CN114205855A

CN114205855A - 一种面向5g切片的馈线自动化业务网络异常检测方法

Info

Publication number: CN114205855A
Application number: CN202111239464.4A
Authority: CN
Inventors: 张磐; 郑悦; 张腾飞; 刘明祥; 霍现旭; 李海龙; 杜明; 姚程; 张志朋; 尚学军; 于天一; 李达; 吴巨爱; 孙建东; 谭涛; 蔡月明
Original assignee: State Grid Corp of China SGCC; State Grid Tianjin Electric Power Co Ltd; Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Tianjin Electric Power Co Ltd; Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
Priority date: 2021-10-25
Filing date: 2021-10-25
Publication date: 2022-03-18

Abstract

本发明涉及一种面向5G切片的馈线自动化业务网络异常检测方法，包括如下步骤：步骤1、获取网络数据包；步骤2、得到可用数据包并进行存储；步骤3、对网络数据进行特征提取和降维处理；步骤4、对网络数据标定为异常数据和正常数据；步骤5、对标定的异常数据和正常数据样本进行训练，提取网络异常数据特征参数；步骤6、对网络的实时交互数据进行异常检测。本发明提高了网络异常检测的准确率。

Description

一种面向5G切片的馈线自动化业务网络异常检测方法

技术领域

本发明属于网络安全检测技术领域，涉及馈线自动化业务网络异常检测方法，尤其是一种面向5G切片的馈线自动化业务网络异常检测方法。

背景技术

近年来，随着5G通信网络的发展，馈线自动化业务逐步实现信息化，电力设备和通信系统紧密结合，数字信息和电网紧密相连，可以实时传输、控制、检测电力系统中的数据信息，从而提供可靠、经济、可持续的电力服务。然而在这种情境下，由于使用开放的标准通信网络，以及不断增加的网络操作，使得整个网络更易遭受恶意网络攻击。虚假数据注入攻击是一种隐蔽式攻击，可以绕过电力系统现有的坏数据检测器，直接对状态估计结果造成干扰，影响控制信号，对电力系统造成经济上的损失。虚假数据注入攻击造成的危害不断扩大，例如2003年，美国大范围停电长达29小时，造成高达300亿美元的经济损失。2009年美国电网再次遭到恶意攻击，严重损害电力系统正常运行。2018-2019年能源电网数据中心关键基础设施受到越来越多的恶意攻击。当前对虚假数据注入攻击检测技术的准确率还有待进一步提高，攻击防御研究还缺乏一定的主动性和时效性。

现有的技术手段不足以实时检测出隐蔽攻击，防御措施也较为被动，难以使电力系统的对抗虚假数据注入攻击的危害。

经检索，未发现与本发明相同或相近似的现有技术的公开文献。

发明内容

本发明的目的在于克服现有技术的不足，提出一种面向5G切片的馈线自动化业务网络异常检测方法，能够解决现有方法识别和检测网络异常准确度不高、时效性差的问题。

本发明解决其现实问题是采取以下技术方案实现的：

一种面向5G切片的馈线自动化业务网络异常检测方法，包括如下步骤：

步骤1、通过5G网络切片技术，对馈线自动化业务信息进行采集，获取网络数据包；

步骤2、对步骤1所获取的网络数据包进行协议解析，得到可用数据包并进行存储；

步骤3、利用核主成分分析法KPCA对步骤2的可用数据包的网络数据进行特征提取和降维处理；

步骤4、使用置信规则推理BRB对步骤3中特征提取和降维处理后的网络数据标定为异常数据和正常数据；

步骤5、通过长短时记忆神经网络LSTM模型分别对步骤4标定的异常数据和正常数据样本进行训练，提取网络异常数据特征参数；

步骤6、基于步骤5LSTM模型训练得到的网络异常数据特征参数，对网络的实时交互数据进行异常检测。

而且，所述步骤1的具体方法为：

通过5G网络切片技术，对网络信息进行自动化采集、异常监督和分析管理，并采用WinPcap数据包捕获技术获取网络数据包，包括馈线自动化业务中的电源信息数据包、联络信息数据包、恢复信息数据包和信息交互数据包，并自动过滤用户不关注的数据包，提升获取网络数据包的性能。

而且，所述步骤2的具体方法为：

将数据包捕获模块获取的数据包经过以太网发送至协议解析模块，进行TCP/IP协议、CMP协议、UDP协议解析，生成符合网络异常检测要求的原始数据。

而且，所述步骤3的具体方法为：

选取能够代表馈线自动化业务网络的特征属性代表可用数据包信息，根据所选择的特征，将这些特征按顺序从数据包中提取出来并存储成矩阵形式，用KPCA方法进行特征提取和降维处理，去除噪声数据和冗余特征项。

而且，所述步骤4的具体方法为：

首先从网络数据中提取网络DDos攻击和虚假数据注入攻击两种网络异常特征，通过BRB模型将异常特征输入前置属性转换，并通过证据推理(ER)方法输出最终的置信度，然后建立适用于异常检测的置信规则库，从而自动获取具有高鲁棒性的有标签正负样本训练数据集，并将该样本训练数据集进行异常数据和正常数据标定。

而且，所述步骤5的具体方法为：

建立两个LSTM子网络分别处理步骤4中网络异常数据和网络正常数据，并根据LSTM的输入维度，将训练集和测试集以时间序列为单位进行分割，首先将训练集作为网络的输入，提取网络异常数据特征参数后，再将测试集作为网络的输入，并采用Softmax回归分类模型判定异常类别。

而且，所述步骤6的具体方法为：

基于LSTM模型训练得到的网络异常数据特征参数，将其与5G切片下的馈线自动化业务网络实时交互数据进行对比分析，得到最终的网络异常检测结果并上报。

本发明的优点和有益效果：

本发明公开了一种面向5G切片的馈线自动化业务网络异常检测方法，能够利用5G切片网络技术，针对馈线自动化业务对电网应用场景和业务需求进行划分，对网络的发生的异常状况进行检测。首先，通过5G网络切片技术，对馈线自动化业务信息进行自动化采集、异常监督和分析管理，采用WinPcap数据包捕获技术获取网络数据包并对其进行协议解析，得到可用数据包并进行存储。其次，利用核主成分分析法(Kernel-PrincipalComponent Analysis,KPCA)对可用数据包的网络数据进行特征提取和降维处理，然后通过置信规则推理(Belief Rule-Based,BRB)模型对网络数据标定为异常数据和正常数据。接着，通过长短时记忆神经网络模型(Long Short-Term Memory,LSTM)分别对异常数据序列和正常数据序列进行训练，提取网络异常数据特征，并采用Softmax回归分类模型判定异常类别。最后，基于LSTM模型训练得到的异常特征参数，将其与5G切片下的馈线自动化业务网络实时交互数据进行检测，得到最终的网络异常检测结果并上报，从而提高了网络异常检测的准确率。

附图说明

图1为本发明的面向5G切片的馈线自动化业务网络异常检测流程图。

具体实施方式

以下结合附图对本发明实施例作进一步详述：

一种面向5G切片的馈线自动化业务网络异常检测方法，如图1所示，包括如下步骤：

所述步骤1的具体方法为：

在本实施例中，所述步骤1中，通过5G网络切片技术，按照时延、带宽、安全性和可靠性等服务需求将运营商的物理网络划分为多个虚拟网络，匹配馈线自动化业务网络应用场景，对网络信息进行自动化采集，包括馈线自动化业务中的电源信息数据包、联络信息数据包、恢复信息数据包和信息交互数据包，利用Wincap数据捕获技术，判断每个数据包帧目的地是否为本站地址，若匹配则进行数据包的传送，若不匹配则丢弃。

所述步骤2的具体方法为：

在本实施例中，所述步骤2中采用Wincap数据捕获技术获取数据包后，经过以太网发送至协议解析模块，进行TCP/IP协议、CMP协议、UDP协议解析，生成符合网络异常检测要求的可用数据包并进行存储。

所述步骤3的具体方法为：

在本实施例中，所述步骤3中，解码后的原始数据包(即可用数据包)包括馈线自动化业务中的电源信息数据包、联络信息数据包、恢复信息数据包和信息交互数据包，这些数据包的特征属性有源地址、目的地址、IP包总长度、IP包头长度、TCP包头长度、源端口号、目的端口号、流量大小、协议标识符、长度、业务标识符、功能码、数据长度等，选取上述13项特征属性代表原始数据包的信息。然后利用KPCA技术，设定n个特征变量，n＝13，提取不同的特征变量对应的数据值存储为矩阵形式，记为X₀，计算特征值及特征向量，选取前m(<n)个特征向量组成变换矩阵C，确定降维后数据集，记为X₁＝CX₀，将原始数据集从n维降到m维。

所述步骤4的具体方法为：

在本实施例中，所述步骤4中从降维后的网络数据中提取网络分布式拒绝服务(Distributed Denial of Service,DDos)攻击攻击和虚假数据注入攻击两种网络异常特征B₁和B₂，并将其分别作为BRB的前提属性输入值，采用公式(1)将输入值转换为相应的前提属性参考值的隶属度，将参考值设定为三个等级，分别为[HR，MR，LR]，HR代表数据为异常的可能性值高，MR代表可能性值一般，LR代表可能性值低，然后采用ER算法来集合前提属性输入值，最终获取网络数据结果属性中每一个参考值的信任程度，本发明选取的输出结果分布分别是异常数据和正常数据，且将异常的数据标定为0，正常数据标定为1。

S(B_i,α_i)＝{(l_im,β_im),m＝1,L,m_i},i＝{1,2} 公式(1)

公式(1)中，S为前提属性输入值的分布；α_i为前提属性B_i的置信度；l_im为输入前提属性B_i的第m个参考值，β_im为l_im的置信度，m_i为参考值的数量。

所述步骤5的具体方法为：

所述步骤6的具体方法为：

在本实施例中，所述步骤5和步骤6中，建立两个LSTM子网络分别处理网络异常数据序列和网络正常数据序列，并根据LSTM的输入维度，将训练集和测试集以时间序列为单位进行分割，提取网络异常数据特征，并采用Softmax回归分类模型判定异常类别。基于LSTM模型训练得到的异常特征参数，将其与5G切片下的馈线自动化业务网络实时交互数据进行对比分析，得到最终的网络异常检测结果并上报。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims

1.一种面向5G切片的馈线自动化业务网络异常检测方法，其特征在于：包括如下步骤：

2.根据权利要求1所述的一种面向5G切片的馈线自动化业务网络异常检测方法，其特征在于：所述步骤1的具体方法为：

3.根据权利要求1所述的一种面向5G切片的馈线自动化业务网络异常检测方法，其特征在于：所述步骤2的具体方法为：

4.根据权利要求1所述的一种面向5G切片的馈线自动化业务网络异常检测方法，其特征在于：所述步骤3的具体方法为：

5.根据权利要求1所述的一种面向5G切片的馈线自动化业务网络异常检测方法，其特征在于：所述步骤4的具体方法为：

6.根据权利要求1所述的一种面向5G切片的馈线自动化业务网络异常检测方法，其特征在于：所述步骤5的具体方法为：

7.根据权利要求1所述的一种面向5G切片的馈线自动化业务网络异常检测方法，其特征在于：所述步骤6的具体方法为：