CN111404911B - 一种网络攻击检测方法、装置及电子设备 - Google Patents
一种网络攻击检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN111404911B CN111404911B CN202010165954.3A CN202010165954A CN111404911B CN 111404911 B CN111404911 B CN 111404911B CN 202010165954 A CN202010165954 A CN 202010165954A CN 111404911 B CN111404911 B CN 111404911B
- Authority
- CN
- China
- Prior art keywords
- flow
- network
- samples
- model
- training
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络攻击检测方法、装置及电子设备,本发明中获取目标网络流量的流量特征,然后对所述流量特征进行降维操作,得到流量统计特征,并调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果,进而,确定与所述流量分析结果对应的网络攻击结果。由于流量分析模型的训练样本标注了正常流量样本或异常流量样本的样本类型,即可以通过流量分析模型得到该目标网络流量是否异常的分析结果,也就是说,本发明通过分析得到网络流量是否异常,进而确定电网工控系统是否受到网络攻击,若受到网络攻击,则可以及时修复电网工控系统,从而保证了电力系统的运行安全性。
Description
技术领域
本发明涉及网络攻击检测领域,更具体的说,涉及一种网络攻击检测方法、装置及电子设备。
背景技术
电网工控系统是电力系统中通过电力系统自动化技术实现电力系统的控制的设备,为电力系统提供快捷、方便、安全以及稳定的通信途径。但在为电力系统提供便利的同时,也导致电力系统容易受到网络攻击的危害。若电网工控系统受到网络攻击,则会严重影响电力系统的运行安全性,甚至会造成电力系统瘫痪。
发明内容
有鉴于此,本发明提供一种网络攻击检测方法、装置及电子设备,以解决若电网工控系统受到网络攻击,则会严重影响电力系统的运行安全性,甚至会造成电力系统瘫痪的问题。
为实现上述目的,本发明提供如下技术方案:
一种网络攻击检测方法,包括:
获取目标网络流量的流量特征;
对所述流量特征进行降维操作,得到流量统计特征;
调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
确定与所述流量分析结果对应的网络攻击结果。
可选地,对所述流量特征进行降维操作,得到流量统计特征,包括:
按照预设数据计算规则,对所述流量特征进行计算处理,得到所述流量统计特征。
可选地,按照预设数据计算规则,对所述流量特征进行计算处理,得到所述流量统计特征,包括:
调用预先训练的降维处理模型对所述流量特征进行处理,得到所述流量统计特征。
可选地,所述降维处理模型的生成过程包括:
获取预先筛选出的流量特征样本以及预先设定的输出维度的数量;
基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型;所述预设网络模型为包括多个受限玻尔兹曼机的深度置信网络。
可选地,所述流量分析模型的生成过程包括:
获取训练样本;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
基于所述训练样本对基础随机森林模型进行训练,得到所述流量分析模型。
一种网络攻击检测装置,包括:
特征获取模块,用于获取目标网络流量的流量特征;
降维模块,用于对所述流量特征进行降维操作,得到流量统计特征;
结果确定模块,用于调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
攻击确定模块,用于确定与所述流量分析结果对应的网络攻击结果。
可选地,所述降维模块用于对所述流量特征进行降维操作,得到流量统计特征时,具体用于:
按照预设数据计算规则,对所述流量特征进行计算处理,得到所述流量统计特征。
可选地,所述降维模块用于按照预设数据计算规则,对所述流量特征进行计算处理,得到所述流量统计特征时,具体用于:
调用预先训练的降维处理模型对所述流量特征进行处理,得到所述流量统计特征。
可选地,还包括模型生成模块,所述模型生成模块包括:
数据获取子模块,用于获取预先筛选出的流量特征样本以及预先设定的输出维度的数量;
训练子模块,用于基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型;所述预设网络模型为包括多个受限玻尔兹曼机的深度置信网络。
一种电子设备,包括:存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
获取目标网络流量的流量特征;
对所述流量特征进行降维操作,得到流量统计特征;
调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
确定与所述流量分析结果对应的网络攻击结果。
经由上述的技术方案可知,本发明提供了一种网络攻击检测方法、装置及电子设备,本发明中获取目标网络流量的流量特征,然后对所述流量特征进行降维操作,得到流量统计特征,并调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果,进而,确定与所述流量分析结果对应的网络攻击结果。由于流量分析模型的训练样本标注了正常流量样本或异常流量样本的样本类型,即可以通过流量分析模型得到该目标网络流量是否异常的分析结果,也就是说,本发明通过分析得到网络流量是否异常,进而确定电网工控系统是否受到网络攻击,若受到网络攻击,则可以及时修复电网工控系统,从而保证了电力系统的运行安全性。另外,在得到目标网络流量的流量特征之后,对流量特征进行降维操作,则可以减少数据处理量,提高网络攻击识别速度。此外,在进行流量分析时,采用的是流量分析模型,流量分析模型采用训练样本训练得到,训练样本数据量大,则使得流量分析模型对网络流量的流量分析结果更准确,则基于该流量分析结果确定的网络攻击结果更准确,进而可以提高网络攻击的识别准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种网络攻击检测方法的方法流程图;
图2为本发明实施例提供的另一种网络攻击检测方法的方法流程图;
图3为本发明实施例提供的一种受限玻尔兹曼机的结构示意图;
图4为本发明实施例提供的一种深度置信网络的结构示意图;
图5为本发明实施例提供的一种流量分析模型的结构示意图;
图6为本发明实施例提供的一种网络攻击检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
电网工控系统是电力系统中,用于通过电力系统自动化技术实现电力系统的控制的设备,为电力系统提供了快捷、方便、安全以及稳定的通信途径。但在为电力系统提供便利的同时,也导致电力系统容易受到网络攻击的危害。若电网工控系统受到网络攻击,则会严重影响电力系统的运行安全性,甚至会造成电力系统瘫痪,给当地人民的生活带来不便也严重威胁社会稳定。
若能够在电网工控系统运行过程中及时发现突发性、针对性的恶意网络攻击,则能够及时应对网络攻击,进而可以保障电力系统的正常运行。
发明人经过分析发现,在电网工控系统遭受恶意网络攻击时,其通信的网络流量可能会存在异常,此时可以通过判断网络流量中是否存在恶意流量的方式来确定是否存在网络攻击,进而可以及时掌握当前网络的状态,发现潜在的恶意威胁。因此,从网络流量分析的角度出发,及时发现电网工控系统中的异常流量,则可在运行过程中及时发现潜在的网络安全问题,对保障电力系统持续稳定运行具有十分重要的意义。
本实施例中,在进行网络流量正异常检测时,可以使用预先构建的神经网络模型,如流量分析模型进行检测,由于流量分析模型采用训练样本采用有监督方法训练得到,训练样本数据量大,则使得流量分析模型对网络流量的流量分析结果更准确,则基于该流量分析结果确定的网络攻击结果更准确,进而可以提高网络攻击的识别准确度。
具体的,参照图1,网络攻击检测方法可以包括:
S11、获取目标网络流量的流量特征。
电网工控系统的流量是由多种工控设备按照系统指令产生,本实施例中的目标网络流量可以是电网工控系统通信时产生的网络流量,如控制指令流量,数据上传流量等。目标网络流量的流量特征可以是具有特定维度(如41维度)的特征,如连接时长、流量类型、字节数等维度。
S12、对所述流量特征进行降维操作,得到流量统计特征。
本实施例中,降维是将高维度数据变为低维数据并保留最重要数据特征的方法。一种降维方法可以是根据经验直接删除掉流量特征中的某些维度,这样直接可以降维,降维速度快,但是这种降维方式删除了某些特征,则这些特征在后续操作中就直接消失了,会导致这些特征在网络攻击检测时,起不到任何作用,则会使得网络攻击识别准确度降低。
另外一种降维方法时,是按照预设数据计算规则,对所述流量特征进行计算处理,得到所述流量统计特征,也就是说,将多个特征融合成一个特征,这样会使得维度降低,但是被融合的特征信息仍会存在,只是以另一种特征方式体现,则可以保证网络攻击识别准确度。在实际应用中,可以利用有效的降维算法,如主成分分析(PCA)、因子分析(FA)、独立成分分析(ICA)等。
通过上述两种降维方式,可以在不同的需求下,选择不同的降维方式。但是不管是哪种方式,由于实行了降维,使得后续处理数据的数据量下降,从而提高了数据处理数据,即实现了网络攻击识别的速度。
在实际应用中,上述的预设数据计算规则可以使用模型实现,如降维处理模型,该降维处理模型中内置有该预设数据计算规则,将流量特征输入到上述的降维处理模型中,即可得到流量统计特征。
本实施例中,降维处理模型可以是包括多个受限玻尔兹曼机(RestrictedBoltzmann Machine,RBM)的深度置信网络(Deep BeliefNetwork,DBN)。利用深度置信网络中的玻尔兹曼机对流量特征依次计算,逐步计算得到维度较低,能够较真实反映原始高维流量特征的低维抽象特征,即流量统计特征。
降维处理模型可以使用大量的训练数据训练得到。训练数据可以是流量特征样本,即是多个流量特征,每一流量特征可以是41维。在实际应用中,电网工控系统的流量是由多种工控设备按照系统指令产生,具有数据长度小、周期性、数据流向固定、时序性强等电网特点,因此选择与其更为贴近的KDD99数据集(包括每一数据对应的41为特征)作为实验数据集。KDD99数据集中包括正常样本,也包括异常样本,异常样本的攻击类型涵盖了DOS(拒绝服务)、R2L(远程用户攻击)、U2R(提权攻击)和PROBING(端口攻击)。
在得到KDD99数据集之后,对于数据集中的每一条特征,采用人工筛选的方式,删除点不符合上述电网特点的数据,然后得到多条符合电网特点的特征。然后设定该深度置信网络的输出维度的数量,如设定深度置信网络输出10维的特征。即深度置信网络通过学习,将41维特征降维为10维特征。
在实际应用中,所述降维处理模型的生成过程包括:
S21、获取预先筛选出的流量特征样本以及预先设定的输出维度的数量;
S22、基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型;所述预设网络模型为包括多个受限玻尔兹曼机的深度置信网络。
从上述的多条符合电网特点的特征中提取出部分作为特征作为流量特征样本,流量特征样本中既有正常样本也有异常样本,如提取出3050个正常样本,2663个异常样本组成流量特征样本,然后基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型,所述预设网络模型可以为设定好架构的包括多个受限玻尔兹曼机的深度置信网络。
受限玻尔兹曼机的网络架构可以参照图3,深度置信网络的网络架构可以参照图4,多个RBM(图2)的堆叠组成了DBN。
深度置信网络负责找到上述的流量特征样本的内在关系,将高维度的数据映射到低维空间。对于数据集中的一条n维流量特征样本X(x1,x2,x3……xn),经过RBM编码后将得到m维的输出y(y1,y2,y3……ym)。特征的学习过程形成依赖于多层受限玻尔兹曼机(RBM)和前馈反向传播网络,完成网络的预训练以及对RBM堆叠网络的优化。
参照图3以及图4,深度置信网络训练过程如下:
1)获取初始神经元激活概率。输入数据X经过显层v1的所有节点,传递到隐藏层h1。在隐藏层的节点上,X乘以w再加b。这个结果再通过sigmoid函数产生节点的输出或者状态。因此,每个隐层神经元将有一个概率输出表示被激活的概率。
2)显层和隐层互相重构。采取吉布斯采样从计算的概率分布中抽取一个样本h1~P(h1|v1);用h1重构显层,计算显层中每个神经元被激活的概率并从计算得到的概率分布中采取吉布斯采样抽取一个样本:v2~P(v2|h1),通过v2再次计算隐层中每个神经元被激活的概率,得到概率分布P(h2|v2)。
3)更新RBM中三个重要的权重W、b和c:
4)重复上述过程,将得到隐层输出的样本y(y1,y2,y3……ym),该样本已充分学习到了显层数据的内部特点。
多个RBM(图2)的堆叠组成了DBN(图4)。该DBN是由3个RBM堆叠而成。训练DBN的过程是逐层地进行。在每一层中,用数据向量来推断隐层,再把这一隐层作为下一层的数据向量,直到输出m维的输出y(y1,y2,y3……ym)。
在训练完成后,在还需对训练得到的模型进行测试,测试时仍选取多个正常样本和异常样本,如选择1343个正常样本,860个异常样本,此时需要用标识标注正常样本和异常样本,如用0表示正常样本,用1表示异常样本,标注样本是为了让深度置信网络在进行学习时,能够明显的学习出正常样本和异常样本在降维时的不同。
通过多次改变RBM的迭代次数并观察训练效果,发现当DBN模型的节点参数为42-36-20-16-5,且RBM的迭代次数设置为120次时,对数据的反应最为真实。
S13、调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果。
所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本。
本实施例中的流量分析模型可以是随机森林模型,随机森林模型是一种能够利用多棵树(弱分类器)对样本进行初始训练,再将所有弱分类器结果相结合,从而得到最终的决策结果,完成对流量中异常行为的检测。为达到最佳的检测效果,使用了网络搜索方法优化随机森林算法的参数,使检测模型达到最优化。
流量分析模型的生成过程包括:
1)获取训练样本;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
2)基于所述训练样本对基础随机森林模型进行训练,得到所述流量分析模型。
本实施例中的基础随机森林模型可以是具有一定的网络架构、但参数还需确定的随机森林模型。
在实际应用中,随机森林模型也是基于训练样本通过有监督的方式训练得到,训练样本可以包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本(可以用0表示)和异常流量样本(可以用1表示)。流量统计特征样本可以是上述的流量特征样本经过深度置信网络得到的输出结果。由于训练样本中标注了正常流量样本以及异常流量样本,则可以使得随机森林模型通过对网络流量的流量统计特征的处理,得到该网络流量是否是异常流量的结果,由于在网络攻击时,网络流量异常,则在网络流量异常时,则认为出现了网络攻击,即通过随机森林模型可以准确地识别出网络异常。随机森林模型的输出结果可以是0或1,0表示网络流量正常,1表示网络流量异常。
参照图5,图5为随机森林模型的训练过程。随机森林模型中设置有多个决策树CART1-CARTn,通过对深度置信网络DBN的输出(流量统计特征中的每一维作为一个子样本)进行学习,可使得随机森林模型具有识别流量是否异常的功能。
本实施例中,将深度置信网络和随机森林网络进行结合,即将将深度学习强大的数据学习能力和有监督学习(随机深林模型)准确的分类能力相结合,通过对深度置信网络(Deep BeliefNetwork,DBN)中的多个受限玻尔兹曼机(Restricted Boltzmann Machine,RBM)进行逐个训练,自学习得到流量中蕴含的更高级特性,随后利用随机森林算法采用监督方式检测出流量中的异常情况。混合深度置信网络方法有效实现了对网络流量中多种威胁源的发现,能够有效识别多种不同已知类型的网络攻击,并具有一定的未知攻击的发现能力。
此外,该方法提升了传统深度置信网络多类检测的效果,检测率和误报率均更优。在性能方面,此方法能够根据实际情况在线更新输出权重,提升训练效率。
S14、确定与所述流量分析结果对应的网络攻击结果。
具体的,若流量分析结果为0,则说明网络流量正常,此时不存在网络攻击,若流量分析结果为1,则说明网络流量异常,此时存在网络攻击。
本发明中获取目标网络流量的流量特征,然后对所述流量特征进行降维操作,得到流量统计特征,并调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果,进而,确定与所述流量分析结果对应的网络攻击结果。由于流量分析模型的训练样本标注了正常流量样本或异常流量样本的样本类型,即可以通过流量分析模型得到该目标网络流量是否异常的分析结果,也就是说,本发明通过分析得到网络流量是否异常,进而确定电网工控系统是否受到网络攻击,若受到网络攻击,则可以及时修复电网工控系统,从而保证了电力系统的运行安全性。
另外,在得到目标网络流量的流量特征之后,对流量特征进行降维操作,则可以减少数据处理量,提高网络攻击识别速度。
此外,在进行流量分析时,采用的是流量分析模型,流量分析模型采用训练样本训练得到,训练样本数据量大,则使得流量分析模型对网络流量的流量分析结果更准确,则基于该流量分析结果确定的网络攻击结果更准确,进而可以提高网络攻击的识别准确度。
上述内容中介绍了将深度置信网络和随机森林网络进行结合,现通过实验方式验证本发明的网络攻击检测方式与已有的网络攻击检测方式的对比结果。
将测试集输入到上述的深度置信网络以及将深度执行网络的输出输入到流量分析模型中,利用检测率(ACC)、误报率(FPR)两个模型评价指标,完成对本方法效果的评估。定义所有异常样本数为M,所有正常样本数为N,算法识别出的样本数为m,将正常样本误判为异常的正常样本数f。
评价指标的计算公式如公式7和公式8所示,和其他检测方法相比本方法的检测结果如表1所示:
表1多种方法检测结果对比
检测方法 | 检测率(ACC) | 误报率(FPR) |
逻辑回归 | 71.05% | 6.92% |
多分类SVM | 83.95% | 8.1% |
K-means | 88.26% | 5.81% |
DBN | 89.20% | 6.40% |
本发明 | 96.16% | 3.49% |
通过表1可以看出,本发明的方式在检测率和误报率方式具有很大提升,检测率显著提高,误报率显著下降。
可选地,在上述网络攻击检测方法的实施例的基础上,本发明的另一实施例提供了一种网络攻击检测装置,参照图6,可以包括:
特征获取模块11,用于获取目标网络流量的流量特征;
降维模块12,用于对所述流量特征进行降维操作,得到流量统计特征;
结果确定模块13,用于调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
攻击确定模块14,用于确定与所述流量分析结果对应的网络攻击结果。
进一步,所述降维模块用于对所述流量特征进行降维操作,得到流量统计特征时,具体用于:
按照预设数据计算规则,对所述流量特征进行计算处理,得到所述流量统计特征。
进一步,所述降维模块用于按照预设数据计算规则,对所述流量特征进行计算处理,得到所述流量统计特征时,具体用于:
调用预先训练的降维处理模型对所述流量特征进行处理,得到所述流量统计特征。
进一步,还包括模型生成模块,所述模型生成模块包括:
数据获取子模块,用于获取预先筛选出的流量特征样本以及预先设定的输出维度的数量;
训练子模块,用于基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型;所述预设网络模型为包括多个受限玻尔兹曼机的深度置信网络。
进一步,还包括流量模型生成模块,所述流量模型生成模块具体用于:
获取训练样本;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
基于所述训练样本对基础随机森林模型进行训练,得到所述流量分析模型。
本发明中获取目标网络流量的流量特征,然后对所述流量特征进行降维操作,得到流量统计特征,并调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果,进而,确定与所述流量分析结果对应的网络攻击结果。由于流量分析模型的训练样本标注了正常流量样本或异常流量样本的样本类型,即可以通过流量分析模型得到该目标网络流量是否异常的分析结果,也就是说,本发明通过分析得到网络流量是否异常,进而确定电网工控系统是否受到网络攻击,若受到网络攻击,则可以及时修复电网工控系统,从而保证了电力系统的运行安全性。
另外,在得到目标网络流量的流量特征之后,对流量特征进行降维操作,则可以减少数据处理量,提高网络攻击识别速度。
此外,在进行流量分析时,采用的是流量分析模型,流量分析模型采用训练样本训练得到,训练样本数据量大,则使得流量分析模型对网络流量的流量分析结果更准确,则基于该流量分析结果确定的网络攻击结果更准确,进而可以提高网络攻击的识别准确度。
需要说明的是,本实施例中的各个模块和子模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
可选地,在上述网络攻击检测方法的实施例的基础上,本发明的另一实施例提供了一种电子设备,包括:存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
获取目标网络流量的流量特征;
对所述流量特征进行降维操作,得到流量统计特征;
调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
确定与所述流量分析结果对应的网络攻击结果。
本发明中获取目标网络流量的流量特征,然后对所述流量特征进行降维操作,得到流量统计特征,并调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果,进而,确定与所述流量分析结果对应的网络攻击结果。由于流量分析模型的训练样本标注了正常流量样本或异常流量样本的样本类型,即可以通过流量分析模型得到该目标网络流量是否异常的分析结果,也就是说,本发明通过分析得到网络流量是否异常,进而确定电网工控系统是否受到网络攻击,若受到网络攻击,则可以及时修复电网工控系统,从而保证了电力系统的运行安全性。
另外,在得到目标网络流量的流量特征之后,对流量特征进行降维操作,则可以减少数据处理量,提高网络攻击识别速度。
此外,在进行流量分析时,采用的是流量分析模型,流量分析模型采用训练样本训练得到,训练样本数据量大,则使得流量分析模型对网络流量的流量分析结果更准确,则基于该流量分析结果确定的网络攻击结果更准确,进而可以提高网络攻击的识别准确度。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (4)
1.一种网络攻击检测方法,其特征在于,包括:
获取目标网络流量的流量特征;所述目标网络流量是电网工控系统通信时产生的网络流量;所述流量特征包括连接时长、流量类型和字节数;
调用预先训练的降维处理模型对所述流量特征进行处理,得到流量统计特征;所述降维处理模型为基于多层受限玻尔兹曼机依次堆叠而成的深度置信网络,其中,所述深度置信网络中,上一层受限玻尔兹曼机的隐层将作为下一层受限玻尔兹曼机的显层,并且,下一层受限玻尔兹曼机的显层中各个神经元被激活的概率是根据从上一层受限玻尔兹曼机的隐层的概率分布中通过吉布斯采样所抽取出的样本进行计算得到的;同一层受限玻尔兹曼机将根据将在显层各个神经元被激活的概率分布中采取吉布斯采样抽取样本,并计算该层受限玻尔兹曼机的隐层的每个神经元被激活的概率;
调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;所述流量分析模型为随机森林模型;
确定与所述流量分析结果对应的网络攻击结果;
其中,所述降维处理模型的生成过程包括:
获取预先筛选出的流量特征样本以及预先设定的输出维度的数量;
基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型;
其中,所述流量特征样本是从KDD99数据集中剔除不符合电网特点的数据之后得到的多条符合电网特点的特征,所述电网特点包括数据长度小、周期性、数据流向固定、时序性强。
2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述流量分析模型的生成过程包括:
获取训练样本;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;
基于所述训练样本对基础随机森林模型进行训练,得到所述流量分析模型。
3.一种网络攻击检测装置,其特征在于,包括:
特征获取模块,用于获取目标网络流量的流量特征;所述目标网络流量是电网工控系统通信是产生的网络流量;所述流量特征包括连接时长、流量类型和字节数;
降维模块,用于调用预先训练的降维处理模型对所述流量特征进行处理,得到流量统计特征;所述降维处理模型为基于多层受限玻尔兹曼机依次堆叠而成的深度置信网络,其中,所述深度置信网络中,上一层受限玻尔兹曼机的隐层将作为下一层受限玻尔兹曼机的显层,并且,下一层受限玻尔兹曼机的显层中各个神经元被激活的概率是根据从上一层受限玻尔兹曼机的隐层的概率分布中通过吉布斯采样所抽取出的样本进行计算得到的;同一层受限玻尔兹曼机将根据将在显层各个神经元被激活的概率分布中采取吉布斯采样抽取样本,并计算该层受限玻尔兹曼机的隐层的每个神经元被激活的概率;
结果确定模块,用于调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;所述流量分析模型为随机森林模型;
攻击确定模块,用于确定与所述流量分析结果对应的网络攻击结果;
模型生成模块,所述模型生成模块包括:数据获取子模块和训练子模块
所述数据获取子模块,用于获取预先筛选出的流量特征样本以及预先设定的输出维度的数量;
所述训练子模块,用于基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型;所述预设网络模型为包括多个受限玻尔兹曼机的深度置信网络;
其中,所述流量特征样本是从KDD99数据集中剔除不符合电网特点的数据之后得到的多条符合电网特点的特征,所述电网特点包括数据长度小、周期性、数据流向固定、时序性强。
4.一种电子设备,其特征在于,包括:存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
获取目标网络流量的流量特征;所述目标网络流量是电网工控系统通信是产生的网络流量;所述流量特征包括连接时长、流量类型和字节数;
调用预先训练的降维处理模型对所述流量特征进行处理,得到流量统计特征;所述降维处理模型为基于多层受限玻尔兹曼机依次堆叠而成的深度置信网络,其中,所述深度置信网络中,上一层受限玻尔兹曼机的隐层将作为下一层受限玻尔兹曼机的显层,并且,下一层受限玻尔兹曼机的显层中各个神经元被激活的概率是根据从上一层受限玻尔兹曼机的隐层的概率分布中通过吉布斯采样所抽取出的样本进行计算得到的;同一层受限玻尔兹曼机将根据将在显层各个神经元被激活的概率分布中采取吉布斯采样抽取样本,并计算该层受限玻尔兹曼机的隐层的每个神经元被激活的概率;
调用预先训练的流量分析模型对所述流量统计特征进行处理,得到所述目标网络流量的流量分析结果;所述流量分析模型基于训练样本训练得到;所述训练样本包括流量统计特征样本以及样本类型;所述样本类型包括正常流量样本和异常流量样本;所述流量分析模型为随机森林模型;
确定与所述流量分析结果对应的网络攻击结果其中,所述降维处理模型的生成过程包括:
获取预先筛选出的流量特征样本以及预先设定的输出维度的数量;
基于所述流量特征样本以及所述输出维度的数量采用无监督方法对预设网络模型训练,得到所述降维处理模型;
其中,所述流量特征样本是从KDD99数据集中剔除不符合电网特点的数据之后得到的多条符合电网特点的特征,所述电网特点包括数据长度小、周期性、数据流向固定、时序性强。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010165954.3A CN111404911B (zh) | 2020-03-11 | 2020-03-11 | 一种网络攻击检测方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010165954.3A CN111404911B (zh) | 2020-03-11 | 2020-03-11 | 一种网络攻击检测方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111404911A CN111404911A (zh) | 2020-07-10 |
CN111404911B true CN111404911B (zh) | 2022-10-14 |
Family
ID=71413360
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010165954.3A Active CN111404911B (zh) | 2020-03-11 | 2020-03-11 | 一种网络攻击检测方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111404911B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112134873B (zh) * | 2020-09-18 | 2022-04-26 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量实时检测方法及系统 |
CN113591896A (zh) * | 2021-05-18 | 2021-11-02 | 广西电网有限责任公司电力科学研究院 | 一种电网攻击事件分类检测方法 |
CN113242259B (zh) * | 2021-05-27 | 2023-01-31 | 苏州联电能源发展有限公司 | 网络异常流量检测方法及装置 |
CN113746813B (zh) * | 2021-08-16 | 2022-05-10 | 杭州电子科技大学 | 基于两阶段学习模型的网络攻击检测系统及方法 |
CN117579384B (zh) * | 2024-01-16 | 2024-03-29 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
CN108848068A (zh) * | 2018-05-29 | 2018-11-20 | 上海海事大学 | 基于深度信念网络-支持向量数据描述的apt攻击检测方法 |
CN109462521A (zh) * | 2018-11-26 | 2019-03-12 | 华北电力大学 | 一种适用于源网荷互动工控系统的网络流量异常检测方法 |
CN110348715A (zh) * | 2019-06-28 | 2019-10-18 | 北京淇瑀信息科技有限公司 | 基于流量指标监测的渠道异常检测方法、装置和电子设备 |
CN110602120A (zh) * | 2019-09-19 | 2019-12-20 | 国网江苏省电力有限公司信息通信分公司 | 一种面向网络的入侵数据检测方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100492399C (zh) * | 2007-03-15 | 2009-05-27 | 上海交通大学 | 利用降维方法进行人脸姿态估计的方法 |
CN104766167A (zh) * | 2015-03-31 | 2015-07-08 | 浪潮集团有限公司 | 一种使用受限玻尔兹曼机的税务大数据分析方法 |
CN110084255A (zh) * | 2018-01-25 | 2019-08-02 | 北京京东尚科信息技术有限公司 | 异常数据的检测方法和装置 |
-
2020
- 2020-03-11 CN CN202010165954.3A patent/CN111404911B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
CN108848068A (zh) * | 2018-05-29 | 2018-11-20 | 上海海事大学 | 基于深度信念网络-支持向量数据描述的apt攻击检测方法 |
CN109462521A (zh) * | 2018-11-26 | 2019-03-12 | 华北电力大学 | 一种适用于源网荷互动工控系统的网络流量异常检测方法 |
CN110348715A (zh) * | 2019-06-28 | 2019-10-18 | 北京淇瑀信息科技有限公司 | 基于流量指标监测的渠道异常检测方法、装置和电子设备 |
CN110602120A (zh) * | 2019-09-19 | 2019-12-20 | 国网江苏省电力有限公司信息通信分公司 | 一种面向网络的入侵数据检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111404911A (zh) | 2020-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111404911B (zh) | 一种网络攻击检测方法、装置及电子设备 | |
Nguyen et al. | Cyberattack detection in mobile cloud computing: A deep learning approach | |
Chand et al. | A comparative analysis of SVM and its stacking with other classification algorithm for intrusion detection | |
Niyaz et al. | A deep learning approach for network intrusion detection system | |
Tesfahun et al. | Intrusion detection using random forests classifier with SMOTE and feature reduction | |
CN108718310A (zh) | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 | |
Peng et al. | Network intrusion detection based on deep learning | |
Dias et al. | Using artificial neural network in intrusion detection systems to computer networks | |
Jongsuebsuk et al. | Network intrusion detection with fuzzy genetic algorithm for unknown attacks | |
CN111901340B (zh) | 一种面向能源互联网的入侵检测系统及其方法 | |
Zhao et al. | Intrusion detection based on clustering genetic algorithm | |
CN109347863B (zh) | 一种改进的免疫的网络异常行为检测方法 | |
Gu | Theoretical and empirical extensions of the dendritic cell algorithm | |
CN112463848A (zh) | 检测用户异常行为的检测方法、系统、装置和存储介质 | |
Zhang et al. | Network intrusion detection based on active semi-supervised learning | |
Sarvari et al. | Improving the accuracy of intrusion detection systems by using the combination of machine learning approaches | |
Pal et al. | Neural network & genetic algorithm based approach to network intrusion detection & comparative analysis of performance | |
Budur et al. | Structural analysis of criminal network and predicting hidden links using machine learning | |
Huang et al. | Network-traffic anomaly detection with incremental majority learning | |
CN116962047A (zh) | 一种可解释的威胁情报生成方法、系统及装置 | |
Thanh et al. | An approach to reduce data dimension in building effective network intrusion detection systems | |
Manandhar et al. | Intrusion detection based on outlier detection method | |
Edwin Singh et al. | WOA-DNN for Intelligent Intrusion Detection and Classification in MANET Services. | |
Mennour et al. | A hybrid deep learning strategy for an anomaly based N-ids | |
Ghareeb et al. | Analysis of Feature Selection and Phishing Website Classification Using Machine Learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |