[发明专利]一种智能电网中针对高级可持续性威胁的检测方法

说明书

本发明提供一种在智能电网中针对高级可持续威胁的检测方法，通过基于深度强化学习的方法，在未知攻击者的攻击间隔时，防御系统将电表数据量总数目和受损的电表数据量数目输入到神经网络，利用神经网络快速提取防御策略的特征，并决策检测时间间隔和数据恢复速率，以提高检测效率。

技术领域

本发明属于智能电网的安全技术领域，特别是涉及一种智能电网中针对高级可持续性威胁的检测方法。

背景技术

智能电网存储着大量企业及用户隐私敏感性数据，但网络日益增加的复杂性增加了其对高级持续性威胁等攻击的检测难度。高级可持续性威胁攻击具有隐蔽性，持久性等特点，因此检测尤其困难。

中国专利CN105871883A针对提出了一种基于恶意操作指令等攻击行为的高级可持续性威胁检测方案，该方案通过设置网卡模式、枚举网络通道、监控文件操作等步骤，提高了检测效率，降低了误报率和漏报率；中国专利CN104283889B提出了一种基于网络架构的检测及预警系统来抵御电力系统内部的高级持续性威胁攻击，该方案建立集用户终端、云平台管理子系统和服务器监控子系统等一体化的检测框架，实现异常日志与事件分析、漏洞挖掘与修复和反向追踪等功能，提高了电力生产系统的安全性和稳定性。然而上述检测方案采用定期检测的方式，难以适应动态复杂的电网环境。此外，最优检测间隔依赖攻击间隔，高级可持续性攻击间隔在动态复杂的电网环境中难以被预知，导致上述方案的攻击检测性能下降。

发明内容

本发明所要解决的技术问题在于，为了解决智能电网中的安全问题，针对高级可持续性威胁提供一种基于强化学习的检测方法，在未知攻击间隔时，优化设备检测时间间隔和受损数据恢复速率。

为解决所述技术问题，本发明提供一种智能电网中针对高级可持续性威胁的检测方法，其包括如下的步骤：

步骤S10，防御系统启动对所有电表数据管理服务器同步进行安全检测和数据恢复，设置相邻两次检测的时间间隔初始值，设置用于恢复检测到受损数据的归一化速率初始值，并形成检测方案集合；初始化首次检测前系统受损数据量、检测次数k和系统可接受的受损电表数据量阈值；

步骤S11，构建两个深度卷积神经网络，根据所述检测方案集合确定两个深度卷积神经网络的权重参数；

步骤S12，获得上一检测周期中预定数量的服务器共收集的电表数据，以及所检测到的受损数据量，构建一维检测向量；

步骤S13，选择预定次数的一维检测向量输入所述两个深度卷积神经网络，获得最新的时间间隔、归一化速率以及状态值函数；

步骤S14，根据所述最新时间间隔t进行下一次检测，并以所述最新的归一化速率恢复受损的电表数据，并计算效用函数；收集本次检测到的电表数据量，并构建存储最新的一维检测向量；

步骤S15，将所述最新的一维检测向量替换步骤S12中的一维检测向量，并重复所述步骤S13和步骤S14，获得最新的状态值函数，并结合所述效用函数、原状态值函数计算获得优势函数；

步骤S16，对所述优势函数进行求导，分别更新所述两个深度卷积神经网络的权重参数，当判断到本次受损数据量小于系统可接受的受损电表数据量阈值时，则将所述两个深度卷积神经网络的当前的权重参数作为最终的权重参数；否则，进入下一检测周期，流程回至步骤S12。

优选地，所述步骤S10中进一步包括：

设置相邻两次检测的时间间隔t不超过电表数据收集的时间间隔T秒，防御系统根据电表数据总量将t均匀量化为N＝3个等级，t∈[nT/N]_1≤n≤N；

设置归一化速率x∈[0,1]以恢复检测到的被高级可持续性威胁攻击的受损数据，x被均匀量化为K＝5个等级；