一种配电物联网威胁狩猎方法与流程

1.本发明涉及网络安全技术领域，特别涉及一种配电物联网威胁狩猎方法。


背景技术：

2.在传统的安全监视方法中，以防火墙、ids/ips和安全隔离装置等技术搭建的安全体系已不足以作为安全防线，基于安全设备触发的警报在执行紧急防御措施过于被动且不能提前保护数据资产的安全，一旦数据泄露或遭受攻击将造成难以估量的损失。因此，以数据驱动、主动防御为主要思想的威胁狩猎方法应运而生。威胁狩猎指的是主动持续地在网络空间中搜索可以绕开安全检测或产生危害的威胁的过程。基于深度学习等人工智能算法进行网络空间威胁狩猎可有效提高威胁检测效率，帮助安全人员及时发现网络中的威胁以采取相应措施。


技术实现要素：

3.本发明为了解决电力企业数据资产安全问题，结合量子并行性，提出了一种基于改进量子萤火虫算法优化bigru-attention网络（improved quantum firefly algorithm to optimize bigru-attention networks, iqf-bigrua）的配电物联网威胁狩猎方法。首先运用自编码网络对多源数据进行特征提取，然后采用改进的量子萤火虫算法对bigru-attention网络参数进行自适应调节，避免参数选择的随机性，同时注意力机制的引入增强了关键特征的表达，可大大提高模型的预测精度，从而帮助安全运维人员及时发现网络中存在的威胁，采取相应的补救措施，保护电力系统的数据安全。
4.本发明的目的在于，针对传统的边界安全防御机制难以及时有效的检测到电网空间中威胁的问题，提出一种基于iqf-bigrua的配电物联网威胁狩猎方法。该方法可以帮助安全运维人员快速、准确的检测出网络中的威胁，保护电力企业数据资产的安全。
5.本发明考虑到数据集维度过高可能影响门控循环单元的预测性能，因此通过自编码器进行特征提取和降维，同时在双向循环神经网络的基础上，采用改进的量子萤火虫算法对网络参数进行优化，引入注意力机制强化关键特征的表达，实现配电物联网威胁的准确检测。
6.为实现上述目的，本发明包括如下步骤：步骤1，采集电力系统中终端设备和网络的历史安全数据和当前状态数据，包括日志数据、网络流量、内存数据、注册表信息、网络连接等信息。
7.步骤2，数据预处理，对数据进行清洗、去重、归一化等处理形成数据矩阵。
8.步骤3，对步骤2得到的数据通过自编码网络进行特征提取，并将提取到的数据划分为训练集和测试集。
9.步骤4，构建bigru-attention网络，结合注意力机制对特征向量进行特征权重分配，捕获特征之间关系。
10.步骤5，利用改进的量子萤火虫优化算法搜寻bigru-attention网络的最优参数，
以提高网络威胁的预测性能，包括学习率、丢弃率和每层的神经元个数。
11.步骤6，将训练集作为改进的量子萤火虫算法优化bigru-attention网络的输入，对模型进行训练，直到获得较小的训练误差，得到训练好的模型，测试集验证模型效果。
12.步骤7，根据输出结果，判断当前系统是否存在威胁。若存在，系统给出相应提示；若没有，结束检测。
13.所述的通过自编码网络进行特征提取的步骤为：步骤3.1：设自编码网络总层数为，其中编码器层数为,解码器层数为；步骤3.2：输入数据表示为向量y=[y1, y2,
ꢀ…
,ym]，其编码过程表达式为；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（1）
ꢀꢀꢀꢀꢀꢀꢀ
（2）式中，为编码器的输入，为编码器各层的输出，、为编码器第u层的权值与偏置，为编码器第u层的激活函数；步骤3.3：解码器第一层的输入是编码器最后一层的输出，其解码过程表达式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（3）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（4）式中，为解码器各层的输出，、为解码器第v层的权值与偏置，为解码器第v层的激活函数；步骤3.4：经过训练，通过损失函数最小化不断调整寻优，使得数据接近原始数据，从而提取出深层的时序特征。
[0014]
所述的bigru-attention网络结构满足：单向gru模型只能从先前的序列中提取信息，忽略了后向时间序列中有价值的信息。在配电物联网威胁狩猎预测中，由于设备和网络历史安全数据和当前时刻状态可能共同发挥作用，所以本发明采用双向gru搭建网络。同时，各安全数据特征对预测结果的影响程度不同，比如访问者ip地址是一个可以反映系统是否遭到威胁的重要特征，访问时间长短是一个次要特征，所以根据经验知识给予ip地址较大权重，访问时间较小权重。
[0015]
步骤4.1：输入正序特征向量，利用前向gru得到前向特征向量表示，具体为：
ꢀꢀꢀꢀꢀꢀꢀꢀ
（5）
ꢀꢀꢀꢀꢀꢀꢀꢀ
（6）
ꢀꢀꢀꢀꢀꢀꢀꢀ
（7）
ꢀꢀꢀꢀ
（8）式中，和是激活函数，是t时刻的正向输入矩阵，是前一时刻
下的正向隐藏状态，、、、分别是更新门权重矩阵、偏置矩阵和重置门权重矩阵、偏置矩阵，和分别是权重参数和偏差参数，、是正序时的重置门和更新门，是正向候选隐藏状态，是t时刻隐藏层状态。
[0016]
步骤4.2：输入逆序特征向量，利用后向gru得到后向特征向量表示，具体为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（9）
ꢀꢀꢀꢀꢀꢀꢀ
（10）
ꢀꢀ
（11）
ꢀꢀꢀꢀꢀ
（12）式中，是前一时刻下的后向隐藏状态，、是逆序时的重置门和更新门，表示点乘运算，是后向候选隐藏状态，是t时刻隐藏层状态。
[0017]
ꢀꢀꢀ
（13）步骤4.3：结合上面得到的前向特征向量和后向特征向量计算，计算公式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（14）式中，和是正向和逆向gru的隐藏状态。
[0018]
步骤4.4：给特征向量分配权重，利用注意力机制捕获各特征之间的关系，具体公式如下：
ꢀꢀꢀꢀꢀꢀꢀ
（15）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（16）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（17）式中，是注意力层输出，表示t时刻隐层状态值，是t时刻记忆状态，和是激活函数，是softmax中间状态，是注意力机制层的输出，是权重矩阵。
[0019]
步骤4.5：利用步骤4.4的输出结果判断系统的安全状态，具体计算公式如下：
ꢀꢀꢀꢀꢀꢀꢀ
（18）式中，表示隐层状态的输出结果，是网络记忆的状态值，为分类结果的概
率。
[0020]
改进的量子萤火虫优化算法步骤如下。
[0021]
步骤5.1：设置算法相关参数。设萤火虫种群规模为n，待优化问题维度为d，步长为step
0 ，初始吸引度因子为attr0，光吸收系数为γ，广义反向学习次数为count，算法循环最大次数为mag，生成初始种群。
[0022]
步骤5.2：按照以下公式编码萤火虫初始位置。
[0023]
ꢀꢀꢀꢀꢀꢀꢀ
（19）式中，i为萤火虫的个体数量，i=1,2,
…
,n；为量子旋转门的旋转角，，是位于0和1之间的随机数。
[0024]
步骤5.3：随机初始化种群位置，并计算适应度值。
[0025]
步骤5.4：按照公式（20）计算个体反向解，反向解记录粒子更新前位置为，精英反向学习后的位置记为，若适应度，则为广义精英个体，记广义精英个体大小为el，否则为普通个体，精英个体和普通群体的反向解群体构成当前种群，并计算种群亮度，进行排序，选出最优个体。
[0026]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（20）式中，k是介于0~1的随机数，，，，为广义精英群体的取值范围。
[0027]
步骤5.5：根据公式（21）计算萤火虫i和j之间的距离，根据公式（22）萤火虫位置移动操作，通过量子旋转门来指导萤火虫种群向最优方向进化。
[0028]
（21）（22）式中，d为优化问题的维数，表示第i只萤火虫在第q维的位置。o为正相关系数，用代替固定步长，使得萤火虫的步长随着的变化而变化。
[0029]
步骤5.6：若萤火虫越界，则通过式（23）边界调整策略加快调整，否则执行步骤5.7。
[0030]
ꢀꢀꢀ
（23）步骤5.7：计算位置更新后的群体中每个萤火虫的亮度。
[0031]
步骤5.8：判断算法是否满足结束条件。若满足条件，则终止进化过程执行步骤5.9，并输出最优解；否则转到步骤5.4重复操作直至满足条件结束。
[0032]
步骤5.9：输出全局最优解和最优位置。
[0033]
与现有技术相比，本发明方法具有以下优点：1、本发明采用自编码器进行特征数据的提取和降维，有效避免了门控循环神经网络对高维数据的不适应问题，同时，提取后的抽象特征更加凝练，可大大提高模型的检测效率。
[0034]
2、本发明采用加入了注意力机制的双向门控循环神经网络，不仅可以充分提取特征数据的上下文信息，捕捉前向时间序列和后向时间序列的特征信息，而且注意力机制的引入使得网络更加关注关键特征，提高检测效率，节省检测时间。
[0035]
3、本发明采用改进的量子萤火虫算法优化bigru-attention网络，对该网络参数进行自适应调节，可有效改善网络模型的准确性。
附图说明
[0036]
图1是基于iqf-bigrua的配电物联网威胁狩猎方法结构图。
[0037]
图2是bigru-attention网络结构图。
[0038]
图3是改进的量子萤火虫算法流程图。
具体实施方式
[0039]
下面结合附图1、附图2、附图3和实施例对基于改进量子萤火虫算法优化bigru-attention网络的威胁狩猎方法作详细介绍，但本发明的实施不局限于此。
[0040]
实施例：如图1所示，本实施例的基于改进量子萤火虫算法优化bigru-attention网络的配电物联网威胁狩猎方法结构图。
[0041]
如图2所示，本实施例的bigru-attention网络结构，自编码器降维后的特征作为bigru的输入，然后对特征向量引入attention机制强化关键特征的表达。
[0042]
如图3所示，本实施例的改进的量子萤火虫算法流程，经过种群初始化、计算适应度、确定精英反向解以及越界调整策略，使算法能更快收敛到全局最优解。
[0043]
整个模型的建立步骤如下：步骤1，采集电力系统中终端设备和网络的历史安全数据和当前状态数据，包括日志数据、网络流量、内存数据、注册表信息、网络连接等信息。
[0044]
步骤2，对数据进行数据清洗，并进行归一化处理得到数据矩阵。数据处理包括数据清理和数据规范化。数据清理包括删除数据集中的异常值和补充缺失的值。数据归一化可以加快梯度下降的收敛速度，提高预测模型的性能。规范化还可以使深度学习模型更好地从多个历史输出序列数据中提取高级特征，从而提高所提出模型的性能。本发明通过以
下公式将每个输入序列归一化为范围：其中：为归一化值，为原始数据，， 分别为原始数据的最大值和最小值。
[0045]
步骤3，对预处理后的数据通过自编码网络进行特征提取，并将提取到的数据划分为训练集和测试集。具体步骤如下：步骤3.1：设自编码网络总层数为，其中编码器层数为,解码器层数为。
[0046]
步骤3.2：输入数据表示为向量，其编码过程表达式为；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（1）
ꢀꢀꢀꢀꢀꢀꢀ
（2）式中，为编码器的输入，为编码器各层的输出，、为编码器第u层的权值与偏置，为编码器第u层的激活函数。
[0047]
步骤3.3：解码器第一层的输入是编码器最后一层的输出，其解码过程表达式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（3）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（4）式中，为解码器各层的输出，、为解码器第v层的权值与偏置，为解码器第v层的激活函数。
[0048]
步骤3.4：经过训练，通过损失函数最小化不断调整寻优，使得数据接近原始数据，从而提取出深层的时序特征。
[0049]
步骤4，构建bigru-attention网络，结合注意力机制对特征向量进行特征权重分配，捕获特征之间关系。所述的bigru-attention网络结构满足：单向gru模型只能从先前的序列中提取信息，忽略了后向时间序列中有价值的信息。在配电物联网威胁狩猎预测中，由于设备和网络历史安全数据和当前时刻状态可能共同发挥作用，所以本发明采用双向gru搭建网络。同时，各安全数据特征对预测结果的影响程度不同，比如访问者ip地址是一个可以反映系统是否遭到威胁的重要特征，访问时间长短是一个次要特征，所以根据经验知识给予ip地址较大权重，访问时间较小权重。
[0050]
步骤4.1：输入正序特征向量，利用前向gru得到前向特征向量表示，具体为：
ꢀꢀꢀꢀꢀꢀꢀꢀ
（5）
ꢀꢀꢀꢀꢀꢀꢀꢀ
（6）
ꢀꢀꢀꢀꢀꢀꢀꢀ
（7）
ꢀꢀꢀꢀ
（8）式中，和是激活函数，是t时刻的正向输入矩阵，是前一时刻下的正向隐藏状态，、、、分别是更新门权重矩阵、偏置矩阵和重置门权重矩阵、偏置矩阵，和分别是权重参数和偏差参数，、是正序时的重置门和更新门，是正向候选隐藏状态，是t时刻隐藏层状态。
[0051]
步骤4.2：输入逆序特征向量，利用后向gru得到后向特征向量表示，具体为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（9）
ꢀꢀꢀꢀꢀꢀꢀ
（10）
ꢀꢀ
（11）
ꢀꢀꢀꢀꢀ
（12）式中，是前一时刻下的后向隐藏状态，、是逆序时的重置门和更新门，表示点乘运算，是后向候选隐藏状态，是t时刻隐藏层状态。
[0052]
ꢀꢀꢀ
（13）步骤4.3：结合上面得到的前向特征向量和后向特征向量计算，计算公式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（14）式中，和是正向和逆向gru的隐藏状态。
[0053]
步骤4.4：给特征向量分配权重，利用注意力机制捕获各特征之间的关系，具体公式如下：
ꢀꢀꢀꢀꢀꢀꢀ
（15）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（16）
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（17）式中，是注意力层输出，表示t时刻隐层状态值，是t时刻记忆状态，和是激活函数，是softmax中间状态，是注意力机制层的输出，是权重矩阵。
[0054]
步骤4.5：利用步骤4.4的输出结果判断系统的安全状态，具体计算公式如下：
ꢀꢀꢀꢀꢀꢀꢀ
（18）式中，表示隐层状态的输出结果，是网络记忆的状态值, 为分类结果的概率。
[0055]
步骤5，利用改进的量子萤火虫优化算法搜寻bigru-attention网络的最优参数，以提高网络威胁的检测性能，包括学习率、丢弃率和每层的神经元个数。具体步骤如下：步骤5.1：设置算法相关参数。设萤火虫种群规模为n，待优化问题维度为d，步长为step
0 ，初始吸引度因子为attr0，光吸收系数为γ，广义反向学习次数为count，算法循环最大次数为mag，生成初始种群。
[0056]
步骤5.2：按照以下公式编码萤火虫初始位置。
[0057]
ꢀꢀꢀꢀꢀꢀꢀ
（19）式中，i为萤火虫的个体数量，i=1,2,
…
,n；为量子旋转门的旋转角，，是位于0和1之间的随机数。
[0058]
步骤5.3：随机初始化种群位置，并计算适应度值。
[0059]
步骤5.4：按照公式（20）计算个体反向解，反向解记录粒子更新前位置为，精英反向学习后的位置记为，若适应度，则为广义精英个体，记广义精英个体大小为el，否则为普通个体，精英个体和普通群体的反向解群体构成当前种群，并计算种群亮度，进行排序，选出最优个体。
[0060]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（20）式中，k是介于0~1的随机数，，，，为广义精英群体的取值范围。
[0061]
步骤5.5：根据公式（21）计算萤火虫i和j之间的距离，根据公式（22）萤火虫位置移动操作，通过量子旋转门来指导萤火虫种群向最优方向进化。
[0062]
ꢀꢀ
（21）（22）
式中，d为优化问题的维数，表示第i只萤火虫在第q维的位置。o为正相关系数，用代替固定步长，使得萤火虫的步长随着的变化而变化。
[0063]
步骤5.6：若萤火虫越界，则通过式（23）边界调整策略加快调整，否则执行步骤5.7。
[0064]
ꢀꢀꢀ
（23）步骤5.7：计算位置更新后的群体中每个萤火虫的亮度。
[0065]
步骤5.8：判断算法是否满足结束条件。若满足条件，则终止进化过程执行步骤5.9，并输出最优解；否则转到步骤5.4重复操作直至满足条件结束。
[0066]
步骤5.9：输出全局最优解和最优位置。
[0067]
步骤6，将训练集作为改进的量子萤火虫算法优化bigru-attention网络的输入，对模型进行训练，直到获得较小的训练误差，得到训练好的模型，测试集验证模型效果。
[0068]
步骤7，根据输出结果，判断当前系统是否存在威胁。若存在，系统给出相应提示；若没有，则结束检测。
[0069]
以上所述仅表达了本发明的优选实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形、改进及替代，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。