[发明专利]变电站二次系统网络入侵检测方法、装置及系统

说明书

本申请涉及一种变电站二次系统网络入侵检测方法、装置及系统。所述变电站二次系统网络入侵检测方法，包括：获取待检测数据；采用入侵检测模型处理待检测数据，得到处理结果；处理结果包括重建概率；入侵检测模型为通过提取变电站二次系统的入侵检测数据集中的有效的特征子集，并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到；判断重建概率是否超出阈值，根据判断结果确认待检测数据是否为入侵数据。本申请用于解决当前基于深度学习的入侵检测算法在检测未知攻击时精度不足的问题，能对异常网络流量实行有效检测，并且可以有效提高对网络未知攻击的检测性能，以及提高对网络攻击的检测率，增强变电站二次系统的安全性。

技术领域

本申请涉及网络入侵检测技术领域，特别是涉及一种变电站二次系统网络入侵检测方法、装置及系统。

背景技术

随着大量智能变电站二次系统设备的接入，网络运行数据也将更趋于海量化、异构化、低质化的特点，智能变电站二次系统面临网络入侵的安全威胁，其本质安全受到严重影响。如何防止智能变电站二次系统受到网络攻击，提高智能变电站二次系统的本质安全系数，是目前智能变电站二次系统本质安全领域亟需解决的问题。智能变电站二次系统入侵检测方法是防止二次系统受到网络入侵的主要防范措施。随着深度学习技术在多个行业中的快速进展，深度学习模型已广泛用于入侵检测领域，为入侵检测领域提供了一个新的方向。深度学习方法集成了高级特征提取和分类任务，克服了浅层学习的一些局限性，有效促进了入侵检测方法的发展。

基于深度学习的入侵检测方法在一定程度上取得了较好的检测效果，但是仍然面临着许多问题和挑战。首先，在实际智能变电站二次系统网络环境中，不同类型的网络流量不平衡，并且网络入侵记录少于正常记录。分类器偏向于更频繁出现的记录，这降低了少数攻击的检测率。其次，由于网络流量大，结构复杂，传统的分类器算法难以达到较高的检测率。第三，各种新的攻击正频繁出现。由于许多未知攻击没有出现在训练数据集中，因此现有入侵检测方法通常在检测未知攻击方面表现不佳。

在实现过程中，发明人发现传统技术中至少存在如下问题：目前的变电站二次系统网络入侵检测方法对网络攻击的检测率较低。

发明内容

基于此，有必要针对上述技术问题，提供一种变电站二次系统网络入侵检测方法、装置及系统。

一种变电站二次系统网络入侵检测方法，包括：

获取待检测数据；

采用入侵检测模型处理待检测数据，得到处理结果；处理结果包括重建概率；入侵检测模型为通过提取变电站二次系统的入侵检测数据集中的有效的特征子集，并将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练得到；

判断重建概率是否超出阈值，根据判断结果确认待检测数据是否为入侵数据。

在其中一个实施例中，提取变电站二次系统的入侵检测数据集中的有效的特征子集的步骤，包括：

获取入侵检测数据集，并将入侵检测数据集中的各特征进行归一化，得到各归一化后的特征；

分别计算各归一化后的特征的各互信息值；

根据各互信息值，从入侵检测数据集中提取有效的特征子集。

在其中一个实施例中，将有效的特征子集输入基于自注意力机制的变分自编码器中进行训练的步骤，包括：

采用变分自编码器对有效的特征子集的各特征进行编码，生成多个中间潜在变量；

通过将自注意力机制扩展为中间潜在变量，获得最终潜变量；

采用解码器将最终潜变量进行解码，得到重构数据。

在其中一个实施例中，通过将自注意力机制扩展为中间潜在变量，获得最终潜变量的步骤，包括：