[发明专利]一种基于注意力机制的电网恶意流量检测方法及系统

说明书

本发明涉及一种基于注意力机制的电网恶意流量检测方法及系统，属于电网安全检测领域，该方法包括：获取KDD CUP 99数据集；对KDD CUP 99数据集进行预处理；采用ReliefF特征选择算法对预处理后的KDD CUP 99数据集中数据进行特征重要度排序，剔除特征重要度小于设定阈值的数据；构建基于门控循环单元和注意力机制的电网恶意流量检测网络；采用数据剔除后的KDD CUP 99数据集训练电网恶意流量检测网络，获得电网恶意流量检测模型；采用电网恶意流量检测模型对待检测电网的流量进行检测。本发明提高了对恶意流量识别的准确性。

技术领域

本发明涉及电网安全检测技术领域，特别是涉及一种基于注意力机制的电网恶意流量检测方法及系统。

背景技术

据过去数十年的统计结果显示，危害工业系统安全的网络攻击事件数量以及影响因素均在不断地增加。近几年影响范围较广的大型工控安全事故有Davis-Besse核电站钟大安全事故、澳大利亚Maroochy入侵事故、Flame病毒网络入侵事故等。近十年来，世界工业控制领域安全事故总量不断上升，同时有众多系统安全事故并没有被广泛关注。根据中国国家信息安全局研究所研究表明，中国每年发生工业系统网络安全事故超300起，相较于2016年以前，工业网络安全漏洞逐渐呈指数级增长趋势，而这些漏洞为不法分子提供了诸多攻击工控平台的机会。

近年来，基于深度学习的恶意流量方法成为科研人员的热门研究课题，但是利用深度学习解决入侵检测问题的最大挑战是智能电网的网络流量数据存在差异化、冗余量大等特点。因此首先要做的是提取出对智能电网流量分类贡献度大的特征，不仅如此，现有的智能电网恶意流量识别算法的准确率和误报率仍有较大的提升空间。

发明内容

本发明的目的是提供一种基于注意力机制的电网恶意流量检测方法及系统，提高了对恶意流量识别的准确性。

为实现上述目的，本发明提供了如下方案：

一种基于注意力机制的电网恶意流量检测方法，包括：

获取网络安全数据集，所述网络安全数据集为KDD CUP 99数据集；

对所述KDD CUP 99数据集进行预处理；

采用ReliefF特征选择算法对预处理后的KDD CUP 99数据集中数据进行特征重要度排序，剔除特征重要度小于设定阈值的数据，获得数据剔除后的KDD CUP 99数据集；

构建基于门控循环单元和注意力机制的电网恶意流量检测网络；

采用数据剔除后的KDD CUP 99数据集训练所述电网恶意流量检测网络，获得电网恶意流量检测模型；所述电网恶意流量检测模型的输出为流量类型，所述流量类型包括正常流量和恶意流量；

采用电网恶意流量检测模型对待检测电网的流量进行检测。

可选地，所述电网恶意流量检测网络包括依次连接的门控循环单元、LuongAttention层、全连接层和Softmax分类器。

可选地，所述对所述KDD CUP 99数据集进行预处理，具体包括：

抽取所述KDD CUP 99数据集中正常流量数据的1%，恶意流量数据的10%，获得压缩后的KDD CUP 99数据集；

对压缩后的KDD CUP 99数据集中数据依次进行标准化和归一化处理；

对归一化处理后的数据按照窗口数值为8的滑动窗口进行时序重组，获得预处理后的KDD CUP 99数据集。

可选地，所述采用数据剔除后的KDD CUP 99数据集训练所述电网恶意流量检测网络，获得电网恶意流量检测模型，具体包括：

采用数据剔除后的KDD CUP 99数据集，采用RELU函数作为激活函数，采用交叉熵损失函数作为训练网络的损失函数，采用Adam优化算法作为模型优化器，训练所述电网恶意流量检测网络，获得电网恶意流量检测模型。