CN111478913B - 配用电通信网络的网络入侵检测方法、装置及存储介质 - Google Patents

配用电通信网络的网络入侵检测方法、装置及存储介质 Download PDF

Info

Publication number
CN111478913B
CN111478913B CN202010283967.0A CN202010283967A CN111478913B CN 111478913 B CN111478913 B CN 111478913B CN 202010283967 A CN202010283967 A CN 202010283967A CN 111478913 B CN111478913 B CN 111478913B
Authority
CN
China
Prior art keywords
learner
feature set
network
data
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010283967.0A
Other languages
English (en)
Other versions
CN111478913A (zh
Inventor
翟柱新
邹钟璐
黄贺平
陈皓宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority to CN202010283967.0A priority Critical patent/CN111478913B/zh
Publication of CN111478913A publication Critical patent/CN111478913A/zh
Application granted granted Critical
Publication of CN111478913B publication Critical patent/CN111478913B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/06Electricity, gas or water supply
    • G06Q50/40

Abstract

本发明公开了配用电通信网络的网络入侵检测方法、装置及存储介质。该方法包括:步骤a)获取历史通信数据,并对历史通信数据进行预处理;步骤b)基于双向搜索,确定特征集合;步骤c)基于神经网络算法,对学习器进行改进;步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。本发明提供的方案能够使学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。

Description

配用电通信网络的网络入侵检测方法、装置及存储介质
技术领域
本发明实施例涉及电网安全保护领域,尤其涉及一种配用电通信网络的网络入侵检测方法、装置及存储介质。
背景技术
配用电通信网络由于通信方式多样、网络拓扑复杂、牵涉面广、设备数量多等特点,导致影响其网络安全运行的因素越来越多,通信运行机理越来越复杂。基于配用电通信网络的这些特点,防范网络入侵显得至关重要。
目前对于配用电通信网络主要是采用对设备的监控管理、防火墙策略、终端加密等方式,监控和保护配用电通信网络的安全。但由于当前网络入侵方式的多样性和多途径,难以对配用电通信网络进行准确合理的检测。
发明内容
本发明实施例提供了一种配用电通信网络的网络入侵检测方法、装置及存储介质,能够使学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
第一方面,本发明实施例提供了一种配用电通信网络的网络入侵检测方法,包括:
步骤a)获取历史通信数据,并对历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
可选的,历史通信数据包括通信信息的属性数据和通信入侵行为数据。
可选的,步骤b)包括:
基于双向搜索,从通信信息的属性数据中筛选得到特征集合,其中,特征集合包括至少两个属性特征。
可选的,步骤c)包括:
基于神经网络算法,利用特征集合和通信入侵行为数据,对学习器进行训练。
可选的,在步骤c)后,还包括:
判断学习器是否满足收敛性判定;
若学习器不满足收敛性判定,则返回执行步骤c);若学习器满足收敛性判定,则判断特征集合是否满足收敛性判定;
若特征集合不满足收敛性判定,则返回执行步骤b);若特征集合满足收敛性判定,则继续执行步骤d)。
可选的,判断学习器是否满足收敛性判定包括:
判断学习器的输出误差是否小于或者等于学习器的允许误差;
当学习器的输出误差大于学习器的允许误差时,学习器不满足收敛性判定;当学习器的输出误差小于或者等于学习器的允许误差时,学习器满足收敛性判定。
可选的,判断特征集合是否满足收敛性判定包括:
判断特征集合的输出误差是否小于或者等于特征集合的允许误差;
当特征集合的输出误差大于特征集合的允许误差时,特征集合不满足收敛性判定;当特征集合的输出误差小于或者等于特征集合的允许误差时,特征集合满足收敛性判定。
第二方面,本发明实施例还提供了一种配用电通信网络的网络入侵检测装置,包括:数据预处理模块、特征确定模块、学习器训练模块、判定模块和检测模块;数据预处理模块用于执行步骤a),特征确定模块用于执行步骤b),学习器训练模块用于执行步骤c),判定模块和检测模块用于执行步骤d);其中,步骤a)-步骤d)包括:
步骤a)获取历史通信数据,并对历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
第三方面,本发明实施例还提供了一种配用电通信网络的网络入侵检测装置,包括:处理器,处理器用于在执行计算机程序时实现上述任一实施例的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例的方法。
本发明提供一种配用电通信网络的网络入侵检测方法、装置及存储介质,该方法包括:步骤a)获取历史通信数据,并对历史通信数据进行预处理;步骤b)基于双向搜索,确定特征集合;步骤c)基于神经网络算法,对学习器进行改进;步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。通过对处理得到的特征集合和学习器进行收敛性判定,当学习器和特征集合均满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测,使得输出的学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
附图说明
图1是实施例一提供的一种配用电通信网络的网络入侵检测方法的流程示意图;
图2是实施例二提供的一种配用电通信网络的网络入侵检测方法的流程示意图;
图3是实施例三提供的一种配用电通信网络的网络入侵检测装置的结构示意图;
图4是实施例四提供的一种配用电通信网络的网络入侵检测装置的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
配用电通信网络由于通信方式多样、网络拓扑复杂、牵涉面广、设备数量多等特点,导致影响其网络安全运行的因素越来越多,通信运行机理越来越复杂。基于配用电通信网络的这些特点,防范网络入侵显得至关重要。同时,配用电通信网络是保障电网正常运行、故障快速响应、资源高效利用、业务实时实现、电力生产可持续的信息通道,因此配用电通信网络的安全稳定直接关系到电力生产的开展,它对电网安全、稳定、经济运行起到了保障性作用。近年来配用电通信网络异常数据入侵事件频发,网络入侵会导致电力监控系统瘫痪,造成大面积停电事故,严重影响社会安全。
目前对于配用电通信网络主要是采用对设备的监控管理、防火墙策略、终端加密等方式,监控和保护配用电通信网络的安全。但由于当前网络入侵方式的多样性和多途径,难以对配用电通信网络进行准确合理的检测。
网络入侵检测必须首先基于历史通信数据分析获取能够反映配用电通信网络通信数据的关键特征数据,该过程称为入侵检测特征选择。鉴于特征选择对提升在线入侵检测的重要性,现有的配用电通信网络的网络入侵检测方法的研究重点在于特征选择方法的设计。然而实际上,特征选择与入侵检测学习器密不可分,不同的入侵检测学习器适用的特征不同。因此,由于现有的网络入侵检测方法没有考虑到特征选择与入侵检测学习器的协同机制,容易造成实际使用中特征选择方法与入侵检测学习器脱节的问题。
为解决上述问题,本发明提供一种配用电通信网络的网络入侵检测方法、装置及存储介质,能够使学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。其中,根据特征集合与学习器的关系,可将入侵检测方法划分为过滤式、包裹式、嵌入式三种模式。本发明实施例提供的方法适用于这三种模式,优选的,与过滤式、嵌入式入侵检测方法相比,包裹式模式具有辨识准确率高、算法设计较为灵活等显著优势,也是电力通信网入侵检测领域研究应用最为广泛的方法。
需要说明的是,本发明下述各个实施例可以单独执行,各个实施例之间也可以相互结合执行,本发明实施例对此不作具体限制。
下面,对配用电通信网络的网络入侵检测方法、装置及其技术效果进行描述。
实施例一
图1为实施例一提供的一种配用电通信网络的网络入侵检测方法的流程示意图,如图1所示,本实施例提供的方法适用于配用电通信网络的网络入侵检测装置,该方法包括如下步骤。
S101、步骤a)获取历史通信数据,并对历史通信数据进行预处理。
历史通信数据结构复杂,既包括字符类型属性,也包括数据类型属性。因此需要分别对字符类型属性的历史通信数据和数据类型属性的历史通信数据进行预处理。其中,对于字符类型属性的历史通信数据,主要采用数值映射的方法,将取值范围固定的字符类型属性映射为离散数值;对于数据类型属性的历史通信数据,主要采用归一化方法,将其映射为取值0至1范围内的数值。
在一实施例中,历史通信数据包括通信信息的属性数据和通信入侵行为数据。
S102、步骤b)基于双向搜索,确定特征集合。
双向搜索是一种图的遍历算法,用于在有向图中搜索从一个顶点到另一个顶点的最短路径。算法同时运行两个搜索:一个从初始状态正向搜索,另一个从目标状态反向搜索,当两者在中间汇合时搜索停止。所谓双向搜索确定特征集合是指在通信数据属性特征调整过程中,前向增加一个新的属性特征的同时,减少一个原特征集中的属性特征,即保证特征集合中包括的属性特征数量不变。从而使得在学习器模型下该特征选择方案的准确率最高。
在一实施例中,特征集合包括至少两个属性特征。
S103、步骤c)基于神经网络算法,对学习器进行改进。
学习器是针对所选取的特征集合实际取值及其实际入侵情况训练得到的检验算法。考虑到特征集合与入侵情况之间复杂的对应关系,本申请选取神经网络人工智能算法作为学习器,对上述检验算法模拟训练。BP(back propagation)神经网络是典型的神经网络算法,也是当前应用最为广泛的神经网络算法类型。
神经网络算法(又可以称为人工神经网络(Artificial Neural Networks,ANNs)、神经网络(Neural Networks,NNs)或者连接模型(Connection Model))是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相互连接的关系,从而达到处理信息的目的。
S104、步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
当学习器和特征集合满足收敛性判定时,表示特征集合与学习器已处于协同状态,将学习器和特征集合输出,进行网络入侵的实时检测,使得输出的学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
上述方法具体包括两个阶段:步骤S101-S103为历史数据训练阶段,步骤S104为实时数据检验阶段。历史数据训练阶段的作用是利用历史通信数据对特征集合和学习器进行迭代训练,实时数据检验阶段则是将学习器和特征集合投入实际运行,进行网络入侵的实时检测。
实施例二
图2为实施例二提供的一种配用电通信网络的网络入侵检测方法的流程示意图,如图2所示,本实施例提供的方法适用于配用电通信网络的网络入侵检测装置,该方法包括如下步骤。
S201、步骤a)获取历史通信数据,并对历史通信数据进行预处理。
历史通信数据结构复杂,既包括字符类型属性,也包括数据类型属性。因此需要分别对字符类型属性的历史通信数据和数据类型属性的历史通信数据进行预处理。
对于字符类型属性的历史通信数据,主要采用数值映射的方法,将取值范围固定的字符类型属性映射为离散数值。例如,可将协议类型属性:用户数据报协议(UserDatagram Protocol,UDP)映射为数值2。
对于数据类型属性的历史通信数据,主要采用归一化方法,将其映射为取值0至1范围内的数值。具体可采用如下公式:
Figure 536157DEST_PATH_IMAGE001
其中,
Figure 177354DEST_PATH_IMAGE002
为归一化前数据类型属性的历史通信数据的数值,
Figure 66812DEST_PATH_IMAGE003
为归一化后数据 类型属性的历史通信数据的数值,
Figure 804961DEST_PATH_IMAGE004
为该数值取值范围下限,
Figure 387252DEST_PATH_IMAGE005
为该数值取值范围 上限。
在一实施例中,历史通信数据包括通信信息的属性数据和通信入侵行为数据。可以理解的是,通信信息的属性数据中可以包括字符类型属性,也可以包括数据类型属性;通信入侵行为数据中可以包括字符类型属性,也可以包括数据类型属性,均采用上述方法进行预处理。
S202、步骤b)基于双向搜索,确定特征集合。
具体的,步骤b)可以采用如下方法实现:基于双向搜索,从通信信息的属性数据中筛选得到特征集合,其中,特征集合包括至少两个属性特征。
双向搜索是一种图的遍历算法,用于在有向图中搜索从一个顶点到另一个顶点的最短路径。算法同时运行两个搜索:一个从初始状态正向搜索,另一个从目标状态反向搜索,当两者在中间汇合时搜索停止。所谓双向搜索确定特征集合是指在通信数据属性特征调整过程中,前向增加一个新的属性特征的同时,减少一个原特征集中的属性特征,即保证特征集合中包括的属性特征数量不变。从而使得在学习器模型下该特征选择方案的准确率最高。
在属性特征数量为N的通信数据场景中,特征集合包括的属性特征个数为k,采用遍历的方式考虑增减一个属性特征时的计算开支可表示为:
Figure 515745DEST_PATH_IMAGE006
其中,
Figure 208895DEST_PATH_IMAGE007
为基于学习器统计历史数据评价准确性时的计算开支,
Figure 535971DEST_PATH_IMAGE008
为每一 轮双向搜索时的计算开支。当学习器评价效率较高,计算开支不大时,可采用遍历搜索的方 法,以保证搜索的全面性;当计算开支较高时,可以考虑利用禁忌搜索等智能算法,进一步 提升优化效率。
S203、步骤c)基于神经网络算法,对学习器进行改进。
具体的,步骤c)可以采用如下方法实现:基于神经网络算法,利用特征集合和通信入侵行为数据,对学习器进行训练。
学习器是针对所选取的特征集合实际取值及其实际入侵情况训练得到的检验算法。考虑到特征集合与入侵情况之间复杂的对应关系,本申请选取神经网络人工智能算法作为学习器,对上述检验算法模拟训练。BP神经网络是典型的神经网络算法,也是当前应用最为广泛的神经网络算法类型。
神经网络算法是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相互连接的关系,从而达到处理信息的目的。
其中,各神经元输入与输出量之间的关系可表示为:
Figure 23584DEST_PATH_IMAGE009
其中,
Figure 701690DEST_PATH_IMAGE010
为神经元输入量,
Figure 431486DEST_PATH_IMAGE011
为神经元输出量,
Figure 878648DEST_PATH_IMAGE012
为不同输入量的权重值,f() 为激活函数,NX为该神经元的输入量数量。
神经网络具有工作状态和学习状态两个运行状态。工作状态是根据输入信息,按照上述各神经元输入与输出量之间的关系计算输出结果;学习状态则是对神经网络进行改进,改进公式为:
Figure 537163DEST_PATH_IMAGE013
其中,
Figure 640248DEST_PATH_IMAGE014
为改进迭代中第n+1轮的权重值,
Figure 675200DEST_PATH_IMAGE015
为改进迭代中第n轮的权 重值,
Figure 445710DEST_PATH_IMAGE016
为由人工设定的学习速率,
Figure 71863DEST_PATH_IMAGE017
为校正比率、其取值根据各神经元输出偏差计算,可 表示为:
Figure 662245DEST_PATH_IMAGE018
其中,
Figure 297625DEST_PATH_IMAGE019
为该神经元输出量与目标值之间的偏差。
在确定了特征集合并改进学习器后,需要对特征集合和学习器进行收敛性判定,以检验特征集合和学习器是否可以投入实时检测。具体的,对特征集合和学习器进行收敛性判定包括两个层面:外层是在给定的学习器的情况下判定选定的特征集合是否收敛,内层是在给定特征集合的情况下判定基于神经网络的学习器是否收敛。在具体的判定过程中,首先进行内层判定,其次进行外层判定,具体参考下述步骤S204-S208:
S204、判断学习器是否满足收敛性判定。
具体的,步骤S204为内层判定过程。判断学习器是否满足收敛性判定的方法包括: 判断学习器的输出误差是否小于或者等于学习器的允许误差;即内层收敛判定的公式为:
Figure 657062DEST_PATH_IMAGE020
Figure 657380DEST_PATH_IMAGE021
为学习器的输出误差,
Figure 531795DEST_PATH_IMAGE022
为学习器的允许误差。
S205、若学习器不满足收敛性判定,则返回执行步骤c)。
当学习器的输出误差大于学习器的允许误差时,表示学习器不满足收敛性判定,学习器需要按照神经网络的改进策略对其改进直至收敛。即返回执行步骤c),继续基于神经网络算法,对学习器进行改进。
S206、若学习器满足收敛性判定,则判断特征集合是否满足收敛性判定。
当学习器的输出误差小于或者等于学习器的允许误差时,表示学习器满足收敛性判定,此时学习器已达到该特征集合下最佳匹配,此时进一步判断特征集合是否满足收敛性判定,即外层判定过程。
判断特征集合是否满足收敛性判定的方法包括:判断特征集合的输出误差是否小 于或者等于特征集合的允许误差;即外层收敛判定的公式为:
Figure 407084DEST_PATH_IMAGE023
Figure 683345DEST_PATH_IMAGE024
为特征集 合的输出误差,
Figure 120143DEST_PATH_IMAGE025
为特征集合的允许误差。
S207、若特征集合不满足收敛性判定,则返回执行步骤b)。
当特征集合的输出误差大于特征集合的允许误差时,表示特征集合不满足收敛性判定,此时需要根据当前最优的学习器,对特征集合进行重新确定,即返回执行步骤b)。
S208、若特征集合满足收敛性判定,则将学习器和特征集合输出,进行网络入侵的实时检测。
当特征集合的输出误差小于或者等于特征集合的允许误差时,表示特征集合满足收敛性判定,此时学习器和特征集合相匹配,得到了一体化入侵检测方法,将学习器和特征集合输出,进行网络入侵的实时检测。
上述方法具体包括两个阶段:步骤S201-S207为历史数据训练阶段,步骤S208为实时数据检验阶段。历史数据训练阶段的作用是利用历史通信数据对特征集合和学习器进行迭代训练,实时数据检验阶段则是将学习器和特征集合投入实际运行,进行网络入侵的实时检测。
在历史数据训练阶段,确定特征集合的作用是根据通信信息的属性数据筛选出特征属性;学习器则是按照筛选结果基于历史数据辨识其是否存在网络入侵,通过与实际情况对比,对其算法准确性评价。当满足收敛性条件要求时,即可将该学习器投入实际运行,实施在线入侵检测;否则转入确定特征集合或学习器训练过程,对其改进,直至获得符合要求的学习器。从上述过程可以看出,入侵检测准确率既取决于所选择的特征是否准确,也取决于所采用的学习器。只有当学习器与特征相匹配时,才能获得最佳的入侵检测准确率。
本发明提供一种配用电通信网络的网络入侵检测方法,包括:步骤a)获取历史通信数据,并对历史通信数据进行预处理;步骤b)基于双向搜索,确定特征集合;步骤c)基于神经网络算法,对学习器进行改进;步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。通过对处理得到的特征集合和学习器进行收敛性判定,当学习器和特征集合均满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测,使得输出的学习器和特征集合相匹配,从而提升配用电通信网络的网络入侵检测的准确率。
实施例三
图3为实施例三提供的一种配用电通信网络的网络入侵检测装置的结构示意图,如图3所示,包括:数据预处理模块10、特征确定模块11、学习器训练模块12、判定模块13和检测模块14;数据预处理模块10用于执行步骤a),特征确定模块11用于执行步骤b),学习器训练模块12用于执行步骤c),判定模块13和检测模块14用于执行步骤d);其中,步骤a)-步骤d)包括:
步骤a)获取历史通信数据,并对历史通信数据进行预处理;
步骤b)基于双向搜索,确定特征集合;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当学习器和特征集合满足收敛性判定时,将学习器和特征集合输出,进行网络入侵的实时检测。
本实施例提供的配用电通信网络的网络入侵检测装置为实现上述实施例的配用电通信网络的网络入侵检测方法,本实施例提供的配用电通信网络的网络入侵检测装置实现原理和技术效果与上述实施例类似,此处不再赘述。
可选的,历史通信数据包括通信信息的属性数据和通信入侵行为数据。
可选的,特征确定模块11,具体用于基于双向搜索,从通信信息的属性数据中筛选得到特征集合,其中,特征集合包括至少两个属性特征。
可选的,学习器训练模块12,具体用于基于神经网络算法,利用特征集合和通信入侵行为数据,对学习器进行训练。
可选的,判定模块13,具体用于判断学习器是否满足收敛性判定;若学习器不满足收敛性判定,则学习器训练模块12返回执行步骤c);若学习器满足收敛性判定,则判断特征集合是否满足收敛性判定;若特征集合不满足收敛性判定,则特征确定模块11返回执行步骤b);若特征集合满足收敛性判定,则检测模块14继续执行步骤d)。
可选的,判定模块13,具体用于判断学习器的输出误差是否小于或者等于学习器的允许误差;当学习器的输出误差大于学习器的允许误差时,学习器不满足收敛性判定;当学习器的输出误差小于或者等于学习器的允许误差时,学习器满足收敛性判定。
可选的,判定模块13,具体用于判断特征集合的输出误差是否小于或者等于特征集合的允许误差;当特征集合的输出误差大于特征集合的允许误差时,特征集合不满足收敛性判定;当特征集合的输出误差小于或者等于特征集合的允许误差时,特征集合满足收敛性判定。
实施例四
图4为实施例四提供的一种配用电通信网络的网络入侵检测装置的结构示意图,如图4所示,该配用电通信网络的网络入侵检测装置包括处理器30、存储器31和通信接口32;配用电通信网络的网络入侵检测装置中处理器30的数量可以是一个或多个,图4中以一个处理器30为例;配用电通信网络的网络入侵检测装置中的处理器30、存储器31、通信接口32可以通过总线或其他方式连接,图4中以通过总线连接为例。总线表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器31作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本发明实施例中的方法对应的程序指令/模块。处理器30通过运行存储在存储器31中的软件程序、指令以及模块,从而执行配用电通信网络的网络入侵检测装置的至少一种功能应用以及数据处理,即实现上述的方法。
存储器31可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据配用电通信网络的网络入侵检测装置的使用所创建的数据等。此外,存储器31可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器31可包括相对于处理器30远程设置的存储器,这些远程存储器可以通过网络连接至配用电通信网络的网络入侵检测装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
通信接口32可设置为数据的接收与发送。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如本发明任意实施例所提供的方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质包括(非穷举的列表):具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(electrically erasable,programmable Read-Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,数据信号中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、射频(Radio Frequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或多种程序设计语言组合来编写用于执行本公开操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++、Ruby、Go,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(Local Area Network,LAN)或广域网(Wide Area Network,WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本领域内的技术人员应明白,术语用户终端涵盖任何适合类型的无线用户设备,例如移动电话、便携数据处理装置、便携网络浏览器或车载移动台。
一般来说,本发明的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以被实现在硬件中,而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中,尽管本发明不限于此。
本发明的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现,例如在处理器实体中,或者通过硬件,或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(Instruction Set Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。
本发明附图中的任何逻辑流程的框图可以表示程序步骤,或者可以表示相互连接的逻辑电路、模块和功能,或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现,例如但不限于只读存储器(ROM)、随机访问存储器(RAM)、光存储器装置和系统(数码多功能光碟DVD或CD光盘)等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型,例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑器件(Field-Programmable Gate Array,FGPA)以及基于多核处理器架构的处理器。

Claims (8)

1.一种配用电通信网络的网络入侵检测方法,其特征在于,包括:
步骤a)获取历史通信数据,并对所述历史通信数据进行预处理,所述历史通信数据包括通信信息的属性数据和通信入侵行为数据;
步骤b)基于双向搜索,从所述通信信息的属性数据中筛选得到所述特征集合,其中,所述特征集合包括至少两个属性特征,所述双向搜索是一种图的遍历算法,用于在有向图中搜索从一个顶点到另一个顶点的最短路径,所述算法同时运行两个搜索:一个从初始状态正向搜索,另一个从目标状态反向搜索,当两者在中间汇合时搜索停止;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当所述学习器和所述特征集合满足收敛性判定时,将所述学习器和所述特征集合输出,进行网络入侵的实时检测。
2.根据权利要求1所述的方法,其特征在于,所述步骤c)包括:
基于神经网络算法,利用所述特征集合和所述通信入侵行为数据,对所述学习器进行训练。
3.根据权利要求1所述的方法,其特征在于,在所述步骤c)后,还包括:
判断所述学习器是否满足收敛性判定;
若所述学习器不满足收敛性判定,则返回执行步骤c);若所述学习器满足收敛性判定,则判断所述特征集合是否满足收敛性判定;
若所述特征集合不满足收敛性判定,则返回执行步骤b);若所述特征集合满足收敛性判定,则继续执行步骤d)。
4.根据权利要求3所述的方法,其特征在于,所述判断所述学习器是否满足收敛性判定包括:
判断所述学习器的输出误差是否小于或者等于所述学习器的允许误差;
当所述学习器的输出误差大于所述学习器的允许误差时,所述学习器不满足收敛性判定;当所述学习器的输出误差小于或者等于所述学习器的允许误差时,所述学习器满足收敛性判定。
5.根据权利要求3所述的方法,其特征在于,所述判断所述特征集合是否满足收敛性判定包括:
判断所述特征集合的输出误差是否小于或者等于所述特征集合的允许误差;
当所述特征集合的输出误差大于所述特征集合的允许误差时,所述特征集合不满足收敛性判定;当所述特征集合的输出误差小于或者等于所述特征集合的允许误差时,所述特征集合满足收敛性判定。
6.一种配用电通信网络的网络入侵检测装置,其特征在于,包括:数据预处理模块、特征确定模块、学习器训练模块、判定模块和检测模块;所述数据预处理模块用于执行步骤a),所述特征确定模块用于执行步骤b),所述学习器训练模块用于执行步骤c),所述判定模块和所述检测模块用于执行步骤d);其中,步骤a)-步骤d)包括:
步骤a)获取历史通信数据,并对所述历史通信数据进行预处理,所述历史通信数据包括通信信息的属性数据和通信入侵行为数据;
步骤b)基于双向搜索,从所述通信信息的属性数据中筛选得到所述特征集合,其中,所述特征集合包括至少两个属性特征,所述双向搜索是一种图的遍历算法,用于在有向图中搜索从一个顶点到另一个顶点的最短路径,所述算法同时运行两个搜索:一个从初始状态正向搜索,另一个从目标状态反向搜索,当两者在中间汇合时搜索停止;
步骤c)基于神经网络算法,对学习器进行改进;
步骤d)当所述学习器和所述特征集合满足收敛性判定时,将所述学习器和所述特征集合输出,进行网络入侵的实时检测。
7.一种配用电通信网络的网络入侵检测装置,其特征在于,包括:处理器,所述处理器用于在执行计算机程序时实现如权利要求1-5中任一所述的配用电通信网络的网络入侵检测方法。
8.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5中任一所述的配用电通信网络的网络入侵检测方法。
CN202010283967.0A 2020-04-13 2020-04-13 配用电通信网络的网络入侵检测方法、装置及存储介质 Active CN111478913B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010283967.0A CN111478913B (zh) 2020-04-13 2020-04-13 配用电通信网络的网络入侵检测方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010283967.0A CN111478913B (zh) 2020-04-13 2020-04-13 配用电通信网络的网络入侵检测方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN111478913A CN111478913A (zh) 2020-07-31
CN111478913B true CN111478913B (zh) 2022-01-21

Family

ID=71752158

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010283967.0A Active CN111478913B (zh) 2020-04-13 2020-04-13 配用电通信网络的网络入侵检测方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111478913B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024713B (zh) * 2021-09-30 2023-08-08 广东电网有限责任公司电力调度控制中心 一种低压电力线载波通信系统防入侵方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110086776A (zh) * 2019-03-22 2019-08-02 国网河南省电力公司经济技术研究院 基于深度学习的智能变电站网络入侵检测系统及检测方法
CN110912867A (zh) * 2019-09-29 2020-03-24 惠州蓄能发电有限公司 工业控制系统的入侵检测方法、装置、设备和存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060037077A1 (en) * 2004-08-16 2006-02-16 Cisco Technology, Inc. Network intrusion detection system having application inspection and anomaly detection characteristics
US9497204B2 (en) * 2013-08-30 2016-11-15 Ut-Battelle, Llc In-situ trainable intrusion detection system
US10397258B2 (en) * 2017-01-30 2019-08-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection
CN110875912A (zh) * 2018-09-03 2020-03-10 中移(杭州)信息技术有限公司 一种基于深度学习的网络入侵检测方法、装置和存储介质
CN110881037A (zh) * 2019-11-19 2020-03-13 北京工业大学 网络入侵检测方法及其模型的训练方法、装置和服务器

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110086776A (zh) * 2019-03-22 2019-08-02 国网河南省电力公司经济技术研究院 基于深度学习的智能变电站网络入侵检测系统及检测方法
CN110912867A (zh) * 2019-09-29 2020-03-24 惠州蓄能发电有限公司 工业控制系统的入侵检测方法、装置、设备和存储介质

Also Published As

Publication number Publication date
CN111478913A (zh) 2020-07-31

Similar Documents

Publication Publication Date Title
ES2966287T3 (es) Sistema y procedimiento para la detección de anomalías y ciberamenazas en una turbina eólica
Yan et al. Integrated security analysis on cascading failure in complex networks
US20230385186A1 (en) Resilient estimation for grid situational awareness
RU2012155276A (ru) Обнаружение и анализ злоумышленной атаки
CN109564609A (zh) 利用先进计算机决策平台的计算机攻击的检测缓和与矫正
CN112351031A (zh) 攻击行为画像的生成方法、装置、电子设备和存储介质
Schlegel et al. Structured system threat modeling and mitigation analysis for industrial automation systems
CN111478913B (zh) 配用电通信网络的网络入侵检测方法、装置及存储介质
CN114666156A (zh) 数据安全防护系统、方法、装置、计算机设备和存储介质
da Silva et al. Network traffic prediction for detecting DDoS attacks in IEC 61850 communication networks
Chen et al. AndroidOff: Offloading android application based on cost estimation
Henry et al. Evaluating the risk of cyber attacks on SCADA systems via Petri net analysis with application to hazardous liquid loading operations
Balta et al. Real-time monitoring and scalable messaging of scada networks data: A case study on cyber-physical attack detection in water distribution system
Ghorbanian et al. Signature-based hybrid Intrusion detection system (HIDS) for android devices
CN113783876A (zh) 基于图神经网络的网络安全态势感知方法及相关设备
US20230291657A1 (en) Statistical Control Rules for Detecting Anomalies in Times Series Data
Li Network Intrusion Detection Algorithm and Simulation of Complex System in Internet Environment
Li et al. A dynamic taint tracking optimized fuzz testing method based on multi-modal sensor data fusion
CN115051835A (zh) 一种处理数据的方法、电子设备、存储介质及系统
Fuentes Jr et al. Leak detection in water distribution networks via pressure analysis using a machine learning ensemble
CN109902831B (zh) 业务决策处理方法以及装置
Lamrani et al. A formal definition of metrics for object oriented design: Mood metrics
Pryshchepa et al. Modern IT problems and ways to solve them
CN116743508B (zh) 一种电力系统网络攻击链检测方法、装置、设备及介质
CN117873690B (zh) 运算器芯片功耗管理方法、计算子系统以及智能计算平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant