CN104994056A - 一种电力信息网络中流量识别模型的动态更新方法 - Google Patents

Abstract

本发明提供一种电力信息网络中流量识别模型的动态更新方法，包括以下步骤：获得流量识别模型；动态更新流量识别模型。本发明提供的电力信息网络中流量识别模型的动态更新方法，可以保证流量识别模型能够快速跟踪流量样本中所包含的知识，准确地检测出异常流量，在此基础上实现主动预警功能，提升了电力信息网络的安全性。

Description

一种电力信息网络中流量识别模型的动态更新方法

技术领域

本发明属于电力信息网络安全领域，具体涉及一种电力信息网络中流量识别模型的动态更新方法。

背景技术

随着计算机技术和网络通信技术的快速发展，电力行业业务的信息化已逐渐普及。通过分层设计、区域联网实现规模宏大的电力信息网络，为电力行业的调度，业务处理提供方便，实现电力负荷的调度使用最优化，获得较好的经济效益。由于电力系统涉及社会各行各业，所以电力信息网络安全无小事，事事均会带来较为严重的政治、经济影响。作为一种应用性较强的信息网络，同样面临着来自网络内部和外部的网络攻击问题，导致近年来各地频频出现大面积停电事件。为解决相应问题，国家出台了一系列的安全标准和使用规范，同时各研究单位针对电力信息网络各个环节设计出许多安全产品和技术方案。2009年华北电力大学王保义教授团队基于数据挖掘思想设计入侵检测算法AR_Tree，通过对所提取的电力信息网络流量样本集测试获得了较为满意的实验效果。在2011年的国际会议CSSS中，Gao Kunlun等通过对电力信息网络安全态势的宏观建模分析，获得相应的评估指标体系，利用拟合回归函数的方法求解电力信息网络流量识别模型。在此基础上，徐茹枝等利用AdaBoosting方法，基于滑动窗口机制建立回归识别预警模型。相关工作均是基于数据挖掘的思想建立识别模型，然后用识别模型对后续流量进行分类，根据分类结果采取相应的网络控制策略，实现主动预警功能。这些工作均强调了流量识别模型的构建算法，而且在构建算法设计时，均假设了电力信息网络中流量样本系列在相应输入特征空间内所呈现的概念是静态不变的。由于网络的动态性和应用形式不断发生变化，概念不变的假设前提在实际环境中难以保证，因此相应的基于数据挖掘思想的流量识别模型应该适时更新。

发明内容

为了克服上述现有技术的不足，本发明提供一种电力信息网络中流量识别模型的动态更新方法，可以保证流量识别模型能够快速跟踪流量样本中所包含的知识，准确地检测出异常流量，在此基础上实现主动预警功能，提升了电力信息网络的安全性。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种电力信息网络中流量识别模型的动态更新方法，所述方法包括以下步骤：

步骤1：获得流量识别模型；

步骤2：动态更新流量识别模型。

所述步骤1中，采用Bayes算法进行训练，以获得流量识别模型。

所述步骤1具体包括以下步骤：

步骤1-1：电力信息网络中流量按类别分为正常流量和异常流量，用p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，分别对p(y＝+1)和p(y＝-1)进行估算，有：

$\hat{p}(y=+1)=\frac{|(x_i,y_i)\∈D\∩y_i=+1|}{\left|D\right|}$

$\hat{p}(y=-1)=1-\hat{p}(y=+1)$

其中，表示正常流量样本的先验概率分布p(y＝+1)的估计值；表示异常流量样本的先验概率分布p(y＝-1)的估计值；|(x_i,y_i)∈D∩y_i＝+1|表示正常流量样本个数；|D|表示流量样本个数；x_i表示流量样本，y_i表示流量样本所属类别，y_i取值+1代表正常流量，y_i取值-1代表异常流量；

步骤1-2：采用多变量高斯分布模型进行拟合，得到正常流量样本的均值、正常流量样本的协方差、异常流量样本的均值和异常流量样本的协方差；分别表示为：

${\widehat{\mathrm{\μ}}}^{+}=\frac{1}{m}\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{x}_i^{+}$

${\widehat{\mathrm{\Σ}}}^{+}=\frac{1}{m}\underset{i=1}{\overset{m}{\mathrm{\Σ}}}(x_i^{+}-{\widehat{\mathrm{\μ}}}^{+}){(x_i^{+}-{\hat{u}}^{+})}^T$

${\widehat{\mathrm{\μ}}}^{-}=\frac{1}{n-m}\underset{j=1}{\overset{n-m}{\mathrm{\Σ}}}{x}_j^{-}$

${\widehat{\mathrm{\Σ}}}^{-}=\frac{1}{n-m}\underset{j=1}{\overset{n-m}{\mathrm{\Σ}}}(x_j^{-}-{\widehat{\mathrm{\μ}}}^{-}){(x_j^{-}-{\hat{u}}^{-})}^T$

其中，表示正常流量样本的均值，表示正常流量样本，表示正常流量样本的协方差，m表示正常流量样本个数；表示异常流量样本的均值，表示异常流量样本，表示异常流量样本的协方差，n表示流量样本个数，T表示矩阵转置；

步骤1-3：采用Bayes定理，通过流量样本的先验概率分布和类条件概率分布求出后验概率分布得到流量样本的后验概率分布，有：

$P(y=+1/x)=\max \frac{P(x/y=+1)P(y=+1)}{P\left(x\right)}$

$P(y=-1/x)=\max \frac{P(x/y=-1)P(y=-1)}{P\left(x\right)}$

其中，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布，P(x/y＝+1)表示正常流量的类条件概率分布，P(x/y＝-1)表示异常流量的类条件概率分布，p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，P(x)表示流量样本概率分布。

所述步骤2中，在对流量识别模型进行动态更新前，先进行流量样本识别。

流量样本识别包括：

(1)根据IANA组织的端口分配信息，结合对应网络应用的文档说明判断出端口使用情况，之后基于端口分配信息进行流量样本过滤，基于公众熟知的注册端口进行通讯的连接请求予以放行；

(2)采用流量识别模型对经过过滤后的流量样本进行识别，若被判断为异常流量样本，阻止其对应的网络连接行为，并提交相应的预警信息；若被判断为正常流量样本，放行其对应的网络连接行为，同时保留相关流量样本的分类信息。

对流量识别模型进行动态更新包括：

(1)采用流量样本信息熵衡量流量样本的有用性，流量样本有用性用下式表示，有：

U_i(x)＝-Σp(y＝+1/x)log p(y＝+1/x)

U_j(x)＝-Σp(y＝-1/x)log p(y＝-1/x)

其中，U_i(x)表示正常流量样本有用性，U_j(x)表示异常流量有用性，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布；

流量样本有用性的临界值设置为0.65，即当U_i(x)或U_j(x)大于0.65时，需保存流量样本后验概率分布进行流量识别模型的更新学习；

(2)将流量样本后验概率分布迁移到流量识别模型中，利用下式估计当前先验知识，有：

${\hat{p}}_k(y=+1)=(1-\mathrm{\α})p_{k-1}(y=+1)+\mathrm{\αp}(y=+1/x)$

${\hat{p}}_k(y=-1)=(1-\mathrm{\α})p_{k-1}(y=-1)+\mathrm{\αp}(y=-1/x)$

其中，表示k步正常流量样本的先验概率分布p(y＝+1)的估计值，表示k步异常流量样本的先验概率分布p(y＝-1)的估计值，，p_k-1(y＝+1)表示k-1步正常流量样本的先验概率分布，p_k-1(y＝-1)表示k-1步异常流量样本的先验概率分布，p(y＝+1/x)表示正常流量样本的后验概率分布，p(y＝-1/x)表示当前异常流量样本的后验概率分布，α表示权重，取值为0.5。

与现有技术相比，本发明的有益效果在于：

1.本发明根据机器学习理论，借助数据挖掘工具设计出电力信息网络中流量识别模型，具有较强的可行性与适用性；

2.本发明所提出的流量识别模型更新过程，直接利用流量样本中有用性较高的样本类别信息不断修正流量识别模型中的先验知识，解决了概念变化问题。

附图说明

图1是本发明实施例中电力信息网络中流量识别模型的动态更新方法流程图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

电力信息网络根据业务特点和安全需求分四个安全区：实时控制区、非控制生产区、生产管理区、管理信息区。其中生产管理区和管理信息区属于信息自动化范畴，也是整个电力信息网络面临攻击的重灾区，本发明通过适时更新识别模型及时反映出流量样本系列中的概念，以便提高识别模型分类的准确性，保证电力信息网络安全。结合电力信息网络特点，使用数据挖掘技术构建相应的流量识别模型，对流经电力信息网络中的流量进行模式分类，同时解决流量产生过程中可能出现的概念漂移问题。跟传统的数据挖掘识别或入侵检测系统相比，本发明具有两大特点：一是通过知识迁移增量式更新流量识别模型，使流量识别模型能够自适应流量挖掘过程中可能存在的概念漂移现象；二是通过信息熵的概念来评价样本参与增量式学习的有用性。

电力信息网络中基于Bayes算法的流量识别模型动态更新流程如附图1所示，包括以下步骤：

步骤1：获得流量识别模型；

步骤2：动态更新流量识别模型。

所述步骤1中，采用Bayes算法进行训练，以获得流量识别模型。

所述步骤1具体包括以下步骤：

步骤1-1：电力信息网络中流量按类别分为正常流量和异常流量，用p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，分别对p(y＝+1)和p(y＝-1)进行估算，有：

$\hat{p}(y=+1)=\frac{|(x_i,y_i)\∈D\∩y_i=+1|}{\left|D\right|}$

$\hat{p}(y=-1)=1-\hat{p}(y=+1)$

其中，表示正常流量样本的先验概率分布p(y＝+1)的估计值；表示异常流量样本的先验概率分布p(y＝-1)的估计值；|(x_i,y_i)∈D∩y_i＝+1|表示正常流量样本个数；|D|表示流量样本个数；x_i表示流量样本，y_i表示流量样本所属类别，y_i取值+1代表正常流量，y_i取值-1代表异常流量；

步骤1-2：采用多变量高斯分布模型进行拟合，得到正常流量样本的均值、正常流量样本的协方差、异常流量样本的均值和异常流量样本的协方差；分别表示为：

${\widehat{\mathrm{\μ}}}^{+}=\frac{1}{m}\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{x}_i^{+}$

${\widehat{\mathrm{\Σ}}}^{+}=\frac{1}{m}\underset{i=1}{\overset{m}{\mathrm{\Σ}}}(x_i^{+}-{\widehat{\mathrm{\μ}}}^{+}){(x_i^{+}-{\hat{u}}^{+})}^T$

${\widehat{\mathrm{\μ}}}^{-}=\frac{1}{n-m}\underset{j=1}{\overset{n-m}{\mathrm{\Σ}}}{x}_j^{-}$

${\widehat{\mathrm{\Σ}}}^{-}=\frac{1}{n-m}\underset{j=1}{\overset{n-m}{\mathrm{\Σ}}}(x_j^{-}-{\widehat{\mathrm{\μ}}}^{-}){(x_j^{-}-{\hat{u}}^{-})}^T$

其中，表示正常流量样本的均值，表示正常流量样本，表示正常流量样本的协方差，m表示正常流量样本个数；表示异常流量样本的均值，表示异常流量样本，表示异常流量样本的协方差，n表示流量样本个数，T表示矩阵转置；

步骤1-3：采用Bayes定理，通过流量样本的先验概率分布和类条件概率分布求出后验概率分布得到流量样本的后验概率分布，有：

$P(y=+1/x)=\max \frac{P(x/y=+1)P(y=+1)}{P\left(x\right)}$

$P(y=-1/x)=\max \frac{P(x/y=-1)P(y=-1)}{P\left(x\right)}$

其中，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布，P(x/y＝+1)表示正常流量的类条件概率分布，P(x/y＝-1)表示异常流量的类条件概率分布，p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，P(x)表示流量样本概率分布。

所述步骤2中，在对流量识别模型进行动态更新前，先进行流量样本识别。

流量样本识别包括：

(1)根据IANA组织的端口分配信息，结合对应网络应用的文档说明判断出端口使用情况，之后基于端口分配信息进行流量样本过滤，基于公众熟知的注册端口进行通讯的连接请求予以放行；

(2)采用流量识别模型对经过过滤后的流量样本进行识别，若被判断为异常流量样本，阻止其对应的网络连接行为，并提交相应的预警信息；若被判断为正常流量样本，放行其对应的网络连接行为，同时保留相关流量样本的分类信息。

对流量识别模型进行动态更新包括：

(1)采用流量样本信息熵衡量流量样本的有用性，流量样本有用性用下式表示，有：

U_i(x)＝-Σp(y＝+1/x)log p(y＝+1/x)

U_j(x)＝-Σp(y＝-1/x)log p(y＝-1/x)

其中，U_i(x)表示正常流量样本有用性，U_j(x)表示异常流量有用性，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布；

流量样本有用性的临界值设置为0.65，即当U_i(x)或U_j(x)大于0.65时，需保存流量样本后验概率分布进行流量识别模型的更新学习；

(2)将流量样本后验概率分布迁移到流量识别模型中，利用下式估计当前先验知识，有：

${\hat{p}}_k(y=+1)=(1-\mathrm{\α})p_{k-1}(y=+1)+\mathrm{\αp}(y=+1/x)$

${\hat{p}}_k(y=-1)=(1-\mathrm{\α})p_{k-1}(y=-1)+\mathrm{\αp}(y=-1/x)$

其中，表示k步正常流量样本的先验概率分布p(y＝+1)的估计值，表示k步异常流量样本的先验概率分布p(y＝-1)的估计值，，p_k-1(y＝+1)表示k-1步正常流量样本的先验概率分布，p_k-1(y＝-1)表示k-1步异常流量样本的先验概率分布，p(y＝+1/x)表示正常流量样本的后验概率分布，p(y＝-1/x)表示当前异常流量样本的后验概率分布，α表示权重，取值为0.5。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。

Claims (6)

1.一种电力信息网络中流量识别模型的动态更新方法，其特征在于：所述方法包括以下步骤：

步骤1：获得流量识别模型；

步骤2：动态更新流量识别模型。

2.根据权利要求1所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：所述步骤1中，采用Bayes算法进行训练，以获得流量识别模型。

3.根据权利要求1或2所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：所述步骤1具体包括以下步骤：

步骤1-1：电力信息网络中流量按类别分为正常流量和异常流量，用p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，分别对p(y＝+1)和p(y＝-1)进行估算，有：

$\hat{p}(y=+1)=\frac{|(x_i,y_i)\∈D\∩y_i=+1|}{\left|D\right|}$

$\hat{p}(y=-1)=1-\hat{p}(y=+1)$

其中，表示正常流量样本的先验概率分布p(y＝+1)的估计值；表示异常流量样本的先验概率分布p(y＝-1)的估计值；|(x_i,y_i)∈D∩y_i＝+1|表示正常流量样本个数；|D|表示流量样本个数；x_i表示流量样本，y_i表示流量样本所属类别，y_i取值+1代表正常流量，y_i取值-1代表异常流量；

步骤1-2：采用多变量高斯分布模型进行拟合，得到正常流量样本的均值、正常流量样本的协方差、异常流量样本的均值和异常流量样本的协方差；分别表示为：

${\widehat{\mathrm{\μ}}}^{+}=\frac{1}{m}\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{x}_i^{+}$

${\widehat{\mathrm{\Σ}}}^{+}=\frac{1}{m}(x_i^{+}-{\hat{u}}^{+}){(x_i^{+}-{\hat{u}}^{+})}^T$

${\widehat{\mathrm{\μ}}}^{-}=\frac{1}{n-m}\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{x}_i^{-}$

${\widehat{\mathrm{\Σ}}}^{-}=\frac{1}{n-m}\underset{j=1}{\overset{n-m}{\mathrm{\Σ}}}(x_i^{-}-{\hat{u}}^{-}){(x_i^{-}-{\hat{u}}^{-})}^T$

其中，表示正常流量样本的均值，表示正常流量样本，表示正常流量样本的协方差，m表示正常流量样本个数；表示异常流量样本的均值，表示异常流量样本，表示异常流量样本的协方差，n表示流量样本个数，T表示矩阵转置；

步骤1-3：采用Bayes定理，通过流量样本的先验概率分布和类条件概率分布求出后验概率分布得到流量样本的后验概率分布，有：

$P(y=+1/x)=\max \frac{P(x/y=+1)P(y=+1)}{P\left(x\right)}$

$P(y=-1/x)=\max \frac{P(x/y=-1)P(y=-1)}{P\left(x\right)}$

其中，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布，P(x/y＝+1)表示正常流量的类条件概率分布，P(x/y＝-1)表示异常流量的类条件概率分布，p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，P(x)表示流量样本概率分布。

4.根据权利要求1所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：所述步骤2中，在对流量识别模型进行动态更新前，先进行流量样本识别。

5.根据权利要求4所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：流量样本识别包括：

(1)根据IANA组织的端口分配信息，结合对应网络应用的文档说明判断出端口使用情况，之后基于端口分配信息进行流量样本过滤，基于公众熟知的注册端口进行通讯的连接请求予以放行；

(2)采用流量识别模型对经过过滤后的流量样本进行识别，若被判断为异常流量样本，阻止其对应的网络连接行为，并提交相应的预警信息；若被判断为正常流量样本，放行其对应的网络连接行为，同时保留相关流量样本的分类信息。

6.根据权利要求4所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：对流量识别模型进行动态更新包括：

(1)采用流量样本信息熵衡量流量样本的有用性，流量样本有用性用下式表示，有：

U_i(x)＝-Σp(y＝+1/x)logp(y＝+1/x)

U_j(x)＝-Σp(y＝-1/x)logp(y＝-1/x)

其中，U_i(x)表示正常流量样本有用性，U_j(x)表示异常流量有用性，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布；

流量样本有用性的临界值设置为0.65，即当U_i(x)或U_j(x)大于0.65时，需保存流量样本后验概率分布进行流量识别模型的更新学习；

(2)将流量样本后验概率分布迁移到流量识别模型中，利用下式估计当前先验知识，有：

${\hat{p}}_k(y=+1)=(1-\mathrm{\α})p_{k-1}(y=+1)+\mathrm{\αp}(y=+1/x)$

${\hat{p}}_k(y=-1)=(1-\mathrm{\α})p_{k-1}(y=-1)+\mathrm{\αp}(y=-1/x)$

其中，表示k步正常流量样本的先验概率分布p(y＝+1)的估计值，表示k步异常流量样本的先验概率分布p(y＝-1)的估计值，，p_k-1(y＝+1)表示k-1步正常流量样本的先验概率分布，p_k-1(y＝-1)表示k-1步异常流量样本的先验概率分布，p(y＝+1/x)表示正常流量样本的后验概率分布，p(y＝-1/x)表示当前异常流量样本的后验概率分布，α表示权重，取值为0.5。