摘 要：為有效提高電網(wǎng)軟件惡意攻擊的檢測效率，使用自動編碼器進(jìn)行異常惡意攻擊檢測的無監(jiān)督深度學(xué)習(xí)方法，同時采用低采樣和高采樣的混合采樣策略來平衡數(shù)據(jù)集，并對深度學(xué)習(xí)算法的檢測性能及數(shù)據(jù)丟包率進(jìn)行分析。實(shí)驗(yàn)結(jié)果表明，基于深度學(xué)習(xí)算法在檢測電網(wǎng)運(yùn)營平臺惡意攻擊時，準(zhǔn)確率高達(dá)98.84%，真正例率和耗時均比較低（2.1%、11.28 ms），且深度學(xué)習(xí)算法的召回率高達(dá)99.2%；進(jìn)一步表明基于深度學(xué)習(xí)所建立的自動編碼器可以有效檢測到電網(wǎng)運(yùn)營平臺惡意攻擊，且檢測綜合性能優(yōu)于支持向量機(jī)等其他機(jī)器學(xué)習(xí)算法。丟包率隨著樣本數(shù)的增加而降低，當(dāng)樣本數(shù)增加到40 000個時，丟包率最小約為3%。

關(guān)鍵詞：深度學(xué)習(xí)；自動編碼器；電網(wǎng)軟件運(yùn)營平臺；惡意攻擊

中圖分類號：TP274；TM769"""""""""""""""""""""" 文獻(xiàn)標(biāo)識碼：A""""""""""""""""""""" 文章編號：1001-5922（2024）07-0140-04

Design and implementation of malicious attack detection

system based on deep learning algorithm

LI Qiang1， ZHANG Xingfu2， GUI Sheng2， HU Bo2

（1. State Grid Information Communications Industry Group Co.，Ltd.，Beijing 102200，China；

2. Beijing CLP Puhua Information Technology Co.，Ltd.，Beijing 100089，China）

Abstract： In order to effectively improve the detection efficiency of malicious attacks on power grid software， an unsupervised deep learning method for abnormal malicious attack detection using autoencoder was used， and a mixed sampling strategy of low sampling and high sampling was used to balance the data set， and the detection performance and data packet loss rate of the deep learning algorithm were analyzed. The experimental results showed that when detecting malicious attacks on power grid operation platforms based on deep learning algorithms， the accuracy rate was as high as 98.84%， the true case rate and time consumption were relatively low （2.1%， 11.28 ms）， and the recall rate of deep learning algorithms was as high as 99.2%. This further indicates that the automatic encoder established based on deep learning can effectively detect malicious attacks on power grid operation platforms， and the overall detection performance is superior to other machine learning algorithms such as support vector machines. The packet loss rate decreased as the number of samples increases. When the sample size increased to 40 000， the minimum packet loss rate was about 3%.

Key words： deep learning；automatic encoder；power grid software operation platform；malicious attacks

由于電網(wǎng)軟件運(yùn)營平臺使用用戶數(shù)量的快速增長和軟件業(yè)務(wù)的不斷發(fā)展，電網(wǎng)軟件運(yùn)營平臺的安全問題越來越受到全社會的關(guān)注。惡意攻擊的多樣性和隱蔽性不斷增強(qiáng)，且惡意攻擊檢測數(shù)據(jù)具有數(shù)量大、碎片化等特點(diǎn)［1］，使得惡意攻擊檢測變得越來越困難。近年來，許多研究人員利用機(jī)器學(xué)習(xí)的各種方法對惡意攻擊檢測進(jìn)行了研究，如提出基于SwiftIDS的惡意攻擊檢測系統(tǒng)，該系統(tǒng)既能及時分析高速網(wǎng)絡(luò)中的海量流量數(shù)據(jù)，又具有較好的檢測性能［2］。研究了一種基于隨機(jī)森林算法的組合分類器模型，用于系統(tǒng)惡意攻擊檢測［3］。提出了邏輯回歸算法的入侵檢測方法，該方法利用邏輯回歸算法技術(shù)對惡意攻擊流量的語義進(jìn)行重編碼，增加了流量的區(qū)分能力，增強(qiáng)了算法的泛化能力，從而有效提高了算法識別惡意攻擊的準(zhǔn)確性和魯棒性［4］。而上述算法是有監(jiān)督的機(jī)器學(xué)習(xí)方法，需要標(biāo)記數(shù)據(jù)來訓(xùn)練模型。標(biāo)記數(shù)據(jù)的數(shù)量和質(zhì)量決定了學(xué)習(xí)算法的準(zhǔn)確性［5］。惡意攻擊檢測是一項(xiàng)復(fù)雜的學(xué)習(xí)任務(wù)，采用有監(jiān)督的機(jī)器學(xué)習(xí)方法無法有效檢測到隱藏的惡意攻擊且檢測性能較差。需要采用無監(jiān)督的機(jī)器學(xué)習(xí)方法以檢測惡意攻擊?；诖?，提出基于深度學(xué)習(xí)的惡意攻擊檢測系統(tǒng)，并利用一維卷積的自動編碼器用于提高惡意攻擊的檢測性能，以保護(hù)軟件運(yùn)營平臺正常運(yùn)行。研究結(jié)果可為電網(wǎng)軟件運(yùn)營平臺的惡意攻擊檢測提供參考依據(jù)。

1"" 基于深度學(xué)習(xí)算法的惡意攻擊檢測

1.1"" 惡意攻擊檢測系統(tǒng)建立

深度學(xué)習(xí)方法利用大量電網(wǎng)軟件運(yùn)營平臺數(shù)據(jù)進(jìn)行模型訓(xùn)練。自動編碼器由2部分組成：編碼器和解碼器［8］。編碼器將輸入數(shù)據(jù)壓縮到維度小于輸入數(shù)據(jù)的潛在空間。解碼器從潛在空間中重建輸入數(shù)據(jù)的估計(jì)值。由于自動編碼器被訓(xùn)練成一個身份識別系統(tǒng)，因此維度較小的潛在空間必須捕捉電網(wǎng)軟件運(yùn)營平臺輸入數(shù)據(jù)中最顯著的特征。由于潛在空間與訓(xùn)練數(shù)據(jù)類型有關(guān)，偏離訓(xùn)練數(shù)據(jù)集的輸入會導(dǎo)致較高的重構(gòu)誤差，并被標(biāo)記為異常數(shù)據(jù)。重構(gòu)誤差是根據(jù)重構(gòu)輸出與自動編碼器輸入數(shù)據(jù)之間的均方誤差（MSE）計(jì)算得出的。自動編碼器可使用不同類型的模型，如全連接網(wǎng)絡(luò)、遞歸神經(jīng)網(wǎng)絡(luò)和卷積神經(jīng)網(wǎng)絡(luò)［9］。自動編碼器一般被認(rèn)為是無監(jiān)督方法，因?yàn)殡m然正常訓(xùn)練數(shù)據(jù)的標(biāo)簽是已知的，但在訓(xùn)練過程中并沒有明確地將其納入，因此，自動編碼器的目標(biāo)是建立一個正常數(shù)據(jù)模型，僅根據(jù)正常數(shù)據(jù)訓(xùn)練的自動編碼器無法正確再現(xiàn)異常數(shù)據(jù)（即自動編碼）。由于自動編碼器本身并不明確預(yù)測正常或異常標(biāo)簽［10］，為此，自動編碼器一般被認(rèn)為是無監(jiān)督的。

研究將基于一維卷積的自動編碼器用于電網(wǎng)軟件運(yùn)營平臺的惡意攻擊檢測系統(tǒng)。編碼器和解碼器均使用一維卷積，包括在數(shù)據(jù)集上滑動濾波器內(nèi)核和應(yīng)用點(diǎn)積。卷積操作的輸出結(jié)果如式（1）所示。

[Y（i）=（X*F）（i）=m=0M-1FmXi+m]"""""""""""" （1）

式中：Y表示卷積操作的輸出；X表示一維數(shù)據(jù)輸入；F表示長度為M的卷積濾波器；*表示卷積算子；i表示輸入數(shù)據(jù)索引，卷積操作如圖1所示。

深度學(xué)習(xí)模型允許共享F中的參數(shù)，減少了可訓(xùn)練參數(shù)的總數(shù)［11］，在模型訓(xùn)練過程中節(jié)省了計(jì)算量，減少了內(nèi)存需求，進(jìn)而提高惡意攻擊檢測下的異常數(shù)據(jù)統(tǒng)計(jì)效率。

惡意攻擊檢測系統(tǒng)的編碼器將輸入數(shù)據(jù)嵌入一個低維的潛在空間，在這個空間中，相似的輸入數(shù)據(jù)相互嵌入，同時使用深度學(xué)習(xí)網(wǎng)絡(luò)的卷積操作層、非線性激活和最大池化［12］。常見非線性激活函數(shù)為整流線性單元（ReLU），定義如式（2）所示。且在所有卷積層中，使用的卷積濾波器大小為10，卷積步長為1，并使用 ReLU作為激活函數(shù)。

[σ（x）=max（x，0）]"""""""""""""""""""""""""" （2）

池化層的作用是通過降低電網(wǎng)軟件運(yùn)營平臺輸入采樣來減少輸入維度。常見的方法包括平均池化層和最大池化層，在給定的步長上滑動一個小窗口，分別取窗口內(nèi)的平均值和最大值，以生成縮小的數(shù)據(jù)集［13］。在自動編碼器的解碼器部分，潛空間中的數(shù)據(jù)被擴(kuò)展回原始輸入維度。同時設(shè)定解碼器由卷積運(yùn)算和一維上采樣層交錯組成。

1.2"" 自動編碼器架構(gòu)的訓(xùn)練和優(yōu)化

自動編碼器的訓(xùn)練和測試共使用數(shù)據(jù)集為134 620個樣本。自動編碼器訓(xùn)練的一個重要參數(shù)是輸入數(shù)據(jù)長度，即輸入自動編碼器的輸入樣本數(shù)。在本文中，設(shè)定自動編碼器的輸入為50 ms的滑動窗口，每個窗口由3個測量周期組成。因此，200 ms的模擬數(shù)據(jù)被分割成 50 ms數(shù)據(jù)的滑動窗口。當(dāng)滑動窗口在整個模擬樣本上滑動時，自動編碼器可以得到訓(xùn)練。而在將數(shù)據(jù)輸入自動編碼器之前，要先進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化［14］。考慮訓(xùn)練數(shù)據(jù)集D包含測量點(diǎn)x1，x2，…，xN。在數(shù)據(jù)標(biāo)準(zhǔn)化過程中，每種測量類型的數(shù)據(jù)都被縮放為單位方差和零均值，如式 （3）～式（5） 所示，其中均值（μ）和標(biāo)準(zhǔn)偏差（σ）是在整個訓(xùn)練數(shù)據(jù)集中計(jì)算得出。

[μ=i=1Nxin]"""""""""""""""""""""""""" （3）

[σ=i=1N（xi-μ）2n]"""""""""""""""""""" （4）

[xstand=x-μσ]""""""""""""""""""""""""""""" （5）

若出現(xiàn)惡意攻擊檢測系統(tǒng)無法有效識別電網(wǎng)軟件運(yùn)營平臺中的異常數(shù)據(jù)，則惡意攻擊檢測系統(tǒng)經(jīng)過進(jìn)一步訓(xùn)練，以減少損失函數(shù)來提高檢測效率，即輸入與自動編碼器重構(gòu)輸出之間的均方誤差（MSE），如式（6）所示。

[MSE=L（f（x））-x22]"""""""""""""""""" （6）

式中：L為卷積步長。

2"" 結(jié)果與討論

2.1"" 實(shí)驗(yàn)數(shù)據(jù)集設(shè)定

實(shí)驗(yàn)硬件環(huán)境配備了英特爾酷睿i5-10300H 64位處理器、16 GB內(nèi)存和 GTX1660ti顯卡。NSL-KDD數(shù)據(jù)集是惡意入侵檢測研究中常用的數(shù)據(jù)集。該數(shù)據(jù)集包含正常樣本和異常惡意攻擊樣本，并分為訓(xùn)練子集和測試子集。訓(xùn)練集包含112 077個樣本，測試集包含22 543個樣本。在NSL-KDD數(shù)據(jù)集的訓(xùn)練集中，正常樣本和異常樣本的分布高度不平衡，只有一小部分樣本是異常的。為解決這一問題，采用了低采樣和高采樣的混合采樣策略來平衡數(shù)據(jù)集［15］?；旌喜蓸雍?，數(shù)據(jù)集中正常樣本和異常樣本的比例平衡為 1∶1?；旌喜蓸雍笳颖竞彤惓颖镜姆植既鐖D2所示。

2.2"" 惡意攻擊檢測性能分析

為進(jìn)一步研究基于深度學(xué)習(xí)算法的惡意攻擊檢測性能，將所提出深度學(xué)習(xí)與支持向量機(jī)算法、隨機(jī)森林、邏輯回歸和樸素貝葉斯算法等多種機(jī)器學(xué)習(xí)方法進(jìn)行比較［16?17］，并計(jì)算運(yùn)行時間、準(zhǔn)確率、精確度、真正例率、召回率和耗時等性能，實(shí)驗(yàn)結(jié)果如表1所示。

由表1可知，隨機(jī)森林算法和支持向量機(jī)算法的召回率和準(zhǔn)確率較高；但耗時更長，最大耗時為215.6 ms。主要原因?yàn)殡S機(jī)森林算法可以在確定惡意

攻擊類別時評估攻擊的重要性，從而平衡電網(wǎng)軟件運(yùn)營平臺分類數(shù)據(jù)集的誤差。因此，其準(zhǔn)確率和召回率相對較高，且由于需要對電網(wǎng)軟件運(yùn)營平臺生成多棵決策樹進(jìn)行評估，因此運(yùn)行時間和計(jì)算資源也更多。而支持向量機(jī)算法采用二次編程求解支持向量，需要計(jì)算m階矩陣（m為樣本數(shù)）［18］。當(dāng)m較大時，該矩陣的存儲和計(jì)算將消耗大量內(nèi)存和計(jì)算時間。當(dāng)實(shí)際惡意攻擊檢測系統(tǒng)中產(chǎn)生多個高度復(fù)雜的信息交互數(shù)據(jù)時，這2種方法的資源消耗較大，且真正例率分別為5.5%、4.7%。邏輯回歸和樸素貝葉斯算法耗時較少，但準(zhǔn)確率和精度低于隨機(jī)森林算法和支持向量機(jī)算法。且邏輯回歸算法的真正例率最高，較樸素貝葉斯算法增加43.9%，主要?dú)w因于樸素貝葉斯算法是一個生成模型，可以根據(jù)先驗(yàn)概率更好地擬合數(shù)據(jù)，而邏輯回歸是一個決策模型，通過訓(xùn)練數(shù)據(jù)直接預(yù)測輸出，不對聯(lián)合概率建模。同時可觀察到，所提出的深度學(xué)習(xí)算法，在檢測惡意攻擊時，準(zhǔn)確率可以達(dá)到98.84%，較邏輯回歸算法等其他4種算法分別增加7.25%、41.49%、5.70%、6.11%，雖檢測精度較低（92.69%），但真正例率和耗時均比較低（2.1%、11.28 ms）。深度學(xué)習(xí)算法的召回率高達(dá)99.2%，進(jìn)一步表明基于深度學(xué)習(xí)所建立的自動編碼器可以有效檢測到惡意攻擊，且檢測綜合性能優(yōu)于其他4種算法。

2.3"" 數(shù)據(jù)丟包率

為了驗(yàn)證深度學(xué)習(xí)檢測惡意攻擊方法的有效性，對電網(wǎng)軟件運(yùn)營平臺中的丟包率進(jìn)行統(tǒng)計(jì)計(jì)算，丟包率越小，表明深度學(xué)習(xí)可檢測到惡意攻擊［19］，并自動啟動電網(wǎng)軟件運(yùn)營平臺防火墻進(jìn)行掃描攔截。丟包率如圖3所示。

由圖3可知，丟包率隨著樣本數(shù)的增加而降低。當(dāng)樣本數(shù)增加到40 000個時，丟包率約為3%。但隨著樣本數(shù)的不斷增加，丟包率也進(jìn)一步增加。當(dāng)樣本數(shù)為50 000個時，丟包率約為3.2%，主要由于在檢測惡意攻擊時，自動編碼器對數(shù)據(jù)集中的樣本分類錯誤，從而導(dǎo)致樣本數(shù)為50 000個時，丟包率進(jìn)一步增加。同時可觀察到，樣本數(shù)較小時，最大丟包率為21%，主要原因?yàn)閻阂夤魰M(jìn)一步破壞電網(wǎng)軟件運(yùn)營平臺數(shù)據(jù)庫，造成數(shù)據(jù)丟包率增加，且由于樣本數(shù)較小，平臺防火墻無法有效識別惡意攻擊類別，導(dǎo)致惡意攻擊攔截失敗。當(dāng)樣本數(shù)超過20 000個時，丟包率明顯下降，究其原因?yàn)閻阂夤魴z測系統(tǒng)的編碼器將輸入數(shù)據(jù)嵌入一個低維的潛在空間，在這個空間中，相似的輸入數(shù)據(jù)相互嵌入［20］；當(dāng)樣本數(shù)較多時，惡意攻擊檢測系統(tǒng)可以將相似輸入數(shù)據(jù)進(jìn)行有效分類，從而提高檢測性能。因此，基于深度學(xué)習(xí)所建立的惡意攻擊檢測系統(tǒng)可以在一定程度上可以檢測到惡意攻擊，但需要適量的數(shù)據(jù)樣本才能降低數(shù)據(jù)丟包率。針對深度學(xué)習(xí)所建立的惡意攻擊檢測系統(tǒng)，測試的樣本數(shù)量應(yīng)為40 000個，才能使電網(wǎng)軟件運(yùn)營平臺丟包率降到最低。

3"" 結(jié)語

（1）研究采用了低采樣和高采樣的混合采樣策略來平衡數(shù)據(jù)集?；旌喜蓸雍?，數(shù)據(jù)集中正常樣本和異常樣本的比例平衡為 1∶1；

（2）所提出的深度學(xué)習(xí)算法，在檢測惡意攻擊時，準(zhǔn)確率可以達(dá)到98.84%，較邏輯回歸算法等其他4種算法分別增加7.25%、41.49%、5.70%、6.11%。深度學(xué)習(xí)算法的召回率高達(dá)99.2%，進(jìn)一步表明基于深度學(xué)習(xí)所建立的自動編碼器可以有效檢測到惡意攻擊；

（3）丟包率隨著樣本數(shù)的增加而降低。隨著樣本數(shù)的不斷增加，丟包率也進(jìn)一步增加，當(dāng)樣本數(shù)為50 000個時，丟包率約為3.2%。當(dāng)樣本數(shù)超過20 000個時，丟包率明顯下降，測試的樣本數(shù)量應(yīng)為40 000個，才能使電網(wǎng)軟件運(yùn)營平臺丟包率降到最低。

【參考文獻(xiàn)】

［1］""" 武強(qiáng)，苗彥濤，余尚仁.基于智能分析的惡意軟件檢測研究進(jìn)展和挑戰(zhàn)［J］.通信技術(shù)，2022，55（9）：1183?1195.

［2］""" 崔琳，楊黎斌，何清林，等.基于開源信息平臺的威脅情報挖掘綜述［J］.信息安全學(xué)報，2022，7（1）：1?26.

［3］""" 朱大立，金昊，吳荻，等.基于數(shù)據(jù)流深度學(xué)習(xí)算法的Android惡意應(yīng)用檢測方法［J］.信息安全學(xué)報，2019，4（2）：53?68.

［4］""" 熊輝，呂智慧，張世永.基于OpenStack的自適應(yīng)異常檢測模型的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用與軟件，2015，32（9）：292?298.

［5］""" 姚燁，朱怡安，錢亮，等.一種基于異質(zhì)模型融合的Android終端惡意軟件檢測方法［J］.計(jì)算機(jī)科學(xué)，2022，49（S1）：508?515.

［6］""" 張皓.基于深度學(xué)習(xí)的惡意軟件動態(tài)檢測方法研究［J］.電子技術(shù)與軟件工程，2022（3）：43?46.

［7］""" 王聰，邱衛(wèi)東，唐鵬，等.基于CNN和LSTM混合的Android惡意應(yīng)用檢測［J］.通信技術(shù)，2018，51（9）：2209?2214.

［8］""" 符士侃，夏元軼，杜鈺，等.基于概率主題模型的大數(shù)據(jù)平臺隱私泄露自動檢測方法［J］.自動化與儀器儀表，2022（4）：115?118.

［9］""nbsp; 李群，董佳涵，關(guān)志濤，等.一種基于聚類分類的物聯(lián)網(wǎng)惡意攻擊檢測方法［J］.信息網(wǎng)絡(luò)安全，2021，21（8）：82?90.

［10］""" 左曉軍，陳澤，董立勉，等.基于信息安全框架“金三角" 模型”的網(wǎng)絡(luò)安全評估方法研究［J］.粘接，2020，" 41（2）：106?110.

［11］""" 王濤，吳曉燕，程良倫.無線Mesh網(wǎng)絡(luò)基于隱半馬爾" 可夫模型的跨層結(jié)合異常檢測方法［J］.計(jì)算機(jī)科學(xué)，" 2012，39（8）：62?66.

［12］""" 范禹辰，劉相坤，朱建生，等.基于BERT的服務(wù)網(wǎng)站" Web攻擊檢測研究［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2022，"" 32（8）：168?173.

［13］""" 盧純義.基于SDN架構(gòu)的電網(wǎng)通信惡意攻擊防御控制" 方法［J］.微型電腦應(yīng)用，2021，37（12）：162?165.

［14］""" 季一木，焦志鵬，劉尚東，等.基于通信特征的CAN總" 線泛洪攻擊檢測方法［J］.網(wǎng)絡(luò)與信息安全學(xué)報，2020，" 6（1）：27?37.

［15］""" 黎明，宋廣軍.云計(jì)算環(huán)境下軟件異常區(qū)域檢測模型" 仿真［J］.計(jì)算機(jī)仿真，2015，32（9）：314?317.

［16］""" 白宏鵬，鄧東旭，許光全，等.基于聯(lián)邦學(xué)習(xí)的入侵檢測" 機(jī)制研究［J］.信息網(wǎng)絡(luò)安全，2022，22（1）：46?54.

［17］""" 武強(qiáng)，苗彥濤，余尚仁.基于智能分析的惡意軟件檢測" 研究進(jìn)展和挑戰(zhàn)［J］.通信技術(shù)，2022，55（9）：1183?1195.

［18］""" 熊輝，呂智慧，張世永.基于OpenStack的自適應(yīng)異常" 檢測模型的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用與軟件，2015，" 32（9）：292?298.

［19］""" 陳曉軍，姚浩浩，王月領(lǐng)，等.基于DNS日志的惡意域名" 態(tài)勢預(yù)警研究［J］.信息技術(shù)與信息化，2021（7）：99?101.

［20］""" 徐超，孫金莉，楊郡，等.基于分布式支持向量機(jī)的電網(wǎng)" 錯誤數(shù)據(jù)注入檢測法［J］.粘接，2023，50（2）：188?192.