CN112565177A - 一种源网荷系统安全防护方法 - Google Patents
一种源网荷系统安全防护方法 Download PDFInfo
- Publication number
- CN112565177A CN112565177A CN202011121292.6A CN202011121292A CN112565177A CN 112565177 A CN112565177 A CN 112565177A CN 202011121292 A CN202011121292 A CN 202011121292A CN 112565177 A CN112565177 A CN 112565177A
- Authority
- CN
- China
- Prior art keywords
- network
- intrusion detection
- source
- detection model
- load system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 22
- 238000001514 detection method Methods 0.000 claims abstract description 50
- 238000012549 training Methods 0.000 claims abstract description 34
- 238000013528 artificial neural network Methods 0.000 claims abstract description 16
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 12
- 238000000513 principal component analysis Methods 0.000 claims abstract description 10
- 230000006870 function Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 description 4
- 230000009191 jumping Effects 0.000 description 4
- 230000009467 reduction Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007636 ensemble learning method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012067 mathematical method Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- BULVZWIRKLYCBC-UHFFFAOYSA-N phorate Chemical compound CCOP(=S)(OCC)SCSCC BULVZWIRKLYCBC-UHFFFAOYSA-N 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种适用于源网荷系统的网络入侵检测方法,包括:采集源网荷系统实时交互的网络流量数据;对采集的源网荷系统网络流量数据进行特征选取;基于主成分分析(PCA)算法对特征维数进行约简;基于神经网络分类器训练初始的网络入侵检测基学习器,并根据初始基学习器的训练误差计算样本权重;利用加权后的样本进行新一轮的神经网络分类器训练,得到更新后的网络入侵检测模型,并更新神经网络分类器的模型参数;根据迭代次数或者模型精度是否达到设定值来判断是否结束迭代。本发明基于AdaBoost集成学习训练神经网络分类器,够将多个精度相对较低的弱分类器综合优化,训练出精度较高的强分类器,提高网络入侵检测模型的泛化能力。
Description
技术领域
本发明涉及一种源网荷系统安全防护方法,属于电力系源网荷系统互动领域术领域。
背景技术
近年来,随着智能电网建设的推进,将发电侧、电网侧和负荷侧组成的“源网荷”系统,通过友好互动的形式将三者进行协调发展、集成互补,成为国内能源互联网战略 规划的重要途径。目前国网公司初步建成的“大规模源网荷友好互动系统”(简称源网 荷系统),主要以复杂交直流混联输配电网的电网侧和接入大规模柔性负荷的需求侧之 间的“网荷互动”应对特高压直流多馈入带来的电网稳定问题。
目前源网荷系统在系统的横向边界及纵向边界部署正反向隔离装置及纵向加密认 证装置,能有效抵御来自互联网的传统病毒木马的入侵。但是在外部严峻的工控安全形势下,工控系统的物理隔离并非绝对安全。由于管理原因或技术原因,恶意攻击依然可 以通过负荷侧不可控的智能负荷控制终端设备、接入内网的U盘等移动媒介、接入控制 区网络内部的调试人员笔记本等方式对系统实施恶意数据注入、伪造控制指令、获取超 级权限、造成网络中断等多种形式的恶意攻击。为了应对源网荷系统信息安全防护面临 的挑战,有必要针对源网荷系统研究一种基于AdaBoost集成学习的网络入侵检测方法, 使电力侧有足够的恶意攻击识别能力,以保障源网荷系统的安全稳定运行。
发明内容
发明目的:本发明为了解决源网荷系统互动所出现的安全问题,提出一种源网荷系 统安全防护方法。
技术方案:一种源网荷系统安全防护方法,包括以下步骤:
步骤一、采集源网荷系统实时交互的网络流量数据,作为训练样本;
步骤二、对采集的源网荷系统网络流量数据进行特征选取;
步骤三、基于主成分分析(PCA)算法对特征维数进行约简;
步骤四、基于神经网络分类器训练初始的网络入侵检测基学习器;
步骤五、根据初始基学习器的训练误差计算样本权重;
步骤六、利用加权后的样本进行新一轮的神经网络分类器训练,得到更新后的网络 入侵检测模型;
步骤七、更新网络入侵检测器的模型参数;
步骤八、根据迭代次数或者模型精度是否达到设定值来判断是否结束迭代,如果迭 代结束,则跳转至步骤八,否则跳转至步骤五;
步骤九、生成最终的网络入侵检测模型。
进一步地,步骤2中,流量特征属性包括源地址、目的地址、IP包总长度、IP包 头长度、TCP包头长度、源端口号、目的端口号、流量大小、协议标识符、长度、业务 标识符、功能码、数据长度。
进一步地,步骤4中,神经网络分类器采用AdaBoost算法。
进一步地,步骤5中,利用训练误差绝对值来衡量这一权重值,其方法如下式:
式中,Et表示第t次迭代得到的网络入侵检测模型对各训练样本的加权方差和,βt为调节系数,ωt为最终输出的第t次迭代得到的网络入侵检测模型对最终检测模型的影响权重值。
有益效果:本发明基于AdaBoost集成学习训练神经网络分类器,够将多个精度相对较低的弱分类器综合优化,训练出精度较高的强分类器,提高网络入侵检测模型的泛 化能力。
附图说明
图1为一种源网荷系统安全防护方法流程图。
具体实施方式
下面结合附图对本发明作进一步说明:
如图1所示,本发明公开了一种源网荷系统安全防护方法,包括以下步骤:
步骤一、采集源网荷系统实时交互的网络流量数据,作为训练样本;
步骤二、对采集的源网荷系统网络流量数据进行特征选取;
步骤三、基于主成分分析(PCA)算法对特征维数进行约简;
步骤四、基于神经网络分类器训练初始的网络入侵检测基学习器;
步骤五、根据初始基学习器的训练误差计算样本权重;
步骤六、利用加权后的样本进行新一轮的神经网络分类器训练,得到更新后的网络 入侵检测模型;
步骤七、更新网络入侵检测器的模型参数;
步骤八、根据迭代次数或者模型精度是否达到设定值来判断是否结束迭代,如果迭 代结束,则跳转至步骤八,否则跳转至步骤五;
步骤九、生成最终的网络入侵检测模型。
源网荷系统网络流量采集主要是在源网荷系统运行时对单位时间网络内传输的信 息量进行捕获。所谓网络流量是指2个系统之间交互时拥有相同通信五元组信息(源IP地址、源端口、目的IP地址、目的端口和传输层协议)的连续数据包。
源网荷系统网络流量信息处理包括特征选取与特征维数约简。所谓网络流量特征选 择是依据一定的规则从已有的网络流量特征中选取出部分特征来表示原始网络流量数据,特征选择保留了训练样本的原始物理意义。而所谓网络流量特征提取则是按照一定 的规则将原始的网络流量特征空间变换成一个维数更小的空间,是使用数学方法对某些 特征进行融合产生了新的特征,新的特征只具有数学含义,难以找到其现实意义。在源 网荷系统可供选择的流量特征属性包括源地址、目的地址、IP包总长度、IP包头长度、 TCP包头长度、源端口号、目的端口号、流量大小、协议标识符、长度、业务标识符、 功能码、数据长度等,再通过主成分分析(PCA)方法将其进行特征降维。
通过网络流量特征反映源网荷系统的实时交互情况,并基于这些数据进行网络入侵 检测,检测的结果只能是正常或异常两种情况,所以对源网荷系统的入侵检测可以被认为是一种二分类问题,在本方法中采用神经网络分类器训练入侵检测模型。但考虑到源 网荷系统中存在很多的网络节点,且节点受到入侵威胁的因素有很多,入侵过程的发生 时间、特征信息呈现一定的弱随机性,单一的神经网络算法虽然具有一定的小样本泛化 能力,但对于复杂系统的入侵检测问题仍然精度不高。因此在本方法中采用AdaBoost 集成学习的思想,AdaBoost是典型的集成学习方法,其能够将多个精度相对较低的弱分 类器综合优化,训练出精度较高的强分类器,并作为最终的网络入侵检测模型,以提升 网络入侵检测的准确率。
假设经过数据采集、特征选取、特征维数约简后获得的网络流量数据特征样本集s的 长度为m,即s={(x1,y1),(x2,y2),…,(xm,ym)}。其中xi为每个数据训练样本的特征向量,yi为对于网络入侵检测问题的检测结果,每个样本初始权重di均设置为1/m。设置AdaBoost算法的最大迭代次数为T,并初始化当前迭代次数t=1。针对m个训练样本, 利用算法对神经网络模型的参数进行计算,得到最优参数值。利用参数优化后的神经网 络分类器对m个训练样本进行训练,获得第t次的网络入侵检测模型ht。记录本次入侵 检测模型ht,计算并保存第t次网络入侵检测模型的权重ωt,并判断得到的入侵检测模 型样本集的误差绝对值和是否小于设定值,或达到最大迭代次数。若成立则算法结束, 若不成立,则根据网络入侵检测模型对m个训练样本的误差绝对值和,更新m个训练样 本的权重d1,d2,…,dm生成新的训练集,并基于此训练集对神经网络分类器再次进行训练。 最终得到的网络入侵检测模型为在上述过程中影响AdaBoost集成学习效果 的因素主要有两个,一是每一轮循环中训练集上的样本权重如何分布;二是许多个规则 如何集成为一个有效的检测规则。这两点分别通过样本权重和模型权重来体现。
通过对样本权重值的调节,能够有效地降低错误样本对入侵检测模型的影响,提升 正确样本的影响。样本权重值分为计算和归一化处理两个步骤,其中权重值采用训练误差绝对值进行衡量,其方法如式():
式中,Et表示第t次迭代得到的入侵检测模型对各个训练样本的加权方差和,βt为调节 系数,d′t+1(k)为新样本权重。
各样本的权重值综合必须为1,因此必须进行归一化处理,其方法如式():
网络入侵检测模型的权重ωt的计算,直接影响了最终的检测模型的输出。为了提升 误差较小的入侵检测模型ht在最终的模型中的影响权重,本方法利用训练误差绝对值来 衡量这一权重值,其方法如下式所示:
式中,Et表示第t次迭代得到的网络入侵检测模型对各训练样本的加权方差和,βt为 调节系数,调节系数的选取有多种方式,为了保证最终的检测模型能够稳定,本方法采用了上述方式,ωt为最终输出的第t次迭代得到的网络入侵检测模型对最终检测模型的影响权重值。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员 来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种源网荷系统安全防护方法,其特征在于,包括以下步骤:
步骤一、采集源网荷系统实时交互的网络流量数据,作为训练样本;
步骤二、对采集的源网荷系统网络流量数据进行特征选取;
步骤三、基于主成分分析(PCA)算法对特征维数进行约简;
步骤四、基于神经网络分类器训练初始的网络入侵检测基学习器;
步骤五、根据初始基学习器的训练误差计算样本权重;
步骤六、利用加权后的样本进行新一轮的神经网络分类器训练,得到更新后的网络入侵检测模型;
步骤七、更新网络入侵检测器的模型参数;
步骤八、根据迭代次数或者模型精度是否达到设定值来判断是否结束迭代,如果迭代结束,则跳转至步骤八,否则跳转至步骤五;
步骤九、生成最终的网络入侵检测模型。
2.根据权利要求1所述的一种源网荷系统安全防护方法,其特征在于,步骤2中,流量特征属性包括源地址、目的地址、IP包总长度、IP包头长度、TCP包头长度、源端口号、目的端口号、流量大小、协议标识符、长度、业务标识符、功能码、数据长度。
3.根据权利要求1所述的一种源网荷系统安全防护方法,其特征在于,步骤4中,神经网络分类器采用AdaBoost算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011121292.6A CN112565177A (zh) | 2020-10-19 | 2020-10-19 | 一种源网荷系统安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011121292.6A CN112565177A (zh) | 2020-10-19 | 2020-10-19 | 一种源网荷系统安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112565177A true CN112565177A (zh) | 2021-03-26 |
Family
ID=75041178
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011121292.6A Pending CN112565177A (zh) | 2020-10-19 | 2020-10-19 | 一种源网荷系统安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112565177A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104869126A (zh) * | 2015-06-19 | 2015-08-26 | 中国人民解放军61599部队计算所 | 一种网络入侵异常检测方法 |
CN108093406A (zh) * | 2017-11-29 | 2018-05-29 | 重庆邮电大学 | 一种基于集成学习的无线传感网入侵检测方法 |
CN108712404A (zh) * | 2018-05-04 | 2018-10-26 | 重庆邮电大学 | 一种基于机器学习的物联网入侵检测方法 |
-
2020
- 2020-10-19 CN CN202011121292.6A patent/CN112565177A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104869126A (zh) * | 2015-06-19 | 2015-08-26 | 中国人民解放军61599部队计算所 | 一种网络入侵异常检测方法 |
CN108093406A (zh) * | 2017-11-29 | 2018-05-29 | 重庆邮电大学 | 一种基于集成学习的无线传感网入侵检测方法 |
CN108712404A (zh) * | 2018-05-04 | 2018-10-26 | 重庆邮电大学 | 一种基于机器学习的物联网入侵检测方法 |
Non-Patent Citations (1)
Title |
---|
陈春玲 等: "基于AdaBoost和概率神经网络的入侵检测算法", 《南京师范大学学报》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ding et al. | Intrusion detection system for NSL-KDD dataset using convolutional neural networks | |
Haghnegahdar et al. | A whale optimization algorithm-trained artificial neural network for smart grid cyber intrusion detection | |
Wang et al. | A novel data analytical approach for false data injection cyber-physical attack mitigation in smart grids | |
CN111092862B (zh) | 一种用于对电网终端通信流量异常进行检测的方法及系统 | |
CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
Soe et al. | Rule generation for signature based detection systems of cyber attacks in iot environments | |
Ghosh et al. | Proposed GA-BFSS and logistic regression based intrusion detection system | |
He et al. | Inferring application type information from tor encrypted traffic | |
CN103414711A (zh) | 基于信任的网络群体异常感知方法 | |
CN113537400B (zh) | 一种基于分支神经网络的边缘计算节点的分配与退出方法 | |
CN115049270B (zh) | 考虑变电站网络攻击成功概率的电力系统风险评估方法 | |
Alhayali et al. | Optimized machine learning algorithm for intrusion detection | |
Han et al. | A class of non-statistical traffic anomaly detection in complex network systems | |
Zhao et al. | A method for calculating network system security risk based on a lie group | |
CN112565177A (zh) | 一种源网荷系统安全防护方法 | |
Raja Sree et al. | HAP: detection of HTTP flooding attacks in cloud using diffusion map and affinity propagation clustering | |
Liu et al. | LDoS attack detection method based on traffic classification prediction | |
Qamar | Gradient Techniques to Predict Distributed Denial-Of-Service Attack | |
Ge et al. | Mitigating the impacts of false data injection attacks in smart grids using deep convolutional neural networks | |
Mohammadpourfard et al. | Anomaly detection in the distribution grid: a nonparametric approach | |
Klots et al. | Research of the Neural Network Module for Detecting Anomalies in Network Traffic. | |
Zolotukhin et al. | On application-layer DDoS attack detection in high-speed encrypted networks | |
Khoei et al. | ACapsule Q-learning based reinforcement model for intrusion detection system on smart grid | |
Belej et al. | Development of a network attack detection system based on hybrid neuro-fuzzy algorithms. | |
Kulandaivel et al. | A novel sensitive DDoS attacks against statistical test in network traffic fusion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210326 |