,传统的基于规则的检测系统往往难以捕捉威胁行为中的非线性关系和时序关联性,无法对时序数据进行有效地连续建模,因而在关键特征提取方面受到限制。
2、中国专利,公开号:cn 115081520 a,公开日:2022年9月20日,公开了一种数据中心电力攻击检测方法及系统,该专利技术通过基于强化学习的gan模型,结合生成器拟合样本的能力和判别器的判断能力,生成模拟时序数据,然后使用gbdt模型进行电力攻击检测,在实际应用中,该专利技术在服务器端运行电力管控模块,在其他机器运行客户端程序,以收集客户端数据,在数据中心运行gbdt检测模型,并赋予电力管控模块电源管理的权力,出现电力攻击事件时,减少新增功耗,缓解电力攻击的压力,该专利技术可以通过生成器生成模拟时序数据,解决电力数据
技术实现思路
1、本专利技术的目的是针对现有技术无法对时序数据进行连续建模以有效捕捉威胁行为中的非线性关系和时序关联性以及未将电力系统受到电力威胁行为与已知电力威胁行为特征进行相似性对比,从而无法使电力系统能够迅速而可靠地追溯电力系统中的攻击来源的问题,设计了基于transformer架构的电力攻击威胁检测与溯源方法及系统,首先通过获取电力软件中的ioc数据,然后利用transformer编码模型将这些数据转化为向量表示,并提取特征,这些特征随后与数据库中的电力软件流量特征进行对比,以确定当前威胁流量的家族归属,整体而言,本专利技术通过结合深度学习技术与电力系统安全需求,提供了一种高效、准确的威胁检测与溯源解决方案,克服了现有技术无法对时序数据进行连续建模以有效捕捉威胁行为中的非线性关系和时序关联性以及未将电力系统受到电力威胁行为与已知电力威胁行为特征进行相似性对比,从而无法使电力系统能够迅速而可靠地追溯电力系统中的攻击来源的问题。
2、为解决上述技术问题,根据本专利技术实施例的第一方面,提供了一种基于transformer架构的电力攻击威胁检测与溯源方法,包括以下步骤:
3、s1、获取电力软件中的ioc数据;
4、s2、基于transformer编码模型将所述ioc数据转化为向量表示,并提取ioc特征;
5、s3、将所述ioc特征与数据库中电力软件流量特征进行相似性对比,根据对比结果判断当前威胁流量所属家族。
6、本方案中,提供了一种基于transformer架构的电力攻击威胁检测与溯源方法,通过提取电力软件的ioc数据并将其转化为向量表示,有效地利用transformer编码模型的自注意力机制捕获和理解数据的复杂模式和隐藏的依赖关系,以此提高威胁检测的效率和准确性,同时,通过将提取的特征与数据库中的恶意软件流量特征进行相似性对比,实现对威胁的溯源,了解攻击的来源和模式,从而有助于针对性地加强防御措施,提前预防可能的攻击,进一步增强系统的防御能力。
7、作为优选,s1包括如下子步骤:
8、s11、对电力软件进行分析,生成沙箱分析报告,所述沙箱分析报告包括恶意软件功能、目标以及传播方式、恶意软件相关威胁情报;
9、s12、对所述沙箱分析报告进行初次筛选,得到筛选后的分析报告;
10、s13、基于正则表达式进行匹配,从所述筛选后的沙箱分析报告中提取ioc数据。通过对电力恶意软件进行分析,并生成包含恶意软件功能、目标、传播方式以及相关威胁情报的沙箱分析报告,以更全面、深入地理解恶意软件的行为和特性,然后,通过初次筛选得到更准确的分析报告,最后,由于恶意软件的特征和行为可能会被编码在复杂的文本中,而使用正则表达式可以快速、准确地找到和提取这些关键信息,此外,正则表达式的灵活性和通用性也使其能够应对各种不同的文本模式和结构,从而提高了ioc数据提取的效率准确率。
11、作为优选,s2包括如下子步骤:
12、s21、将ioc数据转化为向量表示,并将每个输入数据点映射为一个向量作为输入向量;
13、s22、向所述输入向量添加特定模式编码;
14、s23、提取ioc特征。通过将ioc数据转化为向量表示并映射,将复杂的ioc数据转化为简单的数学形式,从而便于后续的计算和处理,然后添加特定模式编码,以增强模型对数据的识别和理解能力,最后,使用transformer编码模型提取ioc特征,得到关于电力攻击威胁的关键信息,实现有效的ioc数据处理与ioc特征提取。
15、作为优选,s3包括如下子步骤:
16、s31、对处理后的流量序列s,s∈rt×f进行编码,得到编码后的特征表示e,e∈et×d,其中,r为实数集合,t为序列长度,f为每个时间步的特征数,d为编码后特征维度;
17、s32、将所述ioc特征与数据库中电力软件流量特征进行相似性对比,根据相似性得分,判断当前威胁流量是否与已知恶意软件相似,以判断所属家族。首先,通过将处理后的流量序列进行编码,得到编码后的特征表示,使得复杂的流量序列信息转化为机器可理解的形式,然后,将提取的特征与数据库中存储的已知恶意软件特征进行比对,通过计算余弦相似度得分,余弦相似度得分值越接近1,表示两个向量越相似;值越接近-1,表示两个向量越不相似,因此,通过计算余弦相似度,可以得到一个量化的、直观的度量,来判断当前威胁流量是否与已知的恶意软件相似,这样,就可以更准确地判断威胁的可能来源,从而进行更有效的威胁检测和溯源。
18、作为优选,还包括基于神经网络模型对ioc特征进行分类,包括如下步骤:
19、a1、接收所述transformer编码模型提取的ioc特征;
20、a2、采用全连接层进行线性组合和非线性变换,设全连接层的权重矩阵为wh,偏置为bh,激活函数为fh,隐藏层输出h为h=fh(x·wh+bh)其中,x为全连接层的输入数据;
21、a3、利用卷积核提取局部特征并进行特征本文档来自技高网...
【技术保护点】
1.一种基于Transformer架构的电力攻击威胁检测与溯源方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于Transformer架构的电力攻击威胁检测与溯源方法,其特征在于,S1包括如下子步骤:
3.根据权利要求1所述的基于Transformer架构的电力攻击威胁检测与溯源方法,其特征在于,S2包括如下子步骤:
4.根据权利要求1所述的基于Transformer架构的电力攻击威胁检测与溯源方法,其特征在于,S3包括如下子步骤:
5.根据权利要求1所述的基于Transformer架构的电力攻击威胁检测与溯源方法,其特征在于,还包括基于神经网络模型对IOC特征进行分类,包括如下步骤:
6.根据权利要求5所述的基于Transformer架构的电力攻击威胁检测与溯源方法,其特征在于,所述神经网络模型为预训练模型,训练过程为:
7.一种基于Transformer架构的电力攻击威胁检测与溯源系统,适用于如权利要求1-6任一项所述的一种基于Transformer架构的电力攻击威胁检测与溯源方法,其特征在于
8.根据权利要求7所述的基于Transformer架构的电力攻击威胁检测与溯源系统,其特征在于,所述Transformer编码模型还包括:
9.根据权利要求7所述的基于Transformer架构的电力攻击威胁检测与溯源系统,其特征在于,所述电力威胁溯源模块还包括:
10.根据权利要求7所述的基于Transformer架构的电力攻击威胁检测与溯源系统,其特征在于,还包括基于神经网络模型的电力威胁情报分类器,包括:
...【技术特征摘要】
1.一种基于transformer架构的电力攻击威胁检测与溯源方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于transformer架构的电力攻击威胁检测与溯源方法,其特征在于,s1包括如下子步骤:
3.根据权利要求1所述的基于transformer架构的电力攻击威胁检测与溯源方法,其特征在于,s2包括如下子步骤:
4.根据权利要求1所述的基于transformer架构的电力攻击威胁检测与溯源方法,其特征在于,s3包括如下子步骤:
5.根据权利要求1所述的基于transformer架构的电力攻击威胁检测与溯源方法,其特征在于,还包括基于神经网络模型对ioc特征进行分类,包括如下步骤:
6.根据权利要求5所述的基于transformer架构的电力攻...
【专利技术属性】
技术研发人员:韩保礼,袁誉峰,张磊,张晓峰,钟少君,朱光耀,宋慧博,胡利辉,钱一宏,赵峰,王雪颖,汤叶峰,楼新恒,王欢祥,汤东亮,
申请(专利权)人:国网浙江省电力有限公司绍兴供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。