一种考虑类别不平衡的电力系统网络攻击检测方法及系统与流程

本发明涉及电力系统网络安全检测，特别是涉及一种考虑类别不平衡的电力系统网络攻击检测方法及系统。

背景技术：

1、电力系统是一个庞大复杂的控制系统，其安全性直接涉及到整个社会的供电稳定问题，而网络攻击对电力系统的供电可靠性和运行稳定性构成极大威胁，其通过夺取开关操作控制权、瘫痪业务系统、引爆逻辑炸弹、修改保护定值等方法，引发开关跳闸、保护误动或拒动、业务系统崩溃，进而造成一次设备故障、电网震荡，严重时导致整个电网瘫痪，甚至出现大面积停电事故；因此，如何有效进行电力系统网络攻击检测变得越来越重要。

2、目前电力系统网络攻击检测技术主要分为基于规则和基于机器学习的两种方法。然而，随着电力系统自动化网络规模的增大，其复杂性也随之增加，各系统之间的交互机制变得越来越复杂，基于规则的检测方法其召回率较低的问题变得更加突出，无法满足新型电力系统对于网络攻击检测高精度和高可靠性的需求。此外，在电力系统网络攻击检测面临的诸多挑战中，类别不平衡问题尤为突出，即实际业务运行场景下正常网络连接数量远远大于攻击连接数量，且忽略类别不平衡问题或处理不当，都可能导致检测器性能恶化，无法保障检测精度和可靠性。尽管基于机器学习的方法在异常网络连接识别方面具备较强的适应能力，但在类别不平衡考量上仍存在主观性、采样过拟合等诸多问题，进而影响网络攻击检测的精准性，难以真正满足电力系统安全防控的应用需求。

技术实现思路

1、本发明的目的是提供一种考虑类别不平衡的电力系统网络攻击检测方法，通过采用transformer降噪自编码器异常检测结合最小最大模块化集成攻击分类的两阶段模型对电力系统的网络攻击进行考虑类别不平衡的可靠检测，解决了现有电力系统网络攻击检测方法的应用缺陷，不仅能够有效应对电力系统网络连接的类别不平衡情况，而且能有效提高网络攻击分类识别的精准性，满足新型电力系统网络攻击检测的高精度和高可靠性需求，为电力系统的供电可靠性和运行稳定性提供可靠保障，具有较高的应用价值。

2、为了实现上述目的，有必要针对上述技术问题，提供一种考虑类别不平衡的电力系统网络攻击检测方法及系统。

3、第一方面，本发明实施例提供了一种考虑类别不平衡的电力系统网络攻击检测方法，所述方法包括以下步骤：

4、获取电力系统的待检测网络连接数据；

5、对所述待检测网络连接数据进行特征处理，得到对应的初始数据特征，并将所述初始数据特征输入预先构建的网络连接特征提取模型进行特征重构，得到重构特征向量；

6、根据所述重构特征向量，得到对应的重构误差，并根据所述重构误差和预设误差阈值，得到网络连接状态；

7、在所述网络连接状态为异常连接时，将所述重构特征向量和所述待检测网络连接数据输入预先构建的网络攻击检测模型，得到攻击分类结果。

8、进一步地，所述初始数据特征包括初始类别型特征和初始数值型特征；

9、所述对所述待检测网络连接数据进行特征处理，得到初始数据特征的步骤包括：

10、将所述待检测网络连接数据中的类别型数据和数值型数据分别进行对应的独热编码处理和归一化处理，得到对应的初始类别型特征和初始数值型特征。

11、进一步地，所述网络连接特征提取模型为基于transformer的降噪自编码器；所述降噪自编码器包括依次连接的预处理模块、编码器和解码器；所述编码器包括依次连接的全连接层和若干个transformer编码器；所述解码器包括依次连接的噪声估计器和特征重构器。

12、进一步地，所述网络连接特征提取模型的构建方法包括：

13、获取电力系统的历史网络连接数据，并对所述历史网络连接数据进行类别标注，构建网络连接数据集；所述网络连接数据集划分为训练集和测试集；

14、将所述训练集中的各个样本数据进行特征处理，得到对应的样本初始特征；

15、将所述样本初始特征输入所述预处理模块进行特征拼接和噪声注入，得对应的样本增强特征；

16、将所述样本增强特征输入所述编码器进行特征编码，得到对应的样本编码特征；

17、将所述样本编码特征输入所述解码器进行解码重构，得到对应的样本重构特征；

18、根据所述样本重构特征和预设损失函数，对所述基于transformer的降噪自编码器的模型参数进行更新训练，得到所述网络连接特征提取模型。

19、进一步地，所述预设损失函数表示为：

20、

21、其中，loc表示预测损失值；和为示性函数；和分别表示训练集中第i个样本数据对应的样本初始特征和样本重构特征；mi和分别表示预处理模块对第i个样本初始特征注入的噪声因子和噪声估计器估计得到的噪声估计结果；dis(·)和dism(·)分别表示样本特征误差函数和噪声估计误差函数。

22、进一步地，所述网络连接特征提取模型的构建方法，还包括：

23、根据所述样本重构特征，统计得到训练集重构误差，并根据所述训练集重构误差和所述网络连接特征提取模型的分类精度，得到所述预设误差阈值。

24、进一步地，所述网络攻击检测模型为基于定簇大小聚类构建的最小最大模块化集成分类器；所述最小最大模块化集成分类器包括多个catboost子分类器。

25、进一步地，所述网络攻击检测模型的构建方法包括：

26、获取电力系统的历史网络连接数据，并将攻击类别标注后的历史网络连接数据输入所述网络连接特征提取模型，得到对应的样本重构特征向量和对应的样本重构误差；

27、在根据所述样本重构误差确定对应的网络连接状态为异常连接时，根据所述样本重构特征向量和所述样本数据，得到攻击分类数据集；

28、基于多分类任务分解为二分类任务的分解原则，将所述攻击分类数据集按照攻击类别进行分解，得到对应的二分类数据集；

29、基于定簇大小聚类方法，对各个二分类数据集进行分解，得到对应的若干个类别平衡的二分类子数据集；

30、根据各个二分类子数据集训练所述catboost子分类器，并将各个catboost子分类器通过最小最大模块化集成，得到所述网络攻击检测模型。

31、进一步地，所述基于定簇大小聚类方法，对各个二分类数据集进行分解，得到对应的若干个类别平衡的二分类子数据集的步骤包括：

32、从所述二分类数据集的未分配样本中随机挑选一个样本数据作为新聚类簇中心，并将与所述聚类簇中心的距离在预设范围内的预设数目个未分配样本指派到新聚类簇中，直至所有样本得到划分，得到若干个初始聚类簇；

33、计算各个初始聚类簇的簇直径，并根据所述簇直径，得到簇直径中位数，以及获取所述簇直径大于所述簇直径中位数的初始聚类簇，得到待处理聚类簇；所述簇直径为初始聚类簇的样本间最大距离；

34、将各个待处理聚类簇按照对应的簇直径从大到小依次处理，将当前处理的待处理聚类簇中的样本数据标记为未分配，并从中随机抽取一个样本数据作为新聚类簇中心，将对应的预设数目个近邻样本数据指派到新聚类簇中，以及在所述近邻样本数据已存在对应的聚类簇时，将对应的聚类簇的所有样本数据均标记为未分配，直至所述待处理聚类簇均处理完成；

35、获取所述待处理聚类簇均处理完成后的剩余未分配样本，并将所述剩余未分配样本数据重新按照所述初始聚类簇获取步骤重新进行划分处理，直到所有样本数据得到划分，得到当前迭代划分结果；

36、计算所述当前迭代划分结果与上次迭代划分结果的jaccard系数，并判断所述jaccard系数是否大于预设系数阈值；

37、若是，则停止迭代划分，得到所述二分类子数据集；

38、若否，则根据所述当前迭代划分结果中的各个聚类簇更新所述待处理聚类簇，并根据更新后的待处理聚类簇，重新进行迭代划分。

39、第二方面，本发明实施例提供了一种考虑类别不平衡的电力系统网络攻击检测系统，所述系统包括：

40、数据获取模块，用于获取电力系统的待检测网络连接数据；

41、特征重构模块，用于对所述待检测网络连接数据进行特征处理，得到对应的初始数据特征，并将所述初始数据特征输入预先构建的网络连接特征提取模型进行特征重构，得到重构特征向量；

42、状态监测模块，用于根据所述重构特征向量，得到对应的重构误差，并根据所述重构误差和预设误差阈值，得到网络连接状态；

43、攻击分类模块，用于在所述网络连接状态为异常连接时，将所述重构特征向量和所述待检测网络连接数据输入预先构建的网络攻击检测模型，得到攻击分类结果。

44、第三方面，本发明实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

45、第四方面，本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述方法的步骤。

46、上述本技术提供了一种考虑类别不平衡的电力系统网络攻击检测方法、系统、设备及介质，通过所述方法，实现了通过对获取的电力系统的待检测网络连接数据进行特征处理，得到对应的初始数据特征后，将初始数据特征输入预先构建的网络连接特征提取模型进行特征重构，得到重构特征向量，并根据重构特征向量得到对应的重构误差，以及根据重构误差和预设误差阈值，得到网络连接状态，并在网络连接状态为异常连接时，将重构特征向量和待检测网络连接数据输入预先构建的网络攻击检测模型，得到攻击分类结果的技术方案。与现有技术相比，该考虑类别不平衡的电力系统网络攻击检测方法，不仅能够有效应对电力系统网络连接的类别不平衡情况，而且能有效提高网络攻击分类识别的精准性，满足新型电力系统网络攻击检测的高精度和高可靠性需求，为电力系统的供电可靠性和运行稳定性提供可靠保障，具有较高的应用价值。