(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112398862A(43)申请公布日2021.02.23(21)申请号202011299612.7G07F15/00(2006.01)(22)申请日2020.11.18G06F21/55(2013.01)G06K9/62(2006.01)(71)申请人深圳供电局有限公司G06N3/04(2006.01)地址518000广东省深圳市罗湖区深南东G06N3/08(2006.01)路4020号电力调度通信大楼G06Q50/06(2012.01)申请人浙江大学南方电网科学研究院有限责任公司(72)发明人刘威宁柏锋罗伟峰徐文渊冀晓宇汪锴波李鹏习伟(74)专利代理机构杭州求是专利事务所有限公司33200代理人万尾甜韩介梅(51)Int.Cl.H04L29/06(2006.01)H04L12/24(2006.01)权利要求书2页说明书5页附图2页(54)发明名称一种基于GRU模型的充电桩攻击聚类检测方法(57)摘要本发明公开了一种基于GRU模型的充电桩攻击聚类检测方法，利用GRU模型对充电桩历史报文进行特征提取，并根据全连接网络将GRU模型提取的时间序列特征映射为攻击特征，用于表征不同攻击的特点，并通过三元平均损失函数进行优化，使相同攻击场景对应的攻击特征之间尽可能接近，反之尽可能远；使用标注后的数据集作为模型的训练样本，并在预留的测试集上进行模型的评估与调优，确定模型实现了对充电桩攻击的分类和检测，本发明方法解决了以往预测精度低、预测成本高、攻击种类多变等问题，是一种高效低成本的非侵入式充电桩攻击聚类检测方法，有利于后续针对性的对充电桩系统进行防御。CN112398862ACN112398862A权利要求书1/2页1.一种基于GRU模型的充电桩攻击聚类检测方法，其特征在于，利用充电桩的报文数据，采用基于门控递归单元GRU的深度神经网络模型进行特征提取，并设计损失函数将不同的攻击形式下提取的报文特征表示为高维空间中的攻击特征，使得属于同一类攻击的攻击特征距离尽可能近，反之尽可能远；使用标注后的数据集作为模型的训练样本，并在预留的测试集上进行模型的评估与调优，确定模型用于充电桩攻击类别检测。2.根据权利要求1所述的基于GRU模型的充电桩攻击聚类检测方法，其特征在于，所述的方法具体包括如下步骤：步骤1：以固定时间为间隔，收集充电桩的报文数据，将采集到的充电桩报文进行数据预处理，补全数据中的缺省值，提取报文信息；步骤2：根据充电桩攻击对充电桩报文可能造成的影响，提取能表征攻击特点的报文特征；具体步骤如下：步骤2.1：计算固定源IP地址到固定目的IP地址中的报文数量m1(t)；步骤2.2：计算固定源IP地址到固定目的IP地址中平均连接持续时间m2(t)；步骤2.3：计算固定源IP地址到固定目的IP地址中平均源主机到目标主机的数据字节数m3(t)；步骤2.4：计算固定源IP地址到固定目的IP地址中平均目标主机到源主机的数据字节数m4(t)；步骤2.5：计算固定源IP地址到固定目的IP地址中错误分段的数量m5(t)；步骤2.6：计算固定源IP地址到固定目的IP地址下的平均登陆尝试失败的次数m6(t)；步骤3：使用GRU模型将提取得到的时序特征处理为180维的输出特征H；步骤4：通过全连接网络，将180维的输出特征H映射至90维的攻击特征M，并设计基于样本对(pair-wise)的损失函数，优化全连接网络和GRU模型，使得相同攻击场景下的攻击特征之间距离尽可能近，不同攻击场景的攻击特征之间的距离尽可能远；步骤5：测试模型的聚类检测效果，若模型效果不符合要求，则重新选择模型中的超参数，直到模型在测试数据上满足测试要求，获得模型。3.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法，其特征在于，其中步骤1具体如下：步骤1.1：以固定时间1s为间隔，收集充电桩的报文数据，区分TCP连接基本特征和内容特征；步骤1.2：对所收集信息中的缺省值进行补全；对于采集到的充电桩报文的TCP连接基本特征，选取以下重要信息，duration：连接持续时间；src_bytes：从源主机到目标主机的数据的字节数；dst_bytes：从目标主机到源主机的数据的字节数；wrong_fragment：错误分段的数量；对于TCP连接的内容特征，选取num_failed_logins：登陆尝试失败的次数；若其中数据存在缺省，使用平均值进行补全。4.根据权利要求2所述的基于GRU模型的充电桩攻击聚类检测方法，其特征在于，其中步骤3具体如下：步骤3.1：将t时刻提取的特征m1(t)，m2(t)，m3(t)，m4(t)，m5(t)，m6(t)排列为6维的输入T向量m(t)＝[m1(t)，m2(t)，m3(t