CN113489675B - 电力终端入侵检测方法、装置、设备及存储介质 - Google Patents
电力终端入侵检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113489675B CN113489675B CN202110570708.0A CN202110570708A CN113489675B CN 113489675 B CN113489675 B CN 113489675B CN 202110570708 A CN202110570708 A CN 202110570708A CN 113489675 B CN113489675 B CN 113489675B
- Authority
- CN
- China
- Prior art keywords
- protocol
- neural network
- network data
- power terminal
- network model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 238000003062 neural network model Methods 0.000 claims abstract description 113
- 230000006854 communication Effects 0.000 claims abstract description 94
- 238000004891 communication Methods 0.000 claims abstract description 92
- 230000006399 behavior Effects 0.000 claims abstract description 76
- 230000002159 abnormal effect Effects 0.000 claims description 33
- 238000012549 training Methods 0.000 claims description 24
- 238000001514 detection method Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 20
- 238000009826 distribution Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000013178 mathematical model Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000003925 brain function Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种电力终端入侵检测方法、装置、设备及存储介质,所述方法包括:获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;根据协议特征确定网络数据是否存在入侵行为。本申请实施例提供的技术方案可以提高对电力终端是否遭受入侵行为进行检测的准确性。
Description
技术领域
本申请涉及配电网技术领域,特别是涉及一种电力终端入侵检测方法、装置、设备及存储介质。
背景技术
智能电网业务系统中存在大量的电力终端,电力终端在电力生产的“发电”-“变电”-“输电”-“配电”的过程中,起着至关重要的作用。由于电力终端都具有一定的运算能力和无线通信功能,导致其更容易被攻击者攻击,从而威胁智能电网的安全。因而,需要对电力终端是否遭受入侵行为进行检测,以保证智能电网的安全运行。
在对电力终端是否遭受入侵行为进行检测时,现有的入侵检测方法,只能对在特定通信协议下所发生的入侵行为进行检测。而当电力终端上的通信协议发生变化时,电力终端遭受的入侵行为会随之变化,原有的一套入侵检测方法就无法检测出对应的入侵行为,导致现有的电力终端入侵检测方法存在检测准确性低的问题。
发明内容
基于此,本申请实施例提供了一种电力终端入侵检测方法、装置、设备及存储介质,可以提高对电力终端是否遭受入侵行为进行检测的准确性。
第一方面,提供了一种电力终端入侵检测方法,该方法包括:
获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;根据协议特征确定网络数据是否存在入侵行为。
在其中一个实施例中,第一神经网络模型的生成过程,包括:
获取多组通信协议及通信协议对应的协议特征;将多组通信协议及通信协议对应的协议特征,输入至初始神经网络模型中,计算得到实际协议特征;根据实际协议特征与输入的协议特征之间的误差,对初始神经网络模型的网络参数进行修正,直至达到预设的收敛条件为止;基于修正后的网络参数生成第一神经网络模型。
在其中一个实施例中,根据协议特征确定网络数据是否存在入侵行为,包括:
将协议特征与数据库中所存储的异常协议特征进行匹配;若匹配成功,则确定网络数据存在入侵行为。
在其中一个实施例中,在将协议特征与数据库中所存储的异常协议特征进行匹配之后,还包括:
若匹配失败,则将协议特征输入至预设的第二神经网络模型中,得到攻击信息;第二神经网络模型是通过协议特征和协议特征对应的攻击信息训练所得到的神经网络模型;基于攻击信息确定网络数据存在入侵行为。
在其中一个实施例中,在将协议特征与数据库中所存储的异常协议特征进行匹配之后,还包括:
若匹配失败,则将协议特征输入至预设的第三神经网络模型中,得到业务权限信息;第三神经网络模型是通过协议特征和协议特征对应的业务权限信息训练得到的神经网络模型;基于业务权限信息确定网络数据存在入侵行为。
在其中一个实施例中,基于业务权限信息确定网络数据存在入侵行为,包括:
将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;若未匹配成功,则确定网络数据存在入侵行为。
在其中一个实施例中,网络数据包括电力终端在运行过程中所产生的日志数据及报文数据。
第二方面,提供了一种电力终端入侵检测装置,该装置包括:
获取模块,用于获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;
输入模块,用于将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;
确定模块,用于根据协议特征确定网络数据是否存在入侵行为。
第三方面,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一实施例中的方法步骤。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一实施例中的方法步骤。
上述电力终端入侵检测方法、装置、设备及存储介质,通过获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;根据协议特征确定网络数据是否存在入侵行为。在本申请实施例提供的技术方案中,由于预设的第一神经网络模型是预先根据多种通信协议和通信协议对应的协议特征训练得到的,当电力终端上的通信协议发生变化时,通过将通信协议输入至预设的第一神经网络模型中,依然能够识别对应的协议特征,从而能够检测出对应的入侵行为,进而提高了对电力终端是否遭受入侵行为进行检测的准确性。
附图说明
图1为本申请实施例提供的一种电力终端入侵检测方法的的应用环境图;
图2为本申请实施例提供的一种电力终端入侵检测方法的流程图;
图3为图2中第一神经网络模型的生成过程的流程图;
图4为图2中通过与数据库中所存储的异常协议特征进行匹配,确定网络数据存在入侵行为的流程图;
图5为图4中匹配不成功时,通过攻击信息确定网络数据存在入侵行为的流程图;
图6为图4中匹配不成功时,通过业务权限信息确定网络数据存在入侵行为的流程图;
图7为图6中通过与业务权限控制中的业务权限信息匹配,来确定网络数据存在入侵行为的流程图;
图8为本申请实施例提供的一种电力终端入侵检测方法的流程图;
图9为本申请实施例提供的一种电力终端入侵检测装置的框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
本申请提供的电力终端入侵检测方法可以应用于计算机设备中,计算机设备可以是服务器,也可以是终端,其中,服务器可以为一台服务器也可以为由多台服务器组成的服务器集群,本申请实施例对此不作具体限定,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。
以计算机设备是服务器为例,图1示出了一种服务器的框图,如图1所示,服务器可以包括通过系统总线连接的处理器和存储器。其中,该服务器的处理器用于提供计算和控制能力。该服务器的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序以及数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机程序被处理器执行时以实现一种电力终端入侵检测方法。
本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,可选地服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
需要说明的是,本申请实施例的执行主体可以是计算机设备,也可以是电力终端入侵检测装置,下述方法实施例中就以计算机设备为执行主体进行说明。
在一个实施例中,如图2所示,其示出了本申请实施例提供的一种电力终端入侵检测方法的流程图,该方法可以包括以下步骤:
步骤220、获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议。
其中,电力终端是在电力生产的“发电”-“变电”-“输电”-“配电”的过程中起重要作用的终端设备。电力终端可以是远程终端、数据终端、馈线终端、智能电表等,例如,远程终端可以通过开闭当前线路,对电力生产过程产生影响,同时可以监测当前线路的电压、电流情况,实时对电力生产进行保护和控制。
电力终端在运行的过程中,电力终端与配电主站通信会产生的相应的网络数据,该网络数据是基于实时的网络流量获取到的数据,网络数据可以包括数据长度、传输字节数、时间间隔等信息。网络数据可以是电力终端在运行过程中所产生的日志数据、报文数据,或是根据需求从日志数据筛选出来的数据,还可以是电力终端在运行时产生的其他网络数据。其中,日志数据可以从电力终端的日志记录系统中获取到,报文数据可以通电力终端上的端口监听器获取到。由于电力终端上会运行相应的通信协议,因而所产生的网络数据是遵循相应的通信协议,在获取到电力终端的网络数据后,可以对电力终端的网络数据进行分析就可以确定传输网络数据的通信协议。
步骤240、将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征。
其中,预设的第一神经网络模型是通过通信协议和通信协议对应的协议特征训练得到的,并用于对输入的通信协议进行识别的网络模型。协议特征是用于表征不同通信协议特点的信息,协议特征可以包括协议类型信息、端口信息、数据长度信息、固定字段信息等,端口信息还可以包括源端口信息和目标端口信息,数据长度信息可以包括最大长度值和最小长度值。通过将确定出的通信协议输入至预设的第一神经网络中,就可以输出对应的协议特征。
步骤260、根据协议特征确定网络数据是否存在入侵行为。
其中,在电力终端遭受到入侵行为时,在电力终端运行过程中获取到的网络数据会发生异常,可以根据得到的协议特征来确定网络数据是否出现异常,从而来来确定网络数据是否存在入侵行为。例如,在网络数据存在入侵行为时,网络数据的协议特征会发生异常,异常可以是端口信息、数据长度信息、固定字段信息等信息中的任一个或多个信息发生异常。
本实施例中,通过获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;根据协议特征确定网络数据是否存在入侵行为。由于预设的第一神经网络模型是预先根据多种通信协议和通信协议对应的协议特征训练得到的,当电力终端上的通信协议发生变化时,通过将通信协议输入至预设的第一神经网络模型中,依然能够识别对应的协议特征,从而能够检测出对应的入侵行为,进而提高了对电力终端是否遭受入侵行为进行检测的准确性。
在一个实施例中,如图3所示,其示出了本申请实施例提供的一种电力终端入侵检测方法的流程图,具体涉及的是第一神经网络模型的生成过程,该方法可以包括以下步骤:
步骤320、获取多组通信协议及通信协议对应的协议特征。
步骤340、将多组通信协议及通信协议对应的协议特征,输入至初始神经网络模型中,计算得到实际协议特征。
步骤360、根据实际协议特征与输入的协议特征之间的误差,对初始神经网络模型的网络参数进行修正,直至达到预设的收敛条件为止。
步骤380、基于修正后的网络参数生成第一神经网络模型。
其中,第一神经网络模型,即机器学习中的神经网络模型,神经网络(NeuralNetworks,NN)是由大量的、简单的处理单元(称为神经元)互相连接而形成的它反映了人脑功能的许多基本特征,是一个高度复杂的非线性动力学习系统。神经网络模型是以神经元的数学模型为基础来描述的,简单来讲,神经网络模型就是一个数学模型。
初始神经网络模型是没有经过训练的模型,通过获取多组通信协议及通信协议对应的协议特征作为训练集,将多组通信协议及通信协议对应的协议特征中的一组数据,输入至初始神经网络模型中,通过初始神经网络模型可以计算得到实际协议特征,再根据实际协议特征与输入的协议特征之间的误差,对初始神经网络模型的网络参数进行不断地调整、修正,使得实际协议特征与输入的协议特征之间的误差在可接受范围内,则本组数据的监督学习完成,继续进行下一组数据的监督学习,直至达到预设的收敛条件为止,预设的收敛条件可以是通过预先设定的准确率或迭代次数确定的,最终可以基于修正后的网络参数生成第一神经网络模型。
本实施例中,通过获取多组通信协议及通信协议对应的协议特征;将多组通信协议及通信协议对应的协议特征,输入至初始神经网络模型中,计算得到实际协议特征;根据实际协议特征与输入的协议特征之间的误差,对初始神经网络模型的网络参数进行修正,直至达到预设的收敛条件为止;基于修正后的网络参数生成第一神经网络模型。由于通过实际协议特征与输入的协议特征之间的误差不断地调整网络参数,提高了对神经网络模型的训练效率。
在一个实施例中,如图4所示,其示出了本申请实施例提供的一种电力终端入侵检测方法的流程图,具体涉及的是确定网络数据存在入侵行为的一种可能的过程,该方法可以包括以下步骤:
步骤420、将协议特征与数据库中所存储的异常协议特征进行匹配。
步骤440、若匹配成功,则确定网络数据存在入侵行为。
其中,异常协议特征是与标准通信协议对应的协议特征不同的特征。数据库中所存储的异常协议特征可以是根据历史异常协议特征预先建立的。例如,可以通过收集非正常的网络数据后,对非正常的网络数据进行分析后得到的异常协议特征,非正常的网络数据可以是将标准协议运行在非标准端口得到的入侵行为数据,也可以是将标准协议运行在任意端口得到的入侵行为数据。
在通过预设的第一神经网络模型得到通信协议对应的协议特征后,可以将协议特征与数据库中所存储的异常协议特征进行匹配,匹配的过程可以是将端口信息、数据长度信息、固定字段信息等信息进行一一比对。若匹配成功,即协议特征属于数据库中所存储的异常协议特征的任意一种,则确定网络数据存在入侵行为。
本实施例中,通过将协议特征与数据库中所存储的异常协议特征进行匹配;若匹配成功,则确定网络数据存在入侵行为。由于数据库中所存储的异常协议特征是预先建立好的,因此通过匹配的方式,提高了确定网络数据存在入侵行为的效率与准确性。
在一个实施例中,如图5所示,其示出了本申请实施例提供的一种电力终端入侵检测方法的流程图,具体涉及的是确定网络数据存在入侵行为的另一种可能的过程,该方法可以包括以下步骤:
步骤520、若匹配失败,则将协议特征输入至预设的第二神经网络模型中,得到攻击信息;第二神经网络模型是通过协议特征和协议特征对应的攻击信息训练所得到的神经网络模型。
步骤540、基于攻击信息确定网络数据存在入侵行为。
其中,在将通过预设的第一神经网络模型得到通信协议对应的协议特征,与数据库中所存储的异常协议特征进行匹配时,会出现匹配失败的情况,即协议特征不属于数据库中所存储的异常协议特征的任意一种。此时,可以将协议特征输入至预设的第二神经网络模型中,得到攻击信息。攻击信息是用来表征电力终端遭受到入侵行为的信息,攻击信息可以包括攻击源信息和攻击类型信息,也可以包括电力终端的风险趋势信息、攻击类别信息、攻击内容、防御建议等信息,还可以包括其他信息,并基于攻击信息可以确定网络数据存在入侵行为。
可选地,若根据攻击信息确定网络数据存在入侵行为后,还可以将此时的攻击信息对应的协议特征作为异常协议特征,并存储至存储异常协议特征的数据库中,对数据库进行调整更新。
第二神经网络模型是通过协议特征和协议特征对应的攻击信息训练所得到的神经网络模型。第二神经网络模型的训练过程可以是:通过获取多组协议特征和协议特征对应的攻击信息作为训练集,将多组协议特征和协议特征对应的攻击信息中的一组数据,输入至初始神经网络模型中,通过初始神经网络模型可以计算得到实际攻击信息,再根据实际攻击信息与输入的攻击信息之间的误差,对初始神经网络模型的网络参数进行不断地调整、修正,使得实际攻击信息与输入的攻击信息之间的误差在可接受范围内,则本组数据的监督学习完成,继续进行下一组数据的监督学习,直至达到预设的收敛条件为止,预设的收敛条件可以是通过预先设定的准确率或迭代次数确定的,最终可以基于修正后的网络参数生成第二神经网络模型。
本实施例中,若匹配失败,则将协议特征输入至预设的第二神经网络模型中,得到攻击信息;基于攻击信息确定网络数据存在入侵行为。由于在匹配失败时,可以通过攻击信息确定网络数据存在入侵行为,进一步提高了对电力终端是否遭受入侵行为进行检测的准确性。并且,由于通过实际攻击信息与输入的攻击信息之间的误差不断地调整网络参数,提高了对神经网络模型的训练效率。
在一个实施例中,如图6所示,其示出了本申请实施例提供的一种电力终端入侵检测方法的流程图,具体涉及的是确定网络数据存在入侵行为的又一种可能的过程,该方法可以包括以下步骤:
步骤620、若匹配失败,则将协议特征输入至预设的第三神经网络模型中,得到业务权限信息;第三神经网络模型是通过协议特征和协议特征对应的业务权限信息训练得到的神经网络模型。
步骤640、基于业务权限信息确定网络数据存在入侵行为。
其中,在匹配失败时,还可以将协议特征输入至预设的第三神经网络模型中,得到业务权限信息。业务权限信息是用来表征电力终端所具备的具体访问权限的信息,也即可执行特定操作的权限信息。例如,是否具备关闭线路操作的权限,是否具备监测线路电压数据的权限等,并基于业务权限信息可以确定网络数据存在入侵行为。
可选地,若根据业务权限信息确定网络数据存在入侵行为后,还可以将此时的业务权限信息对应的协议特征作为异常协议特征,并存储至存储异常协议特征的数据库中,对数据库进行调整更新。
第三神经网络模型是通过协议特征和协议特征对应的业务权限信息训练得到的神经网络模型。第三神经网络模型的训练过程可以是:通过获取多组协议特征和协议特征对应的业务权限信息作为训练集,将多组协议特征和协议特征对应的业务权限信息中的一组数据,输入至初始神经网络模型中,通过初始神经网络模型可以计算得到实际业务权限信息,再根据实际业务权限信息与输入的业务权限信息之间的误差,对初始神经网络模型的网络参数进行不断地调整、修正,使得实际业务权限信息与输入的业务权限信息之间的误差在可接受范围内,则本组数据的监督学习完成,继续进行下一组数据的监督学习,直至达到预设的收敛条件为止,预设的收敛条件可以是通过预先设定的准确率或迭代次数确定的,最终可以基于修正后的网络参数生成第三神经网络模型。
本实施例中,若匹配失败,则将协议特征输入至预设的第三神经网络模型中,得到业务权限信息;基于业务权限信息确定网络数据存在入侵行为。由于在匹配失败时,还可以通过业务权限信息确定网络数据存在入侵行为,进一步提高了对电力终端是否遭受入侵行为进行检测的准确性。并且,由于通过实际业务权限信息与输入的业务权限信息之间的误差不断地调整网络参数,提高了对神经网络模型的训练效率。
在一个实施例中,如图7所示,其示出了本申请实施例提供的一种电力终端入侵检测方法的流程图,具体涉及的是基于业务权限信息确定网络数据存在入侵行为的一种可能的过程,该方法可以包括以下步骤:
步骤720、将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配。
步骤740、若未匹配成功,则确定网络数据存在入侵行为。
其中,在基于业务权限信息确定网络数据存在入侵行为时,可以将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配,预设的业务权限控制列表是用来存储标准协议特征和标准协议特征对应的业务权限信息的列表,若未匹配成功,则确定网络数据存在入侵行为,即经过第三神经网络模型输出的业务权限信息不属于预设的业务权限控制列表的任意一种,也即网络数据中存在越权访问信息,则可以确定网络数据存在入侵行为。
预设的业务权限控制列表可以是根据历史业务权限信息预先建立的。例如,可以通过对其他可以访问电力终端的终端设备上应用程序的业务权限进行梳理,从而构建出业务权限控制列表。
本实施例中,通过将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;若未匹配成功,则确定网络数据存在入侵行为。由于业务权限控制列表是预先建立好的,因此通过匹配的方式,提高了确定网络数据存在入侵行为的效率与准确性。
在一个实施例中,如图8所示,其示出了本申请实施例提供的一种电力终端入侵检测方法的流程图,该方法可以包括以下步骤:
步骤801、获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议。
步骤802、将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征。
步骤803、将协议特征与数据库中所存储的异常协议特征进行匹配。
步骤804、若匹配成功,则确定网络数据存在入侵行为。
步骤805、若匹配失败,可选地执行步骤806或步骤807。
步骤806、将协议特征输入至预设的第二神经网络模型中,得到攻击信息;基于攻击信息确定网络数据存在入侵行为。
步骤807、将协议特征输入至预设的第三神经网络模型中,得到业务权限信息;将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;若未匹配成功,则确定网络数据存在入侵行为。
本实施例提供的电力终端入侵检测方法中各步骤,其实现原理和技术效果与前面各电力终端入侵检测方法实施例中类似,在此不再赘述。图8实施例中各步骤的实现方式只是一种举例,对各实现方式不作限定,各步骤的顺序在实际应用中可进行调整,只要可以实现各步骤的目的即可。
在本申请实施例提供的技术方案中,由于预设的第一神经网络模型是预先根据多种通信协议和通信协议对应的协议特征训练得到的,当电力终端上的通信协议发生变化时,通过将通信协议输入至预设的第一神经网络模型中,依然能够识别对应的协议特征,从而能够检测出对应的入侵行为,进而提高了对电力终端是否遭受入侵行为进行检测的准确性。
应该理解的是,虽然图2-8的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-8中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
请参考图9,其示出了本申请实施例提供的一种电力终端入侵检测装置900的框图。如图9所示,该电力终端入侵检测装置900可以包括:第一获取模块902、第一输入模块904和确定模块906,其中:
第一获取模块,用于获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;
第一输入模块,用于将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;
确定模块,用于根据协议特征确定网络数据是否存在入侵行为。
在一个实施例中,上述电力终端入侵检测装置900还可以包括:第二获取模块、第二输入模块、修正模块、生成模块,其中,第二获取模块用于获取多组通信协议及通信协议对应的协议特征;第二输入模块用于将多组通信协议及通信协议对应的协议特征,输入至初始神经网络模型中,计算得到实际协议特征;修正模块用于根据实际协议特征与输入的协议特征之间的误差,对初始神经网络模型的网络参数进行修正,直至达到预设的收敛条件为止;生成模块用于基于修正后的网络参数生成第一神经网络模型。
在一个实施例中,上述确定模块包括匹配单元和第一确定单元,其中,匹配单元用于将协议特征与数据库中所存储的异常协议特征进行匹配;第一确定单元用于若匹配成功,则确定网络数据存在入侵行为。
在一个实施例中,上述确定模块还包括第一输入单元和第二确定单元,其中,第一输入单元用于若匹配失败,则将协议特征输入至预设的第二神经网络模型中,得到攻击信息;第二神经网络模型是通过协议特征和协议特征对应的攻击信息训练所得到的神经网络模型;第二确定单元用于基于攻击信息确定网络数据存在入侵行为。
在一个实施例中,上述确定模块还包括第二输入单元和第三确定单元,其中,第二输入单元用于若匹配失败,则将协议特征输入至预设的第三神经网络模型中,得到业务权限信息;第三神经网络模型是通过协议特征和协议特征对应的业务权限信息训练得到的神经网络模型;第三确定单元用于基于业务权限信息确定网络数据存在入侵行为。
在一个实施例中,上述第三确定单元具体用于将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;若未匹配成功,则确定网络数据存在入侵行为。
在一个实施例中,上述网络数据包括电力终端在运行过程中所产生的日志数据及报文数据。
关于电力终端入侵检测装置的具体限定可以参见上文中对于电力终端入侵检测方法的限定,在此不再赘述。上述电力终端入侵检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块的操作。
在本申请的一个实施例中,提供了一种计算机设备,该计算机设备包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;根据协议特征确定网络数据是否存在入侵行为。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取多组通信协议及通信协议对应的协议特征;将多组通信协议及通信协议对应的协议特征,输入至初始神经网络模型中,计算得到实际协议特征;根据实际协议特征与输入的协议特征之间的误差,对初始神经网络模型的网络参数进行修正,直至达到预设的收敛条件为止;基于修正后的网络参数生成第一神经网络模型。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
将协议特征与数据库中所存储的异常协议特征进行匹配;若匹配成功,则确定网络数据存在入侵行为。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
若匹配失败,则将协议特征输入至预设的第二神经网络模型中,得到攻击信息;第二神经网络模型是通过协议特征和协议特征对应的攻击信息训练所得到的神经网络模型;基于攻击信息确定网络数据存在入侵行为。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
若匹配失败,则将协议特征输入至预设的第三神经网络模型中,得到业务权限信息;第三神经网络模型是通过协议特征和协议特征对应的业务权限信息训练得到的神经网络模型;基于业务权限信息确定网络数据存在入侵行为。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;若未匹配成功,则确定网络数据存在入侵行为。
在本申请的一个实施例中,网络数据包括电力终端在运行过程中所产生的日志数据及报文数据。
本申请实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在本申请的一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取电力终端的网络数据,并对网络数据进行分析确定传输网络数据的通信协议;将通信协议输入至预设的第一神经网络模型中,得到通信协议对应的协议特征;根据协议特征确定网络数据是否存在入侵行为。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取多组通信协议及通信协议对应的协议特征;将多组通信协议及通信协议对应的协议特征,输入至初始神经网络模型中,计算得到实际协议特征;根据实际协议特征与输入的协议特征之间的误差,对初始神经网络模型的网络参数进行修正,直至达到预设的收敛条件为止;基于修正后的网络参数生成第一神经网络模型。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将协议特征与数据库中所存储的异常协议特征进行匹配;若匹配成功,则确定网络数据存在入侵行为。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若匹配失败,则将协议特征输入至预设的第二神经网络模型中,得到攻击信息;第二神经网络模型是通过协议特征和协议特征对应的攻击信息训练所得到的神经网络模型;基于攻击信息确定网络数据存在入侵行为。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若匹配失败,则将协议特征输入至预设的第三神经网络模型中,得到业务权限信息;第三神经网络模型是通过协议特征和协议特征对应的业务权限信息训练得到的神经网络模型;基于业务权限信息确定网络数据存在入侵行为。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;若未匹配成功,则确定网络数据存在入侵行为。
在本申请的一个实施例中,网络数据包括电力终端在运行过程中所产生的日志数据及报文数据。
本实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种电力终端入侵检测方法,其特征在于,所述方法包括:
获取电力终端的网络数据,并对所述网络数据进行分析确定传输所述网络数据的通信协议,所述网络数据是所述电力终端与配电主站通信过程中所产生的网络数据;
将所述通信协议输入至预设的第一神经网络模型中,得到所述通信协议对应的协议特征;
将所述协议特征与数据库中所存储的异常协议特征进行匹配;
若匹配失败,则将所述协议特征输入至预设的第三神经网络模型中,得到业务权限信息,所述业务权限信息用来表征所述电力终端所具备的具体访问权限的信息;
将所述业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;
若未匹配成功,则确定所述网络数据存在入侵行为。
2.根据权利要求1所述的方法,其特征在于,所述第一神经网络模型的生成过程,包括:
获取多组通信协议及所述通信协议对应的协议特征;
将所述多组通信协议及所述通信协议对应的协议特征,输入至初始神经网络模型中,计算得到实际协议特征;
根据所述实际协议特征与输入的所述协议特征之间的误差,对所述初始神经网络模型的网络参数进行修正,直至达到预设的收敛条件为止;
基于修正后的网络参数生成所述第一神经网络模型。
3.根据权利要求1所述的方法,其特征在于,在所述将所述协议特征与数据库中所存储的异常协议特征进行匹配之后,还包括:
若匹配失败,则将所述协议特征输入至预设的第二神经网络模型中,得到攻击信息;所述第二神经网络模型是通过协议特征和所述协议特征对应的攻击信息训练所得到的神经网络模型;
基于所述攻击信息确定所述网络数据存在入侵行为。
4.根据权利要求1所述的方法,其特征在于,所述网络数据包括所述电力终端在运行过程中所产生的日志数据及报文数据。
5.根据权利要求1所述的方法,其特征在于,所述异常协议特征是与标准通信协议对应的协议特征不同的特征。
6.根据权利要求1所述的方法,其特征在于,所述数据库中所存储的异常协议特征是根据历史异常协议特征预先建立的。
7.根据权利要求3所述的方法,其特征在于,所述攻击信息是用来表征电力终端遭受到入侵行为的信息。
8.一种电力终端入侵检测装置,其特征在于,所述装置包括:
获取模块,用于获取电力终端的网络数据,并对所述网络数据进行分析确定传输所述网络数据的通信协议,所述网络数据是所述电力终端与配电主站通信过程中所产生的网络数据;
输入模块,用于将所述通信协议输入至预设的第一神经网络模型中,得到所述通信协议对应的协议特征;
第一执行模块,用于将所述协议特征与数据库中所存储的异常协议特征进行匹配;
第二执行模型,用于若匹配失败,则将所述协议特征输入至预设的第三神经网络模型中,得到业务权限信息,所述业务权限信息用来表征所述电力终端所具备的具体访问权限的信息;
第三执行模块,用于将所述业务权限信息与预设的业务权限控制列表中的业务权限信息进行匹配;
第四执行模块,用于若未匹配成功,则确定所述网络数据存在入侵行为。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110570708.0A CN113489675B (zh) | 2021-05-25 | 2021-05-25 | 电力终端入侵检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110570708.0A CN113489675B (zh) | 2021-05-25 | 2021-05-25 | 电力终端入侵检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113489675A CN113489675A (zh) | 2021-10-08 |
| CN113489675B true CN113489675B (zh) | 2023-08-25 |
Family
ID=77933465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110570708.0A Active CN113489675B (zh) | 2021-05-25 | 2021-05-25 | 电力终端入侵检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113489675B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104022999A (zh) * | 2013-09-05 | 2014-09-03 | 北京科能腾达信息技术股份有限公司 | 基于协议分析的网络数据处理方法及系统 |
| CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
| RU2683631C1 (ru) * | 2017-12-08 | 2019-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ обнаружения компьютерных атак |
| CN109962881A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 基于工业控制系统的入侵检测方法、装置以及系统 |
| CN112367215A (zh) * | 2020-09-21 | 2021-02-12 | 杭州安恒信息安全技术有限公司 | 基于机器学习的网络流量协议识别方法和装置 |
| CN112804123A (zh) * | 2021-01-13 | 2021-05-14 | 国网安徽省电力有限公司亳州供电公司 | 一种用于调度数据网的网络协议识别方法及系统 |
-
2021
- 2021-05-25 CN CN202110570708.0A patent/CN113489675B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104022999A (zh) * | 2013-09-05 | 2014-09-03 | 北京科能腾达信息技术股份有限公司 | 基于协议分析的网络数据处理方法及系统 |
| RU2683631C1 (ru) * | 2017-12-08 | 2019-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ обнаружения компьютерных атак |
| CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
| CN109962881A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 基于工业控制系统的入侵检测方法、装置以及系统 |
| CN112367215A (zh) * | 2020-09-21 | 2021-02-12 | 杭州安恒信息安全技术有限公司 | 基于机器学习的网络流量协议识别方法和装置 |
| CN112804123A (zh) * | 2021-01-13 | 2021-05-14 | 国网安徽省电力有限公司亳州供电公司 | 一种用于调度数据网的网络协议识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113489675A (zh) | 2021-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12099571B2 (en) | Feature extractions to model large-scale complex control systems | |
| EP3101581B1 (en) | Security system for industrial control infrastructure using dynamic signatures | |
| US20180262525A1 (en) | Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid | |
| CN111652615B (zh) | 基于区块链大数据的安全识别方法及人工智能云服务平台 | |
| CN111325159B (zh) | 故障诊断方法、装置、计算机设备和存储介质 | |
| CN115174231B (zh) | 一种基于AI Knowledge Base的网络欺诈分析方法及服务器 | |
| Yang et al. | iFinger: Intrusion detection in industrial control systems via register-based fingerprinting | |
| CN111444072B (zh) | 客户端的异常识别方法、装置、计算机设备和存储介质 | |
| CN112732536A (zh) | 数据监控告警方法、装置、计算机设备及存储介质 | |
| EP3742322A1 (en) | Operational policies or industrial field devices and distributed databases | |
| CN113904811B (zh) | 异常检测方法、装置、计算机设备和存储介质 | |
| CN111239569A (zh) | 电弧故障检测方法、装置、设备及存储介质 | |
| CN111581191B (zh) | 核安全数据校验方法、装置、计算机设备及存储介质 | |
| CN113435517A (zh) | 异常数据点输出方法、装置、计算机设备和存储介质 | |
| CN113489675B (zh) | 电力终端入侵检测方法、装置、设备及存储介质 | |
| CN112199441B (zh) | 基于大数据平台的数据同步处理方法、装置、设备及介质 | |
| CN117579332A (zh) | 网络威胁检测方法和装置 | |
| CN110838940B (zh) | 地下电缆巡检任务配置方法和装置 | |
| CN113222370B (zh) | 电力系统风险预警方法、装置、设备及存储介质 | |
| CN113570473B (zh) | 设备故障监测方法、装置、计算机设备和存储介质 | |
| CN113535449B (zh) | 异常事件修复处理方法、装置、计算机设备及存储介质 | |
| CN113076531A (zh) | 身份认证方法、装置、计算机设备和存储介质 | |
| CN110890977B (zh) | 云平台的主机节点监控方法、装置和计算机设备 | |
| CN115021952B (zh) | 一种漏洞验证方法、装置、存储介质及电子设备 | |
| CN113595240A (zh) | 电力数据的检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |