CN113343587A - 用于电力工控网络的流量异常检测方法 - Google Patents

用于电力工控网络的流量异常检测方法 Download PDF

Info

Publication number
CN113343587A
CN113343587A CN202110749273.6A CN202110749273A CN113343587A CN 113343587 A CN113343587 A CN 113343587A CN 202110749273 A CN202110749273 A CN 202110749273A CN 113343587 A CN113343587 A CN 113343587A
Authority
CN
China
Prior art keywords
data
flow
control network
traffic
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110749273.6A
Other languages
English (en)
Inventor
田建伟
朱宏宇
李生红
田峥
刘力
任格
孙毅臻
陈乾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202110749273.6A priority Critical patent/CN113343587A/zh
Publication of CN113343587A publication Critical patent/CN113343587A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • G06F30/27Design optimisation, verification or simulation using machine learning, e.g. artificial intelligence, neural networks, support vector machines [SVM] or training a model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06MCOUNTING MECHANISMS; COUNTING OF OBJECTS NOT OTHERWISE PROVIDED FOR
    • G06M1/00Design features of general application
    • G06M1/27Design features of general application for representing the result of count in the form of electric signals, e.g. by sensing markings on the counter drum
    • G06M1/272Design features of general application for representing the result of count in the form of electric signals, e.g. by sensing markings on the counter drum using photoelectric means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2111/00Details relating to CAD techniques
    • G06F2111/02CAD in a network environment, e.g. collaborative CAD or distributed simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2111/00Details relating to CAD techniques
    • G06F2111/08Probabilistic or stochastic CAD

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Software Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Geometry (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用于电力工控网络的流量异常检测方法,包括获取电力工控网络的流量数据;对获取的流量数据提取高维特征;构建流量基准模型并训练得到最终的流量异常检测模型;获取待检测的电力工控网络流量数据;采用流量异常检测模型对待检测的电力工控网络流量数据进行异常检测并完成电力工控网络的流量异常检测。本发明方法可以实现电力工控网络流量异常检测的高实时性,并且与其他电力工控网络流量异常检测方法相同的异常流量检测准确率的条件下,本具有更低的计算与存储资源占用,更低成本投入,可以更简单的在更广泛的大数据场景中应用,而且可靠性高、实时性好且便于实施。

Description

用于电力工控网络的流量异常检测方法
技术领域
本发明属于电气自动化领域,具体涉及一种用于电力工控网络的流量异常检测方法。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,电力系统的稳定可靠运行,就成为了电力系统最重要的任务之一。
网络流量异常检测是数字电力物联网系统的一项重要技术防护手段,但随着攻击手段的不断变化,基于已知攻击特征的攻击检测技术已经不能保护网络免遭攻击,使用基于基准模型的电力工控网络流量异常检测技术对网络流量进行异常检测非常有必要。网络流量包由海量的流量数据组成,这些流量数据记录了电网终端的所有活动和行为。通过分析和整合这些历史网络流量包,从中提取特征来建立不同类别的基准模型,并通过实时流量与基准模型的匹配来判断是否发生异常。
但由于电力物联网网络流量数量巨大,要实现异常识别,首先要达成网络流量的实时处理,对检测算法的效率要求很高,同时要求计算所需的资源尽可能的小。传统的神经网络学习方法和大部分机器学习方法往往在处理相关问题时会出现消耗大量存储于计算资源的情况,对于电网网络流量攻击检测系统,如何高效、高精度的处理这些海量数据是一个巨大的挑战。
发明内容
本发明的目的在于提供一种可靠性高、实时性好且便于实施的用于电力工控网络的流量异常检测方法。
本发明提供这种用于电力工控网络的流量异常检测方法,包括如下步骤:
S1.获取电力工控网络的流量数据;
S2.对步骤S1获取的流量数据,提取高维特征;
S3.构建流量基准模型并训练,得到最终的流量异常检测模型;
S4.获取待检测的电力工控网络流量数据;
S5.采用步骤S3得到的流量异常检测模型,对步骤S4获取的待检测的电力工控网络流量数据进行异常检测,从而完成电力工控网络的流量异常检测。
步骤S2所述的对步骤S1获取的流量数据,提取高维特征,具体为采用深度置信网络对获取的原始流量数据进行特征分析和提取,从而得到高维特征。
所述的对步骤S1获取的流量数据,提取高维特征,具体具体包括如下步骤:
A.根据电力工控网的数据特征,选取若干个特征作为待选流量特征;
B.设置输入数据集D为步骤A获取的待选流量特征;同时设置隐藏层数e、隐藏层单元个数mk、可见层单元个数nk、合并时间段Ta和划分时间段Tb
C.初始化高维空间特征提取模型的参数值,包括迭代计数器k=0,层架权重矩阵Wk、可见层神经元偏置向量ak和隐含层神经元偏置向量bk
D.将输入数据集D内数据设置为集合
Figure BDA0003143943220000021
然后将数据采用如下算式计算特征的均值μi、方差σi和归一化后的特征
Figure BDA0003143943220000022
Figure BDA0003143943220000023
Figure BDA0003143943220000031
Figure BDA0003143943220000032
式中vi为第i个特征的取值,n为特征的个数;
E.按照合并时间段Ta进行流量数据合并,合并后集合V内每个维度的数据为
Figure BDA0003143943220000033
F.将合并后数据设定为训练数据,按照划分时间段Tb进行时间段划分,训练数据被划分为各个时间簇;
G.采用步骤F中的一个时间簇的训练数据初始化输入向量xk
H.初始化多重对比散度算法预训练好的层间权重矩阵Wk,可见层神经元偏置向量ak及隐含层神经元偏置向量bk
I.计算单个隐藏层RBM输出xk+1=Wk·xk+bk
J.若迭代计数器k小于设定的迭代次数e,则迭代计数器k的值增加1,并重复步骤I,直至迭代计数器k达到设定的迭代次数e;输出me为特征向量y;
K.针对步骤F划分得到的所有时间簇数据,均进行步骤G~步骤J;
L.将深度置信网络模型的最后一层隐藏层的me个节点的输出向量作为深度置信网络对选取的若干个特征所提取的高维特征。
步骤A所述的选取若干个特征作为待选流量特征,具体为选取源IP地址、源端口、流量响应时间、目的端口、目的IP地址、协议、正向流量包实时数量、反向流量包实时数据、流量每秒比特数、流量每秒流量包数、FIN标志位数、PSH标志位数、ACK标志位数和平均流量包大小。
步骤S3所述的构建流量基准模型并训练,得到最终的流量异常检测模型,具体包括如下步骤:
a.采用步骤S2获取的高维特征向量,构建新数据集DD和逻辑回归模型框架;
b.初始化模型参数,包括初始化权重矩阵W、偏置向量b和最大迭代次数K;
c.采用如下算式作为模型的损失函数:
Figure BDA0003143943220000041
式中n为每次迭代计算损失时所用的训练数据数量;xi为第i批训练数据;yi为第i批数据对应的正确标签值;ω为模型权重;
d.对损失函数J(ω)求一阶导数
Figure BDA0003143943220000042
e.更新相关参数
Figure BDA0003143943220000043
其中k为迭代次数,
Figure BDA0003143943220000044
为对于第i批数据第k次迭代时的模型权重;α为预设学习率;
f.每次更新参数后,若新一轮的损失函数值小于设定的阈值,或者更新迭代的次数达到设定的次数K,则停止更新,得到最终的流量异常检测模型以及对应的模型参数,并给出设定的异常预测概率基线值eb;否则,重复步骤d~e直至满足条件。
步骤S5所述的采用步骤S3得到的流量异常检测模型,对步骤S4获取的待检测的电力工控网络流量数据进行异常检测,具体为对获取的待检测的电力工控网络流量数据提取高维特征,然后将提取的高维特征输入到得到的流量异常检测模型中,比较模型的输出值与设定的异常预测概率基线值的大小,最终判定电力工控网络流量数据是否为异常数据。
所述的采用步骤S3得到的流量异常检测模型,对步骤S4获取的待检测的电力工控网络流量数据进行异常检测,具体包括如下步骤:
(1)获取待检测的电力工控网络流量数据;
(2)初始化深度置信网络特征提取模型的参数,包括可见层神经元个数nk,层间权重矩阵Wk,可见层神经元偏置向量ak,隐含层神经元偏置向量bk
(3)提取待检测的电力工控网络流量数据的有效流量特征作为输入数据,并计算得到深度置信网络模型输出yi
(4)将步骤(3)得到的深度置信网络模型输出yi输入到流量异常检测模型,得到待检测的电力工控网络流量数据所对应的异常流量预测概率ei
(5)比较异常流量预测概率ei与设定的异常预测概率基线值eb的大小:
若ei>eb,则待检测的电力工控网络流量数据判定为异常流量;
否则,待检测的电力工控网络流量数据判定为正常流量。
本发明提供的这种用于电力工控网络的流量异常检测方法,首先从数据报文中选取若干个流量数据字段特征,并引入深度置信网络来再次对其进行分析提取高维特征;其次针对网络流量异常检测的常用模型如深度神经网络模型构建参数多,结构复杂,占用资源多,实时性差等问题,结合逻辑回归的的电力工控网络流量异常检测模型具有简单高效,计算量相对小,速度快实时性好,存储资源低的效果;本发明方法可以实现电力工控网络流量异常检测的高实时性,并且与其他电力工控网络流量异常检测方法相同的异常流量检测准确率的条件下,本具有更低的计算与存储资源占用,更低成本投入,可以更简单的在更广泛的大数据场景中应用,而且可靠性高、实时性好且便于实施。
附图说明
图1为本发明方法的方法流程示意图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供这种用于电力工控网络的流量异常检测方法,包括如下步骤:
S1.获取电力工控网络的流量数据;
S2.对步骤S1获取的流量数据,提取高维特征;具体为采用深度置信网络对获取的原始流量数据进行特征分析和提取,从而得到高维特征;
具体实施时,包括如下步骤:
A.根据电力工控网的数据特征,选取若干个特征作为待选流量特征;具体为选取选取源IP地址、源端口、流量响应时间、目的端口、目的IP地址、协议、正向流量包实时数量、反向流量包实时数据、流量每秒比特数、流量每秒流量包数、FIN标志位数、PSH标志位数、ACK标志位数、平均流量包大小;
B.设置输入数据集D为步骤A获取的待选流量特征;同时设置隐藏层数e、隐藏层单元个数mk、可见层单元个数nk、合并时间段Ta和划分时间段Tb
C.初始化高维空间特征提取模型的参数值,包括迭代计数器k=0,层架权重矩阵Wk、可见层神经元偏置向量ak和隐含层神经元偏置向量bk
D.将输入数据集D内数据设置为集合
Figure BDA0003143943220000061
然后将数据采用如下算式计算特征的均值μi、方差σi和归一化后的特征
Figure BDA0003143943220000062
Figure BDA0003143943220000063
Figure BDA0003143943220000064
Figure BDA0003143943220000071
式中vi为第i个特征的取值,n为特征的个数;
E.按照合并时间段Ta进行流量数据合并,合并后集合V内每个维度的数据为
Figure BDA0003143943220000072
F.将合并后数据设定为训练数据,按照划分时间段Tb进行时间段划分,训练数据被划分为各个时间簇;
G.采用步骤F中的一个时间簇的训练数据初始化输入向量xk
H.初始化多重对比散度算法预训练好的层间权重矩阵Wk,可见层神经元偏置向量ak及隐含层神经元偏置向量bk
I.计算单个隐藏层RBM输出xk+1=Wk·xk+bk
J.若迭代计数器k小于设定的迭代次数e,则迭代计数器k的值增加1,并重复步骤I,直至迭代计数器k达到设定的迭代次数e;输出me为特征向量y;
K.针对步骤F划分得到的所有时间簇数据,均进行步骤G~步骤J;
L.将深度置信网络模型的最后一层隐藏层的me个节点的输出向量作为深度置信网络对选取的若干个特征所提取的高维特征;
S3.构建流量基准模型并训练,得到最终的流量异常检测模型;具体包括如下步骤:
a.采用步骤S2获取的高维特征向量,构建新数据集DD和逻辑回归模型框架;
b.初始化模型参数,包括权重矩阵W、偏置向量b和最大迭代次数K;
c.采用如下算式作为模型的损失函数:
Figure BDA0003143943220000081
式中n为每次迭代计算损失时所用的训练数据数量;xi为第i批训练数据;yi为第i批数据对应的正确标签值;ω为模型权重;
d.对损失函数J(ω)求一阶导数
Figure BDA0003143943220000082
e.更新相关参数
Figure BDA0003143943220000083
其中k为迭代次数,
Figure BDA0003143943220000084
为对于第i批数据第k次迭代时的模型权重;α为预设学习率;
f.每次更新参数后,若新一轮的损失函数值小于设定的阈值,或者更新迭代的次数达到设定的次数K,则停止更新,得到最终的流量异常检测模型以及对应的模型参数,并给出设定的异常预测概率基线值eb;否则,重复步骤d~e直至满足条件;
S4.获取待检测的电力工控网络流量数据;
S5.采用步骤S3得到的流量异常检测模型,对步骤S4获取的待检测的电力工控网络流量数据进行异常检测,从而完成电力工控网络的流量异常检测;具体为对获取的待检测的电力工控网络流量数据提取高维特征,然后将提取的高维特征输入到得到的流量异常检测模型中,比较模型的输出值与设定的异常预测概率基线值的大小,最终判定电力工控网络流量数据是否为异常数据;
具体实施时,包括如下步骤:
(1)获取待检测的电力工控网络流量数据;
(2)初始化深度置信网络特征提取模型的参数,包括可见层神经元个数nk,层间权重矩阵Wk,可见层神经元偏置向量ak,隐含层神经元偏置向量bk
(3)提取待检测的电力工控网络流量数据的有效流量特征作为输入数据,并计算得到深度置信网络模型输出yi
(4)将步骤(3)得到的深度置信网络模型输出yi输入到流量异常检测模型,得到待检测的电力工控网络流量数据所对应的异常流量预测概率ei
(5)比较异常流量预测概率ei与设定的异常预测概率基线值eb的大小:
若ei>eb,则待检测的电力工控网络流量数据判定为异常流量;
否则,待检测的电力工控网络流量数据判定为正常流量。
以下结合一个实施例,对本发明方法进行进一步说明:
实验中DBN网络的第一层可见层的神经元个数nk为10;学习速率α设置为0.01,每一个内部RBM模型迭代次数k为200次;内部三层隐含层节点个数mk分别设置为[32,64,128];异常度检测阈值eb为0.5。
首先测试本实施例在不同参数设定下的检测效果:
不同隐藏层节点下本实施例的检测效果如表1所示,内部三层隐含层节点个数mk分别设置为[10,16,32],[16,32,64],[32,64,128]。
表1不同隐藏层节点下本实施例的检测效果示意表
Figure BDA0003143943220000091
从表1可以看出,在其他实验参数相同的条件下,当内部三层隐含层节点个数mk设置为[32,64,128]时,方法的准确率最高,其中应该注意当内部三层隐含层节点个数mk过小时,本实施例方法效果不明显。而当内部三层隐含层节点个数mk远远大于DBN网络的第一层可见层的神经元个数nk时,方法准确率有了比较大的提升。这种情况是由于RBM网络中隐含层节点负责数据未知情况的分布刻画,当隐含层节点数量较少时,无法很好提取出流量数据的高维空间特征,不容易描述数据的分布情况;而当节点数量增多时,则可以很好地提取出流量数据的高维空间特征描述数据的分布情况。
本实施例方法在异常检测过程中,因逻辑回归模型输出概率的推导经得住推敲,输出概率值自然地落在0到1之间,并且有概率意义清晰,所以具有可解释性强的特性。在实际应用过程中,逻辑回归预测模型不仅可预测出类别,还能得到该预测的概率;同时,根据权重矩阵的值大小,可以意义清晰地分辨出不同的特征因素对于预测结果所占影响大小。这对像数字电力物联网网络流量异常检测这种利用概率辅助决策的任务很有用。
即使在预测过程中遇见了未知的异常,与其他数字电力物联网网络流量异常检测方法相比,本实施例方法具有较高的异常流量检测准确率。因逻辑回归预测模型直接对流量正异常分类的概率建模,无需提前实现假设数据分布,从而避免了假设分布不准确带来的问题,所以可以实现对于未知异常流量的检测。
对于实现预测模型求最优解的问题,使用逻辑回归模型中因对数几率函数是任意阶可导的凸函数,故也具有计算代价小,存储与计算资源占用低且有许多数值优化算法都可以求出最优解。可以高效方便的实际应用部署在具有大数据分析需求的场景中。

Claims (7)

1.一种用于电力工控网络的流量异常检测方法,包括如下步骤:
S1.获取电力工控网络的流量数据;
S2.对步骤S1获取的流量数据,提取高维特征;
S3.构建流量基准模型并训练,得到最终的流量异常检测模型;
S4.获取待检测的电力工控网络流量数据;
S5.采用步骤S3得到的流量异常检测模型,对步骤S4获取的待检测的电力工控网络流量数据进行异常检测,从而完成电力工控网络的流量异常检测。
2.根据权利要求1所述的用于电力工控网络的流量异常检测方法,其特征在于步骤S2所述的对步骤S1获取的流量数据,提取高维特征,具体为采用深度置信网络对获取的原始流量数据进行特征分析和提取,从而得到高维特征。
3.根据权利要求2所述的用于电力工控网络的流量异常检测方法,其特征在于所述的对步骤S1获取的流量数据,提取高维特征,具体具体包括如下步骤:
A.根据电力工控网的数据特征,选取若干个特征作为待选流量特征;
B.设置输入数据集D为步骤A获取的待选流量特征;同时设置隐藏层数e、隐藏层单元个数mk、可见层单元个数nk、合并时间段Ta和划分时间段Tb
C.初始化高维空间特征提取模型的参数值,包括迭代计数器k=0,层架权重矩阵Wk、可见层神经元偏置向量ak和隐含层神经元偏置向量bk
D.将输入数据集D内数据设置为集合
Figure FDA0003143943210000011
然后将数据采用如下算式计算特征的均值μi、方差σi和归一化后的特征
Figure FDA0003143943210000012
Figure FDA0003143943210000013
Figure FDA0003143943210000021
Figure FDA0003143943210000022
式中vi为第i个特征的取值,n为特征的个数;
E.按照合并时间段Ta进行流量数据合并,合并后集合V内每个维度的数据为
Figure FDA0003143943210000023
F.将合并后数据设定为训练数据,按照划分时间段Tb进行时间段划分,训练数据被划分为各个时间簇;
G.采用步骤F中的一个时间簇的训练数据初始化输入向量xk
H.初始化多重对比散度算法预训练好的层间权重矩阵Wk,可见层神经元偏置向量ak及隐含层神经元偏置向量bk
I.计算单个隐藏层RBM输出xk+1=Wk·xk+bk
J.若迭代计数器k小于设定的迭代次数e,则迭代计数器k的值增加1,并重复步骤I,直至迭代计数器k达到设定的迭代次数e;输出me为特征向量y;
K.针对步骤F划分得到的所有时间簇数据,均进行步骤G~步骤J;
L.将深度置信网络模型的最后一层隐藏层的me个节点的输出向量作为深度置信网络对选取的若干个特征所提取的高维特征。
4.根据权利要求3所述的用于电力工控网络的流量异常检测方法,其特征在于步骤A所述的选取若干个特征作为待选流量特征,具体为选取选取源IP地址、源端口、流量响应时间、目的端口、目的IP地址、协议、正向流量包实时数量、反向流量包实时数据、流量每秒比特数、流量每秒流量包数、FIN标志位数、PSH标志位数、ACK标志位数、平均流量包大小。
5.根据权利要求3所述的用于电力工控网络的流量异常检测方法,其特征在于步骤S3所述的构建流量基准模型并训练,得到最终的流量异常检测模型,具体包括如下步骤:
a.采用步骤S2获取的高维特征向量,构建新数据集DD和逻辑回归模型框架;
b.初始化模型参数,包括权重矩阵W、偏置向量b和最大迭代次数K;
c.采用如下算式作为模型的损失函数:
Figure FDA0003143943210000031
式中n为每次迭代计算损失时所用的训练数据数量;xi为第i批训练数据;yi为第i批数据对应的正确标签值;ω为模型权重;
d.对损失函数J(ω)求一阶导数
Figure FDA0003143943210000032
e.更新相关参数
Figure FDA0003143943210000033
其中k为迭代次数,
Figure FDA0003143943210000034
为对于第i批数据第k次迭代时的模型权重;α为预设学习率;
f.每次更新参数后,若新一轮的损失函数值小于设定的阈值,或者更新迭代的次数达到设定的次数K,则停止更新,得到最终的流量异常检测模型以及对应的模型参数,并给出设定的异常预测概率基线值eb;否则,重复步骤d~e直至满足条件。
6.根据权利要求5所述的用于电力工控网络的流量异常检测方法,其特征在于步骤S5所述的采用步骤S3得到的流量异常检测模型,对步骤S4获取的待检测的电力工控网络流量数据进行异常检测,具体为对获取的待检测的电力工控网络流量数据提取高维特征,然后将提取的高维特征输入到得到的流量异常检测模型中,比较模型的输出值与设定的异常预测概率基线值的大小,最终判定电力工控网络流量数据是否为异常数据。
7.根据权利要求6所述的用于电力工控网络的流量异常检测方法,其特征在于所述的采用步骤S3得到的流量异常检测模型,对步骤S4获取的待检测的电力工控网络流量数据进行异常检测,具体包括如下步骤:
(1)获取待检测的电力工控网络流量数据;
(2)初始化深度置信网络特征提取模型的参数,包括可见层神经元个数nk,层间权重矩阵Wk,可见层神经元偏置向量ak,隐含层神经元偏置向量bk
(3)提取待检测的电力工控网络流量数据的有效流量特征作为输入数据,并计算得到深度置信网络模型输出yi
(4)将步骤(3)得到的深度置信网络模型输出yi输入到流量异常检测模型,得到待检测的电力工控网络流量数据所对应的异常流量预测概率ei
(5)比较异常流量预测概率ei与设定的异常预测概率基线值eb的大小:
若ei>eb,则待检测的电力工控网络流量数据判定为异常流量;
否则,待检测的电力工控网络流量数据判定为正常流量。
CN202110749273.6A 2021-07-01 2021-07-01 用于电力工控网络的流量异常检测方法 Pending CN113343587A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110749273.6A CN113343587A (zh) 2021-07-01 2021-07-01 用于电力工控网络的流量异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110749273.6A CN113343587A (zh) 2021-07-01 2021-07-01 用于电力工控网络的流量异常检测方法

Publications (1)

Publication Number Publication Date
CN113343587A true CN113343587A (zh) 2021-09-03

Family

ID=77482301

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110749273.6A Pending CN113343587A (zh) 2021-07-01 2021-07-01 用于电力工控网络的流量异常检测方法

Country Status (1)

Country Link
CN (1) CN113343587A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113162811A (zh) * 2021-06-01 2021-07-23 长扬科技(北京)有限公司 一种基于深度学习的工控网络流量异常检测方法及装置
CN114114910A (zh) * 2021-11-12 2022-03-01 浙江大学 一种基于模型-数据混合驱动的电力工控系统动态异常检测方法
CN115348063A (zh) * 2022-05-07 2022-11-15 国网江苏省电力有限公司淮安供电分公司 一种基于DNN及K-means的电力系统网络流量识别方法
CN116318872A (zh) * 2023-02-13 2023-06-23 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108683658A (zh) * 2018-05-11 2018-10-19 上海交通大学 基于多rbm网络构建基准模型的工控网络流量异常识别方法
US20200007566A1 (en) * 2016-12-29 2020-01-02 NSFOCUS Information Technology Co., Ltd. Network traffic anomaly detection method and apparatus
CN111222638A (zh) * 2019-11-21 2020-06-02 湖南大学 一种基于神经网络的网络异常检测方法及装置
CN111832647A (zh) * 2020-07-10 2020-10-27 上海交通大学 异常流量检测系统及方法
CN112073227A (zh) * 2020-08-26 2020-12-11 重庆理工大学 利用层叠泛化和代价敏感学习的社交网链路异常检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200007566A1 (en) * 2016-12-29 2020-01-02 NSFOCUS Information Technology Co., Ltd. Network traffic anomaly detection method and apparatus
CN108683658A (zh) * 2018-05-11 2018-10-19 上海交通大学 基于多rbm网络构建基准模型的工控网络流量异常识别方法
CN111222638A (zh) * 2019-11-21 2020-06-02 湖南大学 一种基于神经网络的网络异常检测方法及装置
CN111832647A (zh) * 2020-07-10 2020-10-27 上海交通大学 异常流量检测系统及方法
CN112073227A (zh) * 2020-08-26 2020-12-11 重庆理工大学 利用层叠泛化和代价敏感学习的社交网链路异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李怡晨: "基于机器学习的电力工控网络流量异常检测技术研究", 《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113162811A (zh) * 2021-06-01 2021-07-23 长扬科技(北京)有限公司 一种基于深度学习的工控网络流量异常检测方法及装置
CN114114910A (zh) * 2021-11-12 2022-03-01 浙江大学 一种基于模型-数据混合驱动的电力工控系统动态异常检测方法
CN114114910B (zh) * 2021-11-12 2023-10-27 浙江大学 一种基于模型-数据混合驱动的电力工控系统动态异常检测方法
CN115348063A (zh) * 2022-05-07 2022-11-15 国网江苏省电力有限公司淮安供电分公司 一种基于DNN及K-means的电力系统网络流量识别方法
CN115348063B (zh) * 2022-05-07 2024-08-16 国网江苏省电力有限公司淮安供电分公司 一种基于DNN及K-means的电力系统网络流量识别方法
CN116318872A (zh) * 2023-02-13 2023-06-23 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质
CN116318872B (zh) * 2023-02-13 2023-10-27 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN113343587A (zh) 用于电力工控网络的流量异常检测方法
CN110896381B (zh) 一种基于深度神经网络的流量分类方法、系统及电子设备
CN104601565B (zh) 一种智能优化规则的网络入侵检测分类方法
CN114553475A (zh) 一种基于网络流量属性有向拓扑的网络攻击检测方法
CN109145516B (zh) 一种基于改进型极限学习机的模拟电路故障识别方法
CN114615093A (zh) 基于流量重构与继承学习的匿名网络流量识别方法及装置
CN113378990A (zh) 基于深度学习的流量数据异常检测方法
CN114492826A (zh) 一种基于多元时序流数据的无监督异常检测分析解决方法
CN112714130A (zh) 一种基于大数据自适应网络安全态势感知方法
CN117156442B (zh) 基于5g网络的云数据安全保护方法及系统
CN114448657B (zh) 一种配电通信网络安全态势感知与异常入侵检测方法
CN111709577B (zh) 基于长程相关性gan-lstm的rul预测方法
CN111641598A (zh) 一种基于宽度学习的入侵检测方法
CN115795285A (zh) 基于cusum型变点统计量的异常数据检测与监控方法
CN116527346A (zh) 基于深度学习图神经网络理论的威胁节点感知方法
CN115330368A (zh) 集成无监督机器学习的区块链异常交易识别方法及系统
CN118193954A (zh) 一种基于边缘计算的配电网异常数据检测方法及系统
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
CN117951646A (zh) 一种基于边缘云的数据融合方法及系统
CN109360607B (zh) 一种动态基因调控网的网络演化分析方法及装置
CN114124437B (zh) 基于原型卷积网络的加密流量识别方法
CN113705624B (zh) 一种用于工控系统的入侵检测方法和系统
CN115473748A (zh) 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备
CN115169465A (zh) 变压器数据异常检测方法、装置、设备、介质和产品
Yuan et al. Deep and spatio-temporal detection for abnormal traffic in cloud data centers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210903

RJ01 Rejection of invention patent application after publication