CN111585948A

CN111585948A - 一种基于电网大数据的网络安全态势智能预测方法

Info

Publication number: CN111585948A
Application number: CN202010191457.0A
Authority: CN
Inventors: 卞蓓蕾; 夏洪涛; 王彬栩; 李鹏; 杨跃平; 王辉华; 秦桑; 王猛; 徐重酉; 叶楠; 苏建华; 赵剑; 叶斌; 琚小明; 张朋飞; 刘宇; 于晓蝶; 冉清文; 潘富城; 胡妙
Original assignee: State Grid Zhejiang Yuyao Power Supply Co ltd; Yongyao Science And Technology Branch Of Ningbo Transmission And Transfer Construction Co ltd; East China Normal University; Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Current assignee: State Grid Zhejiang Yuyao Power Supply Co ltd; Yongyao Science And Technology Branch Of Ningbo Transmission And Transfer Construction Co ltd; East China Normal University; Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date: 2020-03-18
Filing date: 2020-03-18
Publication date: 2020-08-25
Anticipated expiration: 2040-03-18
Also published as: CN111585948B

Abstract

本发明涉及网络安全领域，尤其涉及一种基于电网大数据的网络安全态势智能预测方法，包括：对系统运行态势数据预处理，得到时间序列数据；基于LSTM神经网络模型对时间序列数据进行训练得到网络安全态势预测模型；基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型；获取系统运行实时数据并进行预处理；将预处理后的当前时间段内的系统运行态势数据输入网络安全态势预测模型，得到网络安全态势预测数据；将网络安全态势预测数据输入网络安全态势评估模型，对下一个时间段内的系统网络安全等级进行预测。本发明网络安全态势预测模型和网络安全态势评估模型，实现对下一个时间段内的系统网络安全等级进行预测。

Description

一种基于电网大数据的网络安全态势智能预测方法

技术领域

本发明涉及网络安全领域，尤其涉及一种基于电网大数据的网络安全态势智能预测方法。

背景技术

基于先进的信息技术和通信技术的智能电网大大提高了电网的可靠性、安全性和效率，但是也将网络安全威胁引入智能电网。网络攻击会扰乱电力系统的正常运行，给国民生产带来巨大破坏。许多网络攻击持续时间很短，导致现有的安全防御机制难以发现，并且发现之后采取行动抵御常常为时己晚，因此给智能电网带来巨大的安全挑战。

智能电网中的广域电力系统的网络组件(例如，交换机、路由器)和安全组件(例如IDS、访问控制系统)可以生成与网络安全相关的大数据。这些大数据已经为实现安全态势感知提供了数据资源。

目前，针对智能电网的安全态势还存在一些困难。首先由于智能电网的体系结构包括基于各种特殊标准的广域异构网络，如IEC 61850,ISO/IEC/IEEE 21451,Wireless-hart,ISA100.11 A等，因此很难融合所有的网络安全信息。其次，智能电网的信息建模和通信与电力系统的复杂行为和智能决策紧密结合。另外，智能电网目前涉及更多新的网络模型，这将增强智能电网的复杂性，并扩大智能电网的攻击面。此外，大多数网络攻击都是通过分布式方法产生的，这给使用简单的数据融合机制监控整个网络安全状况带来了困难。最后，在复杂的网络环境中，由于随机性和不确定性，安全态势感知是一个复杂的非线性过程，因此基于简单统计数据的一个复杂的非线性过程，因此基于简单统计数据预测方法不能解决上述问题。

发明内容

为解决上述问题，本发明提出一种基于电网大数据的网络安全态势智能预测方法。

一种基于电网大数据的网络安全态势智能预测方法，包括：

对系统运行态势数据预处理，得到时间序列数据；

基于LSTM神经网络模型对时间序列数据进行训练得到网络安全态势预测模型；

基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型；

获取系统运行实时数据并进行预处理；

将预处理后的当前时间段内的系统运行态势数据输入网络安全态势预测模型，得到网络安全态势预测数据；

将网络安全态势预测数据输入网络安全态势评估模型，对下一个时间段内的系统网络安全等级进行预测。

优选的，所述对系统运行态势数据预处理，得到时间序列数据包括：

对采集的系统运行态势数据进行清洗、归一化处理，然后进行特征降维处理；

利用FP-Growth关联分析算法对降维处理后的数据进行数据分析；

利用mapreduce模型对数据分析后的数据进行特征量化，得到相应的时间序列数据。

优选的，所述对采集的系统运行态势数据进行清洗、归一化处理，然后进行特征降维处理包括：

数据清洗：对流量数据X₁、审计数据X₂、监测数据X₃、日志数据X₄、病毒数据X₅、安全情报X₆、资产数据X₇分别设置对应数据阈值θ_imin、θ_imax，其中θ_imin表示第i类数据的阈值最小值，θ_imax表示第i类数据的阈值最大值，使θ_imin≤X_i≤θ_imax，剔除不必要的数据；

数据归一化：对数据清洗处理后的数据进行归一化：

其中i＝1,2...7，X_i表示第i类数据，X_imin表示第i类数据的最小值，X_imax表示第i类数据的最大值；

数据降维：利用PCA算法对数据X_i进行降维处理。

优选的，所述利用mapreduce模型对数据分析后的数据进行特征量化，得到相应的时间序列数据包括：

根据系统运行态势数据确定数据X_i中各项数据指标的异常数据求平均值作为异常值判定的阈值，形成异常值库W，该异常值库中字典D(j,value)_i表示X_i的集合中第j项指标的标准值为value；

将数据X_i与已有的异常值库W中的数据进行比较，如果大于异常值库W中的数据则为危险状态，如果小于异常值库W中的数据，则为相对安全状态；

对数据X_i与异常值库W中的数据归一化，其中的数值在[0,1]之间得到对应数据的特征向量X_i'，经过特征量化后时间T的数据X_i'压缩为长度为l_i的数据Z_i。

优选的，所述基于LSTM神经网络对时间序列数据进行训练得到网络安全态势预测模型包括：

将时间序列数据输入到LSTM神经网络模型，利用迁移学习算法得到微调模型训练参数，得到网络安全态势预测模型。

优选的，所述LSTM网络模型的神经元数量分别为8，16，32，在最后加入长度为l_i的全连接层，输出长度为l_i的数据O_i。

优选的，所述基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型包括：

对系统网络安全的态势进行分等级，预测结果区间[0,0.6]、[0.6,1.2]、[1.2,1.8]、[1.8,2.4]、[2.4,3.0]分别对应的威胁等级为微弱、弱、中等、强、严重，安全影响程度α_i对应的数值为α₁～α₄为0.3、α₅为0.4、α₆为0.6和α₇为0.8；

将时间序列数据输入到SVM分类器中，获得7个SVM分类结果Y_i，对Y_i的指标按照对系统网络安全影响程度α_i加权，获得最后的总体分类结果：

根据总体分类结果进而得到安全的等级，利用监督学习算法进行训练得到网络安全态势评估模型。

通过使用本发明，可以实现以下效果：

基于LSTM神经网络模型对时间序列数据进行训练得到网络安全态势预测模型，基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型，实现对下一个时间段内的系统网络安全等级进行预测；

对系统运行态势数据预处理，提高模型训练的准确度，从而提高系统网络安全等级预测的准确度。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1是本发明一实施例一种基于电网大数据的网络安全态势智能预测方法的示意性流程图；

图2是本发明一实施例一种基于电网大数据的网络安全态势智能预测方法中步骤S1的示意性流程图。

具体实施方式

以下结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

本发明的基本思想是基于LSTM神经网络模型对时间序列数据进行训练得到网络安全态势预测模型，基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型，实现对下一个时间段内的系统网络安全等级进行预测。

基于以上思想，本发明提出了一种基于电网大数据的网络安全态势智能预测方法，如图1所示，包括以下步骤：

S1：对系统运行态势数据预处理，得到时间序列数据；

S2：基于LSTM神经网络模型对时间序列数据进行训练得到网络安全态势预测模型；

S3：基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型；

S4：获取系统运行实时数据并进行预处理；

S5：将预处理后的当前时间段内的系统运行态势数据输入网络安全态势预测模型，得到网络安全态势预测数据；

S6：将网络安全态势预测数据输入网络安全态势评估模型，对下一个时间段内的系统网络安全等级进行预测。

如图2所示，对系统运行态势数据预处理，得到时间序列数据包括以下步骤：

S11：对采集的系统运行态势数据进行清洗、归一化处理，然后进行特征降维处理；

S12：利用FP-Growth关联分析算法对降维处理后的数据进行数据分析；

S13：利用mapreduce模型对数据分析后的数据进行特征量化，得到相应的时间序列数据。

在一实施例中，步骤S11的具体方法为：

首先，选择对网络安全评估的七项指标包括流量数据X₁、审计数据X₂、监测数据X₃、日志数据X₄、病毒数据X₅、安全情报X₆、资产数据X₇，分别设置对应数据阈值θ_imin、θ_imax，其中θ_imin表示第i类数据的阈值最小值，θ_imax表示第i类数据的阈值最大值，使θ_imin≤X_i≤θ_imax，数据清洗以剔除不必要的数据。

其次，对数据清洗处理后的数据进行归一化：

最后，利用PCA算法对数据X_i进行降维处理。

在一实施例中，步骤S13的具体方法为：

对系统运行态势数据预处理，对采集的系统运行态势数据进行清洗、归一化处理，然后进行特征降维处理，提高模型训练的准确度，从而提高系统网络安全等级预测的准确度。

在一实施例中，基于LSTM神经网络对时间序列数据进行训练得到网络安全态势预测模型包括：将时间序列数据输入到LSTM神经网络模型，利用迁移学习算法得到微调模型训练参数，得到网络安全态势预测模型。

其中，LSTM网络模型的神经元数量分别为8，16，32，在最后加入长度为l_i的全连接层，输出长度为l_i的数据O_i。

在一实施例中，所述基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型包括：

通过步骤S1～S3已经训练得到网络安全态势预测模型以及网络安全态势评估模型，在接下来的步骤S4～S6根据系统运行实时数据来对下一个时间段内的系统网络安全等级进行预测。

首先获取系统运行实时数据并进行预处理，预处理的过程在与步骤S1相同，因此不再赘述。将预处理后的当前时间段内的系统运行态势数据输入网络安全态势预测模型，得到网络安全态势预测数据，最后将网络安全态势预测数据输入网络安全态势评估模型，对下一个时间段内的系统网络安全等级进行预测。

本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims

1.一种基于电网大数据的网络安全态势智能预测方法，其特征在于，包括：

对系统运行态势数据预处理，得到时间序列数据；

获取系统运行实时数据并进行预处理；

2.根据权利要求1所述的一种基于电网大数据的网络安全态势智能预测方法，其特征在于，所述对系统运行态势数据预处理，得到时间序列数据包括：

3.根据权利要求2所述的一种基于电网大数据的网络安全态势智能预测方法，其特征在于，所述对采集的系统运行态势数据进行清洗、归一化处理，然后进行特征降维处理包括：

数据归一化：对数据清洗处理后的数据进行归一化：

数据降维：利用PCA算法对数据X_i进行降维处理。

4.根据权利要求2所述的一种基于电网大数据的网络安全态势智能预测方法，其特征在于，所述利用mapreduce模型对数据分析后的数据进行特征量化，得到相应的时间序列数据包括：

5.根据权利要求1所述的一种基于电网大数据的网络安全态势智能预测方法，其特征在于，所述基于LSTM神经网络对时间序列数据进行训练得到网络安全态势预测模型包括：

6.根据权利要求2所述的一种基于电网大数据的网络安全态势智能预测方法，其特征在于，所述LSTM网络模型的神经元数量分别为8，16，32，在最后加入长度为l_i的全连接层，输出长度为l_i的数据O_i。

7.根据权利要求1所述的一种基于电网大数据的网络安全态势智能预测方法，其特征在于，所述基于SVM分类器对时间序列数据进行训练得到网络安全态势评估模型包括：