基于GRU-CNN的综合能源网络安全攻击检测方法

摘要

本发明提供一种基于GRU‑CNN的综合能源网络安全攻击检测方法，包含步骤：S1、按时序采集网络节点的第一至第d类工作数据，建立第一工作数据集；S2、根据GRU‑CNN网络的门控循环单元的时间步长，基于所述第一工作数据集生成训练数据集和测试数据集，为所述训练数据集设置对应的标签；S3、通过所述训练数据集训练GRU‑CNN网络，其中训练数据集作为门循环控制单元的输入，通过门循环控制单元提取训练数据集的序列特征，并将该序列特征输入GRU‑CNN网络的卷积神经网络，通过卷积神经网络根据序列特征提取对应的多维度特征，并建立多维度特征到攻击类型的映射；S4、将测试数据集输入训练好的GRU‑CNN网络，得到综合能源网络的安全攻击类型的分类结果。

说明书

技术领域

本发明涉及本发明涉及综合能源信息安全技术领域，尤其涉及一种基于GRU-CNN的综合能源网络安全攻击检测方法。

背景技术

近年来，我国光伏、风机、生物质能等新能源创新高度活跃，承担缓冲器、聚合器、稳定器作用的多类储能技术不断改进，“云大物移智链”的应用逐渐渗透。构建综合能源系统，打破传统供能单打独斗的固有模式，实现电气热多能系统的协同规划运行是大势所趋。国家电网公司以实现“清洁、科学、高效、节约、经济用能”为宗旨，为各种能源之间整合设计规划、协调运行，方便可再生能源的安全消纳，建立了较为成熟的综合能源网络。但伴随信息化和工业化的高层次深度结合合以及信息物理系统的高度集成，网络空间形式日益复杂。由于新业务模式下大量现场电力终端设备的产品特性新颖，且各终端设备间进行信息交互，因此综合能源网络信息安全是整个电力系统安全、稳定、经济运行的重要保证。而且对综合能源网络进行攻击的针对性、持续性、隐蔽性显著增强，各种威胁源相互交织，呈现出多元复杂的局势。

继等保2.0之后，信息安全战略地位愈发受到重视，当前综合能源网络主要面临的安全风险主要来自于所接入的互联网系统、智能终端、无线网络。在综合能源网络环境下，未来对工控系统病毒破坏大量智能设备部署、采用开放式通信协议网络产生担忧；同时也对综合能源网络的信息质量、时效性给予更高期待。传统的攻击检测按照检测原理和入侵属性不同，包括了根据计算机资源情况的异常检测和已知系统弱点攻击模式的误用检测。通过采用深度学习进行特征采集提取，获得攻击类别映射分类，以实现综合能源环境下高效准确的网络攻击检测，提出综合能源系统安全整改建议并实施安全整改，确保综合能源系统的生命周期安全性。

现有的综合能源网络安全攻击评估方法和系统一般采用如K-means聚类、随机森林模型等浅层学习理论，或多或少存在泛化性能不佳，只能针对特定攻击种类；数据集标签类型有限，影响模型学习效果；不能满足数据集动态增长的精度要求等问题，有必要随着信息安全与综合能源发展，提出相适应的网络攻击检测方法。

发明内容

本发明的目的在于提供一种基于GRU-CNN的综合能源网络安全攻击检测方法，能够适用于综合能源网络中各种类型的节点，并能够通过GRU-CNN网络中的门控循环单元(GRU)，从包含时间序列特性的多维度节点工作数据中提取出有效特征，通过CNN网络对所提取的有效特征进行识别、分类，精确的得到该节点的安全攻击类型。

为了达到上述目的，本发明提供一种基于GRU-CNN的综合能源网络安全攻击检测方法，包含步骤：

S1、选取综合能源网络的节点，按时序采集该节点的第一至第d类工作数据，建立第一工作数据集E＝{e

S2、根据GRU-CNN网络的门控循环单元的时间步长，基于所述第一工作数据集E生成训练数据集和测试数据集；为所述训练数据集设置对应的标签，通过所述标签表示综合能源网络的安全攻击类型；

S3、通过所述训练数据集训练GRU-CNN网络；其中训练数据集作为门控循环单元的输入，通过门控循环单元提取训练数据集的有效特征，将所述有效特征输入GRU-CNN网络的卷积神经网络，对所述卷积神经网络进行训练；所述卷积神经网络用于判断综合能源网络的安全攻击类型；

S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络，得到综合能源网络的安全攻击类型的分类结果。

优选的，步骤S1所述预处理第一工作数据集E，包含：

当第p类工作数据为离散型数据，对{e′

当第p类工作数据为连续型数据，对{e′

优选的，步骤S2中生成训练数据集和测试数据集的方法包含：

令训练数据X

优选的，所述步骤S3中包含：

S31、令门控循环单元的隐藏单元个数为h，令当前时间步为时间步t；X

R

Z

其中，时间步0的隐藏状态H

S32、计算门控循环单元在时间步t的候选隐藏状态H

H

其中⊙表示做元素乘法，tanh为激活函数，W

S33、计算时间步t的隐藏状态H

H

S34、重复步骤S31至S34，当t≡0modT，门控循环单元在该时间步t的隐藏状态H

优选的，所述卷积神经网络包含依序连接的第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和丢弃层；其中，第一、第二卷积层的卷积核大小均为2×2，卷积步长均为1；第一、第二卷积层的卷积深度分别为10、20；所述全连接层采用Softmax函数，丢弃层的随机失活率为0.5；卷积神经网络采用Adam梯度下降算法，其优化学习率为1e-5。

优选的，所述节点为综合能源网络中的用电设备，所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。

优选的，所述节点为综合能源网络中的网络节点，所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。

与现有技术相比，本发明的有益效果在于：

1)通过将GRU与深度学习算法相结合，有效提高综合能源网络安全攻击检测精度，便于安全技术人员针对性配置安全策略，提高综合能源系统在风险分析过程中的效率，确保多种能源在源-输-储-荷各环节稳定运行，对综合能源系统整体的信息安全性具有重要意义；

2)本发明解决了传统人工提取综合能源网络征特数据的过程中，易于丢失信息的问题，不仅节省了大量的工作时间，同时还可以从基于时间序列的工作数据中挖掘与各种攻击类型相关的隐藏特征，大大提高了综合能源网络安全攻击的检测准确度；

3)本发明能够适用于从节点采集的离散和连续型的工作数据，不受节点类型限制。

附图说明

为了更清楚地说明本发明技术方案，下面将对描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图：

图1为本发明的综合能源网络安全攻击检测方法的流程图；

图2为本发明中才用的GRU-CNN网络结构示意图；

图3为本发明的CNN网络结构示意图。

图4为本发明实施例二中的综合能源网络结构示意图。

图5为实施例二的虚假数据注入攻击中，网络攻击安全检测准确率与攻击强度、虚假数据概率密度的关系示意图。

图中：1、第一卷积层；2、第一池化层；3、第二卷积层；4、第二池化层；5、全连接层；6、丢弃层。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明是基于GRU-CNN网络实现的，所述GRU-CNN网络包含门控循环单元(GRU)和卷积神经网络(Convolutional Neural Networks CNN)。门控循环单元(GRU)作为循环神经网络的变体之一，它通过可以学习的门(重置门、更新门)来控制信息流动，更好地捕捉依时间序列采集的数据中，时间步距离较大的数据之间的依赖关系，且不同于长短期记忆网络的是，GRU具有更为合理的结构，具有更好的收敛性，目前主要用于自然语言处理。GRU优化了循环神经网络中隐藏状态的计算方式，其中重置门可以用来丢弃与预测无关的历史信息，更新门可以控制隐藏状态如何被候选隐藏状态所更新。本发明在综合能源系统的节点依时序采集各类工作数据，并通过GRU提取所述各类工作数据的特征，得到工作特征数据，并通过卷积神经网络(CNN)对提取的工作特征数据进行分类，判断综合能源网络的安全攻击类型。

本发明提供一种基于GRU-CNN的综合能源网络安全攻击检测方法，如图1所示，包含步骤：

S1、选取综合能源网络的节点，按时序采集该节点的第一至第d类工作数据，建立第一工作数据集E＝{e

当第p类工作数据为离散型数据，对{e′

当第p类工作数据为连续型数据，对{e′

在本发明的一个实施例中，所述节点为综合能源网络中的用电设备，所述第一至第d类工作数据包含该节点的电压幅值、相角、节点注入功率和支路功率。

在本发明的另一个实施例中，所述节点为综合能源网络中的网络节点，所述第一至第d类工作数据包含该网络节点的协议类型、网络服务类型、连接状态、登录状态、超级用户权限。

S2、根据GRU-CNN网络的门控循环单元的时间步长n(在本发明的实施例中n＝256)，基于所述第一工作数据集E生成训练数据集和测试数据集；为所述训练数据集设置对应的标签，通过所述标签表示综合能源网络的安全攻击类型；

生成训练数据集和测试数据集的具体方法为：

令训练数据X

S3、通过所述训练数据集训练GRU-CNN网络；其中训练数据集作为所述门控循环单元的输入，通过门控循环单元提取训练数据集的有效特征，将所述有效特征输入GRU-CNN网络的卷积神经网络，对所述卷积神经网络进行训练；所述卷积神经网络用于判断综合能源网络的安全攻击类型；

步骤S3中具体包含：

S31、令门控循环单元的隐藏单元个数为h，令当前时间步为时间步t，时间步t-1为时间步t的上一时间步，t∈[1,L]；X

R

Z

其中，时间步0的隐藏状态H

S32、计算门控循环单元在时间步t的候选隐藏状态H

H

其中⊙表示做元素乘法，tanh为激活函数，W

S33、计算时间步t的隐藏状态H

H

S34、重复步骤S31至S34，当t≡0modT，门控循环单元在该时间步t的隐藏状态H

图2中示出了对GRU-CNN网络的一次完整训练过程。门控循环单元通过训练数据X

如图2、图3所示，所述卷积神经网络包含依序连接的第一卷积层1、第一池化层2、第二卷积层3、第二池化层4、全连接层5和丢弃层6。GRU的输出H

如图3所示，输入第一卷积层1的单通道数据样本的高和宽均为7，可以看到，单通道数据样本输入的高和宽从第一卷积层1至第二池化层4逐层减小。

为解决CNN费时及容易过拟合的问题，本发明通过在全连接层5之后加入丢弃层6以削弱CNN网络神经元节点间的联合适应性。在训练卷积神经网络的阶段，随机选取丢弃层6的若干元素，将所选元素的权值设为0，实现将该元素从网络中丢弃，增强泛化能力。全连接层5、丢弃层6的输出数据个数分别为128和5，也呈逐层减少。

S4、将所述测试数据集输入步骤3中训练好的GRU-CNN网络，得到综合能源网络的安全攻击类型的分类结果。

实施例一

本实施例中通过选取KDDCup99数据集的10％作为所述第一工作数据集E。KDDCup99的原始数据来自于1998年的DARPA入侵检测评估项目，所有的网络数据来自于一个模拟的美国空军局域网，网络中加了很多模拟的攻击。KDDCup99数据集被广泛用于检测评估，作为入侵检测的行业基准，

KDDCup99数据集中包含了若干个网络连接，每个网络连接包含从一段时间内的数据包序列中提取的若干个特征。每个网络连接被标记为正常(normal)或异常(attack)，异常类型被细分为四大标志类型(共包含39种攻击类型)。所述四大类为拒绝服务攻击(DoS)、远程主机未授权访问(R2L)、未授权的本地超级用户特权访问(U2R)和端口扫描(Probing)。

为验证本发明的检测方法的有效性和泛化性，本发明的训练集中出现22种已知攻击方式，测试集包含17种未知攻击方式。

表1、数据集样本分布

KDDCup99数据集中每个网络连接由41特征描述，其中包括了9种离散类型，分别是：协议类型protocol_type、网络服务类型service、连接状态flag、连接主机/端口是否相同land、登录是否成功logged_in、超级用户权限root_shell、su_attempted、is_hot_login、is_guest_login。以下为KDDCup99数据集中的一个网络连接。

0,tcp,smtp,SF,787,329,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,76,117,0.49,0.08,0.01,0.02,0.00,0.00,0.00,0.00,normal。

前41个数据表示网络连接的41个特征(此为现有技术，在此不做具体描述)，网络连接中的normal表示未遭受攻击。为方便数据处理，本发明将各离散状态字符用数值型替代，如网络连接中的第二个特征表示三种协议类型(TCP，UDP，ICMP)，即可用数字0、1、2替代。对于上述网络连接，可用0代替其中的“tcp”。

每个网络连接相当于所述第一工作数据集E中的一条工作数据e

在另一个实施例中，网络连接中的41个特征被扩展为136个特征(关于特征扩展为现有技术，此处不做具体描述)。一个特征对应一类工作数据，则第一工作数据集E中包含了第一至第136类工作数据。

本实施例中将从准确率(AC)、召回率(REC)和误报率(FAR)三个方向评价本发明的综合能源网络安全攻击检测算法分类结果的正确率。定义如下变量：真正例TP表示检测出正常标签normal，真反例TN表示检测出具体异常标签，伪正例FP和伪反例FN分别表示错误检测正常与异常样本，计算公式为：

表2为本发明的基于GRU-CNN的综合能源网络安全攻击检测方法，与传统的基于GRU网络、CNN网络、SVM网络、DT网络、ANN网络、ELM网络的检测方法的对比结果。本发明在准确率和误报率方面显著高于其它方法，具有相当的优越性。

表2、实验结果对比

实施例二。

为了应对分布式发电、新能源汽车等接入综合能源网络，本实施例中的综合能源网络在IEEE33标准节点系统的基础上做出修改，通过对综合能源网络所选节点模拟虚假数据注入攻击(false data injection attacks,FDIAs)，检测本发明的适用性。

虚假数据注入攻击(false data injection attack FDIA)作为新兴攻击，一般指攻击者根据电力系统拓扑图，操纵量测装置，通过注入恶意数据篡改量测装置的测量结果，并使得电力系统传统的坏数据检测算法检测不出这些恶意数据，致使电力系统进行错误状态估计的攻击方式。

本实施例中的综合能源网络模型如图4所示，包含与调度中心连接的33个节点，分别记为节点1至节点33。其中在节点6引入光伏电源PV，节点18处引入微型燃气轮机MT，节点22引入电动汽车EV，节点33处引入风力发电机WT。

以节点22为例，向节点22注入的恶意数据为向量a＝[a

||r

r

||r

其中，τ表示最大标准化残差阈值。此时表示对节点22的虚假数据注入攻击成功，且通过传统的方法很难检测到。

通过本发明的方法能够有效地检测出注入成功的虚假数据。更进一步地，本发明还根据攻击者可能采取攻击强度的强弱进行了多组对比试验，试验结果证明，综合能源网络安全攻击检测准确率主要受到攻击强度A和虚假数据概率密度分布P的影响。

攻击强度用方差σ

本发明的实施例一中，通过KDDCup99数据集，验证了本发明的检测方法在检测四大信息网络攻击类型的可靠性，因此本发明能够应用于综合能源网络中的信息网络；本发明的实施例二中，采集接入分布式电源和电动汽车的假数据注入攻击节点测试系统信号，验证了本发明的检测方法在综合能源网络的电力系统的适用性。

本发明得检测方法不仅可以提高电网在网络攻击检测过程中的效率，而且能够提取出时间序列特性和多维度特性作为表征，有效提升了攻击检测准确率，便于电网企业安全技术人员针对性配置安全策略，提高综合能源系统在风险分析过程中的效率，确保多种能源在源-输-储-荷各环节稳定运行。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。