CN111510438B - 一种面向电力物联网终端数据分类的管控方法 - Google Patents
一种面向电力物联网终端数据分类的管控方法 Download PDFInfo
- Publication number
- CN111510438B CN111510438B CN202010233082.XA CN202010233082A CN111510438B CN 111510438 B CN111510438 B CN 111510438B CN 202010233082 A CN202010233082 A CN 202010233082A CN 111510438 B CN111510438 B CN 111510438B
- Authority
- CN
- China
- Prior art keywords
- data
- center
- cluster
- clustering
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Signal Processing (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Biology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向电力物联网终端数据分类的管控方法,其特点是,包括:基于改进支持向量机的非设备指纹模型建立和基于改进PAM聚类算法的设备指纹模型建立,该方法将数据包分类成非设备指纹和设备指纹两部分进行检测,与传统的数据包异常检测方式相比,可极大降低伪装数据包潜入终端设备内部的可能性,通过及时更新黑名单,减少重复性工作量,提高网络数据传输效率,防止数据包吞吐量异常增高。具有方法科学合理,适用性强,效果佳等优点。
Description
技术领域
本发明属于物联网终端安全技术领域,涉及一种面向电力物联网终端数据分类的管控方法。
背景技术
在实际应用中,大量的电力物联网终端设备接入到电力系统内部,电力物联网与传统的互联网相比,网络终端数量巨大、物理部署范围更广,除了人机互联以外还包含大量的设备互联,既要保证电力物联网的实时可见和全程可控,又要保证泛在物联网终端设备信息安全、海量接入设备种类繁杂、管理不规范等问题面临巨大挑战。
数据分类就是把具有某种共同属性或者特征的数据归并在一起,然后通过围绕中心点划分(Partitioning Around Medoid,PAM)聚类等方法提取数据包中关键部分,与数据包中其他数据分离,并进行区分标记,有效实现在数据传输中阻止伪装数据包进入终端、服务器等设备。
在电力物联网中,这些终端设备分布在各个业务区域,网络异常数据难以发现,泛在电力物联网终端设备数据管理主要存在如下问题:
(1)现有的数据包检测机制是对数据包进行聚类分析,根据数据包聚类的结果,设置正常的特征数据集,当其他数据包进入网络终端之前,只需要数据包对比正常的特征数据集是否匹配,即可减少异常数据包进入网络终端,这种方式对于数据包中若存在伪装设备指纹信息,会造成聚类出错误的特征数据集,数据包误报率增高;
(2)现有的数据包检测方法中,假设分布式拒绝服务攻击电力物联网终端内部,会使得数据包突然间吞吐量异常增大,大量占用终端服务器资源,如果没有合适的评判标准,最终会导致电力物联网终端系统崩溃;
(3)现有的聚类算法对数据流量分析的核心思想是利用簇中位置的中心对象,对每个对象进行多次划分,直到找到最佳的中心点,但相关聚类算法也有一定不足,对小数据集有效,大数据集的效果不佳。
发明内容
本发明的目的是,针对电力物联网异常数据包检测的误报和数据包吞吐量异常增大的问题,提供一种能够极大降低伪装数据包潜入终端设备内部,有效的防止数据包吞吐量异常增高,进而提高网络数据传输效率的面向电力物联网终端数据分类的管控方法。
本发明的目的是由以下技术方案来实现的:一种面向电力物联网终端数据分类的管控方法,其特征是,它包括的内容有:基于改进支持向量机的非设备指纹模型建立和基于改进PAM聚类算法的设备指纹模型建立,
1)基于改进支持向量机的非设备指纹模型建立;
首先设置一个训练集(ai,bj),i∈[-1,1]表示i可以取该区间任意负类数和正类数,j表示训练个数,ai表示分类目标,bj表示学习目标,ai∈Tc,T是特征数,T=1,2,...,N,c是特征维数,取值为大于0的整数,因此多个分类目标和学习目标构成一个二维特征数据集空间,在分类目标ai的空间找到最优超平面,目的是将数据包中设备指纹信息和非设备指纹信息进行分类,改进的分类器通过求解式(1)的正则化问题来训练分类器:
其中,F为非设备指纹特征数,x是输入特征数,H是设备指纹的特征数,Y是加权因子,μ是平衡数据分类拟合度的正则化参数;
2)基于改进PAM聚类算法的设备指纹模型建立;
改进PAM聚类算法以小数据集为单位,数据预处理将设备指纹数据集划分成若干个小数据集,将设备指纹数据按特征分为规则型数据和不规则型数据;将规则型数据定义为一个三元组A,A=(IP,sIP,dport),其中,IP为目的地址,sIP为源地址,dport为介质访问控制地址,将不规则型数据定义为一个多元组B,B=(name,port,system,condition,type,feature,service,version,host,time,colour,exterior),其中,name为设备名称,port为开放端口,system为操作系统版本,condition为在线状态,type为设备类型,feature为设备功能信息,service为服务协议,version为版本号,host为主机号,time为设备生产时间,colour为设备颜色种类,exterior为设备外观信息;
常见伪装攻击易伪装成源地址或者目的地址,欺骗另一方地址,对源地址和目的地址进行标记id和ie,当发生数据传输时,标记的id和ie会发生反向转换,如果伪装的地址不携带标记信息则无法完成转换;
设置各个簇聚类中心和簇边距,第v个簇聚类中心表示为Ov,第u条簇边距表示为Ru,为A和B元组设置两个阈值θ,γ,1<A<θ<B<γ,超出θ和γ阈值的范围,即错误的簇聚类中心,θ和γ的最大阈值范围由簇聚类中心Ov和簇边距Ru确定,即计算A和B两个元组所有簇聚类中心到各个随机簇聚类中心的距离之比,具体计算为式(2)和式(3):
其中,ε是A元组每个簇聚类中心到各个随机簇聚类中心的距离之比求和后的最大阈值,τ是B元组每个簇聚类中心到各个随机簇聚类中心的距离之比求和后的最大阈值;
预设规则型数据的簇聚类中心为α,不规则型数据的簇聚类中心为β,α和β根据求得的最大阈值ε和τ对A和B元组中每个簇聚类中心之间的距离进行约束,使得更快找到最佳簇聚类中心,正常数据包会向最佳簇聚类中心聚集,伪装数据包不会向最佳簇聚类中心聚集,从而实现数据分类的管控。
本发明的一种面向电力物联网终端数据分类的管控方法,将数据包分类成非设备指纹和设备指纹两部分进行检测,与传统的数据包异常检测方式相比,可极大降低伪装数据包潜入终端设备内部的可能性,通过及时更新黑名单,减少重复性工作量,提高网络数据传输效率,防止数据包吞吐量异常增高。具有方法科学合理,适用性强,效果佳等优点。
附图说明
图1为本发明的一种面向电力物联网终端数据分类的管控方法流程图。
具体实施方式
下面利用附图和具体实施方式对本发明作进一步说明。
参照图1,本发明的一种面向电力物联网终端数据分类的管控方法,包括:基于改进支持向量机的非设备指纹模型建立和基于改进PAM聚类算法的设备指纹模型建立,具体内容为:
1)对于基于改进支持向量机的非设备指纹模型建立:
首先设置一个训练集(ai,bj),i∈[-1,1]表示i可以取该区间任意负类数和正类数,j表示训练个数,ai表示分类目标,bj表示学习目标,ai∈Tc,T是特征数,T=1,2,...,N,c是特征维数,取值为大于0的整数,因此多个分类目标和学习目标构成一个二维特征数据集空间,在分类目标ai的空间找到最优超平面,目的是将数据包中设备指纹信息和非设备指纹信息进行分类,改进的分类器通过求解式(1)的正则化问题来训练分类器:
其中,F为非设备指纹特征数,x是输入特征数,H是设备指纹的特征数,Y是加权因子,μ是平衡数据分类拟合度的正则化参数;
2)对于基于改进PAM聚类算法的设备指纹模型建立:
改进PAM聚类算法以小数据集为单位,数据预处理将设备指纹数据集划分成若干个小数据集,将设备指纹数据按特征分为规则型数据和不规则型数据;将规则型数据定义为一个三元组A,A=(IP,sIP,dport),其中,IP为目的地址,sIP为源地址,dport为介质访问控制地址,将不规则型数据定义为一个多元组B,B=(name,port,system,condition,type,feature,service,version,host,time,colour,exterior),其中,name为设备名称,port为开放端口,system为操作系统版本,condition为在线状态,type为设备类型,feature为设备功能信息,service为服务协议,version为版本号,host为主机号,time为设备生产时间,colour为设备颜色种类,exterior为设备外观信息;
常见伪装攻击易伪装成源地址或者目的地址,欺骗另一方地址,对源地址和目的地址进行标记id和ie,当发生数据传输时,标记的id和ie会发生反向转换,如果伪装的地址不携带标记信息则无法完成转换;
设置各个簇聚类中心和簇边距,第v个簇聚类中心表示为Ov,第u条簇边距表示为Ru,为A和B元组设置两个阈值θ,γ,1<A<θ<B<γ,超出θ和γ阈值的范围,即错误的簇聚类中心,θ和γ的最大阈值范围由簇聚类中心Ov和簇边距Ru确定,即计算A和B两个元组所有簇聚类中心到各个随机簇聚类中心的距离之比,具体计算为式(2)和式(3):
其中,ε是A元组每个簇聚类中心到各个随机簇聚类中心的距离之比求和后的最大阈值,τ是B元组每个簇聚类中心到各个随机簇聚类中心的距离之比求和后的最大阈值;
预设规则型数据的簇聚类中心为α,不规则型数据的簇聚类中心为β,α和β根据求得的最大阈值ε和τ对A和B元组中每个簇聚类中心之间的距离进行约束,使得更快找到最佳簇聚类中心,正常数据包会向最佳簇聚类中心聚集,伪装数据包不会向最佳簇聚类中心聚集,从而实现数据分类的管控。
本发明的软件程序依据自动化、网络和计算机处理技术编制,是本领域技术人员所熟悉的技术。
Claims (1)
1.一种面向电力物联网终端数据分类的管控方法,其特征是,它包括的内容有:采用改进支持向量机方法建立非设备指纹模型和采用改进PAM聚类算法建立设备指纹模型,
1)采用改进支持向量机方法建立非设备指纹模型:
①设置一个训练集(ai,bj),i∈[-1,1]表示i取该区间任意负类数和正类数,j表示训练个数,ai表示分类目标,bj表示学习目标,ai∈Tc,T是特征数,T=1,2,...,N,c是特征维数,取值为大于0的整数;
②多个分类目标和学习目标构成一个二维特征数据集空间,在分类目标ai的空间找到最优超平面,将数据包中设备指纹信息和非设备指纹信息进行分类,改进的分类器通过求解式(1)的正则化问题来训练分类器:
其中,F为非设备指纹特征数,x是输入特征数,H是设备指纹的特征数,Y是加权因子,μ是平衡数据分类拟合度的正则化参数;
2)采用改进PAM聚类算法建立设备指纹模型:
①改进PAM聚类算法以小数据集为单位,数据预处理将设备指纹数据集划分成若干个小数据集,将设备指纹数据按特征分为规则型数据和不规则型数据;
②将规则型数据定义为一个三元组A,A=(IP,sIP,dport),其中,IP为目的地址,sIP为源地址,dport为介质访问控制地址;
③将不规型数据定义为一个多元组B,
B=(name,port,system,condition,type,feature,service,version,host,time,colour,exterior),其中,name为设备名称,port为开放端口,system为操作系统版本,condition为在线状态,type为设备类型,feature为设备功能信息,service为服务协议,version为版本号,host为主机号,time为设备生产时间,colour为设备颜色种类,exterior为设备外观信息;
④常见伪装攻击易伪装成源地址或者目的地址,欺骗另一方地址,对源地址和目的地址进行标记id和ie,当发生数据传输时,标记的id和ie会发生反向转换,如果伪装的地址不携带标记信息则无法完成转换;
⑤设置各个簇聚类中心和簇边距,第v个簇聚类中心表示为Ov,第u条簇边距表示为Ru,为A和B元组设置两个阈值θ,γ,1<A<θ<B<γ,超出θ和γ阈值的范围,即错误的簇聚类中心,θ和γ的最大阈值范围由簇聚类中心Ov和簇边距Ru确定,即计算A和B两个元组所有簇聚类中心到各个随机簇聚类中心的距离之比,具体计算为式(2)和式(3):
其中,ε是A元组每个簇聚类中心到各个随机簇聚类中心的距离之比求和后的最大阈值,τ是B元组每个簇聚类中心到各个随机簇聚类中心的距离之比求和后的最大阈值;
⑥预设规则型数据的簇聚类中心为α,不规则型数据的簇聚类中心为β,α和β根据求得的最大阈值ε和τ对A和B元组中每个簇聚类中心之间的距离进行约束,使得更快找到最佳簇聚类中心,正常数据包会向最佳簇聚类中心聚集,伪装数据包不会向最佳簇聚类中心聚集,从而实现数据分类的管控。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010233082.XA CN111510438B (zh) | 2020-03-29 | 2020-03-29 | 一种面向电力物联网终端数据分类的管控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010233082.XA CN111510438B (zh) | 2020-03-29 | 2020-03-29 | 一种面向电力物联网终端数据分类的管控方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111510438A CN111510438A (zh) | 2020-08-07 |
CN111510438B true CN111510438B (zh) | 2022-04-05 |
Family
ID=71863999
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010233082.XA Active CN111510438B (zh) | 2020-03-29 | 2020-03-29 | 一种面向电力物联网终端数据分类的管控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111510438B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117544985B (zh) * | 2024-01-09 | 2024-03-19 | 成都趣点科技有限公司 | 一种设备离线通信管理方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123872A (zh) * | 2017-12-21 | 2018-06-05 | 国网浙江省电力有限公司电力科学研究院 | 面向电力物联网的流量分类和转发方法及系统 |
CN109522715A (zh) * | 2018-11-07 | 2019-03-26 | 浙江大学华南工业技术研究院 | 一种面向安全智能电网的数据融合分类方法与系统 |
CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2626993A1 (en) * | 2005-10-25 | 2007-05-03 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for detecting anomalous program executions |
US20110013511A1 (en) * | 2009-07-17 | 2011-01-20 | Dekai Li | End-to-end pattern classification based congestion detection using SVM |
-
2020
- 2020-03-29 CN CN202010233082.XA patent/CN111510438B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108123872A (zh) * | 2017-12-21 | 2018-06-05 | 国网浙江省电力有限公司电力科学研究院 | 面向电力物联网的流量分类和转发方法及系统 |
CN109522715A (zh) * | 2018-11-07 | 2019-03-26 | 浙江大学华南工业技术研究院 | 一种面向安全智能电网的数据融合分类方法与系统 |
CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
Non-Patent Citations (4)
Title |
---|
"Early traffic classification using Support Vector Machines";Gabriel Gómez Sena;《ACM》;20090924;全文 * |
"一种基于SOM和PAM的聚类算法";张钊;《万方》;20070702;全文 * |
"基于支持向量机理论的两级指纹分类实现方法";朱晓霞;《山东大学学报》;20050630;全文 * |
"物联网多层设备信息通信数据分类识别仿真";魏葆春;《计算机仿真》;20190131;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111510438A (zh) | 2020-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Bahşi et al. | Dimensionality reduction for machine learning based iot botnet detection | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN113821793B (zh) | 基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
Landress | A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection | |
Wang et al. | Clustering analysis for malicious network traffic | |
CN111510438B (zh) | 一种面向电力物联网终端数据分类的管控方法 | |
CN112261063A (zh) | 结合深度分层网络的网络恶意流量检测方法 | |
Zheng et al. | Preprocessing method for encrypted traffic based on semisupervised clustering | |
Upadhyaya et al. | Hybrid approach for network intrusion detection system using k-medoid clustering and Naïve Bayes classification | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN113268735A (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
Fries | Classification of network traffic using fuzzy clustering for network security | |
Little et al. | Spectral clustering technique for classifying network attacks | |
CN110912933A (zh) | 一种基于被动测量的设备识别方法 | |
Yang et al. | Botnet detection based on machine learning | |
Deng et al. | Abnormal traffic detection of IoT terminals based on Bloom filter | |
CN109922083A (zh) | 一种网络协议流量控制系统 | |
Berthier et al. | An evaluation of connection characteristics for separating network attacks | |
KR20140014784A (ko) | 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법 | |
Tien et al. | Automatic device identification and anomaly detection with machine learning techniques in smart factories | |
CN113162926B (zh) | 一种基于knn的网络攻击检测属性权重分析方法 | |
CN113255884B (zh) | 一种基于协作学习的网络异常流量识别与分类方法 | |
Gao et al. | Research on DoS attacks intrusion detection model based on multi-dimensional space feature vector expansion K-Means algorithm | |
CN114157514B (zh) | 一种多路ids集成检测方法和装置 | |
CN114915444B (zh) | 基于图神经网络的DDoS攻击检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |