CN107786369B - 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法 - Google Patents

基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法 Download PDF

Info

Publication number
CN107786369B
CN107786369B CN201710881813.XA CN201710881813A CN107786369B CN 107786369 B CN107786369 B CN 107786369B CN 201710881813 A CN201710881813 A CN 201710881813A CN 107786369 B CN107786369 B CN 107786369B
Authority
CN
China
Prior art keywords
network
host
service
layer
power communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710881813.XA
Other languages
English (en)
Other versions
CN107786369A (zh
Inventor
姜文婷
李伟坚
林少锐
卢乐书
刘紫健
亢中苗
施展
赵瑞锋
周安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Original Assignee
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd filed Critical Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority to CN201710881813.XA priority Critical patent/CN107786369B/zh
Publication of CN107786369A publication Critical patent/CN107786369A/zh
Application granted granted Critical
Publication of CN107786369B publication Critical patent/CN107786369B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/044Network management architectures or arrangements comprising hierarchical management structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Economics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Public Health (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Strategic Management (AREA)
  • Primary Health Care (AREA)
  • Marketing (AREA)
  • Human Resources & Organizations (AREA)
  • General Health & Medical Sciences (AREA)
  • Water Supply & Treatment (AREA)
  • Data Mining & Analysis (AREA)
  • Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法,该方法用于解决对现有电力通信网络中安全态势的感知和预测,本发明的实施流程包括:首先从电力通信网络中采集到的网络连接状况数据中抽取影响网络安全态势评估的特征,并基于层次化的IRT模型计算出网络安全态势值,而后基于长短期记忆网络(LSTM)建立网络安全态势预测模型,实现对电力通信网络安全态势的预测。采用本发明的方法,能够有效提高安全态势评估过程中重要性权重的准确性,针对网络安全态势的时序特性,更好地预测电力通信网络的安全态势,并且所建立的模型评估和预测方法可以更加准确、高效地反映和预测网络安全状况。

Description

基于IRT层次分析和LSTM的电力通信网络安全态势感知和预 测方法
技术领域
本发明涉及电力通信网络中网络安全态势分析技术领域,尤其涉及一种基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法。
背景技术
随着智能电网研究与实践的推进,传统意义上的电网正逐步与信息通信系统、监测控制系统相互融合,电力通信网安全和电网运行安全紧密相连,电力通信网安全为电网安全的重中之重。电力行业在“十二五”期间不断强化网络安全,具有电力行业特色的网络安全防护体系不断完善。目前电力信息网络采用“安全分区、网络专用、横向隔离、纵向认证”的安全防护体系。“安全分区”将各项电力业务功能分别置于生产控制大区与管理信息大区中;“网络专用”利用网络产品组建电力调度数据网,为调度控制业务提供专用网络支持;“横向隔离”通过自主研发的电力专用单向隔离装置实现生产控制大区与管理信息大区的安全隔离;“纵向认证”通过自主研发的电力专用纵向加密认证装置为纵向传输的业务数据提供加密和认证保护。
电力通信网络系统具有复杂性、动态性等特点,具有一定的脆弱性,而拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷,来自内外部的安全风险给网络安全工作带来了极大的压力与挑战,开展电力通信网的安全态势感知预警技术研究与应用极为必要。虽然针对网络安全态势感知和预测的模型和方法有很多,但往往存在模型的适应性不够灵活,考虑特征不够全面等原因,导致将其直接用于电力通信网络安全态势感知时预测结果的准确度不够高。因此,需要设计合理的电力通信网络的安全态势量化方法,并训练出高效地预测模型对网络安全态势进行预测。
发明内容
本发明目的在于解决上述现有技术运用于电力通信网络时的不足,提出了一种基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法,该方法应用于解决现有电力通信网络中对网络安全态势感知和预测准确性不高的问题,该方法首先从电力通信网络中采集到的网络连接状况数据中抽取影响网络安全态势评估的特征,并基于层次化的IRT模型计算出网络安全态势值,而后基于长短期记忆网络(LSTM)建立网络安全态势预测模型,实现对电力通信网络安全态势的预测。采用本发明的方法,能够有效提高安全态势评估过程中重要性权重的准确性,针对网络安全态势的时序特性,更好地预测电力通信网络的安全态势,并且所建立的模型评估和预测方法可以更加准确、高效地反映和预测网络安全状况。
本发明解决其技术问题所采取的技术方案是:
一种基于IRT层次分析和长短期记忆网络LSTM的电力通信网络安全态势感知和预测方法,该方法包括以下步骤:
步骤1:从电力通信网络中采集到的网络连接状况数据中选取影响网络安全态势评估的特征,进行数据预处理。
(1-1)从电力通信网络中收集的网络关键信息的原始记录中,挑选固定时间长度的网络关键信息数据,每条数据包含4方面属性:A.时间信息包含:采集时间段TIME;B.网路中主机相关信息包括:主机的数量HOSTS_NUM,各主机的重要性等级HOSTS_LEVEL,各主机的安全防护等级SECURE_LEVEL;C.运行信息包括:各主机上运行的服务的总数SERVICE_NUM,主机上运行的各项服务的平均访问量VISIT_NUM、访问频率VISIT_FREQ和各项服务的重要性等级SERVICE_LEVEL;D.网络防护设备的报警信息包括:报警标识符ALARM_ID,攻击类型ATTACK_TYPE,源地址SIP和目的地址DIP,源端口SP和目的端口DP;
(1-2)数据清洗,去除含有缺失值的数据记录;
(1-3)根据CVSS数据库对每条记录补充对应的以下特征的数值表示:各个主机的攻击复杂度AC,攻击途径AV,身份认证AU;
步骤2:基于层次化的IRT模型计算出网络安全态势值。
(2-1)计算服务安全等级
A.计算主机中存在的漏洞信息C:
Figure BDA0001419316450000021
B.计算第j个服务的安全等级SLj
SLj=3(0.4*Cj+0.6SECURE_LEVELj)
在上式中,Cj表示某个主机上第j个服务存在的漏洞信息,SECURE_LEVELj表示服务j所在主机的安全防护等级。
C.计算攻击成功概率:
基于IRT理论,计算攻击行为i对主机上服务j的攻击成功概率ATT_proij
在上式中,θi表示第i种攻击行为的攻击能力值,SLj为第j个服务的安全等级,D为常数,取值1.7,使用对数最大似然的方法对参数θi进行估计,求取θi
D.计算服务层的安全态势:
在一条数据记录中,即在固定时间段中,根据报警信息统计该时间段内服务Si被第k类威胁攻击的总数ATT_Numik,根据攻击类型确定k类攻击的威胁因子TFk,则服务Si的安全态势值:
Figure BDA0001419316450000032
在上式中,n表示服务Si受到的攻击的类型的总数,θk为第k类攻击的攻击能力值
(2-2)计算服务性能重要性权重:
采用(0,1,2)三标度层次分析法确定服务性能重要性权重。
A.根据三标度法构造比较矩阵Z,矩阵元素zij表示服务i和服务j相比的重要性大小,具体表达式如下
Figure BDA0001419316450000033
同理:
Figure BDA0001419316450000034
B.使用极差法将比较矩阵Z转化为判断矩阵Q,其中判断矩阵中的元素qij
Figure BDA0001419316450000041
在上式中ri表示比较矩阵第i行元素之和,rmax和rmin分别表示ri中的最大值和最小值,ei为常数,在本案中取9。
C.采用方根法对第i个服务的重要性权重wi进行求解,并标准化为
Figure BDA0001419316450000042
Figure BDA0001419316450000043
Figure BDA0001419316450000044
在上式中,ns表示服务的总数;
(2-3)计算主机Hg的安全态势
Figure BDA0001419316450000045
Figure BDA0001419316450000046
在上式中,
Figure BDA00014193164500000411
表示主机Hg中第i个服务的安全态势值,
Figure BDA0001419316450000047
表示主机中第i个服务的重要性权重,u表示主机Hg所有服务的总数。
(2-4)计算各主机重要性权重HOST_WEIGHTg
Figure BDA0001419316450000048
在上式中,HOSTS_LEVELg为第g台主机的重要性等级,该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注,分为1,2,3,4,5五个等级,数值越大表示重要性等级越高;HOST_NUM为网络中运行主机的总数。
(2-5)计算网络安全态势NETWORK_S
Figure BDA0001419316450000049
在上式中,
Figure BDA00014193164500000410
表示主机g在网络中的安全态势值,HOST_WEIGHTg表示主机g的再网络中的重要性权重。
步骤3:基于长短期记忆网络(LSTM)建立网络安全态势预测模型。
所述步骤3包括:
(3-1)根据求得各个时间段的网络安全态势值,从而形成时间序列样本(x1,x2,x3,...,xt,...),由此,可以构造训练数据集
Figure BDA0001419316450000051
在上式中,
(3-2)随机初始化网络的权值和偏置:
W=Wxg=Whg=Wxi=Wxf=Whf=Wxo=Who≈0
bg=bi=bo=b≈0
bf=1
(3-3)计算LSTM网络中各个记忆模块里面各个门的输出值:
Figure BDA0001419316450000053
在上式中,
Figure BDA0001419316450000054
表示输入挤压单元,
Figure BDA0001419316450000055
表示输入们单元,这两个单元为状态更新准备,
Figure BDA0001419316450000056
表示遗忘门单元,用于决定网络对输入序列的忘记程度,
Figure BDA0001419316450000057
用于更新模块的状态,
Figure BDA0001419316450000058
表示模块更新后的输出。
(3-4)开始迭代,采用一个三层神经网络,第一层为输入层,第二层为隐藏层,第三层为输出层,各层的神经元数量分别为20,50,1,采用BPTT算法,从而训练得到LSTM模型。训练过程中通过计算以下式子对权值进行更新:
Figure BDA0001419316450000059
Figure BDA0001419316450000061
在上面的式子中τ∈{g,i,f,o},LN为整个函数的损失函数:
Figure BDA0001419316450000062
(3-5)设置总迭代次数为M,使用m记录具体迭代次数,如果m<M,则跳转到步骤(2-2),迭代次数加1(m=m+1),继续下一次迭代;否则,终止迭代,输出模型的权值,并输出模型。
步骤4:实现对电力通信网络安全态势的预测。
(4-1)基于步骤2可以求得各个时间段的网络安全态势值序列数据x′;
(4-2)将x′作为模型输入,带入步骤3训练出的LSTM模型中,得到下一时间段的网络态势预测值
Figure BDA0001419316450000063
所述方法首先从电力通信网络中获取的数据中抽取特征,设计了基于IRT层次分析法计算网络安全态势值,而后基于预测数据的时间序列特性使用LSTM模型对下一时间段的网网络态势值进行预测。
与现有技术相比,本发明的有益效果:1、本发明使用基于IRT的层次分析模型对网络态势进行评估,考虑了网络架构中由低到高、先局部后整体的的评估策略,在评估过程中基于IRT理论引入各个攻击行为的的攻击能力值。本发明全面考虑网络的各个组成部分的真实状态,能更好的体现网络的安全态势。2、本发明充分考虑了电力通信网络安全态势值的时间序列特性,使用长短期记忆网络(LSTM)模型对下一时间段的电力通信网络安全态势值进行预测,预测结果更加准确高效。
附图说明
图1为本发明的网络层次分析图。
图2为本发明的方法流程图。
图3为本发明在基于IRT层次分析模型的基础上求得的电力通信网络的安全态势值示意图。
图4为本发明的方法LSTM和HMM,LR的绝对误差对比示意图。
具体实施方式
下面结合说明书附图对本发明创造作进一步的详细说明。
如图1所示,本发明基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法,该方法包括如下步骤:
步骤1:从电力通信网络中采集到的网络连接状况数据中选取影响网络安全态势评估的特征,进行数据预处理。
(1-1)从电力通信网络中收集的网络关键信息的原始记录中,挑选固定时间长度的网络关键信息数据,每条数据包含4方面属性:A.时间信息包含:采集时间段TIME;B.网路中主机相关信息包括:主机的数量HOSTS_NUM,各主机的重要性等级HOSTS_LEVEL,各主机的安全防护等级SECURE_LEVEL;C.运行信息包括:各主机上运行的服务的总数SERVICE_NUM,主机上运行的各项服务的平均访问量VISIT_NUM、访问频率VISIT_FREQ和各项服务的重要性等级SERVICE_LEVEL;D.网络防护设备的报警信息包括:报警标识符ALARM_ID,攻击类型ATTACK_TYPE,源地址SIP和目的地址DIP,源端口SP和目的端口DP;
(1-2)数据清洗,去除含有缺失值的数据记录;
(1-3)根据CVSS数据库对每条记录补充对应的以下特征的数值表示:各个主机的攻击复杂度AC,攻击途径AV,身份认证AU;
步骤2:基于层次化的IRT模型计算出网络安全态势值,如图1所示。
(2-1)计算服务安全等级
A.计算主机中存在的漏洞信息C:
Figure BDA0001419316450000071
B.计算第j个服务的安全等级SLj
SLj=3(0.4*Cj+0.6SECURE_LEVELj)
在上式中,Cj表示某个主机上第j个服务存在的漏洞信息,SECURE_LEVELj表示服务j所在主机的安全防护等级。
C.计算攻击成功概率:
基于IRT理论,计算攻击行为i对主机上服务j的攻击成功概率ATT_proij
Figure BDA0001419316450000081
在上式中,θi表示第i种攻击行为的攻击能力值,SLj为第j个服务的安全等级,D为常数,取值1.7,使用对数最大似然的方法对参数θi进行估计,求取θi
D.计算服务层的安全态势:
在一条数据记录中,即在固定时间段中,根据报警信息统计该时间段内服务Si被第k类威胁攻击的总数ATT_Numik,根据攻击类型确定k类威胁攻击因子攻击的威胁因子TFk,则服务Si的安全态势值
Figure BDA0001419316450000082
(2-2)计算服务性能重要性权重:
采用(0,1,2)三标度层次分析法确定服务性能重要性权重。
A.根据三标度大构造比较矩阵Z,矩阵元素zij表示服务i和服务j相比的重要性大小,具体表达式如下
Figure BDA0001419316450000083
同理:
Figure BDA0001419316450000084
B.使用极差发将比较矩阵Z转化为判断矩阵Q:
在上式中ri表示比较矩阵第i行元素之和,rmax和rmin分别表示ri中的最大值和最小值。
C.采用方根法对第i个服务的重要性权重wi进行求解,并标准化为
Figure BDA0001419316450000086
Figure BDA0001419316450000091
(2-3)计算主机Hg的安全态势
Figure BDA0001419316450000092
Figure BDA0001419316450000093
在上式中,
Figure BDA0001419316450000094
表示主机Hg中第i个服务的安全态势值,
Figure BDA0001419316450000095
表示主机中第i个服务的重要性权重,u表示主机Hg所有服务的总数。
(2-4)计算各主机重要性权重HOST_WEIGHTg
在上式中,HOSTS_LEVELg为第g台主机的重要性等级,该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注,分为1,2,3,4,5五个等级,数值越大表示重要性等级越高;HOST_NUM为网络中运行主机的总数。
(2-5)计算网络安全态势NETWORK_S
Figure BDA0001419316450000097
在上式中,
Figure BDA0001419316450000098
表示主机g在网络中的安全态势值,HOST_WEIGHTg表示主机g的再网络中的重要性权重。
步骤3:基于长短期记忆网络(LSTM)建立网络安全态势预测模型。
网络安全态势感知和预测方法,所述步骤3包括:
(3-1)根据步骤2可以求得各个时间段的网络安全态势值,从而形成时间序列样本(x1,x2,x3,...,xt,...),由此,可以构造训练数据集
Figure BDA0001419316450000099
在上式中,
Figure BDA00014193164500000910
(3-2)随机初始化网络的权值和偏置:
W=Wxg=Whg=Wxi=Wxf=Whf=Wxo=Who≈0
bg=bi=bo=b≈0
bf=1
(3-3)计算LSTM网络中各个记忆模块里面各个门的输出值:
Figure BDA0001419316450000101
Figure BDA0001419316450000108
在上式中,
Figure BDA0001419316450000102
表示输入挤压单元,表示输入们单元,这两个单元为状态更新准备,
Figure BDA0001419316450000104
表示遗忘门单元,用于决定网络对输入序列的忘记程度,
Figure BDA0001419316450000105
用于更新模块的状态,
Figure BDA0001419316450000106
表示模块更新后的输出。
(3-4)开始迭代,采用一个三层神经网络,第一层为输入层,第二层为隐藏层,第三层为输出层,各层的神经元数量分别为20,50,1,采用BPTT算法,从而训练得到LSTM模型。训练过程中通过计算以下式子对权值进行更新:
在上面的式子中τ∈{g,i,f,o},LN为整个函数的损失函数:
Figure BDA0001419316450000111
(3-5)设置总迭代次数为M,使用m记录具体迭代次数,如果m<M,则跳转到步骤(2-2),迭代次数加1(m=m+1),继续下一次迭代;否则,终止迭代,输出模型的权值,并输出模型。
步骤4:实现对电力通信网络安全态势的预测。
(4-1)根据步骤2可以求得各个时间段的网络安全态势值序列数据x′;
(4-2)将x′作为模型输入,带入步骤3训练出的LSTM模型中,得到下一时间段的网络态势预测值
Figure BDA0001419316450000112
性能评价:
本发明按照上述流程进行实验,首先进行数据预处理,去除有缺失值的数据,采用基于IRT的层次分析模型,将从电力通信网络中获取的各个参数作为模型输入,得到各个时间段内电力通信网络的安全态势值,而后采用LSTM模型完成训练和预测。所用的数据集包括从电力通信网络中收集的90天的数据记录,通过步骤2生成电力通信网络的安全态势值作为训练数据和预测数据,随机选取其中连续10天的安全态势值作为模型的输入,第11天的安全态势值为模型输出,通过步骤3训练出预测模型,通过步骤4完成预测任务。为了分析结果,采用绝对误差来对本发明方法和两种有代表性的现有方法——隐马尔科夫链(HMM)和Logistic回归(LR)。
图3为使用本发明的方法计算出的网络安全态势值,对比了只使用层次分析法计算的电力通信网络的安全态势值,部分网络攻击存在但实际上攻击并未成功,导致只使用层次分析模型计算式网络完全态势值偏大的现象,可以看出,本发明计算出的安全态势值避免了只使用层次分析法计算时出现的偏差。
图4对比了LSTM模型,HMM,LR的绝对误差,图中横坐标为选取的其中16天的目标数据。从图中可以看出,本发明的方法通过使用LSTM模型能很好的学习电力通信网络安全态势的时间序列特性,有效提高了预测准确度。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (2)

1.一种基于IRT层次分析和LSTM的电力通信网络安全态势感知和预测方法,其特征在于,包括以下步骤:
步骤1:从电力通信网络中采集到的网络连接状况数据中选取影响网络安全态势评估的特征,进行数据预处理;
步骤2:基于IRT的层次分析模型计算出网络安全态势值;
步骤3:基于长短期记忆网络(LSTM)建立网络安全态势预测模型;
步骤4:实现对电力通信网络安全态势的预测;
所述步骤1包括:
(1-1)从电力通信网络中收集的网络关键信息的原始记录中,挑选固定时间长度的网络关键信息数据,每条数据包含4方面属性:
A.时间信息,包含:采集时间段TIME;
B.网络中主机相关信息,包括:主机的数量HOSTS_NUM,各主机的重要性等级HOSTS_LEVEL,各主机的安全防护等级SECURE_LEVEL;
C.运行信息,包括:各主机上运行的服务的总数SERVICE_NUM,主机上运行的各项服务的平均访问量VISIT_NUM、访问频率VISIT_FREQ和各项服务的重要性等级SERVICE_LEVEL;
D.网络防护设备的报警信息,包括:报警标识符ALARM_ID,攻击类型ATTACK_TYPE,源地址SIP和目的地址DIP,源端口SP和目的端口DP;
(1-2)数据清洗,去除含有缺失值的数据记录;
(1-3)根据CVSS数据库对每条记录补充如下属性:各个主机的攻击复杂度AC,攻击途径AV,身份认证AU;
所述步骤2包括:
(2-1)计算服务安全等级
A.计算主机中存在的漏洞信息C:
Figure FDA0002270235850000011
B.计算第j个服务的安全等级SLj
SLj=3(0.4*Cj+0.6SECURE_LEVELj)
在上式中,Cj表示某个主机上第j个服务存在的漏洞信息,SECURE_LEVELj表示服务j所在主机的安全防护等级;
C.计算攻击成功概率:
基于IRT理论,计算攻击行为i对主机上服务j的攻击成功概率ATT_proij
在上式中,θi表示第i种攻击行为的攻击能力值,SLj为第j个服务的安全等级,D为常数,使用对数最大似然的方法对参数θi进行估计,求取θi
D.计算服务层的安全态势:
在一条数据记录中,即在固定时间段中,根据报警信息统计该时间段内服务Si被第k类威胁攻击的总数根据攻击类型确定k类攻击的威胁因子TFk,则服务Si的安全态势值:
Figure FDA0002270235850000023
在上式中,n表示服务Si受到的攻击的类型的总数,θk为第k类攻击的攻击能力值;
(2-2)计算服务性能重要性权重:
采用(0,1,2)三标度层次分析法确定服务性能重要性权重;
A.根据三标度法构造比较矩阵Z,矩阵元素zij表示服务i和服务j相比的重要性大小,具体表达式如下
Figure FDA0002270235850000024
同理:
Figure FDA0002270235850000025
B.使用极差法将比较矩阵Z转化为判断矩阵Q,其中判断矩阵中的元素qij
Figure FDA0002270235850000031
在上式中ri表示比较矩阵第i行元素之和,rmax和rmin分别表示ri中的最大值和最小值,ei为常数;
C.采用方根法对第i个服务的重要性权重wi进行求解,并标准化为
Figure FDA0002270235850000032
Figure FDA0002270235850000033
在上式中,ns表示服务的总数;
(2-3)计算主机Hg的安全态势
Figure FDA0002270235850000035
Figure FDA0002270235850000036
在上式中,
Figure FDA0002270235850000037
表示主机Hg中第i个服务的安全态势值,
Figure FDA0002270235850000038
表示主机中第i个服务的重要性权重,u表示主机Hg所有服务的总数;
(2-4)计算各主机重要性权重HOST_WEIGHTg
Figure FDA0002270235850000039
在上式中,HOSTS_LEVELg为第g台主机的重要性等级,该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注,分为1,2,3,4,5五个等级,数值越大表示重要性等级越高;HOST_NUM为网络中运行主机的总数;
(2-5)计算网络安全态势NETWORK_S:
Figure FDA0002270235850000041
在上式中,
Figure FDA0002270235850000042
表示主机g在网络中的安全态势值,HOST_WEIGHTg表示主机g在网络中的重要性权重,v表示主机的数量;
所述步骤3包括:
(3-1)求得各个时间段的网络安全态势值,从而形成时间序列样本(x1,x2,x3,...,xt,...),由此,可以构造训练数据集:
Figure FDA0002270235850000043
在上式中,
Figure FDA0002270235850000044
(3-2)随机初始化网络的权值和偏置:
W=Wxg=Whg=Wxi=Wxf=Whf=Wxo=Who≈0
bg=bi=bo=b≈0
bf=1
式中,W为权值集合;Wxg为输入层-g层权值参数;Whg为h层-g层权值参数;Wxi为输入层-i层权值参数;Wxf为输入层-f层权值参数;Whf为h层-f层权值参数;Wxo为输入层-输出层权值参数;Who为h层-输出层权值参数;bg、bi、bo、b、bf分别为g层、i层、输出层偏置参数、总偏置参数集合、f层偏置参数;
(3-3)计算LSTM网络中各个记忆模块里面各个门的输出值:
Figure FDA0002270235850000046
Figure FDA0002270235850000047
Figure FDA0002270235850000048
Figure FDA0002270235850000049
在上式中,
Figure FDA00022702358500000411
表示输入挤压单元,
Figure FDA00022702358500000412
表示输入门单元,这两个单元为状态更新准备,
Figure FDA00022702358500000413
表示遗忘门单元,用于决定网络对输入序列的忘记程度,
Figure FDA00022702358500000414
用于更新模块的状态,
Figure FDA00022702358500000415
表示模块更新后的输出;
Figure FDA00022702358500000416
均为中间结果变量,其具体表示为等式后括号里的表达式,σ()表示激活函数;
(3-4)开始迭代,采用一个三层神经网络,第一层为输入层,第二层为隐藏层,第三层为输出层,各层的神经元数量分别为20,50,1,采用BPTT算法,从而训练得到LSTM模型,训练过程中通过计算以下式子对权值进行更新:
Figure FDA0002270235850000051
Figure FDA0002270235850000052
Figure FDA0002270235850000053
Figure FDA0002270235850000054
Figure FDA0002270235850000055
式中,
Figure FDA0002270235850000056
分别表示后向传播算法的中间计算结果,即梯度值;
在上面的式子中τ∈{g,i,f,o},LN为整个函数的损失函数:
Figure FDA0002270235850000057
式中E()表示表示二次损失函数,其具体表示为等式后括号里的表达式;
(3-5)设置总迭代次数为M,使用m记录具体迭代次数,如果m<M,则跳转到步骤(2-2),迭代次数加1,继续下一次迭代;否则,终止迭代,输出模型的权值,并输出模型。
2.根据权利要求1所述的一种基于IRT层次分析和LSTM的电力通信网络安全态势感知和预测方法,其特征在于,所述步骤4包括:
(4-1)求步骤2求得各个时间段的网络安全态势值序列数据x′;
(4-2)将x′作为模型输入,带入步骤3训练出的LSTM模型中,得到下一时间段的网络态势预测值
Figure FDA0002270235850000058
CN201710881813.XA 2017-09-26 2017-09-26 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法 Active CN107786369B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710881813.XA CN107786369B (zh) 2017-09-26 2017-09-26 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710881813.XA CN107786369B (zh) 2017-09-26 2017-09-26 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法

Publications (2)

Publication Number Publication Date
CN107786369A CN107786369A (zh) 2018-03-09
CN107786369B true CN107786369B (zh) 2020-02-04

Family

ID=61433905

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710881813.XA Active CN107786369B (zh) 2017-09-26 2017-09-26 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法

Country Status (1)

Country Link
CN (1) CN107786369B (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108566306B (zh) * 2018-04-28 2020-08-04 广东电网有限责任公司 一种基于数据均衡技术的网络安全实时异常检测方法
CN108597609A (zh) * 2018-05-04 2018-09-28 华东师范大学 一种基于lstm网络的医养结合健康监测方法
CN108768774B (zh) * 2018-05-29 2020-09-29 北京广成同泰科技有限公司 一种定量化的网络安全评估方法及评估系统
CN109302410B (zh) * 2018-11-01 2021-06-08 桂林电子科技大学 一种内部用户异常行为检测方法、系统及计算机存储介质
CN110380801B (zh) * 2019-06-04 2021-06-08 杭州电子科技大学 基于lstm的协作感知算法及多usrp实现的方法
CN110390357A (zh) * 2019-07-17 2019-10-29 国网浙江省电力有限公司电力科学研究院 一种基于边信道的dtu安全监测方法
CN110443037B (zh) * 2019-08-14 2023-04-07 广州思泰信息技术有限公司 一种基于改进ahp方法的电力监控网络安全态势感知方法
CN114091716A (zh) * 2020-08-25 2022-02-25 中国电信股份有限公司 网络态势的预测方法和装置
CN111988184B (zh) * 2020-08-31 2023-02-10 湘潭大学 一种基于态势感知的广播风暴检测与处理方法
CN112261033A (zh) * 2020-10-19 2021-01-22 北京京航计算通讯研究所 基于企业内网的网络安全防护方法
CN112653680B (zh) * 2020-12-14 2022-04-12 广东电网有限责任公司 模型训练方法、网络态势预测方法、装置、设备及介质
CN112714130A (zh) * 2020-12-30 2021-04-27 南京信息工程大学 一种基于大数据自适应网络安全态势感知方法
CN114006744B (zh) * 2021-10-28 2024-05-28 中能电力科技开发有限公司 一种基于lstm的电力监控系统网络安全态势预测方法及系统
CN114168967B (zh) * 2021-12-08 2024-08-06 重庆大唐国际彭水水电开发有限公司 一种工控系统安全态势预测方法和系统
CN114511131A (zh) * 2021-12-27 2022-05-17 河北师范大学 一种基于机器学习算法的网络安全态势预测方法及系统
CN114244728B (zh) * 2021-12-31 2024-04-16 北京工业大学 基于多因素层次化的网络安全态势评估与预测方法
CN114528558B (zh) * 2022-03-18 2022-08-23 深圳市永达电子信息股份有限公司 基于改进神经网络的态势感知方法和可读存储介质
CN115412301B (zh) * 2022-08-02 2024-03-22 云南电网有限责任公司信息中心 一种网络安全的预测分析方法及系统
CN115659324B (zh) * 2022-09-21 2023-07-18 国网山东省电力公司 一种用于数据安全的多设备安全管理方法及系统
CN115580486B (zh) * 2022-11-18 2023-04-07 宁波市镇海区大数据投资发展有限公司 基于大数据的网络安全感知方法与装置
CN116562631B (zh) * 2023-07-10 2024-02-13 广东电网有限责任公司佛山供电局 一种电力光纤通信网络风险量化评价方法、系统和设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104615983B (zh) * 2015-01-28 2018-07-31 中国科学院自动化研究所 基于递归神经网络和人体骨架运动序列的行为识别方法
US10552727B2 (en) * 2015-12-15 2020-02-04 Deep Instinct Ltd. Methods and systems for data traffic analysis
CN106781489B (zh) * 2016-12-29 2019-07-26 北京航空航天大学 一种基于递归神经网络的路网状态预测方法
CN106886846A (zh) * 2017-04-26 2017-06-23 中南大学 一种基于长短期记忆循环神经网络的银行网点备付金预测方法

Also Published As

Publication number Publication date
CN107786369A (zh) 2018-03-09

Similar Documents

Publication Publication Date Title
CN107786369B (zh) 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法
CN106453293A (zh) 一种基于改进bpnn的网络安全态势预测方法
CN108881110B (zh) 一种安全态势评估与防御策略联合决策方法及系统
Du et al. NIDS-CNNLSTM: Network intrusion detection classification model based on deep learning
CN108718310A (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN111787011B (zh) 一种信息系统安全威胁智能分析预警系统、方法及存储介质
CN110392048A (zh) 基于ce-rbf的网络安全态势感知模型和方法
CN110247910A (zh) 一种异常流量的检测方法、系统及相关组件
CN109523021A (zh) 一种基于长短时记忆网络的动态网络结构预测方法
Iftikhar et al. Towards the selection of best neural network system for intrusion detection
CN104598984A (zh) 一种基于模糊神经网络的故障预测方法
CN105991517A (zh) 漏洞发掘方法和装置
Li et al. Research on Multi‐Target Network Security Assessment with Attack Graph Expert System Model
CN116451567A (zh) 一种瓦斯负压抽采管道泄漏评估及智能处置方法
CN114580087B (zh) 一种船载设备的联邦剩余使用寿命预测方法、装置及系统
CN117580046A (zh) 一种基于深度学习的5g网络动态安全能力调度方法
Sheng et al. Network traffic anomaly detection method based on chaotic neural network
Edinson et al. Performance analysis of fcm based anfis and elman neural network in software effort estimation.
Li et al. Solubility prediction of gases in polymers using fuzzy neural network based on particle swarm optimization algorithm and clustering method
Lv et al. An improved test selection optimization model based on fault ambiguity group isolation and chaotic discrete PSO
CN111414927A (zh) 一种海水水质评价的方法
CN111651652B (zh) 基于人工智能的情感倾向识别方法、装置、设备及介质
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN111737319B (zh) 用户集群的预测方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Jiang Wenting

Inventor after: Li Weijian

Inventor after: Lin Shaorui

Inventor after: Lu Leshu

Inventor after: Liu Zijian

Inventor after: Kang Zhongmiao

Inventor after: Shi Zhan

Inventor after: Zhao Ruifeng

Inventor after: Zhou An

Inventor before: Jiang Wenting

Inventor before: Zhou An

Inventor before: Li Weijian

Inventor before: Lin Shaorui

Inventor before: Lu Leshu

Inventor before: Zhang Situo

Inventor before: Liu Zijian

Inventor before: Kang Zhongmiao

Inventor before: Shi Zhan

Inventor before: Zhao Ruifeng

CB03 Change of inventor or designer information
GR01 Patent grant
GR01 Patent grant