孫理昊

（北京科東電力控制系統(tǒng)有限責(zé)任公司 通訊與安全分公司 網(wǎng)絡(luò)安全集成部，北京， 100192）

0 引言

近年來(lái)，我國(guó)經(jīng)濟(jì)、通信技術(shù)以及數(shù)字信息技術(shù)得到了快速發(fā)展，為數(shù)字化電網(wǎng)和智能電網(wǎng)提供了發(fā)展平臺(tái)[1～3]。隨著智能電網(wǎng)的大力建設(shè)，電網(wǎng)規(guī)模日益龐大復(fù)雜，使得電網(wǎng)的安全問(wèn)題日益突出。此外，云計(jì)算、物聯(lián)網(wǎng)以及大數(shù)據(jù)的加入，又使智能電網(wǎng)增加了網(wǎng)絡(luò)攻擊、病毒木馬攻擊、信息泄露等安全防護(hù)方面的挑戰(zhàn)[4,5]。電力的持續(xù)供應(yīng)及安全運(yùn)行是我國(guó)經(jīng)濟(jì)平穩(wěn)發(fā)展、社會(huì)和諧穩(wěn)定以及工業(yè)的安全基本保障[6]。因此，需要對(duì)智能電網(wǎng)電力二次系統(tǒng)進(jìn)行防護(hù)和預(yù)測(cè)研究。

目前的攻擊形式主要是復(fù)雜多變、邏輯緊密的多步和連續(xù)攻擊。除了對(duì)攻擊產(chǎn)生的告警進(jìn)行關(guān)聯(lián)和排序并做出應(yīng)對(duì)策略外，針對(duì)攻擊的預(yù)測(cè)和采取針對(duì)性的預(yù)防操作也變得更加重要。電力二次系統(tǒng)中攻擊預(yù)測(cè)方法有博弈論[7]、時(shí)間序列[8,9]、以及其他概率模型[10,11]等。然而隨著近幾年的智能算法的涌現(xiàn)，神經(jīng)網(wǎng)絡(luò)被廣泛地應(yīng)用到攻擊預(yù)測(cè)中。夏勇軍等人[12]根據(jù)二次系統(tǒng)的功能特點(diǎn)提出一種針對(duì)電力二次系統(tǒng)的智能配電網(wǎng)評(píng)估方法，實(shí)現(xiàn)了對(duì)智能配電網(wǎng)節(jié)點(diǎn)的可靠性評(píng)估。陳聞卿[13]通過(guò)對(duì)目前國(guó)家加密算法的研究，提出將SM2加密算法應(yīng)用在電力二次保護(hù)嵌入式系統(tǒng)中，結(jié)果表明該算法可以有效實(shí)現(xiàn)用戶身份真?zhèn)伪鎰e，增加了身份認(rèn)證的安全性。Tan[14]等人針對(duì)智能電網(wǎng)現(xiàn)有研究的缺陷，提出了一個(gè)基于GridLAB-D、ns-3和FNCS的智能電網(wǎng)攻擊聯(lián)合仿真框架。該仿真能夠模擬智能電網(wǎng)基礎(chǔ)設(shè)施的各種網(wǎng)絡(luò)安全攻擊功能，然后自動(dòng)可視化其后果。QS[15]等人研究了動(dòng)態(tài)負(fù)載攻擊下智能電網(wǎng)的攻擊檢測(cè)問(wèn)題。并設(shè)計(jì)了自適應(yīng)滑模觀測(cè)器，在閾值和殘差對(duì)比的基礎(chǔ)上，應(yīng)用攻擊檢測(cè)邏輯來(lái)完成攻擊的檢測(cè)。但是，對(duì)于多目標(biāo)的動(dòng)態(tài)入侵研究較少，且針對(duì)此種攻擊方式的攻擊鏈獲取方法和預(yù)測(cè)模型難以在電網(wǎng)中直接適用。

本文首先針對(duì)多目標(biāo)、復(fù)雜的入侵，提出了通過(guò)節(jié)點(diǎn)信息結(jié)構(gòu)化、聚合子節(jié)點(diǎn)、深度遍歷三個(gè)環(huán)節(jié)來(lái)實(shí)現(xiàn)IP關(guān)聯(lián)的攻擊鏈提取方法；在此基礎(chǔ)上，為了減少傳統(tǒng)的攻擊預(yù)測(cè)方法及模型存在的預(yù)測(cè)能力差、可移植性差和共享性低的問(wèn)題，提出了自注意力改進(jìn)的Bi-LSTM（Self-Attention-Bi-LSTM）預(yù)測(cè)模型，該模型基于前后文時(shí)序進(jìn)行分析，預(yù)測(cè)速度快、攻擊鏈學(xué)習(xí)時(shí)間短、自動(dòng)識(shí)別攻擊鏈中對(duì)預(yù)測(cè)貢獻(xiàn)更高的信息。并在電網(wǎng)數(shù)據(jù)實(shí)驗(yàn)和DARPA數(shù)據(jù)的實(shí)驗(yàn)中證明了該模型的準(zhǔn)確性和有效性。

1 IP關(guān)聯(lián)的攻擊鏈提取

入侵行為通常具有動(dòng)態(tài)、多目標(biāo)及協(xié)同攻擊中的一種甚至多種特點(diǎn)。尤其是多目標(biāo)入侵，它的攻擊之間的邏輯關(guān)系、匹配順序以及因果關(guān)系影響著入侵行為的判斷。然而在電力二次系統(tǒng)中，復(fù)雜入侵行為表現(xiàn)為有規(guī)律可循告警序列，因此基于此特點(diǎn)提取的入侵行為攻擊鏈有利于后續(xù)對(duì)入侵行為的預(yù)測(cè)。

在攻擊鏈的提取可以分為節(jié)點(diǎn)信息結(jié)構(gòu)化、聚合子節(jié)點(diǎn)、深度遍歷三個(gè)環(huán)節(jié)來(lái)實(shí)現(xiàn)。其中節(jié)點(diǎn)信息結(jié)構(gòu)化就是將告警日志以樹(shù)狀圖的結(jié)構(gòu)表達(dá)出來(lái)。把多個(gè)單步攻擊經(jīng)過(guò)特定的方法組合成完整的攻擊過(guò)程，此過(guò)程以多步攻擊的方式呈現(xiàn)。而攻擊鏈則是攻擊過(guò)程的結(jié)構(gòu)化體現(xiàn)。

提取攻擊鏈時(shí)，首先對(duì)節(jié)點(diǎn)信息進(jìn)行結(jié)構(gòu)化處理。在攻擊鏈中，節(jié)點(diǎn)的地址用IP表示，告警信息用WM(warning message, WM)表示。四節(jié)點(diǎn)的攻擊鏈可以表示為如圖1所示。將圖1中攻擊鏈的告警日志整理成直觀地表達(dá)，如表1所示。使用節(jié)點(diǎn)類對(duì)每一個(gè)節(jié)點(diǎn)進(jìn)行建模，節(jié)點(diǎn)類包含自身的地址、父類節(jié)點(diǎn)地址、子類節(jié)點(diǎn)的告警信息等。采用節(jié)點(diǎn)類實(shí)現(xiàn)了表1中告警日志樹(shù)狀結(jié)構(gòu)的表達(dá)，如圖2所示。圖中每一個(gè)地址由唯一節(jié)點(diǎn)表示，箭頭表示從源地址到目的地址的告警。

表1 告警日志列舉

告警日志經(jīng)結(jié)構(gòu)化處理后，形成了容易理解和遍歷的樹(shù)狀圖。從樹(shù)狀圖中沒(méi)有父類的節(jié)點(diǎn)處開(kāi)始深度遍歷，進(jìn)行第一次的去重，則能夠獲得初步的攻擊鏈。但是，初步的去重只是去掉了“無(wú)雙親”節(jié)點(diǎn)，告警日志中依舊存在信息冗余。為了減小冗余信息，加快攻擊鏈的提取速度，在保留告警信息的前提下進(jìn)行子節(jié)點(diǎn)聚合。聚會(huì)是在節(jié)點(diǎn)樹(shù)狀圖的前提下，對(duì)所有節(jié)點(diǎn)進(jìn)行遍歷。聚合分為兩種情況：

（1）若主機(jī)1對(duì)主機(jī)2在連續(xù)時(shí)間內(nèi)觸發(fā)一致的安全事件，且期間主機(jī)1有且僅有這一類安全事件，則認(rèn)為連續(xù)時(shí)間內(nèi)出發(fā)的事件系同一事件?；谶@一前提采用如下聚合方法：遍歷每一個(gè)節(jié)點(diǎn)的子節(jié)點(diǎn)，若發(fā)現(xiàn)同一個(gè)父類下的子節(jié)點(diǎn)的告警類型、源地址、目的地址均相同，則對(duì)它們進(jìn)行聚合操作。圖3(a)為第一種情況的聚合，子節(jié)點(diǎn)個(gè)數(shù)減少了3個(gè)，消減了冗余，除了進(jìn)行時(shí)間合并外，告警信息沒(méi)有缺失。

（2）設(shè)置較短的時(shí)間空隙，在此段時(shí)間內(nèi)觸發(fā)的相同告警都認(rèn)為是一類安全事件?；谶@一前提采用如下聚合方法：遍歷每一個(gè)節(jié)點(diǎn)的子節(jié)點(diǎn)，若發(fā)現(xiàn)同一個(gè)父類下的子節(jié)點(diǎn)的告警類型、源地址、目的地址均相同，且時(shí)間范圍小于設(shè)定的時(shí)間間隙，則對(duì)它們進(jìn)行聚合操作。圖3(b)為第二種情況的聚合，若設(shè)置時(shí)間間隙為1小時(shí)，則圖中可合并兩個(gè)子節(jié)點(diǎn)且開(kāi)始與終止時(shí)間小于1小時(shí)。

圖3 子節(jié)點(diǎn)聚合，(a) 第一種情況的聚合(b)第二種情況的聚合

在上述兩個(gè)環(huán)節(jié)完成后，對(duì)獲得的樹(shù)狀圖進(jìn)行深度遍歷就能夠得到最終的攻擊鏈。在遍歷過(guò)程中，需要先確定鏈?zhǔn)赘婢?，表示在此時(shí)刻之前沒(méi)有以該地址為目的的告警發(fā)生。與結(jié)構(gòu)化處理相似，鏈?zhǔn)赘婢梢苑譃椋簾o(wú)雙親節(jié)點(diǎn)和有雙親節(jié)點(diǎn)，因此可以分為兩次循環(huán)。對(duì)于無(wú)雙親的源IP節(jié)點(diǎn)，將每次深度遍歷得到的攻擊鏈添加到最終的攻擊鏈集合中；但對(duì)于雙親的源IP節(jié)點(diǎn)，源IP的告警時(shí)間應(yīng)早于雙親節(jié)點(diǎn)的告警時(shí)間，同樣也需要重復(fù)無(wú)雙親的操作。

2 神經(jīng)網(wǎng)絡(luò)攻擊預(yù)測(cè)模型

神經(jīng)網(wǎng)絡(luò)攻擊預(yù)測(cè)模型分為數(shù)據(jù)處理、編碼和預(yù)測(cè)三部分，如圖4所示。其中數(shù)據(jù)處理是將攻擊鏈分解為能夠識(shí)別的數(shù)據(jù)類型，包含攻擊鏈的擴(kuò)增和樣本的分割。編碼是抽取攻擊鏈高階特征，在進(jìn)行高階特征抽取時(shí)，模型首先用n維的向量把各個(gè)IP與WM表示出來(lái)，然后將兩者拼接成一個(gè)2n維的向量（組合后的向量具有IP和WM的上下文語(yǔ)義信息），依次輸入到神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型中，最后經(jīng)計(jì)算得到編碼后的高階特征。

圖4 神經(jīng)網(wǎng)絡(luò)攻擊預(yù)測(cè)模型框架

預(yù)測(cè)部分有兩個(gè)模塊，分別對(duì)應(yīng)于IP和WM模塊的預(yù)測(cè)。預(yù)測(cè)部分以攻擊鏈的高階特征作為輸入，采用前饋神經(jīng)網(wǎng)絡(luò)分類算法進(jìn)行計(jì)算得到預(yù)測(cè)值，使用梯度下降法進(jìn)行反向傳播，更新模型參數(shù)。

為了獲取入侵者真實(shí)意圖及攻擊步驟背后所隱藏的狀態(tài)，依據(jù)上文提取的攻擊鏈，采用了LSTM、Bi-LSTM（Bidirectional Long Short-Term Memory, Bi-LSTM）以及自注意力改進(jìn)的Bi-LSTM預(yù)測(cè)模型，并對(duì)比分析三者對(duì)下一步攻擊的預(yù)測(cè)效果。

■2.1 LSTM攻擊預(yù)測(cè)模型及改進(jìn)

圖5是LSTM的攻擊預(yù)測(cè)模型圖，LSTM通過(guò)內(nèi)部狀態(tài)cs記錄細(xì)胞狀態(tài)，在節(jié)點(diǎn)信息傳輸過(guò)程中，通過(guò)選擇性遺忘與記憶實(shí)現(xiàn)對(duì)當(dāng)前信息的積累和對(duì)過(guò)往信息的遺忘。

圖5 LSTM的攻擊預(yù)測(cè)模型圖

Bi-LSTM攻擊預(yù)測(cè)模型解決了LSTM記憶的問(wèn)題，并充分考慮了正反向序列的相關(guān)性；攻擊鏈的時(shí)序信息通過(guò)Bi-LSTM的雙向性和門控機(jī)制進(jìn)行提取，為下一步的攻擊預(yù)測(cè)提供數(shù)據(jù)分析，圖6是Bi-LSTM攻擊預(yù)測(cè)模型。

圖6 Bi-LSTM攻擊預(yù)測(cè)模型

■2.2 Self-Attention-Bi-LSTM攻擊預(yù)測(cè)模型

針對(duì)攻擊鏈中告警信息的時(shí)變性，即不同時(shí)刻的信息權(quán)重不同，本文提出在Bi-LSTM基礎(chǔ)上加入自注意力機(jī)制，該方法能夠建立動(dòng)態(tài)依賴模型并根據(jù)此基礎(chǔ)，在告警信息之間生成時(shí)變的連接權(quán)重，從而獲取序列內(nèi)各元素的特征及其之間邏輯關(guān)系，如圖7所示。

圖7 Self-Attention-Bi-LSTM攻擊預(yù)測(cè)模型

將IP和WM組合的2n維的向量依次輸入到Bi-LSTM模型中獲取攻擊鏈中的時(shí)序信息，其中攻擊鏈正向和反向的序列信息分別通過(guò)正向輸入的LSTM層和后向輸入的LSTM層獲取，然后組合兩者得到時(shí)序信息。在本文中獲取每個(gè)隱藏單元的輸出hi,hi

'通過(guò)式(1)拼接得到時(shí)序信息hi。

式中，W為自學(xué)習(xí)的參數(shù)矩陣。

然后把hi輸入到自注意力層進(jìn)行權(quán)重計(jì)算，在計(jì)算過(guò)程中每個(gè)單元的權(quán)值由鍵值對(duì)決定，用h=(h1,h2,…,hi)和v= (v1,v2,…,vi)分別表示鍵和值，用q= (q1,q2,… ,qi)表示查詢序列。為了防止計(jì)算的sti梯度發(fā)散，通過(guò)式(2)和式(3)其進(jìn)行縮放點(diǎn)積和歸一化計(jì)算：

式中，dh為h的維度，sti是注意力得分。

在得到權(quán)值iω后，通過(guò)公式(4)得到最終的輸出向量O(qi,h,v):

Self-Attention-Bi-LSTM利用Bi-LSTM獲取攻擊鏈中時(shí)序信息及序列的正反向信息，通過(guò)引入自注意力機(jī)制獲取序列內(nèi)各元素的特征及其之間邏輯關(guān)系，將得到的輸出向量作為預(yù)測(cè)部分的輸入，進(jìn)行反向傳播和參數(shù)訓(xùn)練。

3 實(shí)驗(yàn)分析

以國(guó)家電網(wǎng)華北區(qū)域電力二次系統(tǒng)兩個(gè)月的告警日志為分析對(duì)象，對(duì)告警日志進(jìn)行遍歷提取到814條攻擊鏈。為了滿足訓(xùn)練的需求，需要進(jìn)行攻擊鏈的擴(kuò)增。在本文中把攻擊鏈看成一個(gè)集合，則集合中的所有子集都是一條攻擊鏈，換言之，假如攻擊鏈的長(zhǎng)度為n，則可以切分為不同時(shí)刻下(n-1)條不同長(zhǎng)度的攻擊子鏈。對(duì)814條攻擊鏈進(jìn)行分割和擴(kuò)增，最終得到8963條攻擊鏈；在訓(xùn)練模型時(shí)，選用60%的數(shù)據(jù)集作為訓(xùn)練集，30%的數(shù)據(jù)集用來(lái)驗(yàn)證，剩余10%的數(shù)據(jù)集則用來(lái)測(cè)試。

由于攻擊鏈的類別較多且分布不均勻，預(yù)測(cè)模型的訓(xùn)練會(huì)受到數(shù)據(jù)不均衡的影響，導(dǎo)致難以在準(zhǔn)確率和召回率之間權(quán)衡。傳統(tǒng)的做法是采取平衡數(shù)據(jù)集處理，但是降低了比重大的類別檢測(cè)準(zhǔn)確率且破壞了樣本分布。為了提升模型的預(yù)測(cè)效果，提出了高級(jí)別攻擊鏈ACU評(píng)價(jià)標(biāo)準(zhǔn)（High Level Chains AUC, HLC-AUC)，它能夠?qū)δＰ驮诟呶５墓翩溨械念A(yù)測(cè)效果做出評(píng)價(jià)，自動(dòng)識(shí)別攻擊鏈中對(duì)預(yù)測(cè)貢獻(xiàn)更高的信息。此外，它不僅能夠保證高級(jí)別攻擊鏈的預(yù)測(cè)效果，而且還能提升整體的預(yù)測(cè)精度和準(zhǔn)確性。

HLC-AUC通過(guò)數(shù)值量化分析模型在HLC上的預(yù)測(cè)性能，但是，對(duì)于模型的優(yōu)化方向卻無(wú)能為力，因此本文設(shè)計(jì)了新的損失函數(shù)，見(jiàn)公式(5):

式中：iφ第i條攻擊鏈懲罰項(xiàng)系數(shù)，L為交叉熵，m為樣本個(gè)數(shù)。

新的損失函數(shù)以交叉熵函數(shù)為基礎(chǔ)，增加高級(jí)別攻擊鏈的檢測(cè)系數(shù)，因此在訓(xùn)練過(guò)程中會(huì)有較大的概率檢測(cè)到高級(jí)別攻擊鏈的錯(cuò)分樣本。

■3.1 Self-Attention-Bi-LSTM最優(yōu)參數(shù)整定

Self-Attention-Bi-LSTM在進(jìn)行參數(shù)的整定和擇優(yōu)時(shí)，往往依靠經(jīng)驗(yàn)和多次實(shí)驗(yàn)的結(jié)果進(jìn)行動(dòng)態(tài)調(diào)整，嚴(yán)重增加運(yùn)行負(fù)荷和預(yù)測(cè)時(shí)間。針對(duì)此問(wèn)題，本文依據(jù)HLC-AUC對(duì)IP和WM向量長(zhǎng)度、輸出向量維度及學(xué)習(xí)速率進(jìn)行最優(yōu)參數(shù)整定。

Self-Attention-Bi-LSTM預(yù)測(cè)模型中IP和WM的向量化是利用Embedding層實(shí)現(xiàn)的，因此，IP和WM的向量長(zhǎng)度sizeIP和sizeWM的選擇對(duì)模型預(yù)測(cè)精度和準(zhǔn)確性影響很大。為了分析向量長(zhǎng)度對(duì)預(yù)測(cè)效果的作用，繪制了sizeIP和sizeWM與HLC-AUC的關(guān)系曲線，如圖8所示。從圖中可以看出，隨著sizeIP和sizeWM的增加，Self-Attention-Bi-LSTM預(yù)測(cè)模型的HLC-AUC都是上升到最大值后維持在最大值附近。根據(jù)曲線關(guān)系，可以確定當(dāng)sizeIP=96， sizeWM=64時(shí)，模型預(yù)測(cè)效果最好。

圖8 各向量對(duì)HLC-AUC的影響

此外，模型中輸出向量維度Odim一定程度上控制了模型容納信息量的大小。為了研究Odim對(duì)預(yù)測(cè)效果的作用，Odim取32的整數(shù)倍作為變化范圍，并觀察HLC-AUC變化，如圖8所示。從圖中可以發(fā)現(xiàn)，當(dāng)Odim在128～160范圍內(nèi)時(shí)，模型預(yù)測(cè)效果最好。但是在實(shí)際應(yīng)用時(shí)，在保證預(yù)測(cè)效果較好的前提下，為了降低模型復(fù)雜度，在本設(shè)計(jì)中Odim取128。

模型更新采用梯度下降法，在更新模型時(shí)學(xué)習(xí)速率Le arnrate決定模型學(xué)習(xí)更新的速度，Le arnrate過(guò)小會(huì)造成學(xué)習(xí)速率慢甚至不學(xué)習(xí)；Le arnrate過(guò)大會(huì)造成模型發(fā)散。因此，選取恰當(dāng)?shù)膶W(xué)習(xí)速率對(duì)模型的更新速度和算法運(yùn)算量尤其重要。本文Le arnrate分別取值0.0003，0.001，0.003并觀察模型損失函數(shù)的變化趨勢(shì)。

如圖9所示，當(dāng)Le arnrate= 0.0003時(shí)，損失函數(shù)下降緩慢，當(dāng)訓(xùn)練到每批樣本個(gè)數(shù)batch=1000時(shí)，損失函數(shù)數(shù)值仍在0.5以上；Le arnrate= 0.003時(shí)，雖然收斂速度最快，但在batch=600時(shí)，損失函數(shù)曲線就基本保持不變且數(shù)值較大。而當(dāng)Le arnrate= 0.001時(shí)，前期收斂速度最快后期居中，在達(dá)到900batch時(shí)獲得最小損失為0.12。另外，圖中在batch=100之前三條曲線都具有較快的下降速度和收斂速度，因此可以去batch在100以內(nèi)。

圖9 學(xué)習(xí)速率和HLC-Loss關(guān)系曲線

綜上所述，當(dāng)sizeIP取96，sizeWM取64，Odim取128，Le arnrate取0.001，batch取62時(shí)，Self-Attention-Bi-LSTM攻擊預(yù)測(cè)模型具有最好的預(yù)測(cè)效果和最快的預(yù)測(cè)速度。

■3.2 模型效果對(duì)比分析

本實(shí)驗(yàn)中，設(shè)置分類器1，2使用3層FNN對(duì)下一步的攻擊進(jìn)行預(yù)測(cè)，損失函數(shù)使用HLC-LOSS。神經(jīng)網(wǎng)絡(luò)的其他參數(shù)結(jié)合經(jīng)驗(yàn)和實(shí)驗(yàn)結(jié)果動(dòng)態(tài)調(diào)整，各預(yù)測(cè)模型的效果如表2所示。

表2 電網(wǎng)數(shù)據(jù)各預(yù)測(cè)模型的效果

從表2可以知道，Self-Attention-Bi-LSTM預(yù)測(cè)模型AUC值達(dá)到了0.753，比LSTM和Bi-LSTM分別增加了6%和10.1%。HLC-AUC也達(dá)到了最高的0.832，說(shuō)明該模型在有效預(yù)測(cè)高級(jí)別攻擊鏈的同時(shí)，也提升了總的預(yù)測(cè)效果。

為了進(jìn)一步考證Self-Attention-Bi-LSTM模型的預(yù)測(cè)效果，進(jìn)行DARPA數(shù)據(jù)集實(shí)驗(yàn)。由于實(shí)驗(yàn)中數(shù)據(jù)集的差異，設(shè)置分類器1，2使用2層FNN對(duì)下一步的攻擊進(jìn)行預(yù)測(cè)，損失函數(shù)使用HLC-LOSS，各預(yù)測(cè)模型的效果如表3所示。

表3 DARPA數(shù)據(jù)集試驗(yàn)下各預(yù)測(cè)模型的效果

根據(jù)表中數(shù)據(jù)能夠明顯地判斷出，無(wú)論是在ACU還是HLC-AUC, Self-Attention-Bi-LSTM模型都達(dá)到了最好的預(yù)測(cè)效果。

綜上所述，Self-Attention-Bi-LSTM模型既能在電網(wǎng)數(shù)據(jù)中有效預(yù)測(cè)高級(jí)別攻擊鏈并提升總體預(yù)測(cè)效果，還能在DARPA數(shù)據(jù)集實(shí)驗(yàn)達(dá)到最優(yōu)預(yù)測(cè)，證明了該模型準(zhǔn)確性和有效性。

4 結(jié)論

（1）針對(duì)多目標(biāo)、復(fù)雜的入侵，本文提出了通過(guò)節(jié)點(diǎn)信息結(jié)構(gòu)化、聚合子節(jié)點(diǎn)、深度遍歷三個(gè)環(huán)節(jié)來(lái)實(shí)現(xiàn)IP關(guān)聯(lián)的攻擊鏈提取方法，該方法無(wú)須標(biāo)記樣本、在少量的先驗(yàn)知識(shí)基礎(chǔ)上就能成功提取攻擊鏈。

（2）提出了Self-Attention-Bi-LSTM攻擊預(yù)測(cè)模型和高級(jí)別攻擊鏈AUC評(píng)價(jià)標(biāo)準(zhǔn)，并利用HLC-AUC對(duì)IP和WM向量長(zhǎng)度、輸出向量維度及學(xué)習(xí)速率進(jìn)行最優(yōu)參數(shù)整定，得到當(dāng)sizeIP取96，sizeWM取64，Odim取128，Le arnrate取0.001，batch取62時(shí)，Self-Attention-Bi-LSTM攻擊預(yù)測(cè)模型具有最好的預(yù)測(cè)效果和最快的預(yù)測(cè)速度。

（3）最后通過(guò)電網(wǎng)實(shí)驗(yàn)和行DARPA數(shù)據(jù)集驗(yàn)證了Self-Attention-Bi-LSTM攻擊預(yù)測(cè)模型的準(zhǔn)確性和有效性。