[发明专利]基于STSA-transformer算法的新型电力系统APT攻击检测方法

说明书

本发明提出了一种基于STSA‑transformer算法的新型电力系统APT攻击检测方法及电子设备，通过STSA‑transformer算法结合一种新的归一化操作PowerNorm的步骤，记忆了网络流量的历史记录，捕获了更大范围的序列长度，降低了检测过程中的网络计算资源的开销，提升了神经网络运行的效率，对时序性数据具有较好的检测能力，增强了对新型电力系统中APT攻击检测的能力。

技术领域

本发明属于电气信息技术领域，具体涉及一种针对新型电力系统的APT攻击检测方法。

背景技术

“双碳”目标下的新型电力系统的特点包括高渗透率的可再生能源与高比例的电力电子设备，高增长的电力负荷与高比例电气化水平，新型数字、智能技术深度融合与灵活高效广泛的能源配置，开放包容安全与多系统多形态互联互动。这些特点使得新型电力系统的不确定性、开放性、复杂性增加，这给电力系统的安全稳定运行带来了新的挑战。

近年来发生多起针对电力系统的网络安全事件，攻击者大都通过发起高级可持续威胁(Advanced Persistent Threat,APT)攻击导致电力系统瘫痪，APT攻击已经成为目前电网中最重要的新型威胁，并造成了巨大损失。与其他攻击形式相比，APT具有强针对性、潜伏性、长期纠缠性等特点，其攻击过程更为隐蔽，并利用复杂的攻击手段对电力系统进行有针对性地、持续性攻击和渗透，在长时间跨度下只产生少量混杂在正常活动中的攻击行为。因此，以检测和隔离为主的传统被动防御方法通常对APT失效。新型电力系统的双高、双随机特征增加了系统的攻击面，因此比传统电网更容易遭受APT攻击。因此，提出一种新的方法来对新型电力系统的APT攻击进行检测十分重要。

发明内容

本发明的目的在于提供针对新型电力系统中存在的潜伏时间长、危害程度高、检测难度大的APT攻击，能够有效检测的一种基于STSA-transformer算法的APT攻击检测方法。和之前的相关技术进行比较，本发明的目的在于找到一种对长时间序列数据敏感的检测方法，能够捕获更大范围的APT攻击序列，从而提高APT攻击检测的效果。

为达到以上目的，本发明采取的技术方案是：

一种基于STSA-transformer算法的新型电力系统APT攻击检测方法，其特征在于，

基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征，模拟电力系统遭受的网络攻击，从信息侧的数据采集设备收集网络流量数据，并进行整理，作为下一步的输入；

将所述网络流量数据进行预处理；

提出一种软阈值化自注意力机制(STSA)，对时间序列数据之间的相关性进行捕捉，并消除部分冗余信息；

依据所述软阈值化自注意力机制，使用PowerNorm归一化的 transformer编码层对输入进行计算，最后通过softmax层将结果进行分类输出；

初始化参数，依据所述通过softmax层将结果进行分类输出搭建模型，对模型进行训练，使用梯度下降法对权值进行更新，作为下一步的输入；

用训练好的模型对新型电力系统的APT攻击进行检测，如果检测结果为正常，则流量可以进行正常操作；如果检测结果为攻击类别，则需要对系统发出警报提醒。

在上述方案的基础上，所述预处理包括离散特征数值化和特征值归一化。

在上述方案的基础上，基于新型电力系统高比例新能源、高增长负荷、高比例电力电子设备的基本特征，模拟电力系统遭受的网络攻击，从信息侧的数据采集设备收集网络流量数据，并进行整理，作为下一步的输入具体包括：

了解新型电力系统基本结构组成，分析新型电力系统基本特征；

对新型电力系统进行模拟网络攻击，在信息侧设备收集长时间范围内的网络流量数据，并按不同阶段进行划分，整理成数据集。