CN117596011A - 基于对抗卷积神经网络的电力网流量异常检测方法及系统 - Google Patents
基于对抗卷积神经网络的电力网流量异常检测方法及系统 Download PDFInfo
- Publication number
- CN117596011A CN117596011A CN202311308649.5A CN202311308649A CN117596011A CN 117596011 A CN117596011 A CN 117596011A CN 202311308649 A CN202311308649 A CN 202311308649A CN 117596011 A CN117596011 A CN 117596011A
- Authority
- CN
- China
- Prior art keywords
- neural network
- convolutional neural
- layer
- model
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013527 convolutional neural network Methods 0.000 title claims abstract description 61
- 238000001514 detection method Methods 0.000 title claims abstract description 44
- 238000000034 method Methods 0.000 claims abstract description 46
- 239000013598 vector Substances 0.000 claims abstract description 33
- 238000012549 training Methods 0.000 claims abstract description 28
- 230000004927 fusion Effects 0.000 claims abstract description 25
- 238000004364 calculation method Methods 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- 238000010276 construction Methods 0.000 claims abstract description 14
- 238000007781 pre-processing Methods 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims abstract description 13
- 238000013528 artificial neural network Methods 0.000 claims abstract description 9
- 238000013145 classification model Methods 0.000 claims abstract description 5
- 230000006870 function Effects 0.000 claims description 25
- 238000011176 pooling Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 14
- 230000003042 antagnostic effect Effects 0.000 claims description 12
- 238000012512 characterization method Methods 0.000 claims description 9
- 238000003062 neural network model Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 9
- 230000004913 activation Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 8
- 238000000059 patterning Methods 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 5
- 230000005856 abnormality Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 239000003086 colorant Substances 0.000 claims description 3
- 238000007500 overflow downdraw method Methods 0.000 claims description 3
- 230000008485 antagonism Effects 0.000 abstract description 4
- 238000003491 array Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- PIZHFBODNLEQBL-UHFFFAOYSA-N 2,2-diethoxy-1-phenylethanone Chemical compound CCOC(OCC)C(=O)C1=CC=CC=C1 PIZHFBODNLEQBL-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000008909 emotion recognition Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/094—Adversarial learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/20—Image preprocessing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
- G06V10/44—Local feature extraction by analysis of parts of the pattern, e.g. by detecting edges, contours, loops, corners, strokes or intersections; Connectivity analysis, e.g. of connected components
- G06V10/443—Local feature extraction by analysis of parts of the pattern, e.g. by detecting edges, contours, loops, corners, strokes or intersections; Connectivity analysis, e.g. of connected components by matching or filtering
- G06V10/449—Biologically inspired filters, e.g. difference of Gaussians [DoG] or Gabor filters
- G06V10/451—Biologically inspired filters, e.g. difference of Gaussians [DoG] or Gabor filters with interaction between the filter responses, e.g. cortical complex cells
- G06V10/454—Integrating the filters into a hierarchical structure, e.g. convolutional neural networks [CNN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
- G06V10/52—Scale-space analysis, e.g. wavelet analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/764—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/77—Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
- G06V10/774—Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/77—Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
- G06V10/80—Fusion, i.e. combining data from various sources at the sensor level, preprocessing level, feature extraction level or classification level
- G06V10/806—Fusion, i.e. combining data from various sources at the sensor level, preprocessing level, feature extraction level or classification level of extracted features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Multimedia (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Life Sciences & Earth Sciences (AREA)
- Databases & Information Systems (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Biodiversity & Conservation Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及电网安全技术领域,具体涉及一种基于对抗卷积神经网络的电力网流量异常检测方法及系统。本发明公开了一种基于对抗卷积神经网络的电力网流量异常检测方法,包括:获取电力网的网络流量,利用Wireshark进行网络流量的图形化处理,接着将流量转化为图像并进行预处理;利用单步最不可能分类法对抗攻击模型在预处理的数据上增加噪声,并使用多层和多尺度的卷积神经网络结构进行模型构建和训练;提取网络流量的多尺度特征,利用权值计算进行特征融合,最后输出用于异常识别的特征向量;将特征向量输入到softmax分类模型当中进行最终的异常检测。本发明,实现了快速且准确的异常流量检测,解决了多维数据特征丢失问题。
Description
技术领域
本发明涉及电网安全技术领域,具体涉及一种基于对抗卷积神经网络的电力网流量异常检测方法及系统。
背景技术
网络流量异常检测包括:基于生成对抗网络的半监督网络流量异常检测方法,该首先将网络流量中的字符特征使用one-hot编码,对于数值特征用归一化处理,再将处理后的特征输入聚合模块中形成新特征进入生成对抗网络,最后通过计算生成对抗网络中两个隐藏向量的重构误差判断流量是否异常。还包括基于卷积时序网络的工控流量异常检测方法,该方法以流量数据为输入形成数据集,利用编码-解码架构并带有ConvLSTM层的神经网络模型获得能够利用当前窗口数据预测下一窗口数据的流量数据预测模型;利用得到的预测模型,对待检测流量数据包进行预测,得到预测数据与真实数据的距离差距,利用加权方式融合读写模型的得分分布,利用分布信息检测异常数据流量。
电力物联网的网络流量中的通信协议异构多样,导致流量检测难度较大。在现有的方法中,利用生成对抗网络的半监督网络流量异常检测方法由于提取流量的字符特征导致检测耗时较大,而利用卷积神经网络进行数据的自动特征提取针对异常检测的效果已达瓶颈,在提取多维数据的特征时还存在潜在信息丢失等缺点。
发明内容
鉴于上述存在的问题,提出了本发明。
因此,本发明解决的技术问题是:如何克服依赖于生成对抗网络的半监督检测方法由于提取字符特征而导致的长时间耗时问题,如何解决使用卷积神经网络在提取多维数据特征时的潜在信息丢失问题,如何有效地平衡了异常流量检测的准确性和检测时间开销。
为解决上述技术问题,本发明提供如下技术方案:一种基于对抗卷积神经网络的电力网流量异常检测方法,包括如下步骤:获取电力网的网络流量,利用Wireshark进行网络流量的图形化处理,接着将流量转化为图像并进行预处理;利用单步最不可能分类法对抗攻击模型在预处理的数据上增加噪声,并使用多层和多尺度的卷积神经网络结构进行模型构建和训练;提取网络流量的多尺度特征,利用权值计算进行特征融合,最后输出用于异常识别的特征向量;将特征向量输入到softmax分类模型当中进行最终的异常检测。
作为本发明所述的基于对抗卷积神经网络的电力网流量异常检测方法的一种优选方案,其中:所述图形化处理包括:
基于Wireshark网络流量的图形化将不同网络协议对应的流量分别标注不同颜色,并分别转化为图像;
将每个连续的图像划分成长度一致的多个离散的信号单位;
将图像转换成IDX格式。
作为本发明所述的基于对抗卷积神经网络的电力网流量异常检测方法的一种优选方案,其中:所述利用单步最不可能分类法对抗攻击模型在预处理的数据上增加噪声包括将单步最不可能分类法对抗攻击模型应用在已制作好的多维通信协议流;
所述单步最不可能分类法的单步L∞表示为:
其中,x为干净样本,xadv为对抗样本,xi表示干净样本的第i个像素点的数值,表示对抗样本中每个像素点的数值,n表示x中总像素点的个数;
用干净样本最不可能的分类标签作为目标标签,用来代替真实标签以最小化损失函数,使得模型向最不可能的分类标签训练分类,具体步骤如下:
输入干净样本x到公式(2),获得目标标签ytarget:
其中,hθ(·)为神经网络模型,表示括号中为最小值时对应的hθ(x)值;
用公式(3)获得对抗样本:
其中,∈为添加的对抗扰动的大小范围,sign(·)为符号函数(括号内的值大于0返回1,等于0返回0,小于0返回-1),是对x求梯度,L(·)为损失函数,θ为神经网络模型的参数。
作为本发明所述的基于对抗卷积神经网络的电力网流量异常检测方法的一种优选方案,其中:所述使用多层和多尺度的卷积神经网络结构进行模型构建和训练包括将多维通信协议流图转化为统一的表征向量,输入到输入层中;
根据输入表征向量特点,在分层卷积神经网络中通过三个卷积层和最大池化层来提取不同层所得到的卷积特征,其中,三个卷积的大小和数量分别是[7*7,8],[5*5,16]和[3*3,20],池化层大小为2*2,池化最长步长设置为2。
作为本发明所述的基于对抗卷积神经网络的电力网流量异常检测方法的一种优选方案,其中:所述使用多层和多尺度的卷积神经网络结构进行模型构建和训练还包括
通过在多个卷积层中设定不同的卷积核大小来通过不同的网络结果提取多维通信协议流图的不同的局部特征,在卷积步骤内,卷积层通过卷积计算对前一层输出的内容进行处理和进一步提取,并将计算结果输入到激活函数中以得到下一层的输入特征,表示为:
其中为第t层的第i个特征,Mi代表输入特征的选择,/>代表第t层的第i个特征与第t-1层的第j个特征所连接的权值,*代表卷积运算,/>代表第t层第i个特征的偏移量;
每一个分层的输出在进入下一层前都需要经过Relu激活函数激活,表示为:
f(s)=max(0,s) (5)
其中,s表示上一层的输入,max(﹒)为求最大值函数。
作为本发明所述的基于对抗卷积神经网络的电力网流量异常检测方法的一种优选方案,其中:所述利用权值计算进行特征融合包括将三个池化层输出的特征依次记为f1、f2和f3,基于权值融合f1、f2和f3形成f-total如公式(6)所示:
f-total=w1*f1+w2*f2+w3*f1 (6)
其中,w1、w2、w3代表不同卷积层赋予的权值;
通过特征融合方法将不同传输协议流图特征与分层卷积模型最后输出的特征进行融合,得到了最终的对模态特征向量如公式(7)所示:
其中,多传输协议流图特征定义为分层CNN模型输出的全局卷积特征定义为/>
作为本发明所述的基于对抗卷积神经网络的电力网流量异常检测方法的一种优选方案,其中:所述异常检测包括把用于异常识别的特征向量输入到一个Softmax层进行分类预测,输出预测值。
本发明的另外一个目的是提供一种基于对抗卷积神经网络的电力网流量异常检测系统,其能通过应用对抗卷积神经网络,将网络流量图形化处理并采用特定的对抗攻击模型增加噪声,使用多层和多尺度的卷积神经网络结构进行深度特征提取,使得系统能够更准确地识别电力物联网中的异常流量。
为解决上述技术问题,本发明提供如下技术方案:一种基于对抗卷积神经网络的电力网流量异常检测系统,包括网络流量获取与图形化处理模块、流量图像预处理模块、对抗噪声生成模块、卷积神经网络模型构建与训练模块、特征提取与融合模块以及异常检测模块。
所述网络流量获取与图形化处理模块用于捕获电力网的网络流量,并进行图形化处理;
所述流量图像预处理模块用于对流量图像进行预处理;
所述对抗噪声生成模块用于利用单步最不可能分类法对抗攻击模型来增加噪声,将干净样本的数据转变为对抗样本数据;
所述卷积神经网络模型构建与训练模块用于建立和训练多层和多尺度的卷积神经网络结构;
所述特征提取与融合模块用于从网络流量中提取多尺度特征,并通过权重进行特征融合,将不同的卷积层输出的特征进行权重融合,并获得一个全局特征向量。
所述异常检测模块将用于异常识别的特征向量输入到Softmax层进行分类预测,并输出预测值。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现一种基于对抗卷积神经网络的电力网流量异常检测方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现一种基于对抗卷积神经网络的电力网流量异常检测方法的步骤。
本发明的有益效果:本方法将电力网中网络流量的不同网络协议分别转化为图像,作为对抗分层卷积神经网络的输入和训练,并将单步最不可能分类法对抗攻击模型应用在已制作好的多维通信协议流图增加噪声,在卷积神经网络模型内部使用分层增量的方式,通过设置不同的卷积核的数量及大小来实现不同的分层部分,进而提取不同尺度的信号卷积特征,捕获到更多有效的潜在异常特征,最后,通过权值计算的方法进行特征融合得到全局特征,输出最后用于异常识别的特征向量,以获取多维通信协议流图更多尺度的特征,进而减弱多维数据的丢失关键特征问题。在异构通信协同的电力网中,实现了快速的异常流量检测的同时,提升了异常检测的准确性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的一种基于对抗卷积神经网络的电力网流量异常检测方法的流程图。
图2为本发明一个实施例提供的一种基于对抗卷积神经网络的电力网流量异常检测方法的分层多维特征融合卷积神经网络图。
图3为本发明一个实施例提供的一种基于对抗卷积神经网络的电力网流量异常检测系统的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1和图2,为本发明的一个实施例,提供了一种基于对抗卷积神经网络的电力网流量异常检测方法,包括:
获取电力网的网络流量,利用Wireshark进行网络流量的图形化处理,接着将流量转化为图像并进行预处理;
利用单步最不可能分类法对抗攻击模型在预处理的数据上增加噪声,并使用多层和多尺度的卷积神经网络结构进行模型构建和训练;
提取网络流量的多尺度特征,利用权值计算进行特征融合,最后输出用于异常识别的特征向量;
将特征向量输入到softmax分类模型当中进行最终的异常检测。
S1:获取电力网的网络流量,利用Wireshark进行网络流量的图形化处理,接着将流量转化为图像并进行预处理;
更进一步的,所述图形化处理包括:
基于Wireshark网络流量的图形化将不同网络协议对应的流量分别标注不同颜色,并分别转化为图像;
将每个连续的图像划分成长度一致的多个离散的信号单位;
将图像转换成IDX格式。
应当说明的是,换成IDX格式的目的是方便后续神经网络的输入和训练过程。
S2:利用单步最不可能分类法对抗攻击模型在预处理的数据上增加噪声,并使用多层和多尺度的卷积神经网络结构进行模型构建和训练;
更进一步的,所述利用单步最不可能分类法对抗攻击模型在预处理的数据上增加噪声包括将单步最不可能分类法对抗攻击模型应用在已制作好的多维通信协议流;
所述单步最不可能分类法的单步L∞表示为:
其中,x为干净样本,xadv为对抗样本,xi表示干净样本的第i个像素点的数值,表示对抗样本中每个像素点的数值,n表示x中总像素点的个数;
用干净样本最不可能的分类标签作为目标标签,用来代替真实标签以最小化损失函数,使得模型向最不可能的分类标签训练分类,具体步骤如下:
输入干净样本x到公式(2),获得目标标签ytarget:
其中,hθ(·)为神经网络模型,表示括号中为最小值时对应的hθ(x)值;
用公式(3)获得对抗样本:
其中,∈为添加的对抗扰动的大小范围,sign(·)为符号函数(括号内的值大于0返回1,等于0返回0,小于0返回-1),是对x求梯度,L(·)为损失函数,θ为神经网络模型的参数。
更进一步的,所述使用多层和多尺度的卷积神经网络结构进行模型构建和训练包括将多维通信协议流图转化为统一的表征向量,输入到输入层中;
根据输入表征向量特点,在分层卷积神经网络中通过三个卷积层和最大池化层来提取不同层所得到的卷积特征,其中,三个卷积的大小和数量分别是[7*7,8],[5*5,16]和[3*3,20],池化层大小为2*2,池化最长步长设置为2。
应当说明的是,卷积神经网络由许多神经网络层组合而成,其中卷积层和池化层通常是多组交替的。通过改变卷积层中卷积核的数量和大小,可以提取到前一层输出中特定特征。池化层可以逐渐降低数据的空间尺寸,可以减少整个神经网络中参数个数,减小计算所消耗的资源,同时也可以防止过拟合的发生。
在训练过程中,卷积神经网络先是进行正向传播,将输入到卷积层和池化层中计算,其次通过通用激活函数Softmax函数得到输出概率并通过该概率值进行预测,计算出预测值与真实值的误差大小,最后通过反向传播获取网络层的误差函数,进行权值和参数的更新。
S3:提取网络流量的多尺度特征,利用权值计算进行特征融合,最后输出用于异常识别的特征向量;
更进一步的,所述使用多层和多尺度的卷积神经网络结构进行模型构建和训练还包括通过在多个卷积层中设定不同的卷积核大小来通过不同的网络结果提取多维通信协议流图的不同的局部特征,在卷积步骤内,卷积层通过卷积计算对前一层输出的内容进行处理和进一步提取,并将计算结果输入到激活函数中以得到下一层的输入特征,表示为:
其中为第t层的第i个特征,Mi代表输入特征的选择,/>代表第t层的第i个特征与第t-1层的第j个特征所连接的权值,*代表卷积运算,/>代表第t层第i个特征的偏移量;
每一个分层的输出在进入下一层前都需要经过Relu激活函数激活,表示为:
f(s)=max(0,s) (5)
其中,s表示上一层的输入,max(﹒)为求最大值函数。
更进一步的,所述利用权值计算进行特征融合包括将三个池化层输出的特征依次记为f1、f2和f3,基于权值融合f1、f2和f3形成f-total如公式(6)所示:
f-total=w1*f1+w2*f2+w3*f1 (6)
其中,w1、w2、w3代表不同卷积层赋予的权值;
通过特征融合方法将不同传输协议流图特征与分层卷积模型最后输出的特征进行融合,得到了最终的对模态特征向量如公式(7)所示:
其中,多传输协议流图特征定义为分层CNN模型输出的全局卷积特征定义为/>
S4将特征向量输入到softmax分类模型当中进行最终的异常检测。
更进一步的,所述异常检测包括把用于异常识别的特征向量输入到一个Softmax层进行分类预测,输出预测值。
实施例2
本发明第二个实施例,其不同于前一个实施例的是:
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置)、便携式计算机盘盒(磁装置)、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编辑只读存储器(EPROM或闪速存储器)、光纤装置以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
实施例3
参照图3,为本发明的第三个实施例,该实施例提供了一种基于对抗卷积神经网络的电力网流量异常检测方法系统,包括网络流量获取与图形化处理模块、流量图像预处理模块、对抗噪声生成模块、卷积神经网络模型构建与训练模块、特征提取与融合模块以及异常检测模块。
所述网络流量获取与图形化处理模块用于捕获电力网的网络流量,并进行图形化处理;
所述流量图像预处理模块用于对流量图像进行预处理;
所述对抗噪声生成模块用于利用单步最不可能分类法对抗攻击模型来增加噪声,将干净样本的数据转变为对抗样本数据;
所述卷积神经网络模型构建与训练模块用于建立和训练多层和多尺度的卷积神经网络结构;
所述特征提取与融合模块用于从网络流量中提取多尺度特征,并通过权重进行特征融合,将不同的卷积层输出的特征进行权重融合,并获得一个全局特征向量。
所述异常检测模块将用于异常识别的特征向量输入到Softmax层进行分类预测,并输出预测值。
实施例4
本发明第四个实施例,提供了一种基于对抗卷积神经网络的电力网流量异常检测方法,为了验证本发明的有益效果,通过经济效益计算进行科学论证。
为了更全面地说明本方法的有效性,在CIC-IDS-2017数据集上对本方法进行黑盒攻击、白盒攻击和灰盒攻击测试。在黑盒攻击中,攻击者不能直接访问目标神经网络模型,只能访问该模型的输出,包括标签和置信度。在白盒攻击中,攻击者可以全部地访问目标神经网络模型的架构和参数,包括模型架构、模型权重、激活函数、完整的训练数据等等。在灰盒攻击中,攻击者能访问原始的目标模型的架构和参数,但是不知道在原始目标模型上添加了防御措施后的模型架构和参数。
同时,实验中采用不同对抗攻击方案:FGSM、R+FGSM、BIA、PGD、U-MI-FGSM、C&W2和本方案的SLLC;以及不同分类卷积神经网络:ConvLSTM和本方案的分层CNN;通过组合验证分类的准确性。
表1展示灰盒对抗攻击条件下,原始模型的分类准确率和对抗训练后模型的分类准确率,其中扰动值选择30/255。对于这7种对抗攻击包括了单步攻击、迭代攻击、目标攻击和非目标攻击,在每种攻击上应用对抗训练的防御方法后其分类准确率都得到了极大的提高,这说明在灰盒攻击条件下,本方法能够有效地减轻对抗攻击的影响,提高分类准确率。
表3-13 DEAP数据集灰盒攻击下的分类准确率(%)
表2展示了白盒对抗攻击条件下对抗训练后模型的分类准确率。实验结果充分说明了对于攻击性最强的白盒攻击,本方案的能够具有很好地对抗防御效果,减轻对抗攻击的影响,提高分类准确率。
表2白盒攻击下的分类准确率(%)
由表3可知,黑盒攻击后模型的分类准确率稍高于白盒攻击和灰盒攻击,说明了不同的网络结构可以起到缓解对抗样本威胁的作用。无论是单步对抗攻击还是迭代对抗攻击,对抗训练能够很好地提高分类准确率,减轻对抗攻击对多模态脑电信号的情感识别模型造成的负面影响。
表3黑盒攻击下的分类准确率(%)
最终结果表明,本方案在不同攻击测试下的精确度优于其他组合方法。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围。
Claims (10)
1.基于对抗卷积神经网络的电力网流量异常检测方法,其特征在于,包括:
获取电力网的网络流量,利用Wireshark进行网络流量的图形化处理,接着将流量转化为图像并进行预处理;
利用单步最不可能分类法对抗攻击模型在预处理的数据上增加噪声,并使用多层和多尺度的卷积神经网络结构进行模型构建和训练;
提取网络流量的多尺度特征,利用权值计算进行特征融合,最后输出用于异常识别的特征向量;
将特征向量输入到softmax分类模型当中进行最终的异常检测。
2.如权利要求1所述的基于对抗卷积神经网络的电力网流量异常检测方法,其特征在于:所述图形化处理包括:
基于Wireshark网络流量的图形化将不同网络协议对应的流量分别标注不同颜色,并分别转化为图像;
将每个连续的图像划分成长度一致的多个离散的信号单位;
将图像转换成IDX格式。
3.如权利要求2所述的基于对抗卷积神经网络的电力网流量异常检测方法,其特征在于:所述利用单步最不可能分类法对抗攻击模型包括将单步最不可能分类法对抗攻击模型应用在已制作好的多维通信协议流;
所述单步最不可能分类法的单步L∞表示为:
其中,x为干净样本,xadv为对抗样本,xi表示干净样本的第i个像素点的数值,表示对抗样本中每个像素点的数值,n表示x中总像素点的个数;
用干净样本最不可能的分类标签作为目标标签,用来代替真实标签以最小化损失函数,使得模型向最不可能的分类标签训练分类,具体步骤如下:
输入干净样本x到公式(2),获得目标标签ytarget:
其中,hθ为神经网络模型,表示括号中为最小值时对应的hθ(x)值;
用公式(3)获得对抗样本:
其中,∈为添加的对抗扰动的大小范围,sign为符号函数,的值大于0返回1,/>的值等于0返回0,/>的值小于0返回-1,/>是对x求梯度,L为损失函数,θ为神经网络模型的参数。
4.如权利要求3所述的基于对抗卷积神经网络的电力网流量异常检测方法,其特征在于:所述使用多层和多尺度的卷积神经网络结构进行模型构建和训练包括将多维通信协议流图转化为统一的表征向量,输入到输入层中;
根据输入表征向量特点,在分层卷积神经网络中通过三个卷积层和最大池化层来提取不同层所得到的卷积特征,其中,三个卷积的大小和数量分别是[7*7,8],[5*5,16]和[3*3,20],池化层大小为2*2,池化最长步长设置为2。
5.如权利要求4所述的基于对抗卷积神经网络的电力网流量异常检测方法,其特征在于:所述使用多层和多尺度的卷积神经网络结构进行模型构建和训练还包括
通过在多个卷积层中设定不同的卷积核大小来通过不同的网络结果提取多维通信协议流图的不同的局部特征,在卷积步骤内,卷积层通过卷积计算对前一层输出的内容进行处理和进一步提取,并将计算结果输入到激活函数中以得到下一层的输入特征,表示为:
其中为第t层的第i个特征,Mi代表输入特征的选择,/>代表第t层的第i个特征与第t-1层的第j个特征所连接的权值,*代表卷积运算,/>代表第t层第i个特征的偏移量;
每一个分层的输出在进入下一层前都需要经过Relu激活函数激活,表示为:
f(s)=max(0,s) (5)
其中,s表示上一层的输入,max为求最大值函数。
6.如权利要求5所述的基于对抗卷积神经网络的电力网流量异常检测方法,其特征在于,所述利用权值计算进行特征融合包括将三个池化层输出的特征依次记为f1、f2和f3,基于权值融合f1、f2和f3形成f-total如公式(6)所示:
f-total=w1*f1+w2*f2+w3*f1 (6)
其中,w1、w2、w3代表不同卷积层赋予的权值;
通过特征融合方法将不同传输协议流图特征与分层卷积模型最后输出的特征进行融合,得到了最终的对模态特征向量如公式(7)所示:
其中,多传输协议流图特征定义为分层CNN模型输出的全局卷积特征定义为/>
7.如权利要求6所述的基于对抗卷积神经网络的电力网流量异常检测方法,其特征在于:所述异常检测包括把用于异常识别的特征向量输入到一个Softmax层进行分类预测,输出预测值。
8.一种采用如权利要求1~7任一所述的基于对抗卷积神经网络的电力网流量异常检测方法的系统,其特征在于:包括网络流量获取与图形化处理模块、流量图像预处理模块、对抗噪声生成模块、卷积神经网络模型构建与训练模块、特征提取与融合模块以及异常检测模块;
所述网络流量获取与图形化处理模块用于捕获电力网的网络流量,并进行图形化处理;
所述流量图像预处理模块用于对流量图像进行预处理;
所述对抗噪声生成模块用于利用单步最不可能分类法对抗攻击模型来增加噪声,将干净样本的数据转变为对抗样本数据;
所述卷积神经网络模型构建与训练模块用于建立和训练多层和多尺度的卷积神经网络结构;
所述特征提取与融合模块用于从网络流量中提取多尺度特征,并通过权重进行特征融合,将不同的卷积层输出的特征进行权重融合,并获得一个全局特征向量;
所述异常检测模块将用于异常识别的特征向量输入到Softmax层进行分类预测,并输出预测值。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311308649.5A CN117596011A (zh) | 2023-10-10 | 2023-10-10 | 基于对抗卷积神经网络的电力网流量异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311308649.5A CN117596011A (zh) | 2023-10-10 | 2023-10-10 | 基于对抗卷积神经网络的电力网流量异常检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117596011A true CN117596011A (zh) | 2024-02-23 |
Family
ID=89922464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311308649.5A Pending CN117596011A (zh) | 2023-10-10 | 2023-10-10 | 基于对抗卷积神经网络的电力网流量异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117596011A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118157998A (zh) * | 2024-05-11 | 2024-06-07 | 国网江苏省电力有限公司信息通信分公司 | 电力网络流量异常检测方法、装置、设备及介质 |
| CN118200047A (zh) * | 2024-05-14 | 2024-06-14 | 南昌大学 | 一种基于图表征的网络流量异常检测方法及系统 |
-
2023
- 2023-10-10 CN CN202311308649.5A patent/CN117596011A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118157998A (zh) * | 2024-05-11 | 2024-06-07 | 国网江苏省电力有限公司信息通信分公司 | 电力网络流量异常检测方法、装置、设备及介质 |
| CN118200047A (zh) * | 2024-05-14 | 2024-06-14 | 南昌大学 | 一种基于图表征的网络流量异常检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117596011A (zh) | 基于对抗卷积神经网络的电力网流量异常检测方法及系统 | |
| CN113806746A (zh) | 基于改进cnn网络的恶意代码检测方法 | |
| CN112087442B (zh) | 基于注意力机制的时序相关网络入侵检测方法 | |
| CN110298374B (zh) | 一种基于深度学习的驾驶轨迹能耗分析方法和装置 | |
| Yu et al. | The defense of adversarial example with conditional generative adversarial networks | |
| CN112926661A (zh) | 一种增强图像分类鲁棒性的方法 | |
| Bountakas et al. | Defense strategies for adversarial machine learning: A survey | |
| Hu et al. | Automatic defect detection from X-ray scans for aluminum conductor composite core wire based on classification neutral network | |
| CN113194094B (zh) | 一种基于神经网络的异常流量检测方法 | |
| CN113269228A (zh) | 一种图网络分类模型的训练方法、装置、系统及电子设备 | |
| Heo et al. | Exploring the differences in adversarial robustness between ViT-and CNN-based models using novel metrics | |
| Husnoo et al. | Do not get fooled: defense against the one-pixel attack to protect IoT-enabled deep learning systems | |
| CN113627543A (zh) | 一种对抗攻击检测方法 | |
| Wang et al. | Attention‐guided black‐box adversarial attacks with large‐scale multiobjective evolutionary optimization | |
| Sheng et al. | Network traffic anomaly detection method based on chaotic neural network | |
| Ji et al. | STAE‐YOLO: Intelligent detection algorithm for risk management of construction machinery intrusion on transmission lines based on visual perception | |
| CN115527098A (zh) | 基于全局均值对比度空间注意力的红外小目标检测方法 | |
| Peng et al. | Evaluating deep learning for image classification in adversarial environment | |
| Cai et al. | Variational autoencoder for classification and regression for out-of-distribution detection in learning-enabled cyber-physical systems | |
| Hui et al. | FoolChecker: A platform to evaluate the robustness of images against adversarial attacks | |
| Nimma et al. | Advancements in Deep Learning Architectures for Image Recognition and Semantic Segmentation. | |
| US20230297823A1 (en) | Method and system for training a neural network for improving adversarial robustness | |
| CN114842242A (zh) | 一种基于生成模型的鲁棒对抗样本生成方法 | |
| Li et al. | Adversarial examples detection through the sensitivity in space mappings | |
| CN114120050A (zh) | 地表生态数据提取方法及装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |