CN111478913A - 配用电通信网络的网络入侵检测方法、装置及存储介质 - Google Patents
配用电通信网络的网络入侵检测方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111478913A CN111478913A CN202010283967.0A CN202010283967A CN111478913A CN 111478913 A CN111478913 A CN 111478913A CN 202010283967 A CN202010283967 A CN 202010283967A CN 111478913 A CN111478913 A CN 111478913A
- Authority
- CN
- China
- Prior art keywords
- learner
- feature set
- network
- data
- convergence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 123
- 238000001514 detection method Methods 0.000 title claims abstract description 60
- 238000009826 distribution Methods 0.000 title claims abstract description 56
- 238000003860 storage Methods 0.000 title claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 41
- 238000013528 artificial neural network Methods 0.000 claims abstract description 35
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 35
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 19
- 238000007781 pre-processing Methods 0.000 claims abstract description 16
- 238000011897 real-time detection Methods 0.000 claims abstract description 16
- 238000012549 training Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 12
- 230000006399 behavior Effects 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 10
- 210000002569 neuron Anatomy 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 239000000126 substance Substances 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013524 data verification Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000013178 mathematical model Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- General Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Water Supply & Treatment (AREA)
- Public Health (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Supply And Distribution Of Alternating Current (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了配用电通信网络的网络入侵检测方法、装置及存储介质。该方法包括:步骤a)获取历史通信数据,并对历史通信数据进行预处理;步骤b)基于双向搜索,确定特征集合;步骤c)基于神经网络算法,对学习器进行改进;步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。本发明提供的方案能够使学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
Description
技术领域
本发明实施例涉及电网安全保护领域,尤其涉及一种配用电通信网络的网络入侵检测方法、装置及存储介质。
背景技术
配用电通信网络由于通信方式多样、网络拓扑复杂、牵涉面广、设备数量多等特点,导致影响其网络安全运行的因素越来越多,通信运行机理越来越复杂。基于配用电通信网络的这些特点,防范网络入侵显得至关重要。
目前对于配用电通信网络主要是采用对设备的监控管理、防火墙策略、终端加密等方式,监控和保护配用电通信网络的安全。但由于当前网络入侵方式的多样性和多途径,难以对配用电通信网络进行准确合理的检测。
发明内容
本发明实施例提供了一种配用电通信网络的网络入侵检测方法、装置及存储介质,能够使学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
第一方面,本发明实施例提供了一种配用电通信网络的网络入侵检测方法,包括:
步骤a)获取历史通信数据,并对历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
可选的,历史通信数据包括通信信息的属性数据和通信入侵行为数据。
可选的,步骤b)包括:
基于双向搜索,从通信信息的属性数据中筛选得到特征集合,其中,特征集合包括至少两个属性特征。
可选的,步骤c)包括:
基于神经网络算法,利用特征集合和通信入侵行为数据,对学习器进行训练。
可选的,在步骤c)后,还包括:
判断学习器是否满足收敛性判定;
若学习器不满足收敛性判定,则返回执行步骤c);若学习器满足收敛性判定,则判断特征集合是否满足收敛性判定;
若特征集合不满足收敛性判定,则返回执行步骤b);若特征集合满足收敛性判定,则继续执行步骤d)。
可选的,判断学习器是否满足收敛性判定包括:
判断学习器的输出误差是否小于或者等于学习器的允许误差;
当学习器的输出误差大于学习器的允许误差时,学习器不满足收敛性判定;当学习器的输出误差小于或者等于学习器的允许误差时,学习器满足收敛性判定。
可选的,判断特征集合是否满足收敛性判定包括:
判断特征集合的输出误差是否小于或者等于特征集合的允许误差;
当特征集合的输出误差大于特征集合的允许误差时,特征集合不满足收敛性判定;当特征集合的输出误差小于或者等于特征集合的允许误差时,特征集合满足收敛性判定。
第二方面,本发明实施例还提供了一种配用电通信网络的网络入侵检测装置,包括:数据预处理模块、特征确定模块、学习器训练模块、判定模块和检测模块;数据预处理模块用于执行步骤a),特征确定模块用于执行步骤b),学习器训练模块用于执行步骤c),判定模块和检测模块用于执行步骤d);其中,步骤a)-步骤d)包括:
步骤a)获取历史通信数据,并对历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
第三方面,本发明实施例还提供了一种配用电通信网络的网络入侵检测装置,包括:处理器,处理器用于在执行计算机程序时实现上述任一实施例的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例的方法。
本发明提供一种配用电通信网络的网络入侵检测方法、装置及存储介质,该方法包括:步骤a)获取历史通信数据,并对历史通信数据进行预处理;步骤b)基于双向搜索,确定特征集合;步骤c)基于神经网络算法,对学习器进行改进;步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。通过对处理得到的特征集合和学习器进行收敛性判定,当学习器和特征集合均满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测,使得输出的学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
附图说明
图1是实施例一提供的一种配用电通信网络的网络入侵检测方法的流程示意图;
图2是实施例二提供的一种配用电通信网络的网络入侵检测方法的流程示意图;
图3是实施例三提供的一种配用电通信网络的网络入侵检测装置的结构示意图;
图4是实施例四提供的一种配用电通信网络的网络入侵检测装置的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
配用电通信网络由于通信方式多样、网络拓扑复杂、牵涉面广、设备数量多等特点,导致影响其网络安全运行的因素越来越多,通信运行机理越来越复杂。基于配用电通信网络的这些特点,防范网络入侵显得至关重要。同时,配用电通信网络是保障电网正常运行、故障快速响应、资源高效利用、业务实时实现、电力生产可持续的信息通道,因此配用电通信网络的安全稳定直接关系到电力生产的开展,它对电网安全、稳定、经济运行起到了保障性作用。近年来配用电通信网络异常数据入侵事件频发,网络入侵会导致电力监控系统瘫痪,造成大面积停电事故,严重影响社会安全。
目前对于配用电通信网络主要是采用对设备的监控管理、防火墙策略、终端加密等方式,监控和保护配用电通信网络的安全。但由于当前网络入侵方式的多样性和多途径,难以对配用电通信网络进行准确合理的检测。
网络入侵检测必须首先基于历史通信数据分析获取能够反映配用电通信网络通信数据的关键特征数据,该过程称为入侵检测特征选择。鉴于特征选择对提升在线入侵检测的重要性,现有的配用电通信网络的网络入侵检测方法的研究重点在于特征选择方法的设计。然而实际上,特征选择与入侵检测学习器密不可分,不同的入侵检测学习器适用的特征不同。因此,由于现有的网络入侵检测方法没有考虑到特征选择与入侵检测学习器的协同机制,容易造成实际使用中特征选择方法与入侵检测学习器脱节的问题。
为解决上述问题,本发明提供一种配用电通信网络的网络入侵检测方法、装置及存储介质,能够使学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。其中,根据特征集合与学习器的关系,可将入侵检测方法划分为过滤式、包裹式、嵌入式三种模式。本发明实施例提供的方法适用于这三种模式,优选的,与过滤式、嵌入式入侵检测方法相比,包裹式模式具有辨识准确率高、算法设计较为灵活等显著优势,也是电力通信网入侵检测领域研究应用最为广泛的方法。
需要说明的是,本发明下述各个实施例可以单独执行,各个实施例之间也可以相互结合执行,本发明实施例对此不作具体限制。
下面,对配用电通信网络的网络入侵检测方法、装置及其技术效果进行描述。
实施例一
图1为实施例一提供的一种配用电通信网络的网络入侵检测方法的流程示意图,如图1所示,本实施例提供的方法适用于配用电通信网络的网络入侵检测装置,该方法包括如下步骤。
S101、步骤a)获取历史通信数据,并对历史通信数据进行预处理。
历史通信数据结构复杂,既包括字符类型属性,也包括数据类型属性。因此需要分别对字符类型属性的历史通信数据和数据类型属性的历史通信数据进行预处理。其中,对于字符类型属性的历史通信数据,主要采用数值映射的方法,将取值范围固定的字符类型属性映射为离散数值;对于数据类型属性的历史通信数据,主要采用归一化方法,将其映射为取值0至1范围内的数值。
在一实施例中,历史通信数据包括通信信息的属性数据和通信入侵行为数据。
S102、步骤b)基于双向搜索,确定特征集合。
双向搜索是一种图的遍历算法,用于在有向图中搜索从一个顶点到另一个顶点的最短路径。算法同时运行两个搜索:一个从初始状态正向搜索,另一个从目标状态反向搜索,当两者在中间汇合时搜索停止。所谓双向搜索确定特征集合是指在通信数据属性特征调整过程中,前向增加一个新的属性特征的同时,减少一个原特征集中的属性特征,即保证特征集合中包括的属性特征数量不变。从而使得在学习器模型下该特征选择方案的准确率最高。
在一实施例中,特征集合包括至少两个属性特征。
S103、步骤c)基于神经网络算法,对学习器进行改进。
学习器是针对所选取的特征集合实际取值及其实际入侵情况训练得到的检验算法。考虑到特征集合与入侵情况之间复杂的对应关系,本申请选取神经网络人工智能算法作为学习器,对上述检验算法模拟训练。BP(back propagation)神经网络是典型的神经网络算法,也是当前应用最为广泛的神经网络算法类型。
神经网络算法(又可以称为人工神经网络(Artificial Neural Networks,ANNs)、神经网络(Neural Networks,NNs)或者连接模型(Connection Model))是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相互连接的关系,从而达到处理信息的目的。
S104、步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
当学习器和特征集合满足收敛性判定时,表示特征集合与学习器已处于协同状态,将学习器和特征集合输出,进行网络入侵的实时检测,使得输出的学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
上述方法具体包括两个阶段:步骤S101-S103为历史数据训练阶段,步骤S104为实时数据检验阶段。历史数据训练阶段的作用是利用历史通信数据对特征集合和学习器进行迭代训练,实时数据检验阶段则是将学习器和特征集合投入实际运行,进行网络入侵的实时检测。
实施例二
图2为实施例二提供的一种配用电通信网络的网络入侵检测方法的流程示意图,如图2所示,本实施例提供的方法适用于配用电通信网络的网络入侵检测装置,该方法包括如下步骤。
S201、步骤a)获取历史通信数据,并对历史通信数据进行预处理。
历史通信数据结构复杂,既包括字符类型属性,也包括数据类型属性。因此需要分别对字符类型属性的历史通信数据和数据类型属性的历史通信数据进行预处理。
对于字符类型属性的历史通信数据,主要采用数值映射的方法,将取值范围固定的字符类型属性映射为离散数值。例如,可将协议类型属性:用户数据报协议(UserDatagram Protocol,UDP)映射为数值2。
对于数据类型属性的历史通信数据,主要采用归一化方法,将其映射为取值0至1范围内的数值。具体可采用如下公式:
在一实施例中,历史通信数据包括通信信息的属性数据和通信入侵行为数据。可以理解的是,通信信息的属性数据中可以包括字符类型属性,也可以包括数据类型属性;通信入侵行为数据中可以包括字符类型属性,也可以包括数据类型属性,均采用上述方法进行预处理。
S202、步骤b)基于双向搜索,确定特征集合。
具体的,步骤b)可以采用如下方法实现:基于双向搜索,从通信信息的属性数据中筛选得到特征集合,其中,特征集合包括至少两个属性特征。
双向搜索是一种图的遍历算法,用于在有向图中搜索从一个顶点到另一个顶点的最短路径。算法同时运行两个搜索:一个从初始状态正向搜索,另一个从目标状态反向搜索,当两者在中间汇合时搜索停止。所谓双向搜索确定特征集合是指在通信数据属性特征调整过程中,前向增加一个新的属性特征的同时,减少一个原特征集中的属性特征,即保证特征集合中包括的属性特征数量不变。从而使得在学习器模型下该特征选择方案的准确率最高。
在属性特征数量为N的通信数据场景中,特征集合包括的属性特征个数为k,采用遍历的方式考虑增减一个属性特征时的计算开支可表示为:
其中,为基于学习器统计历史数据评价准确性时的计算开支,为每一轮
双向搜索时的计算开支。当学习器评价效率较高,计算开支不大时,可采用遍历搜索的方
法,以保证搜索的全面性;当计算开支较高时,可以考虑利用禁忌搜索等智能算法,进一步
提升优化效率。
S203、步骤c)基于神经网络算法,对学习器进行改进。
具体的,步骤c)可以采用如下方法实现:基于神经网络算法,利用特征集合和通信入侵行为数据,对学习器进行训练。
学习器是针对所选取的特征集合实际取值及其实际入侵情况训练得到的检验算法。考虑到特征集合与入侵情况之间复杂的对应关系,本申请选取神经网络人工智能算法作为学习器,对上述检验算法模拟训练。BP神经网络是典型的神经网络算法,也是当前应用最为广泛的神经网络算法类型。
神经网络算法是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相互连接的关系,从而达到处理信息的目的。
其中,各神经元输入与输出量之间的关系可表示为:
神经网络具有工作状态和学习状态两个运行状态。工作状态是根据输入信息,按照上述各神经元输入与输出量之间的关系计算输出结果;学习状态则是对神经网络进行改进,改进公式为:
在确定了特征集合并改进学习器后,需要对特征集合和学习器进行收敛性判定,以检验特征集合和学习器是否可以投入实时检测。具体的,对特征集合和学习器进行收敛性判定包括两个层面:外层是在给定的学习器的情况下判定选定的特征集合是否收敛,内层是在给定特征集合的情况下判定基于神经网络的学习器是否收敛。在具体的判定过程中,首先进行内层判定,其次进行外层判定,具体参考下述步骤S204-S208:
S204、判断学习器是否满足收敛性判定。
S205、若学习器不满足收敛性判定,则返回执行步骤c)。
当学习器的输出误差大于学习器的允许误差时,表示学习器不满足收敛性判定,学习器需要按照神经网络的改进策略对其改进直至收敛。即返回执行步骤c),继续基于神经网络算法,对学习器进行改进。
S206、若学习器满足收敛性判定,则判断特征集合是否满足收敛性判定。
当学习器的输出误差小于或者等于学习器的允许误差时,表示学习器满足收敛性判定,此时学习器已达到该特征集合下最佳匹配,此时进一步判断特征集合是否满足收敛性判定,即外层判定过程。
S207、若特征集合不满足收敛性判定,则返回执行步骤b)。
当特征集合的输出误差大于特征集合的允许误差时,表示特征集合不满足收敛性判定,此时需要根据当前最优的学习器,对特征集合进行重新确定,即返回执行步骤b)。
S208、若特征集合满足收敛性判定,则将学习器和特征集合输出,进行网络入侵的实时检测。
当特征集合的输出误差小于或者等于特征集合的允许误差时,表示特征集合满足收敛性判定,此时学习器和特征集合相匹配,得到了一体化入侵检测方法,将学习器和特征集合输出,进行网络入侵的实时检测。
上述方法具体包括两个阶段:步骤S201-S207为历史数据训练阶段,步骤S208为实时数据检验阶段。历史数据训练阶段的作用是利用历史通信数据对特征集合和学习器进行迭代训练,实时数据检验阶段则是将学习器和特征集合投入实际运行,进行网络入侵的实时检测。
在历史数据训练阶段,确定特征集合的作用是根据通信信息的属性数据筛选出特征属性;学习器则是按照筛选结果基于历史数据辨识其是否存在网络入侵,通过与实际情况对比,对其算法准确性评价。当满足收敛性条件要求时,即可将该学习器投入实际运行,实施在线入侵检测;否则转入确定特征集合或学习器训练过程,对其改进,直至获得符合要求的学习器。从上述过程可以看出,入侵检测准确率既取决于所选择的特征是否准确,也取决于所采用的学习器。只有当学习器与特征相匹配时,才能获得最佳的入侵检测准确率。
本发明提供一种配用电通信网络的网络入侵检测方法,包括:步骤a)获取历史通信数据,并对历史通信数据进行预处理;步骤b)基于双向搜索,确定特征集合;步骤c)基于神经网络算法,对学习器进行改进;步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。通过对处理得到的特征集合和学习器进行收敛性判定,当学习器和特征集合均满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测,使得输出的学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
实施例三
图3为实施例三提供的一种配用电通信网络的网络入侵检测装置的结构示意图,如图3所示,包括:数据预处理模块10、特征确定模块11、学习器训练模块12、判定模块13和检测模块14;数据预处理模块10用于执行步骤a),特征确定模块11用于执行步骤b),学习器训练模块12用于执行步骤c),判定模块13和检测模块14用于执行步骤d);其中,步骤a)-步骤d)包括:
步骤a)获取历史通信数据,并对历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
本实施例提供的配用电通信网络的网络入侵检测装置为实现上述实施例的配用电通信网络的网络入侵检测方法,本实施例提供的配用电通信网络的网络入侵检测装置实现原理和技术效果与上述实施例类似,此处不再赘述。
可选的,历史通信数据包括通信信息的属性数据和通信入侵行为数据。
可选的,特征确定模块11,具体用于基于双向搜索,从通信信息的属性数据中筛选得到特征集合,其中,特征集合包括至少两个属性特征。
可选的,学习器训练模块12,具体用于基于神经网络算法,利用特征集合和通信入侵行为数据,对学习器进行训练。
可选的,判定模块13,具体用于判断学习器是否满足收敛性判定;若学习器不满足收敛性判定,则学习器训练模块12返回执行步骤c);若学习器满足收敛性判定,则判断特征集合是否满足收敛性判定;若特征集合不满足收敛性判定,则特征确定模块11返回执行步骤b);若特征集合满足收敛性判定,则检测模块14继续执行步骤d)。
可选的,判定模块13,具体用于判断学习器的输出误差是否小于或者等于学习器的允许误差;当学习器的输出误差大于学习器的允许误差时,学习器不满足收敛性判定;当学习器的输出误差小于或者等于学习器的允许误差时,学习器满足收敛性判定。
可选的,判定模块13,具体用于判断特征集合的输出误差是否小于或者等于特征集合的允许误差;当特征集合的输出误差大于特征集合的允许误差时,特征集合不满足收敛性判定;当特征集合的输出误差小于或者等于特征集合的允许误差时,特征集合满足收敛性判定。
实施例四
图4为实施例四提供的一种配用电通信网络的网络入侵检测装置的结构示意图,如图4所示,该配用电通信网络的网络入侵检测装置包括处理器30、存储器31和通信接口32;配用电通信网络的网络入侵检测装置中处理器30的数量可以是一个或多个,图4中以一个处理器30为例;配用电通信网络的网络入侵检测装置中的处理器30、存储器31、通信接口32可以通过总线或其他方式连接,图4中以通过总线连接为例。总线表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器31作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本发明实施例中的方法对应的程序指令/模块。处理器30通过运行存储在存储器31中的软件程序、指令以及模块,从而执行配用电通信网络的网络入侵检测装置的至少一种功能应用以及数据处理,即实现上述的方法。
存储器31可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据配用电通信网络的网络入侵检测装置的使用所创建的数据等。此外,存储器31可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器31可包括相对于处理器30远程设置的存储器,这些远程存储器可以通过网络连接至配用电通信网络的网络入侵检测装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
通信接口32可设置为数据的接收与发送。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如本发明任意实施例所提供的方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质包括(非穷举的列表):具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(electrically erasable,programmable Read-Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,数据信号中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、射频(Radio Frequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或多种程序设计语言组合来编写用于执行本公开操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++、Ruby、Go,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(Local Area Network,LAN)或广域网(Wide Area Network,WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本领域内的技术人员应明白,术语用户终端涵盖任何适合类型的无线用户设备,例如移动电话、便携数据处理装置、便携网络浏览器或车载移动台。
一般来说,本发明的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以被实现在硬件中,而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中,尽管本发明不限于此。
本发明的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现,例如在处理器实体中,或者通过硬件,或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(Instruction Set Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。
本发明附图中的任何逻辑流程的框图可以表示程序步骤,或者可以表示相互连接的逻辑电路、模块和功能,或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现,例如但不限于只读存储器(ROM)、随机访问存储器(RAM)、光存储器装置和系统(数码多功能光碟DVD或CD光盘)等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型,例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑器件(Field-Programmable Gate Array,FGPA)以及基于多核处理器架构的处理器。
Claims (10)
1.一种配用电通信网络的网络入侵检测方法,其特征在于,包括:
步骤a)获取历史通信数据,并对所述历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当所述学习器和所述特征集合满足收敛性判定时,将所述学习器和所述特征集合输出,进行网络入侵的实时检测。
2.根据权利要求1所述的方法,其特征在于,所述历史通信数据包括通信信息的属性数据和通信入侵行为数据。
3.根据权利要求2所述的方法,其特征在于,所述步骤b)包括:
基于双向搜索,从所述通信信息的属性数据中筛选得到所述特征集合,其中,所述特征集合包括至少两个属性特征。
4.根据权利要求2所述的方法,其特征在于,所述步骤c)包括:
基于神经网络算法,利用所述特征集合和所述通信入侵行为数据,对所述学习器进行训练。
5.根据权利要求1所述的方法,其特征在于,在所述步骤c)后,还包括:
判断所述学习器是否满足收敛性判定;
若所述学习器不满足收敛性判定,则返回执行步骤c);若所述学习器满足收敛性判定,则判断所述特征集合是否满足收敛性判定;
若所述特征集合不满足收敛性判定,则返回执行步骤b);若所述特征集合满足收敛性判定,则继续执行步骤d)。
6.根据权利要求5所述的方法,其特征在于,所述判断所述学习器是否满足收敛性判定包括:
判断所述学习器的输出误差是否小于或者等于所述学习器的允许误差;
当所述学习器的输出误差大于所述学习器的允许误差时,所述学习器不满足收敛性判定;当所述学习器的输出误差小于或者等于所述学习器的允许误差时,所述学习器满足收敛性判定。
7.根据权利要求5所述的方法,其特征在于,所述判断所述特征集合是否满足收敛性判定包括:
判断所述特征集合的输出误差是否小于或者等于所述特征集合的允许误差;
当所述特征集合的输出误差大于所述特征集合的允许误差时,所述特征集合不满足收敛性判定;当所述特征集合的输出误差小于或者等于所述特征集合的允许误差时,所述特征集合满足收敛性判定。
8.一种配用电通信网络的网络入侵检测装置,其特征在于,包括:数据预处理模块、特征确定模块、学习器训练模块、判定模块和检测模块;所述数据预处理模块用于执行步骤a),所述特征确定模块用于执行步骤b),所述学习器训练模块用于执行步骤c),所述判定模块和所述检测模块用于执行步骤d);其中,步骤a)-步骤d)包括:
步骤a)获取历史通信数据,并对所述历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当所述学习器和所述特征集合满足收敛性判定时,将所述学习器和所述特征集合输出,进行网络入侵的实时检测。
9.一种配用电通信网络的网络入侵检测装置,其特征在于,包括:处理器,所述处理器用于在执行计算机程序时实现如权利要求1-7中任一所述的配用电通信网络的网络入侵检测方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的配用电通信网络的网络入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010283967.0A CN111478913B (zh) | 2020-04-13 | 2020-04-13 | 配用电通信网络的网络入侵检测方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010283967.0A CN111478913B (zh) | 2020-04-13 | 2020-04-13 | 配用电通信网络的网络入侵检测方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111478913A true CN111478913A (zh) | 2020-07-31 |
CN111478913B CN111478913B (zh) | 2022-01-21 |
Family
ID=71752158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010283967.0A Active CN111478913B (zh) | 2020-04-13 | 2020-04-13 | 配用电通信网络的网络入侵检测方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111478913B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024713A (zh) * | 2021-09-30 | 2022-02-08 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信系统防入侵方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060037077A1 (en) * | 2004-08-16 | 2006-02-16 | Cisco Technology, Inc. | Network intrusion detection system having application inspection and anomaly detection characteristics |
US20150067857A1 (en) * | 2013-08-30 | 2015-03-05 | Ut Battelle, Llc | In-situ trainable intrusion detection system |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
US20190342319A1 (en) * | 2017-01-30 | 2019-11-07 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
CN110881037A (zh) * | 2019-11-19 | 2020-03-13 | 北京工业大学 | 网络入侵检测方法及其模型的训练方法、装置和服务器 |
CN110912867A (zh) * | 2019-09-29 | 2020-03-24 | 惠州蓄能发电有限公司 | 工业控制系统的入侵检测方法、装置、设备和存储介质 |
-
2020
- 2020-04-13 CN CN202010283967.0A patent/CN111478913B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060037077A1 (en) * | 2004-08-16 | 2006-02-16 | Cisco Technology, Inc. | Network intrusion detection system having application inspection and anomaly detection characteristics |
US20150067857A1 (en) * | 2013-08-30 | 2015-03-05 | Ut Battelle, Llc | In-situ trainable intrusion detection system |
US20190342319A1 (en) * | 2017-01-30 | 2019-11-07 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
CN110912867A (zh) * | 2019-09-29 | 2020-03-24 | 惠州蓄能发电有限公司 | 工业控制系统的入侵检测方法、装置、设备和存储介质 |
CN110881037A (zh) * | 2019-11-19 | 2020-03-13 | 北京工业大学 | 网络入侵检测方法及其模型的训练方法、装置和服务器 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024713A (zh) * | 2021-09-30 | 2022-02-08 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信系统防入侵方法 |
CN114024713B (zh) * | 2021-09-30 | 2023-08-08 | 广东电网有限责任公司电力调度控制中心 | 一种低压电力线载波通信系统防入侵方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111478913B (zh) | 2022-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pacheco et al. | Artificial neural networks-based intrusion detection system for internet of things fog nodes | |
Patel et al. | A nifty collaborative intrusion detection and prevention architecture for smart grid ecosystems | |
Yan et al. | Integrated security analysis on cascading failure in complex networks | |
US20230385186A1 (en) | Resilient estimation for grid situational awareness | |
Anwar et al. | Anomaly detection in electric network database of smart grid: Graph matching approach | |
CN112351031A (zh) | 攻击行为画像的生成方法、装置、电子设备和存储介质 | |
Gillies et al. | Probabilistic approaches to estimating the quality of information in military sensor networks | |
da Silva et al. | Network traffic prediction for detecting DDoS attacks in IEC 61850 communication networks | |
CN111478913B (zh) | 配用电通信网络的网络入侵检测方法、装置及存储介质 | |
Chen et al. | AndroidOff: Offloading android application based on cost estimation | |
Balta et al. | Real-time monitoring and scalable messaging of scada networks data: A case study on cyber-physical attack detection in water distribution system | |
Zhang et al. | Reliability evaluation of Markov cyber–physical system oriented to cognition of equipment operating status | |
Ghorbanian et al. | Signature-based hybrid Intrusion detection system (HIDS) for android devices | |
CN111769987B (zh) | 基于大数据管理模型的网络信息安全测试系统及方法 | |
Li | Network Intrusion Detection Algorithm and Simulation of Complex System in Internet Environment | |
Li et al. | A dynamic taint tracking optimized fuzz testing method based on multi-modal sensor data fusion | |
US11695643B1 (en) | Statistical control rules for detecting anomalies in time series data | |
CN115801366A (zh) | 攻击检测的方法、装置、电子设备及计算机可读存储介质 | |
CN115688961A (zh) | 基于深度学习的电力设备故障预测方法及系统 | |
Fuentes Jr et al. | Leak detection in water distribution networks via pressure analysis using a machine learning ensemble | |
CN113901456A (zh) | 一种用户行为安全性预测方法、装置、设备及介质 | |
Lamrani et al. | A formal definition of metrics for object oriented design: Mood metrics | |
CN109902831B (zh) | 业务决策处理方法以及装置 | |
CN117873690B (zh) | 运算器芯片功耗管理方法、计算子系统以及智能计算平台 | |
CN116743508B (zh) | 一种电力系统网络攻击链检测方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |