本發(fā)明提出了一種基于Bi?LSTM的電網信息系統(tǒng)漏洞攻擊檢測方法及裝置。所述方法包括：離線訓練：通過各種方式收集大量樣本并其標記為正樣本和負樣本，然后對這些樣本進行預處理，包括泛化、分詞和嵌入詞向量，經過預處理的數據用于訓練模型；在線測試：對測試數據進行預處理，包括泛化、分詞和嵌入詞向量，然后將預處理后的數據輸入到分類器中，以確定它是否是SQL注入。本發(fā)明利用非平衡樣本生成方法平衡數據分布，緩解系統(tǒng)的過擬合，同時利用長短期記憶LSTM網絡結合注意力機制自動提取特征并訓練分類器來檢測SQL注入攻擊，有效提高檢測的準確度。

技術領域

本發(fā)明涉及信息安全應用領域，具體涉及一種基于Bi-LSTM的電網信息系統(tǒng)漏洞攻擊檢測方法及裝置。

背景技術

隨著信息通信技術的不斷發(fā)展，電力信息系統(tǒng)應用環(huán)境發(fā)生了巨大變化，許多業(yè)務場景中單體架構業(yè)務應用越來越龐大，代碼邏輯越來越復雜，代碼之間、模塊之間耦合度越來越高，任何局部功能的修改都會導致單體應用重新編譯和部署，故而基于系統(tǒng)漏洞的攻擊之下，容易對整個業(yè)務系統(tǒng)產生極其嚴重惡略的影響。

在電網領域的的網絡安全防御主要包括檢測和防御兩種。檢測是指通過有效的監(jiān)視和分析電力信息系統(tǒng)中惡意行為入侵和異常，并采取相應的報告措施。防御主要是指對檢測到的異常行為采取對應的抵御行動，具體包括傳輸信息的確認、重發(fā)等。由于對攻擊行為的防御措施是在報警之后才能執(zhí)行，故電力信息系統(tǒng)中的安全檢測是整個電網信息防護的關鍵一步。

在電網領域，任何信息系統(tǒng)基于數據庫驅動Web應用程序系統(tǒng)都可能受到SQL注入攻擊的威脅。由于SQL注入攻擊與用戶對系統(tǒng)的正常訪問沒有區(qū)別，并且可以更隱蔽通過提交Web表單、查詢字符串或頁面請求來實現。由于各種類型的SQL注入攻擊和多種變體，目前大多數提出的解決方案只能檢測可能的SQL注入攻擊的子集。而當前的WAF(WebApplication Firewall)基于特征匹配算法很難涵蓋SQL注入攻擊的所有變體。目前，檢測SQL注入攻擊的方法主要包括指令化方法、靜態(tài)分析、動態(tài)分析以及使用淺層機器學習的技術。但是，這些方法不能有效在電網領域中有效使用。靜態(tài)分析檢測方法只能檢測SQL的類型和語法錯誤，而不能檢測具有正確輸入類型的攻擊。動態(tài)檢測只能檢測應用程序開發(fā)人員預定義的漏洞，但是由于SQL語句語法的多樣性，它無法滿足復雜的電力信息系統(tǒng)中的檢測要求?，F有的淺層機器學習方法SVM等根據人工定義和選擇的特征訓練模型，結果主要取決于選擇的特征，但是很難選擇代表性的特征，因此，容易增加誤判的可能性。

綜上可知，現有的檢測SQL注入攻擊的方法不能有效在電網領域中有效使用，檢測準確性不高，而且對于未知漏洞也不能很好的檢測。

發(fā)明內容

發(fā)明目的：本發(fā)明針對電力信息系統(tǒng)特點和當前研究方法的不足，提出一種基于Bi-LSTM的電網信息系統(tǒng)漏洞攻擊檢測方法，基于深度神經網絡進行SQL注入攻擊檢測，可以有效解決數據集過擬合問題和檢測準確性問題。

本發(fā)明的另一目的是提供一種基于Bi-LSTM的電網信息系統(tǒng)漏洞攻擊檢測裝置。

技術方案：根據本發(fā)明的第一方面，提供一種基于Bi-LSTM的電網信息系統(tǒng)漏洞攻擊檢測方法，包括以下步驟：

離線訓練：收集樣本并根據攻擊判斷標記為正樣本和負樣本，對這些樣本進行預處理，包括泛化、分詞和嵌入詞向量，利用經過預處理的數據訓練模型，得到一個分類器；

在線測試：對在線獲得的測試數據進行預處理，包括泛化、分詞和嵌入詞向量，將預處理后的數據輸入到分類器中，以確定是否是SQL注入。

其中，所述離線訓練步驟中，當正樣本和負樣本的數量比例低于預設比例時，進行樣本擴充，將攻擊有效載荷按照一定的規(guī)則組合成攻擊輸入。

進一步地，所述將攻擊有效載荷按照一定的規(guī)則組合成攻擊輸入包括：