CN112019529B - 新能源电力网络入侵检测系统 - Google Patents

Abstract

本发明涉及网络与信息安全监测技术领域；具体涉及一种新能源电力网络入侵检测系统，其中，数据包探测模块获取入侵原始数据包，数据标准化模块将入侵原始数据包统一为标准化格式数据包，数据降维模块将标准化格式数据包进行降维处理，获得入侵数据样本；样本训练模块将数据降维后的入侵数据样本，通过模型训练算法进行训练学习，生成多分类分类器；入侵预警模块针对系统分类检测记录的新型入侵检测样本，训练学习生成新的入侵检测规则。本发明可以有效地提高系统分类器的训练和实时性，大大提高入侵事件识别准确率和实现更低的误报率。

Description

新能源电力网络入侵检测系统

技术领域

本发明涉及网络与信息安全监测技术领域；具体涉及一种新能源电力网络入侵检测系统。

背景技术

随着计算机技术、通信技术和网络技术的发展，电力系统自动化水平也迅速提高。数字化变电站的相继投运，智能电网及新能源电站的不断发展，可以说现在电力生产一刻也离不开电力监控系统和数据网络。特别是新能源电站的不断建设，使得调度中心、电厂、变电站、用户等之间进行的数据交换也越来越频繁，这对电力监控系统和数据网络的安全性、可靠性和实时性提出了新的要求。

现有技术中，新能源电站安全防护四区之间的业务系统信息流向，采用的传输协议，电力二次系统安全四区通信对数据完整性、可靠性和实时性以及生产控制大区等均存在安全隐患，而且所采用的安全策略大多数为被动防御的安全保护机制，管理员在配置防护设备规则方面经常出现疏漏和错误，导致重大的安全隐患，因此主动检测和预防网络入侵的研究由此产生。现有的入侵检测技术还大都以误用检测技术为主，且误判率高，而且均不具备主动学习功能，面对不断变化的网络环境和层出不穷的入侵手段，应对能力不足，存在较大的网络安全隐患。

发明内容

为解决上述技术问题，本发明提供一种新能源电力网络入侵检测系统，可以有效地提高系统分类器的训练和实时性，大大提高入侵事件识别准确率和实现更低的误报率。

本发明所述新能源电力网络入侵检测系统，包括：

数据包探测模块，用于探测和获取各类电力网络的入侵原始数据包；

数据标准化模块，将数据包探测模块获取的各类协议下的入侵原始数据包，统一为标准化格式数据包；

数据降维模块，将数据标准化模块中的标准化格式数据包按照降维算法进行降维处理，获得入侵数据样本；

样本训练模块，将数据降维后的入侵数据样本，通过模型训练算法进行训练学习，形成多分类分类器；

入侵预警模块，针对系统分类检测记录的新型入侵检测样本，训练学习生成新的入侵检测规则。

数据包探测模块采用windows环境下的wincap或linux环境下的tcpdump来获取数据，数据标准化模块的标准化依据为采用KDD-CUP’99以上数据集格式，降维算法能够有效减少算法运行时间和算法对硬件的消耗，降维算法采用主成分分析法(PCA)，入侵预警模块可预警新型的网络入侵事件，提高系统对于新型入侵事件的检测能力。

优选地，降维算法的步骤为：

101，原始数据包的标准化采集p维随机向量X＝(x₁，x₂，...，x_p)^T，n个数据包样本集，

x_i＝(x_i1，x_i2，...，x_ip)^T，i＝1，2，...，n

其中，n＞p，构造样本阵，对样本阵元进行如下标准化变换：

其中，

得标准化阵Z；

102，对标准化阵Z求相关系数矩阵，

其中，

103，解样本相关矩阵R的特征方程|R-λI_P|＝0得p个特征根λ，按

确定m值，使信息的利用率达95％以上，对每个λ_j，j＝1，2，...，m；

解方程组Rb＝λb得单位特征向量

104，将标准化后的指标变量转换为：

U₁＝(U₁₁，U₁₂，…，U_1m)，

U₂＝(U₂₁，U₂₂，…，U_2m)，

U_p＝(U_p1，U_p2，…，U_pm)，

其中，U₁称为第一加权信息,U₂称为第二加权信息,…,U_p称为第p加权信息；105，对m个加权信息进行综合评价，即对m个加权信息进行加权求和，即得最终降维序列样本，权数为每个加权的方差贡献率；

106，降维结束。

优选地，模型训练算法为：

201，输入数据初始化调用，确定分类超平面和目标函数；

若判断为线性序列，则目标函数为：

其中，约束条件s.t.为:

Y(X^Tω-eb)+μ＝0，

若判断为非线性序列，则约束条件s.t.为:

Y(K(XX^T)Yθ-eb)+μ＝0，

其中，

表示被错误分类的样本点x_i到分类面的距离，β_i表示被正确分类的样本点x_i到分类面的距离(对于某一个样本点来讲，它只能够是被正确的分类和被错误分类这两种情况中的一种)，X是p×n待分类的样本数据矩阵，Y是n×n的对角矩阵，对角线上的y_ii表示第i个样本点x_i的分类标签，对角线上的元素为对应的样本点的分类，1≤i≤p，s取值范围为1-4，对于分类正确的样本点μ＝-β，对于分类错误的样本点

ω＝(ω₁，…，ω_n，)^T为超平面线性系数向量，b为超平面线性偏移量，

和δ_β为加权系数，取值为0～100，δ_b为远小于δ_β的任意正数，

b²为目标函数判别增强附加条件，e＝(1，1，...，1)^T，K(XX^T)为径向基函数，表达式为：

其中，σ为宽度函数，s为二范数；

202，输出生成分类决策函数，确定最佳分类面，

若判断为线性序列，则分类决策函数为：

其中，γ为线性拉格朗日函数最优解，其表达式为：

若判断为非线性序列，则分类决策函数为：

其中，τ为非线性拉格朗日函数最优解，其表达式为：

203，训练测试数据获取预测分类，将样本数据X＝(x₁，x₂，…，x_p)^T，γ＝(γ₁，γ₂，…，γ_p)^T或τ＝(τ₁，τ₂，…，τ_p)^T输入到决策函数中获取预测分类；

204，比较得到的测试数据的预测分类和实际正确的分类，计算相同个数占测试数据总体数目的百分比，即得到算法正确分类的准确率，准确率大于预先设定值ε，则转205，否则转207；

205，计算被预测分类到攻击类别而实际正确分类是正常类别的数据个数，其占总体数据的百分比即为误报率，误报率小于预先设定值σ，则转205，否则转207；

207，符合准确度要求则训练分类结束，否则转203重新计算，若三次计算不满足要求，则结束训练并预警。

优选地，步骤201中，ε∈0.9～1，σ∈0～0.3。

优选地，步骤201中，y_ii＝-1表示属于正类G₁，y_ii＝1表示属于负类G₂。

与现有技术相比，本发明具有以下有益效果：

本发明将一种新的训练分类器算法引入到入侵检测系统中，提出一种新的数据标准化及降维算法，并实现多组合二分类器和规则学习等核心模块的设计，能够大大提高分类器的训练速度和数据的测试速度，可以有效地提高系统分类器的训练和实时性，大大提高入侵事件识别准确率和实现更低的误报率，使得入侵检测系统可以运用在对准确度和误报率要求较高的场合。将一种新的训练分类器算法引入到入侵检测系统中，提出一种新的数据标准化及降维算法，并实现多组合二分类器和规则学习等核心模块的设计，能够大大提高分类器的训练速度和数据的测试速度，可以有效地提高系统分类器的训练和实时性，大大提高入侵事件识别准确率和实现更低的误报率，使得入侵检测系统可以运用在对准确度和误报率要求较高的场合。

附图说明

图1本发明结构框图。

图2降维算法流程图。

图3模型训练算法流程图。

具体实施方式

实施例1：

如图1所示，本发明所述新能源电力网络入侵检测系统，包括：

数据包探测模块，用于探测和获取各类电力网络的入侵原始数据包；

数据标准化模块，将数据包探测模块获取的各类协议下的入侵原始数据包，统一为标准化格式数据包；

数据降维模块，将数据标准化模块中的标准化格式数据包按照降维算法进行降维处理，获得入侵数据样本；

样本训练模块，将数据降维后的入侵数据样本，通过模型训练算法进行训练学习，形成多分类分类器；

入侵预警模块，针对系统分类检测记录的新型入侵检测样本，训练学习生成新的入侵检测规则。

本实施例中，入侵原始数据包入表1所示。

表1

	正常访问	DOS攻击	网络扫描攻击	远程账户攻击	样本总数
						数据包1	192	793	19	1	1005
数据包2	586	2381	29	8	3004
						数据包3	572	2389	22	12	2995
数据包4	1918	7962	194	99	10173

本实施例分别抽取了1005条、3004条、2995条、10173条入侵数据包中的数据构成四个样本集，分别标号为样本集1、2、3、4。

如图2所示，降维算法的步骤为：

101，原始数据包的标准化采集p维随机向量X＝(x₁，x₂，...，x_p)^T，n个数据包样本集，

x_i＝(x_i1，x_i2，...，x_ip)^T，i＝1，2，...，n

其中，n＞p，构造样本阵，对样本阵元进行如下标准化变换：

其中，

得标准化阵Z；

102，对标准化阵Z求相关系数矩阵，

其中，

103，解样本相关矩阵R的特征方程|R-λI_P|＝0得p个特征根，按

确定m值，使信息的利用率达95％以上，对每个λ_j，j＝1，2，...，m；

解方程组Rb＝λb得单位特征向量

104，将标准化后的指标变量转换为：

U₁＝(U₁₁，U₁₂，…，U_1m)

U₂＝(U₂₁，U₂₂，…，U_2m)

U_p＝(U_p1，U_p2，…，U_pm)

其中，U₁称为第一加权信息,U₂称为第二加权信息,…,U_p称为第p加权信息；

105，对m个加权信息进行综合评价，即对m个加权信息进行加权求和，即得最终降维序列样本，权数为每个加权的方差贡献率；

106，降维结束。

如图3所示，模型训练算法为：

201，输入数据初始化调用，确定分类超平面和目标函数；

若判断为线性序列，则目标函数为：

其中，约束条件s.t.为:

若判断为非线性序列，则约束条件s.t.为:

Y(K(XX^T)Yθ-eb)+μ＝0，

其中，

表示被错误分类的样本点x_i到分类面的距离，β_i表示被正确分类的样本点x_i到分类面的距离(对于某一个样本点来讲，它只能够是被正确的分类和被错误分类这两种情况中的一种)，X是p×n待分类的样本数据矩阵，Y是n×n的对角矩阵，对角线上的y_ii表示第i个样本点x_i的分类标签，对角线上的元素为对应的样本点的分类，1≤i≤p，s取值范围为1-4，对于分类正确的样本点μ＝-β，对于分类错误的样本点

ω＝(ω₁，…，ω_n，)^T为超平面线性系数向量，b为超平面线性偏移量，

和δ_β为加权系数，取值为0～100，δ_b为远小于δ_β的任意正数，

b²为目标函数判别增强附加条件，e＝(1，1，...，1)^T，K(XX^T)为径向基函数，表达式为：

其中，σ为宽度函数，s为二范数；

202，输出生成分类决策函数，确定最佳分类面，

若判断为线性序列，则分类决策函数为：

其中，γ为线性拉格朗日函数最优解，其表达式为：

若判断为非线性序列，则分类决策函数为：

其中，τ为非线性拉格朗日函数最优解，其表达式为：

203，训练测试数据获取预测分类，将样本数据X＝(x₁，x₂，...，x_p)^T，γ＝(γ₁，γ₂，…，γ_p)^T或τ＝(τ₁，τ₂，…，τ_p)^T输入到决策函数中获取预测分类；

204，比较得到的测试数据的预测分类和实际正确的分类，计算相同个数占测试数据总体数目的百分比，即得到算法正确分类的准确率，准确率大于预先设定值ε，则转205，否则转207；

205，计算被预测分类到攻击类别而实际正确分类是正常类别的数据个数，其占总体数据的百分比即为误报率，误报率小于预先设定值σ，则转205，否则转207；

207，符合准确度要求则训练分类结束，否则转203重新计算，若三次计算不满足要求，则结束训练并预警。

步骤201中，ε∈0.9～1，σ∈0～0.3。

步骤201中，y_ii＝-1表示属于正类G₁，y_ii＝1表示属于负类G₂。

根据降维算法的特性，在进行具体的某一类入侵类别的分类降维时，还需要将降维编号的入侵标识按照上表所述对应的四大类攻击类别，查看是否是要分类的类别，是转换成1，不是转换-1，比如，假设要进行DOS攻击类别的分类训练和测试，那么降维算法中现有入侵类别标号的样本数据的入侵标识要转换成1，其他样本数据的入侵标识转换成-1。从而完成二分类的问题，满足实验算法要求。上述转换完成后，选择上述样本训练数据集，按照要分类的入侵类别完成数据的预处理之后，根据算法实现将各降维数据输入到内嵌的模型训练算法中即可得到分类器。实验中分别使用样本集1、2、3、4作为训练集，得到各类入侵类别的分类器各四个。

为了突出本发明方法的准确性，先针对现有技术中准确率最高的SVM分类识别算法进行对比分析，均采用径向基函数RBF进行试验测试，具体测试结果如下：

径向基函数的宽度参数不同将影响到算法的分类效果，表2是选择不同宽度参数后SVM分类识别算法和本发明算法的准确度对比，其中采用样本集2作为训练集，样本集4作为测试集。

表2

根据上表的结果，我们可以看到各种类别分类时最佳宽度参数的取值。当宽度参数取较大的值时，训练的分类器将所有样本点都分为了一类，得到了测试样本集中非攻击类别的比例占到了99.04％，当宽度参数取较小的值时，训练的分类器将所有样本点都分为了多类，得到了测试样本集中非攻击类别的比例占到了0.2％，因此宽度参数对样本的可靠性和真实性和识别度影响很大。

表3是对宽度参数为80的取值下，二者准确度和误报率以及平均值预警分析对比:

表3

可以看出基于本发明算法的多组合分类器在处理各类入侵行为时，具又相对较高的准确分类度和较低的误报率，大大提高了网络安全预警等级。

本实施例基于以下硬件平台实施：CPU：Intel酷睿i5 10210U，内存16GB，上述两种算法在1000样本集和3000样本集上分类器的训练时间对比如下表所示：

表4

通过实验可以看出基于本发明算法的分类器的时间开销上要少于SVM算法，且随着训练样本集规模的增大，这种优势越发的明显，同时基于本发明算法的分类器，在分类准确度上高于SVM算法的分类器，而在分类误报率上也要低于SVM算法的分类器。另外，在测试时间上，本发明算法平均需要约12秒，而SVM算法则需要27.25秒，显然本发明给出的分类器，当入侵检测系统对于实时性方面要求较高时，具有很大的响应优势。

Claims (3)

1.一种新能源电力网络入侵检测系统，其特征在于，包括：

数据包探测模块，用于探测和获取各类电力网络的入侵原始数据包；

数据标准化模块，将数据包探测模块获取的各类协议下的入侵原始数据包，统一为标准化格式数据包；

数据降维模块，将数据标准化模块中的标准化格式数据包按照降维算法进行降维处理，获得入侵数据样本；

样本训练模块，将数据降维后的入侵数据样本，通过模型训练算法进行训练学习，形成多分类分类器；

入侵预警模块，针对系统分类检测记录的新型入侵检测样本，训练学习生成新的入侵检测规则；

所述降维算法的步骤为：

101，原始数据包的标准化采集p维随机向量X＝(x₁，x₂，...，x_p)^T，n个数据包样本集，

x_i＝(x_i1，x_i2，…，x_ip)^T，i＝1，2，...，n

其中，n＞p，构造样本阵，对样本阵元进行如下标准化变换：

其中，

得标准化阵Z；

102，对标准化阵Z求相关系数矩阵，

其中，

103，解样本相关矩阵R的特征方程|R-λI_P|＝0得p个特征根，按

确定m值，使信息的利用率达95％以上，对每个λ_q，q＝1，2，...，m；

解方程组Rb＝λb得单位特征向量

104，将标准化后的指标变量转换为：

U₁＝(U₁₁，U₁₂，…，U_1m)

U₂＝(U₂₁，U₂₂，…，U_2m)

U_p＝(U_p1，U_p2，…，U_pm)

其中，U₁称为第一加权信息，U₂称为第二加权信息，…，U_p称为第p加权信息；

105，对m个加权信息进行综合评价，即对m个加权信息进行加权求和，即得最终降维序列样本，权数为每个加权的方差贡献率；

106，降维结束；

模型训练算法为：

201，输入数据初始化调用，确定分类超平面和目标函数；

若判断为线性序列，则目标函数为：

其中，约束条件s.t.为：

若判断为非线性序列，则约束条件s.t.为：

其中，

表示被错误分类的样本点x_i到分类面的距离，β_i表示被正确分类的样本点x_i到分类面的距离，X是p×n待分类的样本数据矩阵，Y是n×n的对角矩阵，对角线上的y_ii表示第i个样本点x_i的分类标签，对角线上的元素为对应的样本点的分类，1≤i≤p，s取值范围为1-4，对于分类正确的样本点μ＝-β，对于分类错误的样本点

ω＝(ω₁，…，ω_n，)^T为超平面线性系数向量，b为超平面线性偏移量，

和δ_β为加权系数，取值为0～100，δ_b为远小于δ_β的任意正数，

为目标函数判别增强附加条件，e＝(1，1，...，1)^T，K(XX^T)为径向基函数，表达式为：

其中，σ为宽度函数，s为二范数；

202，输出生成分类决策函数，确定最佳分类面，

若判断为线性序列，则分类决策函数为：

其中，G₁表示分类面正类集合，G₂表示分类面负类集合；

γ为线性拉格朗日函数最优解，其表达式为：

若判断为非线性序列，则分类决策函数为：

其中，τ为非线性拉格朗日函数最优解，其表达式为：

203，训练测试数据获取预测分类，将样本数据X＝(x₁，x₂，…，x_p)^T，γ＝(γ₁，γ₂，…，γ_p)^T或τ＝(τ₁，τ₂，…，τ_p)^T输入到决策函数中获取预测分类；

204，比较得到的测试数据的预测分类和实际正确的分类，计算相同个数占测试数据总体数目的百分比，即得到算法正确分类的准确率，准确率大于预先设定值ε，则转205，否则转207；

205，计算被预测分类到攻击类别而实际正确分类是正常类别的数据个数，其占总体数据的百分比即为误报率，误报率小于预先设定值

则转205，否则转207；

207，符合准确度要求则训练分类结束，否则转203重新计算，若三次计算不满足要求，则结束训练并预警。

2.根据权利要求1所述的新能源电力网络入侵检测系统，其特征在于，所述ε∈0.9～1，

3.根据权利要求2所述的新能源电力网络入侵检测系统，其特征在于，y_ii＝-1表示属于正类G₁，y_ii＝1表示属于负类G₂。

Images