《電子技術應用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 基于GAN和集成学习的电力系统网络入侵检测方法
基于GAN和集成学习的电力系统网络入侵检测方法
电子技术应用
张军,乔溢
国能(惠州)热电有限责任公司
摘要: 针对现有入侵检测方法在面临高维数据非线性关联和样本分布不均衡的网络监测数据时存在检测准确率低和对少数类攻击漏检率高的问题,提出一种基于生成对抗网络(GAN)与集成学习的电力系统网络入侵检测方法。首先,利用GAN生成与真实分布一致的合成攻击样本,有效缓解数据不均衡问题;其次,通过稀疏自编码器(SAE)对高维特征进行非线性降维,提取低维判别性特征以克服维度灾难;最后,构建Bagging集成学习框架,融合K-means、层次聚类和高斯混合模型(GMM)的异构基学习器,并采用DBSCAN元学习器对聚类结果进行二次分析,提升检测鲁棒性。基于KDD CUP99数据集的实验表明,所提方法在数据增强后使少数类样本占比从2.6%提升至17.7%,检测准确率达96.4%,误检率低至7.3%,尤其少数类关键攻击的召回率超过97.6%。相较于传统方法显著提升了复杂攻击场景下的检测性能,为电力系统网络安全防护提供了新思路。
中圖分類號:TP309 文獻標志碼:A DOI: 10.16157/j.issn.0258-7998.256523
中文引用格式: 張軍,喬溢. 基于GAN和集成學習的電力系統(tǒng)網絡入侵檢測方法[J]. 電子技術應用,2025,51(12):77-82.
英文引用格式: Zhang Jun,Qiao Yi. Intrusion detection for power system networks using GAN and ensemble learning[J]. Application of Electronic Technique,2025,51(12):77-82.
Intrusion detection for power system networks using GAN and ensemble learning
Zhang Jun,Qiao Yi
Guoneng (Huizhou) Thermal Power Co., Ltd.
Abstract: Current intrusion detection methods suffer from challenges such as non-linear correlations in high-dimensional data and severe class imbalance, resulting in high missed detection rates for rare attacks and poor generalization. To address these issues, this study proposes a hybrid approach combining generative adversarial networks (GAN) and ensemble learning. GAN generates synthetic attack samples aligned with real data distributions to mitigate imbalance, while a sparse autoencoder (SAE) reduces feature dimensions non-linearly, enhancing discriminative power. A Bagging ensemble framework integrates K-means, hierarchical clustering, and Gaussian mixture models (GMM), with DBSCAN meta-learning refining clustering outputs for robustness. Evaluations on the KDD CUP99 dataset demonstrate significant improvements: minority-class representation rises from 2.6% to 17.7%, achieving 96.4% accuracy, 7.3% false detection rate, and over 97.6% recall for critical attacks (e.g., U2R, R2L). This method outperforms traditional techniques, offering a novel solution for securing modern power systems against evolving cyber threats.
Key words : smart grid;intrusion detection;ensemble learning;generative adversarial network (GAN);feature selection

引言

隨著電力系統(tǒng)智能化與網絡化進程的加速,電力網絡逐漸從物理隔離轉向開放互聯(lián)。遠程監(jiān)控、分布式控制等技術的應用顯著提升了系統(tǒng)管理效率,但同時網絡邊界的擴展也引入了潛在的安全威脅。近年來針對電力系統(tǒng)的網絡攻擊事件頻發(fā),例如2015年烏克蘭電網遭受的黑客攻擊導致大規(guī)模停電,直接經濟損失超千萬美元;2019年巴西電力調度中心因惡意軟件入侵引發(fā)區(qū)域性供電中斷,暴露出電力系統(tǒng)網絡防御的脆弱性。針對電力系統(tǒng)的網絡攻擊不僅威脅數(shù)據(jù)安全,更可能破壞電力設備、擾亂能源供應,甚至危及公共安全[1-2]。因此,構建高效、精準的網絡入侵檢測系統(tǒng)已成為保障電力系統(tǒng)穩(wěn)定運行的關鍵。

目前國內外學者對網絡入侵檢測的研究主要可以分為無監(jiān)督類方法、有監(jiān)督類方法和半監(jiān)督類方法三種。無監(jiān)督類方法以K-means和DBSCAN等聚類算法為代表[3],通過對數(shù)據(jù)進行聚類分析實現(xiàn)異常檢測,無需標注數(shù)據(jù)且部署便捷,但其性能受限于特征表征能力與專家經驗,在實際場景中當面對異常模式動態(tài)變化時,該類方法的誤檢率可能超過15%[4]。有監(jiān)督類方法以SVM和深度神經網絡等方法為代表[5-6],通過標注樣本訓練分類模型,在數(shù)據(jù)充足條件下入侵檢測準確率可超過90%,但是實際網絡環(huán)境絕大部分時間均處于正常狀態(tài),異常樣本稀缺且分布高度不均衡,在這種情況下有監(jiān)督類方法由于得不到足夠的異常樣本進行模型訓練會出現(xiàn)檢測結果偏向多數(shù)類,對新型攻擊的漏檢率顯著上升[7]。半監(jiān)督類方法以OC-SVM和SVDD等方法為代表[8],通過正常樣本訓練決策邊界,雖緩解了標注數(shù)據(jù)不足的問題,但僅能實現(xiàn)有無異常的判斷,無法區(qū)分具體網絡攻擊類型,難以滿足實際防護需求[9]。

根據(jù)上述已有研究,可以梳理出電力系統(tǒng)網絡入侵檢測面臨的挑戰(zhàn)在于三個方面:(1)高維性。單條網絡數(shù)據(jù)通常包含協(xié)議類型、流量統(tǒng)計、主機行為等數(shù)十至數(shù)百維特征,直接建模易引發(fā)“維度災難”,導致模型過擬合與計算效率低下[10]。(2)非線性。特征間存在復雜的交互關系(如時序依賴、協(xié)議狀態(tài)轉移),傳統(tǒng)以PCA為代表的線性降維方法難以捕捉此類非線性模式,造成關鍵判別信息丟失[11]。(3)不均衡性。正常流量占比遠遠超過異常流量,攻擊樣本(如APT攻擊、零日漏洞利用)極端稀缺,傳統(tǒng)分類器傾向于將少數(shù)類誤判為正常,嚴重威脅系統(tǒng)安全性[12]。

針對上述問題,本文提出一種基于生成對抗網絡(Generative Adversarial Network, GAN)進行數(shù)據(jù)增強,聯(lián)合稀疏自編碼器(Sparse Auto Encoder, SAE)和Bagging集成學習的網絡入侵檢測方法。首先利用GAN合成少數(shù)類攻擊樣本,緩解數(shù)據(jù)不均衡問題;然后采用SAE通過多層非線性變換與稀疏約束,自適應挖掘高維數(shù)據(jù)中的低維判別特征從而解決非線性和高維性問題;最后設計基于Bagging的集成框架,融合K-means、層次聚類與高斯混合模型(Gaussian Mixed Model, GMM)的異構輸出,通過DBSCAN元學習器進行二階聚類分析,從而獲得最終的檢測結果。采用KDD CUP99數(shù)據(jù)集開展驗證試驗對所提方法的性能進行驗證。


本文詳細內容請下載:

http://ihrv.cn/resource/share/2000006880


作者信息:

張軍,喬溢

(國能(惠州)熱電有限責任公司,廣東 惠州 516000)


subscribe.jpg

此內容為AET網站原創(chuàng),未經授權禁止轉載。