《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信与网络 > 设计应用 > 基于GAN和集成学习的电力系统网络入侵检测方法
基于GAN和集成学习的电力系统网络入侵检测方法
电子技术应用
张军,乔溢
国能(惠州)热电有限责任公司
摘要: 针对现有入侵检测方法在面临高维数据非线性关联和样本分布不均衡的网络监测数据时存在检测准确率低和对少数类攻击漏检率高的问题,提出一种基于生成对抗网络(GAN)与集成学习的电力系统网络入侵检测方法。首先,利用GAN生成与真实分布一致的合成攻击样本,有效缓解数据不均衡问题;其次,通过稀疏自编码器(SAE)对高维特征进行非线性降维,提取低维判别性特征以克服维度灾难;最后,构建Bagging集成学习框架,融合K-means、层次聚类和高斯混合模型(GMM)的异构基学习器,并采用DBSCAN元学习器对聚类结果进行二次分析,提升检测鲁棒性。基于KDD CUP99数据集的实验表明,所提方法在数据增强后使少数类样本占比从2.6%提升至17.7%,检测准确率达96.4%,误检率低至7.3%,尤其少数类关键攻击的召回率超过97.6%。相较于传统方法显著提升了复杂攻击场景下的检测性能,为电力系统网络安全防护提供了新思路。
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)志碼:A DOI: 10.16157/j.issn.0258-7998.256523
中文引用格式: 張軍,喬溢. 基于GAN和集成學(xué)習(xí)的電力系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 電子技術(shù)應(yīng)用,2025,51(12):77-82.
英文引用格式: Zhang Jun,Qiao Yi. Intrusion detection for power system networks using GAN and ensemble learning[J]. Application of Electronic Technique,2025,51(12):77-82.
Intrusion detection for power system networks using GAN and ensemble learning
Zhang Jun,Qiao Yi
Guoneng (Huizhou) Thermal Power Co., Ltd.
Abstract: Current intrusion detection methods suffer from challenges such as non-linear correlations in high-dimensional data and severe class imbalance, resulting in high missed detection rates for rare attacks and poor generalization. To address these issues, this study proposes a hybrid approach combining generative adversarial networks (GAN) and ensemble learning. GAN generates synthetic attack samples aligned with real data distributions to mitigate imbalance, while a sparse autoencoder (SAE) reduces feature dimensions non-linearly, enhancing discriminative power. A Bagging ensemble framework integrates K-means, hierarchical clustering, and Gaussian mixture models (GMM), with DBSCAN meta-learning refining clustering outputs for robustness. Evaluations on the KDD CUP99 dataset demonstrate significant improvements: minority-class representation rises from 2.6% to 17.7%, achieving 96.4% accuracy, 7.3% false detection rate, and over 97.6% recall for critical attacks (e.g., U2R, R2L). This method outperforms traditional techniques, offering a novel solution for securing modern power systems against evolving cyber threats.
Key words : smart grid;intrusion detection;ensemble learning;generative adversarial network (GAN);feature selection

引言

隨著電力系統(tǒng)智能化與網(wǎng)絡(luò)化進(jìn)程的加速,電力網(wǎng)絡(luò)逐漸從物理隔離轉(zhuǎn)向開(kāi)放互聯(lián)。遠(yuǎn)程監(jiān)控、分布式控制等技術(shù)的應(yīng)用顯著提升了系統(tǒng)管理效率,但同時(shí)網(wǎng)絡(luò)邊界的擴(kuò)展也引入了潛在的安全威脅。近年來(lái)針對(duì)電力系統(tǒng)的網(wǎng)絡(luò)攻擊事件頻發(fā),例如2015年烏克蘭電網(wǎng)遭受的黑客攻擊導(dǎo)致大規(guī)模停電,直接經(jīng)濟(jì)損失超千萬(wàn)美元;2019年巴西電力調(diào)度中心因惡意軟件入侵引發(fā)區(qū)域性供電中斷,暴露出電力系統(tǒng)網(wǎng)絡(luò)防御的脆弱性。針對(duì)電力系統(tǒng)的網(wǎng)絡(luò)攻擊不僅威脅數(shù)據(jù)安全,更可能破壞電力設(shè)備、擾亂能源供應(yīng),甚至危及公共安全[1-2]。因此,構(gòu)建高效、精準(zhǔn)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)已成為保障電力系統(tǒng)穩(wěn)定運(yùn)行的關(guān)鍵。

目前國(guó)內(nèi)外學(xué)者對(duì)網(wǎng)絡(luò)入侵檢測(cè)的研究主要可以分為無(wú)監(jiān)督類方法、有監(jiān)督類方法和半監(jiān)督類方法三種。無(wú)監(jiān)督類方法以K-means和DBSCAN等聚類算法為代表[3],通過(guò)對(duì)數(shù)據(jù)進(jìn)行聚類分析實(shí)現(xiàn)異常檢測(cè),無(wú)需標(biāo)注數(shù)據(jù)且部署便捷,但其性能受限于特征表征能力與專家經(jīng)驗(yàn),在實(shí)際場(chǎng)景中當(dāng)面對(duì)異常模式動(dòng)態(tài)變化時(shí),該類方法的誤檢率可能超過(guò)15%[4]。有監(jiān)督類方法以SVM和深度神經(jīng)網(wǎng)絡(luò)等方法為代表[5-6],通過(guò)標(biāo)注樣本訓(xùn)練分類模型,在數(shù)據(jù)充足條件下入侵檢測(cè)準(zhǔn)確率可超過(guò)90%,但是實(shí)際網(wǎng)絡(luò)環(huán)境絕大部分時(shí)間均處于正常狀態(tài),異常樣本稀缺且分布高度不均衡,在這種情況下有監(jiān)督類方法由于得不到足夠的異常樣本進(jìn)行模型訓(xùn)練會(huì)出現(xiàn)檢測(cè)結(jié)果偏向多數(shù)類,對(duì)新型攻擊的漏檢率顯著上升[7]。半監(jiān)督類方法以O(shè)C-SVM和SVDD等方法為代表[8],通過(guò)正常樣本訓(xùn)練決策邊界,雖緩解了標(biāo)注數(shù)據(jù)不足的問(wèn)題,但僅能實(shí)現(xiàn)有無(wú)異常的判斷,無(wú)法區(qū)分具體網(wǎng)絡(luò)攻擊類型,難以滿足實(shí)際防護(hù)需求[9]。

根據(jù)上述已有研究,可以梳理出電力系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)面臨的挑戰(zhàn)在于三個(gè)方面:(1)高維性。單條網(wǎng)絡(luò)數(shù)據(jù)通常包含協(xié)議類型、流量統(tǒng)計(jì)、主機(jī)行為等數(shù)十至數(shù)百維特征,直接建模易引發(fā)“維度災(zāi)難”,導(dǎo)致模型過(guò)擬合與計(jì)算效率低下[10]。(2)非線性。特征間存在復(fù)雜的交互關(guān)系(如時(shí)序依賴、協(xié)議狀態(tài)轉(zhuǎn)移),傳統(tǒng)以PCA為代表的線性降維方法難以捕捉此類非線性模式,造成關(guān)鍵判別信息丟失[11]。(3)不均衡性。正常流量占比遠(yuǎn)遠(yuǎn)超過(guò)異常流量,攻擊樣本(如APT攻擊、零日漏洞利用)極端稀缺,傳統(tǒng)分類器傾向于將少數(shù)類誤判為正常,嚴(yán)重威脅系統(tǒng)安全性[12]。

針對(duì)上述問(wèn)題,本文提出一種基于生成對(duì)抗網(wǎng)絡(luò)(Generative Adversarial Network, GAN)進(jìn)行數(shù)據(jù)增強(qiáng),聯(lián)合稀疏自編碼器(Sparse Auto Encoder, SAE)和Bagging集成學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法。首先利用GAN合成少數(shù)類攻擊樣本,緩解數(shù)據(jù)不均衡問(wèn)題;然后采用SAE通過(guò)多層非線性變換與稀疏約束,自適應(yīng)挖掘高維數(shù)據(jù)中的低維判別特征從而解決非線性和高維性問(wèn)題;最后設(shè)計(jì)基于Bagging的集成框架,融合K-means、層次聚類與高斯混合模型(Gaussian Mixed Model, GMM)的異構(gòu)輸出,通過(guò)DBSCAN元學(xué)習(xí)器進(jìn)行二階聚類分析,從而獲得最終的檢測(cè)結(jié)果。采用KDD CUP99數(shù)據(jù)集開(kāi)展驗(yàn)證試驗(yàn)對(duì)所提方法的性能進(jìn)行驗(yàn)證。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000006880


作者信息:

張軍,喬溢

(國(guó)能(惠州)熱電有限責(zé)任公司,廣東 惠州 516000)


subscribe.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。