[发明专利]一种电力系统复杂多步攻击检测方法及系统

权利要求书

1.一种电力系统复杂多步攻击检测方法，其特征在于，包括：

采集网络实体交互行为数据；

对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据；

将输入数据输入复杂多步攻击检测模块，获得攻击检测结果；

其中，对网络实体交互行为数据进行基于异质图的数据预处理，包括：

从网络实体交互行为数据中抽取信息构造节点和边，包括以网络实体交互行为数据中的用户、主机、文件、网站作为节点，节点间连接关系作为边建立异质图；

首先定义异质图概念，将源IP地址作为源节点，目的IP地址作为目的节点，源节点和目的节点的连接关系作为边；因此，元关系由源节点，边，目的节点的三元组表示；其中源节点、目的节点和边均包含多种类型；为体现动态特性，为每个三元组分配事件发生时刻的时间戳，形成源节点，边，目的节点，时间戳的四元组表示；具体包含以下内容：

从网络实体交互行为数据中抽取信息构造节点类型和边类型；其中，节点类型包括用户、主机、文件和网站；边类型包括用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件、用户访问网站；

从网络实体交互行为数据中抽取信息构造节点特征和边特征；用户节点特征包括用户名、用户所在组、用户邮箱；主机节点特征包括主机设备ID、主机设备型号、主机所在区域、主机U盘使用次数；文件节点特征包括文件创建时间、文件修改时间、文件类型、文件名称；用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件、身份验证类型；

最终输入数据是目的节点及其相邻的源节点的时间戳信息，形式为源节点ID，目标节点ID，源节点类型，目的节点类型，源节点特征，目的节点特征，边类型，边特征，时间戳；

将异质图中的目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示；

将网络行为日志中的目的IP地址作为目的节点，源IP地址作为源节点，目的节点的时间戳信息分别与其相连的源节点的时间戳信息相减获得时间差序列；对于源节点src及其对应的时间戳ts和目的节点dst及其对应的时间戳td，分别用T(src@ts)和T(dst@td)表示；计算相对时间间隔ΔT(dst@ts, src@td) = T(dst@ts) - T(src@td)，用时间差序列ΔT表示；

将时间差序列输入Time2Vec层获得嵌入向量形式的时间表示；将ΔT输入Time2Vec层获得源节点和目的节点在此时刻的第一时间嵌入表示，将嵌入向量输入线性层进行线性映射，将其映射回原来的维度，作为目的节点的时间特征，即第一时间嵌入表示；

将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层；Heteformer是一种处理异质图的深度学习模型，Heteformer层的作用是将异质图中的异质节点和异质边所包含的语义信息抽取出来，为每个节点形成节点嵌入表示，为下游任务提供输入；Heteformer层具体计算过程包括根据不同节点类型和边类型分配不同的权重，利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息，聚合邻居信息以获得作为输入数据的第二节点嵌入表示。

2.根据权利要求1所述的电力系统复杂多步攻击检测方法，其特征在于，所述采集网络实体交互行为数据，包括：采集系统日志和网络行为日志，将IP地址和主机MAC地址绑定，记录主机与主机间的操作记录以及主机的网络行为；收集网络连接关系和系统内部工作人员信息，将主机和员工信息绑定，记录员工与主机间的操作记录以及员工的上网行为记录。