买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：武汉大学

摘要：本发明公开了一种基于GOOSE流量特征的智能变电站网络攻击检测方法及装置，其中的方法包括：S1、收集GOOSE网络攻击的报文数据，对报文内容进行检查，对报文字段进行解析；S2、根据GOOSE协议特点，提取报文特征，构建GOOSE流量特征矩阵；S3、标记GOOSE流量特征矩阵的标签数据，封装为训练集；S4、基于训练集和深度学习算法构建基于流量特征矩阵的GOOSE网络攻击检测模型；S5、使用待检测的智能变电站GOOSE协议流量数据构建流量特征矩阵，并输入到检测模型中，输出检测结果。本发明提供了一种基于GOOSE流量特征的智能变电站网络攻击检测方法，能够对现有GOOSE网络攻击展开有效检测，为智能变电站网络的安全运行提供保障。

主权项：1.基于GOOSE流量特征的智能变电站网络攻击检测方法，其特征在于，包括：S1：收集已知攻击类型的GOOSE报文，对已知攻击类型的GOOSE报文中的报文字段进行解析，获取报文内各个字段值；S2：根据获取的字段值并结合GOOSE协议特点，构建报文字段特征以及报文时序特征，并构建GOOSE流量特征矩阵；S3：对构建的GOOSE流量特征矩阵进行标记，封装为训练集；S4：基于训练集和深度学习算法构建基于流量特征矩阵的GOOSE网络攻击检测模型；S5：采集实际环境下待检测的GOOSE报文，构建对应的GOOSE流量特征矩阵，并输入到基于流量特征矩阵的GOOSE网络攻击检测模型，输出检测结果；根据获取的字段值并结合GOOSE协议特点，构建报文字段特征以及报文时序特征，包括：S2.1：根据获取的字段值构建报文字段特征；S2.2：根据报文之间的关联性和字段间的关联性，构建报文时序特征；步骤S2.1中构建的报文字段特征为： FieldMatrix表示报文字段特征，Source表示源MAC地址，Destination表示目的MAC地址，Appid表示应用标识，GoID表示GOOSE标识，NumDatSetEntries表示AllData字段条目数，AllData表示GOOSE数据集；步骤S2.2中构建的报文时序特征为： TimeMatrix表示报文时序特征，LenChange表示GOOSE报文长度变化情况，Timedelta表示当前窗口内报文之间时间间隔信息，St-Sqdelta表示整合StNum字段和SqNum字段后的特征信息，StNum字段为报文状态序号字段，SqNum字段为报文顺序号字段，AllDatadelta表示AllData内字段变化信息；步骤S2中构建的GOOSE流量特征矩阵为： GooseMatrix为GOOSE流量特征矩阵；步骤S3包括：对于一个GOOSE流量特征矩阵，以其窗口内最近一个接收到的报文标签作为矩阵标签，标记GOOSE流量特征矩阵，形成训练集，其中，正常报文的标签为0，攻击类型的报文的标签为1～4，分别表示重放攻击、注入攻击、泛洪攻击以及畸形报文攻击；步骤S4包括：S4.1：基于PyTorch框架搭建AlexNet神经网络模型，AlexNet神经网络模型包含9层，第一层为输入层，输入从GOOSE流量解析构建的GOOSE流量特征矩阵；第二层和第三层为第一类卷积层，包括操作有卷积、激活函数激活、池化以及归一化；第四层、第五层为第二类卷积层，包括操作有卷积和激活函数激活；第六层为第三类卷积层，包括操作有卷积、激活函数激活和池化；第七层、第八层、第九层分别为两个全连接层和输出层，通过全连接层和softmax函数对输入的GOOSE流量特征矩阵进行检测，输出检测结果；S4.2：对AlexNet神经网络模型进行改进，将改进后的模型作为基于流量特征矩阵的GOOSE网络攻击检测模型，其中改进方式包括：将LeakyReLU代替ReLU作为卷积层的激活函数，将批归一化算法代替局部归一化算法，对输出层以及全连接层的维度进行修改；S4.3：将标记好的GOOSE流量特征矩阵训练集作为模型输入，对基于流量特征矩阵的GOOSE网络攻击检测模型进行多轮训练，并保存训练过程中的最优模型。

全文数据：

权利要求：

百度查询： 武汉大学 基于GOOSE流量特征的智能变电站网络攻击检测方法及装置