CN108667834A - 基于人工免疫和灰色关联度分析的网络安全态势感知方法 - Google Patents

Abstract

本发明涉及基于人工免疫和灰色关联度分析的网络安全态势感知方法，包括以下步骤：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取；通过特征提取得到的数据，运用人工免疫模型计算得到网络安全姿态值；建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。本发明提供的基于人工免疫和灰色关联度分析的网络安全态势感知方法，充分考虑到了电力系统的特殊性和网络安全态势的随机性与不确定性，避免单个算法的局限性，大大的提升预测的准确度。

Description

基于人工免疫和灰色关联度分析的网络安全态势感知方法

技术领域

本发明涉及网络安全态势分析技术领域，更具体地，涉及一种基于人工免疫和灰色关联度分析的网络安全态势感知方法。

背景技术

随着互联网的广泛普及和多向渗透，智能电网也逐步往双向互动、实时需求响应的方向发展。如何在保证电网安全稳定运转的同时确保信息的保密性，将成为智能电网设计和实现过程中的关键。从组成成分、分布地域来看，智能电网是个非常复杂的系统，与传统的电能输送系统相比，智能电网更具信息化与自动化等智能特征。然而，实现电网智能化的关键是将电力系统与信息系统进行深度融合，形成信息物理融合系统(CyberPhysicalSystem，CPS)。CPS能够自动对信息进行感知，通过对数据进行自动处理实现自主调节和控制。因此，信息系统本身发生的故障或遭受的网络攻击不仅会影响信息系统本身的运行，甚至会对物理系统造成影响，使得物理系统也无法正常运行。随着频频发生的针对工业控制系统特别是电力系统的网络攻击事件的发生，信息物理安全问题已经成为电力行业与学术界关注的焦点问题。

当前，国内外针对输电系统的网络安全检测与预防做了许多研究工作。美国国家高级安全系统研究中心(NCASSR)的SIFT项目[4-5]开发了NVIsionIP、VisFlowConnect-IP等安全态势感知软件；林肯实验室的Braun等人使用支持向量机作为合成基础，对多种类别的信息进行融合，以此实现对态势的感知。在国内，提出了两种分别基于D-S证据理论和支持向量机的网络安全态势预测和评估算法；张勇等人给出了一种以模糊理论为基础的智能电网运行风险估算模型。

虽然针对网络安全态势的模型和方法有很多，但由于电力系统的特殊性以及网络安全态势的随机性与不确定性，单一的预测模型难以得出较为精确的网络态势预测值。

发明内容

本发明为解决以上现有技术在对电力通信网络安全态势预测模型单一，难以得出较为精确的网络态势预测值的技术缺陷，提供一种基于人工免疫和灰色关联度分析的网络安全态势感知方法。

为实现以上发明目的，采用的技术方案是：

基于人工免疫和灰色关联度分析的网络安全态势感知方法，包括以下步骤：

S1：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取，得到特征提取后的数据；

S2：通过特征提取得到的数据，运用人工免疫模型计算的到网络安全姿态值；

S3：将计算得到的网络安全姿态值作为参考序列，建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；

S4：将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。

其中，所述步骤S1包括以下步骤：

S11：从电力通信网络中收集的数据，主要包括两方面：

第一方面，电力物理系统中的设备日志：报警标识符ALARM_ID，报警时间ALARM_TIME，攻击类型ATTACK_TYPE；

第二方面，电力信息系统中的网络端口数据：源地址SIP；目的地址DIP；源端口SP；目的端口DP；协议类型PROTOCAL_TYPE；

S12：对于收集到的数据进行预处理，具体为对数据进行格式转换、时空校准、非法数据剔除；

S13：对预处理后的数据进行特征提取：监视并使用SmartSniff工具抓取网络中的数据包，将数据包转换成长度为96的二进制字符串，其中包括：源IP地址32位、目的IP地址32位、目的端口16位、协议标志16位。

其中，所述步骤S2包括以下步骤：

S21：定义映射关系：通过特征提取得到的二进制字符串x，长度为96，分为正常网络活动或网络攻击两种情况，将待匹配的二进制字符串用y表示；初始训练时，根据已知非法攻击经验划定分类；训练过程中，被y匹配并使y达到激活阈值的x定义为非自体抗原；随机生成的长度为96的二进制字符串y，定义为抗体集合D，其中：

D＝{d|d＝<y，m，count>，m，count∈N}

其中,N为自然数集合；m为运算迭代次数；count为y匹配到的x数量；

S22：完成x-y的匹配：采用r连续位匹配算法，其匹配结果f_m(x,y)定义为：

其中，1表示匹配成功，0表示匹配失败，x_k为字符串x的第k个字符，y_k为字符串y的第k个字符；

S23：对y进行复制：本过程包含了复制阈值和复制数量两个过程其中，复制阈值的过程如下：

当匹配到的x数量count达到一定的激活阈值θ时，y被激活并开始复制，规定运算迭代次数M内没有达到复制阈值则抗体死亡，其中：

激活阈值θ为经验值，由管理员设置；关于复制数量，其过程如下：

其中，σ为y的集合D中与被激活的待匹配字符串的数目；为复制速度常熟，由管理人员设定，y的浓度表示为

S24：计算网络安全态势值：首先，计算主机i在t时刻的网络安全姿态值r_i(t)，计算公式为：

其中，β_i(0＜β_i＜1)表示主机i的重要性，该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注，数值越大重要性越高；N_i为主机i此时刻检测到的抗体数量；S_i为正常1网络运行情况下主机i检测到的匹配字符串数量；

接着，计算主机i在t时刻j类攻击下的网络安全态势值r_ij(t)，计算公式为：

其中，α_j为j类攻击行为的危害程度，该等级为维修人员经验判断值，数值越大，危害程度越高；N_ij为主机i在t时刻检测到的j类攻击字符串数量；

而后，计算系统在t时刻j类攻击下的网络安全态势值R_j(t)，计算公式为：

最后，计算系统的t时刻的网络安全态势值：

t＝1，...，n，网络安全态势值在[0，1]区间内。

其中，所述步骤S3包括以下步骤：

S31：将步骤S2得到的网络安全态势计算值R_t记作R₀，作为参考序列，其中：

R₀＝{R₀(t)|t＝1，2，...，n}＝{R₀(1)，R₀(2)，...，R₀(n)}

预测输出：将参考序列作为训练输入值，完成灰色系统理论GM(1，1)预测算法以及DT决策树算法训练及预测输出，得到输出序列，其公式为：

R_i＝{R_i(t)|t＝1，2，...，n}＝{R_i(1)，R_i(2)，...，R_i(n)}

其中，R_i为比较序列；

基于灰色关联度分析的组合预测，首先，计算t时刻关联度，计算公式为：

其中，为选定选定预测序列R_i相当于参考序列R₀在时刻t的关联系数，其中ρ∈[0，1]为分辨系数。

接着，计算整体关联度δ_i以及权值系数ε_i，计算公式为：

最后，得到组合预测安全势态值R_eo：

其中，所述步骤S4包括以下步骤：

S41：根据所述步骤S2求得各个时间段的网络安全态势值序列数据R₀；将R₀作为模型输入，带入训练出的GM(1，1)灰色预测和DT决策树算法组合预测模型中，得到下一时间段的网络态势预测值R_eo。

上述方案中，通过运用人工免疫的态势评估模型，得到网络环境下免疫系统中抗原抗体的表达方式，从而得到网络安全风险的定量计算模型，该方法具有分布式实时计算、定量描述、自学习、自适应等特点。

上述方案中，采用基于灰色关联度分析的组合预测算法，充分考虑到了电力系统的特殊性和网络安全态势的随机性与不确定性，避免单个算法的局限性，大大的提升预测的准确度。

与现有技术相比，本发明的有益效果是：

本发明提供的基于人工免疫和灰色关联度分析的网络安全态势感知方法，采用人工免疫模型，得到网络安全风险的定量计算模型；采用灰色关联度分析的组合预测算法，充分考虑到了电力系统的特殊性和网络安全态势的随机性与不确定性，避免单个算法的局限性，大大的提升预测的准确度。

附图说明

图1为基于人工免疫和灰色关联度分析的网络安全态势感知方法流程示意图。

图2为基于人工免疫和灰色关联度分析下得到的安全态势参考预测值和组合预测值；

图3为组合预测方法与单个算法GM(1,1)灰色预测和DT决策树算法的绝对误差对比。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

以下结合附图和实施例对本发明做进一步的阐述。

实施例1

如图1所示，基于人工免疫和灰色关联度分析的网络安全态势感知方法，包括以下步骤：

S1：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取，得到特征提取后的数据；

S2：通过特征提取得到的数据，运用人工免疫模型计算的到网络安全姿态值；

S3：将计算得到的网络安全姿态值作为参考序列，建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；

S4：将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。

更具体的，所述步骤S1包括以下步骤：

S11：从电力通信网络中收集的数据，主要包括两方面：第一方面，电力物理系统中的设备日志：报警标识符ALARM_ID，报警时间ALARM_TIME，攻击类型ATTACK_TYPE；

第二方面，电力信息系统中的网络端口数据：源地址SIP；目的地址DIP；源端口SP；目的端口DP；协议类型PROTOCAL_TYPE；

S12：对于收集到的数据进行预处理，具体为对数据进行格式转换、时空校准、非法数据剔除；

S13：对预处理后的数据进行特征提取：监视并使用SmartSniff工具抓取网络中的数据包，将数据包转换成长度为96的二进制字符串，其中包括：源IP地址32位、目的IP地址32位、目的端口16位、协议标志16位。

更具体的，所述步骤S2包括以下步骤：

S21：定义映射关系：通过特征提取得到的二进制字符串x，长度为96，分为正常网络活动或网络攻击两种情况，将待匹配的二进制字符串用y表示；初始训练时，根据已知非法攻击经验划定分类；训练过程中，被y匹配并使y达到激活阈值的x定义为非自体抗原；随机生成的长度为96的二进制字符串y，定义为抗体集合D，其中：

D＝{d|d＝＜y，m，count＞，m，count∈N}

其中,N为自然数集合；m为运算迭代次数；count为y匹配到的x数量；

S22：完成x-y的匹配：采用r连续位匹配算法，其匹配结果f_m(x,y)定义为：

其中，1表示匹配成功，0表示匹配失败，x_k为字符串x的第k个字符，y_k为字符串y的第k个字符；

S23：对y进行复制：本过程包含了复制阈值和复制数量两个过程其中，复制阈值的过程如下：

当匹配到的x数量count达到一定的激活阈值θ时，y被激活并开始复制，规定运算迭代次数M内没有达到复制阈值则抗体死亡，其中：

激活阈值θ为经验值，由管理员设置；关于复制数量，其过程如下：

其中，σ为y的集合D中与被激活的待匹配字符串的数目；为复制速度常熟，由管理人员设定，y的浓度表示为

S24：计算网络安全态势值：首先，计算主机i在t时刻的网络安全姿态值r_i(t)，计算公式为：

其中，β_i(0＜β_i＜1)表示主机i的重要性，该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注，数值越大重要性越高；N_i为主机i此时刻检测到的抗体数量；S_i为正常1网络运行情况下主机i检测到的匹配字符串数量；

接着，计算主机i在t时刻j类攻击下的网络安全态势值r_ij(t)，计算公式为：

其中，α_j为j类攻击行为的危害程度，该等级为维修人员经验判断值，数值越大，危害程度越高；N_ij为主机i在t时刻检测到的j类攻击字符串数量；

而后，计算系统在t时刻j类攻击下的网络安全态势值R_j(t)，计算公式为：

最后，计算系统的t时刻的网络安全态势值：

t＝1,...,n，网络安全态势值在[0,1]区间内。

更具体的，所述步骤S3包括以下步骤：

S31：将步骤S2得到的网络安全态势计算值R_t记作R₀，作为参考序列，其中：

R₀＝{R₀(t)|t＝1,2,...,n}＝{R₀(1)，R₀(1)，...，R₀(n)}

预测输出：将参考序列作为训练输入值，完成灰色系统理论GM(1,1)预测算法以及DT决策树算法训练及预测输出，得到输出序列，其公式为：

R_i＝{R_i(t)|t＝1，2，...，n}＝{R_i(1)，R_i(2)，...，R_i(n)}

其中，R_i为比较序列；

基于灰色关联度分析的组合预测，首先，计算t时刻关联度，计算公式为：

其中，为选定选定预测序列R_i相当于参考序列R₀在时刻t的关联系数，其中ρ∈[0,1]为分辨系数。

接着，计算整体关联度δ_i以及权值系数ε_i，计算公式为：

最后，得到组合预测安全势态值R_eo：

更具体的，所述步骤S4包括以下步骤：

S41：根据所述步骤S2求得各个时间段的网络安全态势值序列数据R₀；将R₀作为模型输入，带入训练出的GM(1,1)灰色预测和DT决策树算法组合预测模型中，得到下一时间段的网络态势预测值R_eo。

在具体实施过程中，通过运用人工免疫的态势评估模型，得到网络环境下免疫系统中抗原抗体的表达方式，从而得到网络安全风险的定量计算模型，该方法具有分布式实时计算、定量描述、自学习、自适应等特点。

在具体实施过程中，采用基于灰色关联度分析的组合预测算法，充分考虑到了电力系统的特殊性和网络安全态势的随机性与不确定性，避免单个算法的局限性，大大的提升预测的准确度。

如图2所示，在具体实施过程中，使用本发明的方法预测出的网络安全态势预测值，对比了使用人工免疫态势评估模型得到的网络安全态势参考值，所有安全态势值都在[0,1]区间内，这有助于直观地表现出当前系统的安全运行状态。数值越大，表明电网遭受攻击的可能性越高。网络态势预测值与参考值曲线走势一致，且相差程度较小，预测基本准确。

如图3所示，在具体实施过程中，对比GM(1,1)模型、DT决策树算法和基于灰色关联度分析的组合预测模型的绝对误差，其中比较数据为后30天的预测数据。其中，组合预测模型的绝对误差值明显低于其他两种单个预测算法的绝对误差值。由此可见，本发明所采用的基于灰色关联度分析的组合预测模型可以大大地提升模型预测的准确度，并且可以很好的避免单个模型的局限性，从而更有效地实现电力通信网络的安全态势值预测。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims (5)

1.基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：包括以下步骤：

S1：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取，得到特征提取后的数据；

S2：通过特征提取得到的数据，运用人工免疫模型计算得到网络安全姿态值；

S3：将计算得到的网络安全姿态值作为参考序列，建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；

S4：将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。

2.根据权利要求1所述的基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：所述步骤S1包括以下步骤：

S11：从电力通信网络中收集的数据，主要包括两方面：

第一方面，电力物理系统中的设备日志：报警标识符ALARM_ID，报警时间ALARM_TIME，攻击类型ATTACK_TYPE；

第二方面，电力信息系统中的网络端口数据：源地址SIP；目的地址DIP；源端口SP；目的端口DP；协议类型PROTOCAL_TYPE；

S12：对于收集到的数据进行预处理，具体为对数据进行格式转换、时空校准、非法数据剔除；

S13：对预处理后的数据进行特征提取：监视并使用SmartSniff工具抓取网络中的数据包，将数据包转换成长度为96的二进制字符串，其中包括：源IP地址32位、目的IP地址32位、目的端口16位、协议标志16位。

3.根据权利要求1所述的基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：所述步骤S2包括以下步骤：

S21：定义映射关系：通过特征提取得到的二进制字符串x，长度为96，分为正常网络活动或网络攻击两种情况，将待匹配的二进制字符串用y表示；初始训练时，根据已知非法攻击经验划定分类；训练过程中，被y匹配并使y达到激活阈值的x定义为非自体抗原；随机生成的长度为96的二进制字符串y，定义为抗体集合D，其中：

D＝{d|d＝＜y，m，count＞，m，count∈N}

其中,N为自然数集合；m为运算迭代次数；count为y匹配到的x数量；

S22：完成x-y的匹配：采用r连续位匹配算法，其匹配结果f_m(x,y)定义为：

其中，1表示匹配成功，0表示匹配失败，x_k为字符串x的第k个字符，y_k为字符串y的第k个字符；

S23：对y进行复制：本过程包含了复制阈值和复制数量两个过程其中，复制阈值的过程如下：

当匹配到的x数量count达到一定的激活阈值θ时，y被激活并开始复制，规定运算迭代次数M内没有达到复制阈值则抗体死亡，其中：

激活阈值θ为经验值，由管理员设置；关于复制数量，其过程如下：

其中，σ为集合D中与被激活y有相同字符串的抗体数目；为复制速度常数，由管理人员设定，y的浓度表示为

S24：计算网络安全态势值：首先，计算主机i在t时刻的网络安全姿态值r_i(t)，计算公式为：

其中，β_i(0＜β_i＜1)表示主机i的重要性，该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注，数值越大重要性越高；N_i为主机i此时刻检测到的抗体数量；S_i为正常网络运行情况下主机i检测到的匹配字符串数量；

接着，计算主机i在t时刻j类攻击下的网络安全态势值r_ij(t)，计算公式为：

其中，α_j为j类攻击行为的危害程度，该等级为维修人员经验判断值，数值越大，危害程度越高；N_ij为主机i在t时刻检测到的j类攻击字符串数量；

而后，计算系统在t时刻j类攻击下的网络安全态势值R_j(t)，计算公式为：

最后，计算系统的t时刻的网络安全态势值：

t＝1，...，n，网络安全态势值在[0，1]区间内。

4.根据权利要求1所述的基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：所述步骤S3包括以下步骤：

S31：将步骤S2得到的网络安全态势计算值R_t记作R₀，作为参考序列，其中：

R₀＝{R₀(t)|t＝1，2，...，n}＝{R₀(1)，R₀(2)，...，R₀(n)}

预测输出：将参考序列作为训练输入值，完成灰色系统理论GM(1，1)预测算法以及DT决策树算法训练及预测输出，得到输出序列，其公式为：

R_i＝{R_i(t)|t＝1，2，...，n}＝{R_i(1)，R_i(2)，...，R_i(n)}

其中，R_i为比较序列；

基于灰色关联度分析的组合预测，首先，计算t时刻关联度，计算公式为：

其中，为选定预测序列R_i相当于参考序列R₀在时刻t的关联系数，其中ρ∈[0，1]为分辨系数。

接着，计算整体关联度δ_i以及权值系数ε_i，计算公式为：

最后，得到组合预测安全势态值R_eo：

。

5.根据权利要求3所述的基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：所述步骤S4具体为：

根据所述步骤S2求得各个时间段的网络安全态势值序列数据R₀；将R₀作为模型输入，带入训练出的GM(1,1)灰色预测和DT决策树算法组合预测模型中，得到下一时间段的网络态势预测值R_eo。