【技术实现步骤摘要】
本专利技术属于变电站信息安全与检测,更具体地,涉及一种工控协议入侵检测模型防御性的提升方法与系统。
技术介绍
1、随着电力行业对网络的依赖程度不断加深,网络安全攻击对企业的正常运营构成了巨大威胁。电力系统与现代社会的生产和生活息息相关,一旦遭受网络攻击可能导致严重的社会影响和经济损失。电力行业面临各种类型的网络攻击,包括勒索软件、分布式拒绝服务(ddos)攻击、高级持续性威胁(apt)攻击、漏洞利用以及恶意软件等。特别是核电厂作为关键基础设施,一旦遭受攻击可能导致严重后果。因此,对工控协议的网络流量进行保护和安全检测变得至关重要。
2、当前,工控协议传输的报文往往采用明文形式,这为攻击者提供了机会实施身份伪装和注入攻击。此外,不同变电站之间的数据也具有隐私性,因此要在保证安全性和隐私性的前提下汇总所有变电站的流量数据非常困难。现有技术中,常见的工控防护措施主要集中在对报文格式的正确性进行检测,而在入侵检测领域,通常采用基于深度学习模型的异常检测。然而,由于单个变电站的数据量有限,因此训练出的深度学习模型参数可能不够优化。此外,在实际生产应用中,这种深度学习模型容易产生误报,并且鲁棒性较差。在现实场景中,工控系统面临多种攻击,包括对抗攻击。对抗攻击的目的是通过微小的扰动来欺骗深度学习模型,导致其输出错误。因此,电力行业需要不断改进工控系统的安全防护措施,以确保系统的稳定和可靠性。
技术实现思路
1、为解决现有技术中存在的不足,本专利技术提供一种提升工控协议入侵检测模型防御
2、本专利技术采用如下的技术方案:
3、本专利技术的第一方面提供了一种工控协议入侵检测模型防御性的提升方法,包括以下步骤:
4、步骤1,基于目标工控协议,获取变电站的流量信息原始数据集;
5、步骤2,利用工控协议入侵检测模型对流量信息原始数据集进行分类,获取分类概率分布和分类结果,基于分类概率分布计算蒸馏损失,基于分类结果计算预测结果损失,结合蒸馏损失和预测结果损失构成综合损失函数,通过综合损失函数训练替代模型;
6、步骤3,通过反向传播计算流量信息原始数据集作为输入对替代模型输出的梯度,以生成扰动噪声;将扰动噪声叠加到流量信息原始数据集以生成对抗样本;
7、步骤4,结合对抗样本与流量信息原始数据集,形成新的训练数据集,将新的训练数据集输入工控协议入侵检测模型,基于综合损失函数调整分类概率分布和分类结果,以识别对抗样本中的攻击。
8、优选地,利用工控协议入侵检测模型对流量信息原始数据集进行分类包括:
9、从流量信息原始数据集中提取协议字段特征的流量数据;协议字段特征包括来源地址、目标地址、协议类型、数据负载长度和时间戳;
10、将提取的协议字段特征的流量数据输入工控协议入侵检测模型;
11、通过工控协议入侵检测模型的softmax函数生成分类概率分布,其中分类概率分布表示协议字段特征的流量数据在分类结果中的置信度;
12、基于分类概率分布的最大置信度确定分类结果,分类结果包括正常业务流量和攻击性流量。
13、优选地,基于分类概率分布计算蒸馏损失包括:
14、获取工控协议入侵检测模型对流量信息原始数据集的分类概率分布作为参考分布;
15、获取替代模型对流量信息原始数据集的分类概率分布作为输出分布;
16、蒸馏损失由参考分布与输出分布的kl散度定义,计算公式如下:
17、
18、式中,ldis表示蒸馏损失;n表示流量信息原始数据集中的样本数量总数;c表示分类结果数;xi表示第i个输入样本;tk(xi)表示第i个输入样本在参考分布中属于第k类的概率;sk(xi)表示第i个输入样本在输出分布中属于第k类的概率。
19、优选地,基于分类结果计算预测结果损失包括:
20、获取工控协议入侵检测模型对流量信息原始数据集生成的分类结果;
21、获取替代模型对流量信息原始数据集生成的分类结果;
22、比较工控协议入侵检测模型与替代模型在分类结果上的一致性,计算分类结果偏差;
23、基于分类结果偏差定义预测结果损失,满足如下关系式:
24、
25、式中,lpred表示预测结果损失;i()表示分类结果不一致时为1,一致时为0的指示函数;cp(xi)表示工控协议入侵检测模型对第i个输入样本xi的分类结果;cs(xi)表示替代模型对第i个输入样本xi的分类结果;n表示流量信息原始数据集中的样本数量总数。
26、优选地,结合蒸馏损失和预测结果损失构成综合损失函数包括:
27、以如下关系式计算综合损失函数:
28、ltotal=α·ldis+β·lpred
29、式中,ltotal表示综合损失函数;α表示蒸馏损失的权重因子;β表示预测结果损失的权重因子;在通过综合损失函数训练替代模型的过程中,α和β基于蒸馏损失和预测结果损失的数值比例动态调整。
30、优选地,通过综合损失函数训练替代模型包括:
31、基于替代模型生成的分类概率分布和分类结果,通过优化综合损失函数对替代模型的输出进行更新;
32、以如下关系式基于梯度更新替代模型的输出:
33、
34、式中,θt表示替代模型在第t次迭代后的输出;θt+1表示替代模型在第t+1次迭代后的输出;η表示学习率;表示综合损失函数对替代模型输出的梯度。
35、优选地,通过反向传播计算流量信息原始数据集作为输入对替代模型输出的梯度,生成扰动噪声,将扰动噪声叠加到流量信息原始数据集以生成对抗样本,包括:
36、将流量信息原始数据集作为输入样本输入替代模型,获取替代模型对流量信息原始数据集的分类概率分布作为输出分布;
37、以如下式通过反向传播计算输入样本对输出分布的梯度:
38、
39、式中,表示输入样本对输出分布的梯度;表示偏导数;s(x)表示替代模型生成的输出分布;x表示输入样本;
40、基于计算得到的梯度生成扰动噪声,满足如下关系式:
41、
42、式中,δ表示生成的扰动噪声;∈表示扰动强度系数:sign(·)表示符号函数,用于确定梯度方向;
43、以如下关系式将扰动噪声叠加到输入样本上以生成对抗样本:
44、xadv=x+δ
45、式中,xadv表示生成的对抗样本。
46、本专利技术的第二方面提供了一种工控协议入侵检测模型防御性的提升系统,包括流量信息采集模块、替代模型训练模块、对抗样本生成模块以及工控协议模型优化模块;<本文档来自技高网...
【技术保护点】
1.一种工控协议入侵检测模型防御性的提升方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
3.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
4.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
5.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
6.根据权利要求1或5所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
7.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
8.一种工控协议入侵检测模型防御性的提升系统,包括流量信息采集模块、替代模型训练模块、对抗样本生成模块以及工控协议模型优化模块,其特征在于:
9.一种终端,包括处理器及存储介质;其特征在于:
10.计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。
【技术特征摘要】
1.一种工控协议入侵检测模型防御性的提升方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
3.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
4.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
5.根据权利要求1所述的一种工控协议入侵检测模型防御性的提升方法,其特征在于:
6.根据权利要求1或5所述的一种工控...
【专利技术属性】
技术研发人员:才东阳,赵凯利,白杰,邓燕山,薄瑞,张雪宁,张颖,赵国鹏,安光晨,刘健,秦浩然,侯鑫垚,季国庆,李人哲,王颖辉,
申请(专利权)人:国网冀北电力有限公司唐山供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。