CN113762405A - 一种电力网络攻击识别系统及其识别方法 - Google Patents
一种电力网络攻击识别系统及其识别方法 Download PDFInfo
- Publication number
- CN113762405A CN113762405A CN202111080376.4A CN202111080376A CN113762405A CN 113762405 A CN113762405 A CN 113762405A CN 202111080376 A CN202111080376 A CN 202111080376A CN 113762405 A CN113762405 A CN 113762405A
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- power network
- identification
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 26
- 230000002159 abnormal effect Effects 0.000 claims abstract description 51
- 238000004891 communication Methods 0.000 claims abstract description 51
- 238000012216 screening Methods 0.000 claims abstract description 32
- 238000005215 recombination Methods 0.000 claims abstract description 14
- 230000006798 recombination Effects 0.000 claims abstract description 14
- 238000004364 calculation method Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims abstract description 9
- 238000012549 training Methods 0.000 claims description 28
- 230000005856 abnormality Effects 0.000 claims description 17
- 238000013528 artificial neural network Methods 0.000 claims description 17
- 238000003062 neural network model Methods 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 11
- 238000004088 simulation Methods 0.000 claims description 10
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 230000007547 defect Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 10
- 230000009466 transformation Effects 0.000 description 4
- 230000009467 reduction Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Economics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Business, Economics & Management (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- Human Resources & Organizations (AREA)
- Tourism & Hospitality (AREA)
- Strategic Management (AREA)
- Primary Health Care (AREA)
- Marketing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力网络攻击识别系统,包括数据采集模块,用于对电力网络中的通讯数据进行采集;数据重组模块,用于对采集的数据进行重组处理;数据辨别模块,用于对重组后的数据进行模拟运算,辨别其中的疑似异常攻击数据;异常攻击数据分类模块,用于将辨别出的疑似异常攻击数据进行筛选和分类。本发明能够改进现有技术的不足,在不大幅增加系统算力和数据量支持的前提下,提高对于恶意攻击的识别准确度。
Description
技术领域
本发明涉及电力网络安全技术领域,尤其是一种电力网络攻击识别系统及其识别方法。
背景技术
现代电力系统并不是简单的物理电力系统,而是与工控网络深度融合的电力网络。电力网络中的恶意攻击严重威胁电力网络的安全运行,现有技术中通常是使用传统通讯网络中常见的黑名单/白名单识别恶意攻击。但是,由于电力网络中的物理系统非常庞大,容错度低,而如果想通过黑名单/白名单高精度的识别恶意攻击需要数量庞大的历史数据支持,同时还需要保证历史数据的更新速率和运算系统的运算处理速度,这对于电力网络来说实现起来是非常困难的。
发明内容
本发明要解决的技术问题是提供一种电力网络攻击识别系统及其识别方法,能够解决现有技术的不足,在不大幅增加系统算力和数据量支持的前提下,提高对于恶意攻击的识别准确度。
为解决上述技术问题,本发明所采取的技术方案如下。
一种电力网络攻击识别系统包括:
数据采集模块,用于对电力网络中的通讯数据进行采集;
数据重组模块,用于对采集的数据进行重组处理;
数据辨别模块,用于对重组后的数据进行模拟运算,辨别其中的疑似异常攻击数据;
异常攻击数据分类模块,用于将辨别出的疑似异常攻击数据进行筛选和分类。
作为优选,所述数据采集模块的数量大于两个,并采用串联通讯设置,不同的数据采集模块在电力网络的不同位置进行通讯数据采集,位于通讯数据流后侧的数据采集模块对位于通讯数据流前侧的数据采集模块采集的通讯数据进行校验,数据重组模块与位于通讯数据流最后端的数据采集模块通讯连接。
作为优选,所述数据辨别模块的数量大于等于两个,全部数据辨别模块与数据重组模块并联通讯连接,异常攻击数据分类模块的数量与数据辨别模块的数量相等,且数据辨别模块与攻击数据分类模块一一对应的通讯连接。
一种上述的电力网络攻击识别系统的识别方法,包括以下步骤:
A、数据采集模块对电力网络中的通讯数据进行采集;
B、数据重组模块对采集的数据进行重组处理;
C、数据辨别模块对重组后的数据进行模拟运算,辨别其中的疑似异常攻击数据;
D、异常攻击数据分类模块将辨别出的疑似异常攻击数据进行筛选和分类。
作为优选,步骤A中,对不同的数据采集模块的实时运算量进行平衡处理;数据采集模块的实时运算量包括读取运算和校验运算,将读取运算量和校验运算量进行归一化处理,然后对每个数据采集模块中的读取运算量和校验运算量设置运算量比例范围;在保证数据采集模块的运算过程符合设置的运算量比例范围前提下,不同数据采集模块的读取运算优先级沿着通讯数据流的方向逐渐减小,不同数据采集模块的校验运算优先级沿着通讯数据流的方向逐渐增大。
作为优选,步骤A中,采集到的通讯数据至少经过一次校验运算。
作为优选,步骤B中,对采集的数据进行重组处理包括以下步骤,
B1、将经过校验的通讯数据按照发送端口和接收端口两个维度分别进行分类;
B2、对每类数据进行去重处理,
B3、使用去重后的每类数据建立若干个数据序列。
作为优选,步骤B3中,建立数据序列包括以下步骤,
B31、将每个数据在未经过校验和经过校验的两个结果进行一致性测试;
B32、根据一致性测试结果对数据进行二次分类,二次分类后的每类数据生成一个数据序列,对于按照发送端口维度分类的数据,数据序列按照发送时间排序,对于按照接收端口维度分类的数据,数据序列按照接收时间排序。
作为优选,步骤C中,辨别疑似异常攻击数据包括以下步骤,
C1、建立用于模拟运算的神经网络模型,神经网络模型包括一个输入层、三个隐藏层和一个输出层;
C2、使用数据量较大的一个维度中的一致性测试结果小于设定阈值的数据序列对神经网络模型进行训练,每轮训练后将同一维度中未参加训练的数据输入神经网络,对神经网络每一层的误差进行计算,根据训练结果和计算出的误差对神经网络的参数进行调整,直至损失函数最小化;
C3、使用发送端口和接收端口两个维度的全部数据序列输入神经网络模型,得到每个数据的辨别结果;
C4、建立数据序列的异常度计算函数,数据序列中每个数据的辨别结果作为异常度计算函数的输入量,异常度计算函数的输出量为对应数据序列的异常度;
C5、将两个维度的数据序列异常度均超过设定阈值的数据辨别为疑似异常攻击数据。
作为优选,步骤C2中,首选根据训练结果使用梯度下降算法确定参数调整的第一初始值,然后根据计算出的误差确定参数调整的第二初始值,将第一初始值和第二初始值进行加权平均,得到最终的参数调整值,第一初始值和第二初始值的权重初始值相等,后续每次训练后的第一初始值和第二初始值权重根据上一次的权重值和本次训练结果动态调整。
作为优选,步骤D中,对疑似异常攻击数据进行筛选分类包括以下步骤,
D1、使用稀疏滤波算法提取疑似异常攻击数据的动态特征数据集;
D2、建立特征筛选黑名单,使用特征筛选黑名单对动态特征数据集进行筛选,确定对应的异常攻击数据,并根据筛选结果对异常攻击数据进行分类,同时将对应动态特征数据从动态特征数据集删除;
D3、建立特征筛选白名单,使用特征筛选白名单对经过步骤D2删除数据后的动态特征数据集进行二次筛选,确定对应的正常数据,并将对应的动态特征数据从动态特征数据集删除;
D4、建立模拟器,将剩余的疑似异常攻击数据输入模拟器进行循环模拟运算,每一轮模拟运算后返回步骤D1,直至全部疑似异常攻击数据筛选分类完毕。
作为优选,步骤D4中,模拟器在每次模拟运算完毕后进行随机更新。
采用上述技术方案所带来的有益效果在于:本发明在现有黑名单/白名单比对识别方法的基础上进行改进,在比对识别前使用神经网络模型对现有数据进行预处理,得到疑似异常攻击数据,从而有效缩小后续对比识别的数据量。但是,现有的神经网络算法对数据进行分类处理时依然需要产生大量的运算需求。针对这一问题,本发明从源头对数据处理流程进行了深度优化。首先,使用多数据采集模块串联通讯的方式,在采集数据的同时对采集到的数据进行二次采集和校验,然后对数据进行分类重组,形成若干个数据序列,这可以有效减少后续神经网络计算过程的无效运算量。在数据分类时,本发明在使用发送端口和接收端口进行一级分类的基础上,使用校验前后的数据进行一致性测试,使用测试结果进行数据的二级分类。通过数据的二级分类,可以更精确的确定神经网络的训练数据范围。在使用训练数据对神经网络进行训练的过程中,通过使用同一维度中未参加训练的数据对神经网络进行验证,可以有效加快神经网络的训练速度。由于神经网络的判别终究会存在误差,为了进一步降低判别误差,本发明并未直接使用神经网络对每个数据的判别结果,而是通过建立数据序列的异常度计算函数,根据数据所在两个维度上的数据序列异常度进行综合判定,得到判别结果。经过上述处理过程,可以较为精确的得到异常攻击数据的范围,这时再通过黑名单/白名单的对比识别最终确定数据的具体类型。对于经过黑名单/白名单的对比识别仍未最终确定类型的少量数据,最后使用模拟运算的方式进行特征数据的迭代更新,最终达到全部数据均准确的实现识别。
附图说明
图1是本发明一个具体实施方式的结构图。
图中:1、数据采集模块;2、数据重组模块;3、数据辨别模块;4、异常攻击数据分类模块。
具体实施方式
在以下实施例的描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
一种电力网络攻击识别系统,包括:
数据采集模块1,用于对电力网络中的通讯数据进行采集;
数据重组模块2,用于对采集的数据进行重组处理;
数据辨别模块3,用于对重组后的数据进行模拟运算,辨别其中的疑似异常攻击数据;
异常攻击数据分类模块4,用于将辨别出的疑似异常攻击数据进行筛选和分类。
所述数据采集模块1的数量大于三个,并采用串联通讯设置,不同的数据采集模块1在电力网络的不同位置进行通讯数据采集,位于通讯数据流后侧的数据采集模块1对位于通讯数据流前侧的数据采集模块1采集的通讯数据进行校验,数据重组模块2与位于通讯数据流最后端的数据采集模块1通讯连接。所述数据辨别模块3的数量为两个,全部数据辨别模块3与数据重组模块2并联通讯连接,异常攻击数据分类模块4的数量与数据辨别模块3的数量相等,且数据辨别模块3与攻击数据分类模块4一一对应的通讯连接。
一种上述的电力网络攻击识别系统的识别方法,包括以下步骤:
A、数据采集模块1对电力网络中的通讯数据进行采集;
B、数据重组模块2对采集的数据进行重组处理;
C、数据辨别模块3对重组后的数据进行模拟运算,辨别其中的疑似异常攻击数据;
D、异常攻击数据分类模块4将辨别出的疑似异常攻击数据进行筛选和分类。
步骤A中,对不同的数据采集模块1的实时运算量进行平衡处理;数据采集模块1的实时运算量包括读取运算和校验运算,将读取运算量和校验运算量进行归一化处理,然后对每个数据采集模块1中的读取运算量和校验运算量设置运算量比例范围;在保证数据采集模块1的运算过程符合设置的运算量比例范围前提下,不同数据采集模块1的读取运算优先级沿着通讯数据流的方向逐渐减小,不同数据采集模块1的校验运算优先级沿着通讯数据流的方向逐渐增大。
步骤A中,采集到的通讯数据至少经过一次校验运算。
步骤B中,对采集的数据进行重组处理包括以下步骤,
B1、将经过校验的通讯数据按照发送端口和接收端口两个维度分别进行分类;
B2、对每类数据进行去重处理,
B3、使用去重后的每类数据建立若干个数据序列。
步骤B3中,建立数据序列包括以下步骤,
B31、将每个数据在未经过校验和经过校验的两个结果进行一致性测试;
B32、根据一致性测试结果对数据进行二次分类,二次分类后的每类数据生成一个数据序列,对于按照发送端口维度分类的数据,数据序列按照发送时间排序,对于按照接收端口维度分类的数据,数据序列按照接收时间排序。
步骤C中,辨别疑似异常攻击数据包括以下步骤,
C1、建立用于模拟运算的神经网络模型,神经网络模型包括一个输入层、三个隐藏层和一个输出层;
C2、使用数据量较大的一个维度中的一致性测试结果小于设定阈值的数据序列对神经网络模型进行训练,每轮训练后将同一维度中未参加训练的数据输入神经网络,对神经网络每一层的误差进行计算,根据训练结果和计算出的误差对神经网络的参数进行调整,直至损失函数最小化;
C3、使用发送端口和接收端口两个维度的全部数据序列输入神经网络模型,得到每个数据的辨别结果;
C4、建立数据序列的异常度计算函数,数据序列中每个数据的辨别结果作为异常度计算函数的输入量,异常度计算函数的输出量为对应数据序列的异常度;
C5、将两个维度的数据序列异常度均超过设定阈值的数据辨别为疑似异常攻击数据。
步骤C2中,首选根据训练结果使用梯度下降算法确定参数调整的第一初始值,然后根据计算出的误差确定参数调整的第二初始值,将第一初始值和第二初始值进行加权平均,得到最终的参数调整值,第一初始值和第二初始值的权重初始值相等,后续每次训练后的第一初始值和第二初始值权重根据上一次的权重值和本次训练结果动态调整。
步骤D中,对疑似异常攻击数据进行筛选分类包括以下步骤,
D1、使用稀疏滤波算法提取疑似异常攻击数据的动态特征数据集;
D2、建立特征筛选黑名单,使用特征筛选黑名单对动态特征数据集进行筛选,确定对应的异常攻击数据,并根据筛选结果对异常攻击数据进行分类,同时将对应动态特征数据从动态特征数据集删除;
D3、建立特征筛选白名单,使用特征筛选白名单对经过步骤D2删除数据后的动态特征数据集进行二次筛选,确定对应的正常数据,并将对应的动态特征数据从动态特征数据集删除;
D4、建立模拟器,将剩余的疑似异常攻击数据输入模拟器进行循环模拟运算,每一轮模拟运算后返回步骤D1,直至全部疑似异常攻击数据筛选分类完毕。
步骤D4中,模拟器在每次模拟运算完毕后进行随机更新。
另外,步骤D1中,对动态特征数据集进行降维压缩变换,并建立关于变换函数集的索引表;在执行步骤D4前,对动态特征数据集中剩余的动态特征数据进行还原变换,然后重复步骤D2和D3,对原始的动态特征数据进行一次对比筛选。通过上述变换过程可以进一步降低黑名单/白名单对比筛选的运算量。这一优化方式不仅适合本发明,对于其他使用了黑名单/白名单对比筛选的算法同样适用。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在实施例中,技术的硬件实现可以直接采用现有的智能设备,包括但不限于工控机、PC机、智能手机、手持单机、落地式单机等。其输入设备优选采用屏幕键盘,其数据存储和计算模块采用现有的存储器、计算器、控制器,其内部通信模块采用现有的通信端口和协议,其远程通信采用现有的gprs网络、万维互联网等。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (12)
1.一种电力网络攻击识别系统,其特征在于包括:
数据采集模块(1),用于对电力网络中的通讯数据进行采集;
数据重组模块(2),用于对采集的数据进行重组处理;
数据辨别模块(3),用于对重组后的数据进行模拟运算,辨别其中的疑似异常攻击数据;
异常攻击数据分类模块(4),用于将辨别出的疑似异常攻击数据进行筛选和分类。
2.根据权利要求1所述的电力网络攻击识别系统,其特征在于:所述数据采集模块(1)的数量大于两个,并采用串联通讯设置,不同的数据采集模块(1)在电力网络的不同位置进行通讯数据采集,位于通讯数据流后侧的数据采集模块(1)对位于通讯数据流前侧的数据采集模块(1)采集的通讯数据进行校验,数据重组模块(2)与位于通讯数据流最后端的数据采集模块(1)通讯连接。
3.根据权利要求1所述的电力网络攻击识别系统,其特征在于:所述数据辨别模块(3)的数量大于等于两个,全部数据辨别模块(3)与数据重组模块(2)并联通讯连接,异常攻击数据分类模块(4)的数量与数据辨别模块(3)的数量相等,且数据辨别模块(3)与攻击数据分类模块(4)一一对应的通讯连接。
4.一种权利要求1-3任意一项所述的电力网络攻击识别系统的识别方法,其特征在于包括以下步骤:
A、数据采集模块(1)对电力网络中的通讯数据进行采集;
B、数据重组模块(2)对采集的数据进行重组处理;
C、数据辨别模块(3)对重组后的数据进行模拟运算,辨别其中的疑似异常攻击数据;
D、异常攻击数据分类模块(4)将辨别出的疑似异常攻击数据进行筛选和分类。
5.根据权利要求4所述的电力网络攻击识别系统的识别方法,其特征在于:步骤A中,对不同的数据采集模块(1)的实时运算量进行平衡处理;数据采集模块(1)的实时运算量包括读取运算和校验运算,将读取运算量和校验运算量进行归一化处理,然后对每个数据采集模块(1)中的读取运算量和校验运算量设置运算量比例范围;在保证数据采集模块(1)的运算过程符合设置的运算量比例范围前提下,不同数据采集模块(1)的读取运算优先级沿着通讯数据流的方向逐渐减小,不同数据采集模块(1)的校验运算优先级沿着通讯数据流的方向逐渐增大。
6.根据权利要求5所述的电力网络攻击识别系统的识别方法,其特征在于:步骤A中,采集到的通讯数据至少经过一次校验运算。
7.根据权利要求6所述的电力网络攻击识别系统的识别方法,其特征在于:步骤B中,对采集的数据进行重组处理包括以下步骤,
B1、将经过校验的通讯数据按照发送端口和接收端口两个维度分别进行分类;
B2、对每类数据进行去重处理,
B3、使用去重后的每类数据建立若干个数据序列。
8.根据权利要求7所述的电力网络攻击识别系统的识别方法,其特征在于:步骤B3中,建立数据序列包括以下步骤,
B31、将每个数据在未经过校验和经过校验的两个结果进行一致性测试;
B32、根据一致性测试结果对数据进行二次分类,二次分类后的每类数据生成一个数据序列,对于按照发送端口维度分类的数据,数据序列按照发送时间排序,对于按照接收端口维度分类的数据,数据序列按照接收时间排序。
9.根据权利要求8所述的电力网络攻击识别系统的识别方法,其特征在于:步骤C中,辨别疑似异常攻击数据包括以下步骤,
C1、建立用于模拟运算的神经网络模型,神经网络模型包括一个输入层、三个隐藏层和一个输出层;
C2、使用数据量较大的一个维度中的一致性测试结果小于设定阈值的数据序列对神经网络模型进行训练,每轮训练后将同一维度中未参加训练的数据输入神经网络,对神经网络每一层的误差进行计算,根据训练结果和计算出的误差对神经网络的参数进行调整,直至损失函数最小化;
C3、使用发送端口和接收端口两个维度的全部数据序列输入神经网络模型,得到每个数据的辨别结果;
C4、建立数据序列的异常度计算函数,数据序列中每个数据的辨别结果作为异常度计算函数的输入量,异常度计算函数的输出量为对应数据序列的异常度;
C5、将两个维度的数据序列异常度均超过设定阈值的数据辨别为疑似异常攻击数据。
10.根据权利要求9所述的电力网络攻击识别系统的识别方法,其特征在于:步骤C2中,首选根据训练结果使用梯度下降算法确定参数调整的第一初始值,然后根据计算出的误差确定参数调整的第二初始值,将第一初始值和第二初始值进行加权平均,得到最终的参数调整值,第一初始值和第二初始值的权重初始值相等,后续每次训练后的第一初始值和第二初始值权重根据上一次的权重值和本次训练结果动态调整。
11.根据权利要求10所述的电力网络攻击识别系统的识别方法,其特征在于:步骤D中,对疑似异常攻击数据进行筛选分类包括以下步骤,
D1、使用稀疏滤波算法提取疑似异常攻击数据的动态特征数据集;
D2、建立特征筛选黑名单,使用特征筛选黑名单对动态特征数据集进行筛选,确定对应的异常攻击数据,并根据筛选结果对异常攻击数据进行分类,同时将对应动态特征数据从动态特征数据集删除;
D3、建立特征筛选白名单,使用特征筛选白名单对经过步骤D2删除数据后的动态特征数据集进行二次筛选,确定对应的正常数据,并将对应的动态特征数据从动态特征数据集删除;
D4、建立模拟器,将剩余的疑似异常攻击数据输入模拟器进行循环模拟运算,每一轮模拟运算后返回步骤D1,直至全部疑似异常攻击数据筛选分类完毕。
12.根据权利要求11所述的电力网络攻击识别系统的识别方法,其特征在于:步骤D4中,模拟器在每次模拟运算完毕后进行随机更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111080376.4A CN113762405B (zh) | 2021-09-15 | 2021-09-15 | 一种电力网络攻击识别系统及其识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111080376.4A CN113762405B (zh) | 2021-09-15 | 2021-09-15 | 一种电力网络攻击识别系统及其识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113762405A true CN113762405A (zh) | 2021-12-07 |
CN113762405B CN113762405B (zh) | 2023-06-06 |
Family
ID=78795739
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111080376.4A Active CN113762405B (zh) | 2021-09-15 | 2021-09-15 | 一种电力网络攻击识别系统及其识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113762405B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115643059A (zh) * | 2022-10-11 | 2023-01-24 | 国网河北省电力有限公司电力科学研究院 | 基于深度学习的电力网络恶意攻击防护系统及其控制方法 |
CN115842658A (zh) * | 2022-11-18 | 2023-03-24 | 贵州电网有限责任公司遵义供电局 | 一种针对威胁和攻击的网络安全告警方法 |
CN117834305A (zh) * | 2024-03-05 | 2024-04-05 | 米烁网络科技(广州)有限公司 | 一种基于拟态安全技术的网络运维环境评估系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654485B1 (en) * | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
US10089467B1 (en) * | 2017-05-23 | 2018-10-02 | Malwarebytes Inc. | Static anomaly-based detection of malware files |
CN110378124A (zh) * | 2019-07-19 | 2019-10-25 | 杉树岭网络科技有限公司 | 一种基于lda机器学习的网络安全威胁分析方法及系统 |
CN112491854A (zh) * | 2020-11-19 | 2021-03-12 | 郑州迪维勒普科技有限公司 | 一种基于fcnn的多方位安全入侵检测方法及系统 |
US20210092132A1 (en) * | 2019-09-23 | 2021-03-25 | Nokia Solutions And Networks Oy | Systems and methods for securing industrial networks |
CN112686775A (zh) * | 2021-01-04 | 2021-04-20 | 中国电力科学研究院有限公司 | 基于孤立森林算法的电力网络攻击检测方法及系统 |
CN113037567A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种用于电网企业的网络攻击行为仿真系统及其仿真方法 |
US11121729B1 (en) * | 2020-07-30 | 2021-09-14 | Seagate Technology Llc | Read channel buffer management for higher throughput decoding |
-
2021
- 2021-09-15 CN CN202111080376.4A patent/CN113762405B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654485B1 (en) * | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US10089467B1 (en) * | 2017-05-23 | 2018-10-02 | Malwarebytes Inc. | Static anomaly-based detection of malware files |
CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
CN110378124A (zh) * | 2019-07-19 | 2019-10-25 | 杉树岭网络科技有限公司 | 一种基于lda机器学习的网络安全威胁分析方法及系统 |
US20210092132A1 (en) * | 2019-09-23 | 2021-03-25 | Nokia Solutions And Networks Oy | Systems and methods for securing industrial networks |
US11121729B1 (en) * | 2020-07-30 | 2021-09-14 | Seagate Technology Llc | Read channel buffer management for higher throughput decoding |
CN112491854A (zh) * | 2020-11-19 | 2021-03-12 | 郑州迪维勒普科技有限公司 | 一种基于fcnn的多方位安全入侵检测方法及系统 |
CN112686775A (zh) * | 2021-01-04 | 2021-04-20 | 中国电力科学研究院有限公司 | 基于孤立森林算法的电力网络攻击检测方法及系统 |
CN113037567A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种用于电网企业的网络攻击行为仿真系统及其仿真方法 |
Non-Patent Citations (1)
Title |
---|
张小梅等: "基于反馈学习的网络攻击过滤方法研究", 计算机仿真, no. 05 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115643059A (zh) * | 2022-10-11 | 2023-01-24 | 国网河北省电力有限公司电力科学研究院 | 基于深度学习的电力网络恶意攻击防护系统及其控制方法 |
CN115643059B (zh) * | 2022-10-11 | 2023-05-23 | 国网河北省电力有限公司电力科学研究院 | 基于深度学习的电力网络恶意攻击防护系统及其控制方法 |
CN115842658A (zh) * | 2022-11-18 | 2023-03-24 | 贵州电网有限责任公司遵义供电局 | 一种针对威胁和攻击的网络安全告警方法 |
CN117834305A (zh) * | 2024-03-05 | 2024-04-05 | 米烁网络科技(广州)有限公司 | 一种基于拟态安全技术的网络运维环境评估系统 |
CN117834305B (zh) * | 2024-03-05 | 2024-05-10 | 米烁网络科技(广州)有限公司 | 一种基于拟态安全技术的网络运维环境评估系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113762405B (zh) | 2023-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113762405B (zh) | 一种电力网络攻击识别系统及其识别方法 | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN110213222A (zh) | 基于机器学习的网络入侵检测方法 | |
CN104052612B (zh) | 一种电信业务的故障识别与定位的方法及系统 | |
CN109639734B (zh) | 一种具有计算资源自适应性的异常流量检测方法 | |
CN107579846B (zh) | 一种云计算故障数据检测方法及系统 | |
CN113037567B (zh) | 一种用于电网企业的网络攻击行为仿真系统的仿真方法 | |
CN112910859A (zh) | 基于c5.0决策树和时序分析的物联网设备监测预警方法 | |
CN113542241B (zh) | 一种基于CNN-BiGRU混合模型的入侵检测方法及装置 | |
CN111950868B (zh) | 一种基于生成对抗网络的综合能源系统负荷场景生成方法 | |
Yin et al. | Towards accurate intrusion detection based on improved clonal selection algorithm | |
CN108846405A (zh) | 基于ssgan的不平衡医保数据分类方法 | |
CN114491524A (zh) | 一种应用于智慧网络安全的大数据通讯系统 | |
CN111367908A (zh) | 一种基于安全评估机制的增量式入侵检测方法及系统 | |
CN116150688A (zh) | 智能家居中轻量级的物联网设备识别方法与装置 | |
CN113935398A (zh) | 一种物联网环境下基于小样本学习的网络流量分类方法及系统 | |
CN113687610A (zh) | 一种gan-cnn电力监测系统终端信息防护法方法 | |
Yin et al. | A feature selection method for improved clonal algorithm towards intrusion detection | |
CN117590173A (zh) | 一种基于卷积神经网络的电缆局部放电模式识别方法 | |
CN112507881A (zh) | 一种基于时间卷积神经网络的sEMG信号分类方法及系统 | |
CN111669396A (zh) | 一种软件定义物联网自学习安全防御方法及系统 | |
CN114124437B (zh) | 基于原型卷积网络的加密流量识别方法 | |
CN115879030A (zh) | 一种针对配电网的网络攻击分类方法和系统 | |
CN115659323A (zh) | 一种基于信息熵理论结合卷积神经网络的入侵检测方法 | |
CN111950853B (zh) | 一种基于信息物理双侧数据的电力运行状态白名单生成方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |