[发明专利]变电站二次系统网络入侵检测方法、装置及系统

权利要求书

1.一种变电站二次系统网络入侵检测方法，其特征在于，包括：

获取待检测数据；

采用入侵检测模型处理所述待检测数据，得到处理结果；所述处理结果包括重建概率；所述入侵检测模型为通过提取变电站二次系统的入侵检测数据集中的有效的特征子集，并将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到；

判断所述重建概率是否超出阈值，根据判断结果确认所述待检测数据是否为入侵数据。

2.根据权利要求1所述的变电站二次系统网络入侵检测方法，其特征在于，所述提取变电站二次系统的入侵检测数据集中的有效的特征子集的步骤，包括：

获取所述入侵检测数据集，并将所述入侵检测数据集中的各特征进行归一化，得到各所述归一化后的特征；

分别计算所述各所述归一化后的特征的各互信息值；

根据各所述互信息值，从所述入侵检测数据集中提取所述有效的特征子集。

3.根据权利要求1所述的变电站二次系统网络入侵检测方法，其特征在于，所述将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤，包括：

采用所述变分自编码器对所述有效的特征子集的各所述特征进行编码，生成多个中间潜在变量；

通过将所述自注意力机制扩展为所述中间潜在变量，获得最终潜变量；

采用解码器将所述最终潜变量进行解码，得到重构数据。

4.根据权利要求3所述的变电站二次系统网络入侵检测方法，其特征在于，所述通过将所述自注意力机制扩展为所述中间潜在变量，获得最终潜变量的步骤，包括：

计算查询向量和各所述中间潜在变量的各余弦相似度；

分别将各所述余弦相似度的相似度得分转化为各对齐权重系数；

通过对各所述对齐权重系数进行加权求和，得到所述最终潜变量。

5.根据权利要求3所述的变电站二次系统网络入侵检测方法，其特征在于，所述将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤，还包括：

通过分类潜变量、后验概率、先验概率、似然概率以及所述最终潜变量，构建目标函数。

6.根据权利要求5所述的变电站二次系统网络入侵检测方法，其特征在于，所述将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤，还包括：

根据所述先验概率采样若干次的平均重构误差，得到重建概率。

7.根据权利要求1所述的变电站二次系统网络入侵检测方法，其特征在于，所述判断所述重建概率是否超出阈值，根据判断结果确认所述待检测数据是否为入侵数据的步骤，包括：

若所述判断结果为所述重建概率超出阈值，则确认所述待检测数据为入侵数据；

若所述判断结果为所述重建概率未超出阈值，则确认所述待检测数据为正常数据。

8.一种变电站二次系统网络入侵检测装置，其特征在于，包括：

数据获取模块，用于获取待检测数据；

数据处理模块，用于采用入侵检测模型处理所述待检测数据，得到处理结果；所述处理结果包括重建概率；所述入侵检测模型通过提取变电站二次系统的入侵检测数据集中的有效的特征子集，并将所述有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到；

判断模块，用于判断所述重建概率是否超出阈值，根据判断结果确认所述待检测数据是否为入侵数据。