CN113343244B - 基于探针注入的电力信息系统健康度预测方法及装置 - Google Patents
基于探针注入的电力信息系统健康度预测方法及装置 Download PDFInfo
- Publication number
- CN113343244B CN113343244B CN202110540133.8A CN202110540133A CN113343244B CN 113343244 B CN113343244 B CN 113343244B CN 202110540133 A CN202110540133 A CN 202110540133A CN 113343244 B CN113343244 B CN 113343244B
- Authority
- CN
- China
- Prior art keywords
- data
- information system
- power information
- class
- probe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 239000000523 sample Substances 0.000 title claims abstract description 47
- 230000036541 health Effects 0.000 title claims abstract description 35
- 238000002347 injection Methods 0.000 title claims abstract description 27
- 239000007924 injection Substances 0.000 title claims abstract description 27
- 238000012545 processing Methods 0.000 claims abstract description 42
- 230000008569 process Effects 0.000 claims abstract description 21
- 238000007781 pre-processing Methods 0.000 claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims abstract description 8
- 238000004458 analytical method Methods 0.000 claims abstract description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 10
- 238000012549 training Methods 0.000 claims description 8
- 230000004913 activation Effects 0.000 claims description 7
- 238000004140 cleaning Methods 0.000 claims description 5
- 230000004927 fusion Effects 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 3
- 238000011176 pooling Methods 0.000 claims description 2
- 238000004519 manufacturing process Methods 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 239000011159 matrix material Substances 0.000 description 7
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 238000010606 normalization Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000000354 decomposition reaction Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001125 extrusion Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000000275 quality assurance Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000011946 reduction process Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Virology (AREA)
- Economics (AREA)
- Marketing (AREA)
- Water Supply & Treatment (AREA)
- Human Resources & Organizations (AREA)
- Public Health (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出了一种基于探针注入的电力信息系统健康度预测方法及装置,所述方法包括:基于电力信息系统架构分析,采集电力信息系统的源代码信息,对系统运行环境和运行控制过程中控制、解释、调用、数据处理各环节的关键代码进行有效识别,插入安全探针;实时采集电力信息系统运行态数据信息,并对数据进行预处理,去除异常数据和噪声数据;从处理后的数据集中提取系统运行数据的特征向量;将提取的特征向量输入预测模型,通过预测模型预测在探针注入后系统的安全情况。本发明为运行态的电网信息系统实时安全防护提供数据支持,强化电力系统在复杂电力网络环境下的鲁棒性,有效保障电力生产安全可靠运行。
Description
技术领域
本发明涉及软件安全监测技术,具体涉及一种电力信息系统健康度预测方法及装置。
背景技术
能源互联网的开放性提升了系统的运行效率,但各环节的信息安全问题也逐步突显,新型风险和漏洞也日益增多,信息系统的安全管理面临严峻的挑战,而传统的网络安全防护技术手段仍存在一定的局限性。传统基于边界的网络安全是基于分区和分层的模式,利用防火墙、WAF等装置将第三方攻击阻挡在边界之外。但大部分攻击行为前期潜伏在内网,之后通过系统漏洞或管理缺陷逐步获取更高权限。同时,内部人员的误操作或恶意破坏也是网络安全面临的潜在威胁,基于边界的网络安全机制难以满足安全网络空间的建设需求。
由于各种原因,存在应用程序在开发和质量保证阶段均未经过漏洞测试的情况,甚至更多的产品在生产过程中未受到保护。针对电力信息系统在应用程序中发现漏洞的可能性也依然存在。对于网络攻击者而言,可以找到并利用这些应用程序内部的薄弱点,进行数据的窃取和破坏。因此,保护应用程序免受攻击是具有挑战性的任务。
发明内容
发明目的:本发明提供一种基于探针注入的电力信息系统健康度预测方法,能够有效对电力信息系统运行的安全健康情况进行预测,保障电力生产安全可靠运行。
本发明的另一目的是提供一种基于探针注入的电力信息系统健康度预测装置。
技术方案:在第一方面中,一种基于探针注入的电力信息系统健康度预测方法,包括以下步骤:
基于电力信息系统架构分析,采集电力信息系统的源代码信息,对系统运行环境和运行控制过程中控制、解释、调用、数据处理各环节的关键代码进行有效识别,插入安全探针;
实时采集电力信息系统运行态数据信息,并对数据进行预处理,去除异常数据和噪声数据;
从处理后的数据集中提取系统运行数据的特征向量;
将提取的特征向量输入预测模型,通过预测模型预测在探针注入后系统的安全情况。
其中,对数据进行预处理,去除异常数据和噪声数据包括:通过合并多源数据、数据去重、数据查缺和去空的方法对数据进行处理,将分散的、包含缺失值、重复值的原始数据清理为结构清晰的规范化数据,并采用二维小波阈值算法对规范化处理后的数据进行去噪。
提取系统运行数据的特征向量时利用深度残差网络Resnet-50融合卷积网络进行特征的提取。
预测模型利用多层感知机进行训练得到,多层感知机使用Sigmoid作为激活函数,交叉熵作为损失函数。
在第二方面中,一种基于探针注入的电力信息系统健康度预测装置,包括:
探针注入模块,用于基于电力信息系统架构的分析,采集电力信息系统的服务器源码信息,并通过对系统运行环境和运行控制过程中控制、解释、调用、数据处理各环节的关键代码进行有效识别,插入安全探针;
数据采集和预处理模块,用于实时采集电力信息系统运行态的数据信息,并对数据进行预处理,去除异常数据和噪声数据;
特征提取模块,用于从经过处理的数据集中提取系统运行数据的特征;
健康预测模块,用于将提取的特征向量输入预测模型,给出在探针注入后系统的安全健康情况预测结果。
其中,数据采集和预处理模块包括:规范化处理单元,用于通过合并多源数据、数据去重、数据查缺和去空的方法对数据进行处理,将分散的、包含缺失值、重复值的原始数据清理为结构清晰的规范化数据;以及去噪单元,用于采用二维小波阈值算法对规范化处理后的数据进行去噪。
有益效果:本发明针对电网业务系统运行过程中的高安全性要求,有效进行应用程序的代码级别的防护,结合RASP技术对电力应用的语言特征、运行环境特征,构建自动化识别程序,智能识别应用环境所适配的探针,实现自动化的探针释放和装配。在探针注入后,有效采集系统运行数据,并通过机器学习算法有效对系统的运行健康情况进行预测。通过发明的方法进一步地强化了电力系统在复杂电力网络环境下的鲁棒性,有效保障电力信息生产安全可靠运行。
附图说明
图1是本发明实施例提供的电力信息系统健康度预测方法的流程图;
图2是本发明实施例提供的java探针注入方法流程图;
图3是本发明实施例中使用的一种多尺度卷积模块的示意图;
图4是本发明实施例中使用的另一种多尺度卷积模块的示意图。
具体实施方式
下面将结合附图对本发明实施例中的技术方案进行清楚、完整的描述。
在以下描述中,电力信息系统、电网信息系统、电网业务系统指的是相同含义,它们在文中可互换地使用,通常指的是通过通信、自动控制、计算机、网络、传感等信息技术,在包括发电、输变电、配电、用电和调度等环节在内的电力生产、传输、消费全过程中实现自动控制和调度、以及实现对电力系统规划、设计、建设、生产运行、电力营销和财物、协调办公、综合业务等方面的信息化管理的软硬件系统。电力信息系统一般是由众多复杂异构的子系统组成的超大规模、广域分布和分级递阶的大系统,它的安全是多因素和多维的。
参照图1,一种基于探针注入的电力信息系统健康度预测方法,包括以下步骤:
步骤1,基于电力信息系统架构分析,采集电网业务系统源码,对系统运行环境运行控制过程中控制、解释、调用、数据处理各环节的关键代码进行有效识别,插入安全探针。
首先分析电力信息系统的平台架构及语言环境。在一个实施例中,基于java语言,通过微服务架构模式,基于spring cloud的微服务根据系统分析,总共拆分出9个微服务。前端采用vue技术架构,前端服务器通过nginx代理的方式部署。
可以基于历史专家库经验对控制、解释、调用、数据处理各环节的关键函数进行罗列,在实际信息系统运行过程中可以通过KMP算法对类进行识别判断。
在此基础上进行探针注入。在Java技术栈下,RASP引擎以javaagent的形式实现,并运行在虚拟机JVM之上。在应用服务器启动的时候,RASP引擎借助JVM本身提供的instrumentation技术,通过替换字节码的方式对关键类方法进行挂钩(hook)。比如:数据库操作、文件读取、写入操作、命令执行……当服务器发生攻击,就会触发这些Hook点,此时RASP agent就可以获取到函数的参数,比如要读取的文件名、要执行的命令等,在此过程中触发系统底层的负载发生变化,通过有效采集系统底层负载的海量信息数据有效进行大数据分析。
参照图2,探针注入流程具体包括:
1)启动时候进行插桩操作,当有类被类加载器ClassLoader加载时候,会把该类的字节码先交给自定义的Transformer处理;
2)自定义Transformer会判断该类是否为需要hook的类,如果是则将该类交给ASM字节码处理框架进行处理;
3)ASM字节码处理框架将类的字节码依照事件驱动模型逐步解析每个方法,当触发了需要hook的方法,会在方法的开头或者结尾插入进入检测函数的字节码;
4)把hook的字节码返回给transformer从而载入虚拟机。
步骤2,实时采集电力信息采集系统运行态数据信息,对数据进行规范化处理和去噪处理。
一个具体的实施例是电网某台区基于java开发的电网测试云平台,在进行探针注入后随着模拟各种漏洞攻击,系统的性能负载发生了变化。通过长时间运行所采集到的系统运行数据包含海量的信息,包括但不限于CPU占用率、IO读时间、IO写时间、进程执行时间、读写物理块号、块大小、设备号、进程运行时系统分配的时间戳、PID进程号等,包含了系统性能、数据库、网络、虚拟硬件等相关数据。
对采集的数据进行规范化处理,采用小波阈值算法对数据进行去噪。存储的数据可能包含缺失值和数据噪声,也可能包含因为人工录入错误导致的异常点。对数据集进行规范化处理,针对不同的负载不同时段内的信息,依据属性与负载的相关程度从样本中挑选出属性子集,同时剔除不同采集数据方式中的冗余字段。此处的负载指的是上层的应用,例如测试云平台在某个时段内对某个文件进行测试,不同属性的负载对资源的需求不同。合并多源数据,以内连接的方式将不同的采集数据表进行合并;数据去重主要是剔除数据中的重复数据;数据查缺和去空通过检测出各字段数据的缺失比例,在数据缺失率较低(小于95%)且重要性较低的情况下,进行数据去空。
另外,通过采用二维小波阈值算法分批对系统数据进行去噪。采用二维小波阈值去噪的步骤依次为归一化、二维灰度矩阵小波分解、对小波系数进行阈值处理、二维信号小波重构、反归一化。首先对原始数组进行归一化处理,得到含噪声的二维灰度矩阵模型:
m(h,d)=f(h,d)+δ(h,d) (1)
式中:m(h,d)为原始矩阵,此处指的是规范化处理后各种系统数据构成的矩阵;h为尺度因子;d为伸缩因子;f(h,d)为有效信息;δ(h,d)为高频噪声。
接着,利用小波函数对这个二维灰度矩阵模型进行离散小波分解。小波系数为待分析函数与基本小波的内积。原始矩阵被分解为若干层,各尺度上的小波分解系数表达式为:
式中,mDWT(h,d)为小波分解系数;ψ(2-ht-d)为基本小波;h为尺度因子。尺度因子按幂级数进行离散化。不断变换尺度因子与平移因子可以求得各尺度的小波系数。通过求得的小波系数,根据数据的噪声水平选取阈值,对这些小波系数进行阈值处理,使大于阈值的小波系数保持不变,保留原始信息,将小于阈值的系数清零,从而削减高频噪声分量。最后通过小波重构与反归一化还原信号。通过上述的方法有效减少了数据的噪声干扰与随机误差。
步骤3,从经过处理的数据集中提取系统运行数据特征。
本发明中电网信息系统运行态数据特征提取采用深度残差网络Resnet-50融合多尺度卷积网络,从而多方位的提取出运行信息系统的特征。其中的多尺度卷积网络采用的是一种并行多分支的网络,其结构如图3所示,包括四个并行的分支结构,分别是1x1卷积,3x3卷积,5x5卷积,3x3最大池化,通过该方式增加网络的宽度能更好的提取系统的特征,提高了网络提取特征的能力。作为一种优选的实施方式,使用如图4所示的多尺度卷积网络进行特征的提取,图4是对图3的结构的一种改进,其中,对原始的输入进行3x3卷积,5x5卷积的卷积之前,先用[1,1]的卷积进行降维处理;然后再进行[5,5]的卷积处理,并且保持最后输出的形状同前图中的一致,这样可在相同感受野的情况下,一方面减少所需学习的参数量,提高网络学习训练的速度,另一方间接增加网络的深度提高网络学习能力,从而有效提高了特征提取计算的性能和效率。
步骤4,将提取的特征向量输入预测模型,通过预测模型预测在探针注入后系统的安全情况。
预测模型采用多层感知机(Multilayer perceptions,MLP),MLP由输入层、隐藏层和输出层三个部分构成。其中,输入层输入的是提取的数据特征,隐藏层定义了如何从输入得到输出,是一个多层全连接的网络,网络的边代表权重,节点代表带有激活函数的神经元。MLP模型的非线性拟合能力会随着隐藏层中神经元个数的增加而提高。对于输入X={x1,x2...xn},带入偏置(Bias)的深度神经网络的前向传播过程为:
A1=f(X·W(1)+b1) (4)
An+1=f(An·W(n+1)+bn+1) (6)
式中:f为去线性化的激活函数;An为神经网络第n层的输出;bn为第n层的偏置;W(n)为第n层的权重向量。上一层节点个数为N,本层节点个数为M的情况下,W(n)的矩阵表示为:
为避免数据误差在网络传播过程中进一步扩大,选择挤压函数Sigmoid作为MLP模型的激活函数,其表达式为:
为了减少训练神经网络的时间,本发明采用交叉熵作为损失函数,其表达式如下:
式中:C为损失函数;y为期望输出;y'为实际预测值;S为训练数据的总数。设定的超参数学习率为η,单个隐藏层参数的更新公式为:
式中:θt为第t轮训练时网络隐藏层的参数,指权重或者偏置bn。交叉熵函数对于它们的导数为:
反向传播在所有参数上使用梯度下算法以优化参数的取值。
对采集到的信息系统进行实时的分析预测。根据当前安全状态预测出下一时刻系统将处于哪种状态。最终的预测结果总共6种类型:健康度(正常、警告、危险)、安全性(正常、警告、危险)。通过构建整体健康度模型:
整体健康度=0.5*健康度+0.5*安全性
在本实施例中规定分值大于90的为正常、80~90之间的为警告,低于80的则为危险。
提出的MLP模型以从系统运行数据中提取的特征为输入,利用交叉熵为代价函数,梯度下降的速度取决于预测值与真实值之间的差值,避免了Sigmoid函数在大多数区间内梯度过小的问题。通过反复迭代前向传播与反向传播直至收敛,通过该深度学习模型有效对系统的运行安全进行预测。
本发明提供的基于探针注入的电力信息系统健康度预测方法,根据对电网业务系统的语言特征、运行环境特征有效识别,智能识别应用环境所适配的探针,将探针注入应用运行环境或应用代码运行空间,实现对运行代码的动态Hook,从而Hook应用运行过程中控制、解释、调用、数据处理各环节的运行代码,通过有效获取信息系统的该方法可以有效支撑电力信息系统的安全防护,确保电网运行数据信息的安全性;另一方面,在探针注入后,有效采集系统运行数据,并通过机器学习算法有效对系统的运行健康情况进行预测。通过本发明的方法进一步地强化了电力系统在复杂电力网络环境下的鲁棒性,从而有效保障电力信息生产安全可靠运行。
根据本发明的另一实施例,提供一种基于探针注入的电力信息系统健康度预测装置,包括:
探针注入模块,用于基于电力信息系统架构的分析,采集电力信息系统的服务器源码信息,并通过对系统运行环境和运行控制过程中控制、解释、调用、数据处理各环节的关键代码进行有效识别,插入安全探针;
数据采集和预处理模块,用于实时采集电力信息系统运行态的数据信息,并对数据进行预处理,去除异常数据和噪声数据;
特征提取模块,用于从经过处理的数据集中提取系统运行数据的特征;
健康预测模块,用于将提取的特征向量输入预测模型,给出在探针注入后系统的安全健康情况预测结果。
其中,数据采集和预处理模块包括:规范化处理单元,用于通过合并多源数据、数据去重、数据查缺和去空的方法对数据进行处理,将分散的、包含缺失值、重复值的原始数据清理为结构清晰的规范化数据;以及去噪单元,用于采用二维小波阈值算法对规范化处理后的数据进行去噪。
特征提取模块利用深度残差网络Resnet-50融合卷积网络进行特征的提取。
健康预测模块的预测模型利用多层感知机进行训练得到,多层感知机使用Sigmoid作为激活函数,交叉熵作为损失函数。
应理解,本发明实施例中的电力信息系统健康度预测装置可以实现上述方法实施例中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,在装置实施例中未加以详述的具体实现过程以及计算公式可参照上述实施例中的相关描述。
基于与方法实施例相同的技术构思,根据本发明的另一实施例,提供一种计算机设备,所述设备包括:一个或多个处理器;存储器;以及一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述程序被处理器执行时实现方法实施例中的各步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (8)
1.一种基于探针注入的电力信息系统健康度预测方法,其特征在于,所述方法包括以下步骤:
基于电力信息系统架构分析,采集电力信息系统的源代码信息,对系统运行环境和运行控制过程中控制、解释、调用、数据处理各环节的关键代码进行有效识别,插入安全探针,在Java技术栈下探针注入流程具体包括:
1)应用服务器启动时进行插桩操作,当有类被类加载器ClassLoader加载时候,把该类的字节码先交给自定义的Transformer处理;
2)自定义Transformer判断该类是否为需要hook的类,如果是则将该类交给ASM字节码处理框架进行处理;
3)ASM字节码处理框架将类的字节码依照事件驱动模型逐步解析每个方法,当触发了需要hook的方法时,在方法的开头或者结尾插入进入检测函数的字节码;
4)把hook的字节码返回给transformer从而载入虚拟机;
实时采集电力信息系统运行态数据信息,并对数据进行预处理,去除异常数据和噪声数据;
从处理后的数据集中提取系统运行数据的特征向量;
将提取的特征向量输入预测模型,通过预测模型预测在探针注入后系统的安全情况,所述预测模型利用多层感知机进行训练得到,多层感知机使用Sigmoid作为激活函数,交叉熵作为损失函数。
2.根据权利要求1所述的基于探针注入的电力信息系统健康度预测方法,其特征在于,所述对数据进行预处理,去除异常数据和噪声数据包括:通过合并多源数据、数据去重、数据查缺和去空的方法对数据进行处理,将分散的、包含缺失值、重复值的原始数据清理为结构清晰的规范化数据,并采用二维小波阈值算法对规范化处理后的数据进行去噪。
3.根据权利要求1所述的基于探针注入的电力信息系统健康度预测方法,其特征在于,提取系统运行数据的特征向量时利用深度残差网络Resnet-50融合卷积网络进行特征的提取。
4.根据权利要求3所述的基于探针注入的电力信息系统健康度预测方法,其特征在于,所述卷积网络包括四个并行的分支结构,分别是1x1卷积,3x3卷积,5x5卷积,3x3最大池化。
5.根据权利要求1所述的基于探针注入的电力信息系统健康度预测方法,其特征在于,电力信息系统运行态数据信息包括以下数据中的一项或多项:CPU占用率、IO读时间、IO写时间、进程执行时间、读写物理块号、块大小、设备号、时间戳、PID进程号。
6.一种基于探针注入的电力信息系统健康度预测装置,其特征在于,包括:
探针注入模块,用于基于电力信息系统架构的分析,采集电力信息系统的服务器源码信息,并通过对系统运行环境和运行控制过程中控制、解释、调用、数据处理各环节的关键代码进行有效识别,插入安全探针,在Java技术栈下探针注入流程具体包括:
1)应用服务器启动时进行插桩操作,当有类被类加载器ClassLoader加载时候,把该类的字节码先交给自定义的Transformer处理;
2)自定义Transformer判断该类是否为需要hook的类,如果是则将该类交给ASM字节码处理框架进行处理;
3)ASM字节码处理框架将类的字节码依照事件驱动模型逐步解析每个方法,当触发了需要hook的方法时,在方法的开头或者结尾插入进入检测函数的字节码;
4)把hook的字节码返回给transformer从而载入虚拟机;
数据采集和预处理模块,用于实时采集电力信息系统运行态的数据信息,并对数据进行预处理,去除异常数据和噪声数据;
特征提取模块,用于从经过处理的数据集中提取系统运行数据的特征;
健康预测模块,用于将提取的特征向量输入预测模型,给出在探针注入后系统的安全健康情况预测结果,所述预测模型利用多层感知机进行训练得到,多层感知机使用Sigmoid作为激活函数,交叉熵作为损失函数。
7.根据权利要求6所述的基于探针注入的电力信息系统健康度预测装置,其特征在于,数据采集和预处理模块包括:规范化处理单元,用于通过合并多源数据、数据去重、数据查缺和去空的方法对数据进行处理,将分散的、包含缺失值、重复值的原始数据清理为结构清晰的规范化数据;以及去噪单元,用于采用二维小波阈值算法对规范化处理后的数据进行去噪。
8.根据权利要求6所述的基于探针注入的电力信息系统健康度预测装置,其特征在于,特征提取模块利用深度残差网络Resnet-50融合卷积网络进行特征的提取。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110540133.8A CN113343244B (zh) | 2021-05-18 | 2021-05-18 | 基于探针注入的电力信息系统健康度预测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110540133.8A CN113343244B (zh) | 2021-05-18 | 2021-05-18 | 基于探针注入的电力信息系统健康度预测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113343244A CN113343244A (zh) | 2021-09-03 |
| CN113343244B true CN113343244B (zh) | 2024-03-19 |
Family
ID=77469112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110540133.8A Active CN113343244B (zh) | 2021-05-18 | 2021-05-18 | 基于探针注入的电力信息系统健康度预测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113343244B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116208432B (zh) * | 2023-05-05 | 2023-06-30 | 北京安普诺信息技术有限公司 | 一种Web应用安全探针管理方法、系统、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109728939A (zh) * | 2018-12-13 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
| CN110460648A (zh) * | 2019-07-23 | 2019-11-15 | 安徽蓝麦通信股份有限公司 | 一种高安全性工业数据采集分析处理系统 |
| CN111031050A (zh) * | 2019-12-16 | 2020-04-17 | 深圳市国电科技通信有限公司 | 用于用电信息采集系统的监测方法及装置 |
| CN112527691A (zh) * | 2021-02-18 | 2021-03-19 | 深圳开源互联网安全技术有限公司 | 程序安全检测防护方法、中间件系统及安全中间件系统 |
| CN112598186A (zh) * | 2020-12-28 | 2021-04-02 | 重庆邮电大学 | 一种基于改进的lstm-mlp的小型发电机故障预测方法 |
| US10972370B1 (en) * | 2020-01-10 | 2021-04-06 | Zscaler, Inc. | Monitoring and analysis of cloud-based applications |
-
2021
- 2021-05-18 CN CN202110540133.8A patent/CN113343244B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109728939A (zh) * | 2018-12-13 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
| CN110460648A (zh) * | 2019-07-23 | 2019-11-15 | 安徽蓝麦通信股份有限公司 | 一种高安全性工业数据采集分析处理系统 |
| CN111031050A (zh) * | 2019-12-16 | 2020-04-17 | 深圳市国电科技通信有限公司 | 用于用电信息采集系统的监测方法及装置 |
| US10972370B1 (en) * | 2020-01-10 | 2021-04-06 | Zscaler, Inc. | Monitoring and analysis of cloud-based applications |
| CN112598186A (zh) * | 2020-12-28 | 2021-04-02 | 重庆邮电大学 | 一种基于改进的lstm-mlp的小型发电机故障预测方法 |
| CN112527691A (zh) * | 2021-02-18 | 2021-03-19 | 深圳开源互联网安全技术有限公司 | 程序安全检测防护方法、中间件系统及安全中间件系统 |
Non-Patent Citations (2)
| Title |
|---|
| 企业级安全大数据分析平台;张昊;《电信技术》;第83-88页 * |
| 吉安卡洛·扎克尼 等著.《TensorFlow深度学习 》.机械工业出版社,2020,第124页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113343244A (zh) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Abdelsalam et al. | Malware detection in cloud infrastructures using convolutional neural networks | |
| EP3515040B1 (en) | Reliable cyber-threat detection in rapidly changing environments | |
| EP3602369B1 (en) | Anomaly detection for computer systems | |
| US20200293653A1 (en) | Recurrent Neural Network Based Anomaly Detection | |
| Abed et al. | Applying bag of system calls for anomalous behavior detection of applications in linux containers | |
| CN107730040B (zh) | 基于rbm的电力信息系统日志信息综合特征提取方法和装置 | |
| US11503045B2 (en) | Scalable hierarchical abnormality localization in cyber-physical systems | |
| CN109581871B (zh) | 免疫对抗样本的工业控制系统入侵检测方法 | |
| US20200322366A1 (en) | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system | |
| CN109791585B (zh) | 检测影响计算装置的网络攻击的计算机实现的方法及系统 | |
| Agrawal et al. | Neural sequential malware detection with parameters | |
| Makki Alamdari et al. | Damage localization based on symbolic time series analysis | |
| CN113343244B (zh) | 基于探针注入的电力信息系统健康度预测方法及装置 | |
| US20230058974A1 (en) | Vulnerability-driven cyberattack protection system and method for industrial assets | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| AU2024213159A1 (en) | Machine Learning Methods And Systems For Determining File Risk Using Content Disarm And Reconstruction Analysis | |
| CN117580046A (zh) | 一种基于深度学习的5g网络动态安全能力调度方法 | |
| Tian et al. | Quantum entropy‐based hierarchical strategy for inter‐shaft bearing fault detection | |
| Sheng et al. | Network traffic anomaly detection method based on chaotic neural network | |
| Alqurashi et al. | On the performance of isolation forest and multi layer perceptron for anomaly detection in industrial control systems networks | |
| Potluri et al. | Securing industrial control systems from false data injection attacks with convolutional neural networks | |
| CN115567305B (zh) | 基于深度学习的顺序网络攻击预测分析方法 | |
| CN115766375A (zh) | 一种基于深度特征的网络基线核查告警方法、装置及存储介质 | |
| Oswal et al. | Deep learning-based anomaly detection in cyber-physical system | |
| Lu et al. | Stealthy malware detection based on deep neural network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |