CN115189939A - 一种基于hmm模型的电网网络入侵检测方法及系统 - Google Patents

Abstract

本发明公开了一种基于HMM模型的电网网络入侵检测方法及系统，涉及网络安全技术领域，采集电网观察数据；再对观察数据进行归一化处理；将归一化处理后的观察数据输入已构建好的HMM模型中进行入侵检测，判断各攻击类型模式的最大似然概率以得到是否发生攻击行为；当判定发生攻击行为时一并输出攻击行为所属的具体攻击类型；将经过预处理的观察数据输入已构建好的HMM模型中，以具有最大发生概率的攻击类别作为数据的输出攻击类型，能够在样本数量较少的情况下，仍然具有较高的检测准确率，较其他方法具有较大的优越性。

Description

一种基于HMM模型的电网网络入侵检测方法及系统

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于HMM模型的电网网络入侵检测方法及系统。

背景技术

智能电网是以物理电网为基础，以高速双向通信网络为基础的一种新型智能电网。它将先进的信息技术、通信、计算机、测控技术与发电、配电、传输、用电等基础设施相结合。智能电网作为一个全自动的输电网，可以对每个用户和电网节点进行监控，保证从电厂到最终用户的整个输送过程中，信息和电能在所有节点之间的双向流动。智能电网实现了传统电网的更新，但也带来了新的安全问题。

网络系统是电力系统得以良好运营的关键，电力系统在实际运营过程中，会传播庞大的信息量，且智能化成为社会发展不可或缺的因素。因此顺应时代发展，网络系统也成为了电力系统的重要工具和不可缺少的因素。但是，因为各种原因的存在，近两年网络安全问题也成为电力系统不容忽视的重要问题。电力系统网络安全问题的存在，会极大的影响电力系统的性能，进而影响社会发展。因此，保证电力系统网络安全工作成为不可忽视的课题；随着智能电网的发展，其网络的复杂性和异构型给智能电网带来了技术挑战。入侵检测系统是一种广泛应用于网络安全的系统，通过对采集到的数据进行分析和模型检测，判断网络或主机是否被入侵，从而做出预警，保证网络系统的安全性、可靠性和完整性。

对智能电网中由信息技术引入的安全威胁，许多研究者提出利用信息网络中的入侵检测方法来保护智能电网。入侵检测是通过计算机系统或网络中的若干关键点收集和分析审计记录、安全日志、用户行为以及网络数据包等信息，检查网络或系统中当前是否存在违反安全策略的入侵行为和被攻击的迹象。然而当前大部分入侵检测系统的构建都是基于某种规则的设计，不仅存在误报率较高的问题，而且需要在大量的样本数据基础上才能降低误报率。

发明内容

本发明所要解决的技术问题是：当前大部分入侵检测系统的构建都是基于某种规则的设计，不仅存在误报率较高的问题，而且需要在大量的样本数据基础上才能降低误报率。本发明目的在于提供一种基于HMM模型的电网网络入侵检测方法及系统，将经过预处理的观察数据输入已构建好的HMM模型中，以具有最大发生概率的攻击类别作为数据的输出攻击类型，HMM模型的多个攻击类型模式经由对历史观察数据进行自动聚类分析得到，通过自动聚类分析依据历史观察数据确定出检测过程可能出现的攻击类型，使得HMM模型的网络结构趋于合理、检测结果趋于优化，对入侵检测的某些边缘检测准确率有所提高，降低入侵检测误报率。

本发明通过下述技术方案实现：

本方案提供一种基于HMM模型的电网网络入侵检测方法，包括步骤：

步骤一：采集电网观察数据；所述观察数据包括电力设备数据和网络监测数据；

步骤二：对观察数据进行归一化处理；

步骤三：将归一化处理后的观察数据输入已构建好的HMM模型中进行入侵检测，判断各攻击类型模式的最大似然概率以得到是否发生攻击行为；当判定发生攻击行为时一并输出攻击行为所属的具体攻击类型；所述HMM模型包括多个攻击类型模式，各攻击类型模式对应的攻击类型由历史观察数据经自动聚类分析得到。

本方案工作原理：当前大部分入侵检测系统的构建都是基于某种规则的设计，不仅存在误报率较高的问题，而且需要在大量的样本数据基础上才能降低误报率；本方案将经过预处理的观察数据输入已构建好的HMM模型中，以具有最大发生概率的攻击类别作为数据的输出攻击类型，同时本方案HMM模型的多个攻击类型模式经由对历史观察数据进行自动聚类分析得到，通过自动聚类分析依据历史观察数据确定出检测过程可能出现的攻击类型，使得 HMM模型的网络结构趋于合理、检测结果趋于优化，对入侵检测的某些边缘检测准确率有所提高，降低入侵检测误报率；以各攻击类型模式的最大似然概率判定是否发生攻击行为，在采集的电网观察数据样本数量较少的情况下，仍然具有较高的检测准确率；经过自动聚类分析得到攻击类型的前提下，HMM模型可以快速判定出攻击行为所属的具体攻击类型一并输出，较其他方法具有较大的优越性。

在样本数量较少的情况下，仍然具有较高的检测率，

进一步优化方案为，所述电力设备数据包括：电网中各个电力设备的报文、一次侧线路中电力设备的监测数据。

进一步优化方案为，所述步骤三具体包括以下子步骤：

S31、将归一化处理后的观察数据依次输入HMM模型中；

S32、基于Viterbi算法计算各攻击类型模式的似然概率；

S33、选取各攻击类型模式下的最大似然概率，并将最大似然概率与阈值进行比较得到电网入侵检测结果：当最大似然概率值大于或等于阈值时，判定该观察数据发生攻击行为并输出对应的攻击类型；否则判定该观察数据正常。

进一步优化方案为，HMM模型的构建方法包括步骤：

T1、采样电网的历史观察数据并对历史观察数据归一化处理；

T2、对归一化处理后的历史观察数据进行自动聚类分析得到各样本的攻击类型及其后验概率；

T3、以每个攻击类型为一个攻击类型模式，结合各攻击类型的后验概率训练出HMM模型。

进一步优化方案为，自动聚类分析包括步骤：

T21、构建聚类分析网络，包括：输入层、竞争层、输出层；

随机采样历史观察数据中的样本空间X＝{x₁，x₂，......x_n}，其中x_m＝{x_m1，x_m2，......x_mn}， m＝1，2，......n，输入层与输出层聚类节点j之间的连接权矢量为w_j＝{w_1j，w_2j，......w_nj}；

T22、根据样本空间确定n维输入模式X＝{x₁，x₂，......x_n}和竞争层聚类节点个数M，并初始化设置；

T23、计算输入模式Xi与每个聚类节点连接权矢量之间的欧氏距离

选择具有最小D值的竞争层聚类节点作为获胜神经元；

T24、对输入层与竞争层获胜聚类节点相互之间的权值与学习效率进行更新；

T25、计算各聚类节点的信任度和中心相似度，并比较信任度和中心相似度决定聚类节点保留或删除；

T26、当所有的输入模式都输出完毕则聚类分析结束。

本方案的聚类分析网络基于传统的SOM模型的基础上，加入一个输出层构成监督神经网络，同时在输出层与竞争层之间加入反馈模块，反馈模块通过信任度和中心相似度决定聚类节点的删除或保留，同时采用监督学习法对其进行训练，在学习过程中逐步建立并动态调整竞争层网络结构，竞争层的建立依赖于聚类节点的增加和删除操作；通过动态评价、反馈而增删神经元节点，使得网络结构趋于合理、聚类结果趋于优化的过程，对入侵检测的某些边缘检测准确率有所提高。

进一步优化方案为，各聚类节点的信任度通过计算熵值得到：

信任度

其中，c_q为聚类节点中心，且c_q＝w_j，N为并入该节点的输入模式个数，H_N为动态函数升半Cauchy分布；x_q＝x_m。

进一步优化方案为，聚类节点保留或删除的策略为：

第i个节点与第j个节点的中心相似度为SC_ij＝simi(c_i，c_j)，l<i<j<P，信任度阈值σ，中心相似度阈值3；

当SC_ij<σ，则删除第i个节点；

当SC_ij<<3，则删除信任度较小的一个节点；

如果无删除节点，返回步骤T23，否则删除节点，将该节点的数据模式依次输入网络，返回步骤T23逐步执行。

传统自动聚类分析模型竞争层的神经元个数在网络训练开始时必须设定，即必须预置聚类数，在没有先验知识的情况下，一个数据集合的聚类数是不确定的，因此得到的聚类结果并不太理想，甚至出现错误导致误报率较高，本方案中的自动聚类分析模型网络的竞争层在初始时没有聚类节点，在学习过程中逐步建立并动态调整竞争层网络结构，使得竞争层的建立依赖于聚类节点的增加和删除操作，通过引入节点信任度来评价节点所产生的聚类效果优劣，决定节点存在的合理程度的评价值，有良好的可扩展性，能在有效降低误检率的同时，使检测率得到一定提高。

进一步优化方案为，T3包括以下子步骤：

T31、基于攻击类型及其后验概率进行初始化，并根据贝叶斯定理计算观察值概率矩阵中的元素；

T32、以最大化后验概率为目标更新初始分布矢量和状态转移概率矩阵

T33、在当前模型满足训练阈值时，训练结束，否则进行下一次迭代，并输入下一个样本数据返回步骤T31直至训练结束。

采聚类分析网络的输出结果作为后验概率实现对HMM模型的训练，最后将具有最大发生概率的攻击类别作为数据的输出攻击类型，从而得到HMM中的初始分布矢量、状态转移概率和观察值概率，然后再采用经过训练的HMM作为入侵检测模型，对各类数据进行入侵检测，将具有最大概率的模型作为入侵检测结果，在不过于依赖样本的数量以及样本分布的准确度的情形下，依然具有准确的检测能力。

本方案还提供一种非暂态计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现上述方案所述的方法的步骤。

本方案还提供一种基于HMM模型的电网网络入侵检测系统，应用于上述方案所述的方法，包括：采集模块、预处理模块和计算模块；

所述采集模块用于采集电网观察数据；所述观察数据包括电力设备数据和网络监测数据；

所述预处理模块用于对观察数据进行归一化处理；

所述计算模块用于将归一化处理后的观察数据输入已构建好的HMM模型中进行入侵检测，判断各攻击类型模式的最大似然概率以得到是否发生攻击行为；当判定发生攻击行为时一并输出攻击行为所属的具体攻击类型；

所述HMM模型包括多个攻击类型模式，各攻击类型模式对应的攻击类型由历史观察数据经自动聚类分析得到。

本发明与现有技术相比，具有如下的优点和有益效果：

本发明提供一种基于HMM模型的电网网络入侵检测方法及系统，将经过预处理的观察数据输入已构建好的HMM模型中，以具有最大发生概率的攻击类别作为数据的输出攻击类型，能够在样本数量较少的情况下，仍然具有较高的检测准确率；本方案HMM模型的多个攻击类型模式经由对历史观察数据进行自动聚类分析得到，通过自动聚类分析依据历史观察数据确定出检测过程可能出现的攻击类型，使得HMM模型的网络结构趋于合理、检测结果趋于优化，对入侵检测的某些边缘检测准确率有所提高，降低入侵检测误报率；以各攻击类型模式的最大似然概率判定是否发生攻击行为，在采集的电网观察数据样本数量较少的情况下，仍然具有较高的检测准确率；经过自动聚类分析得到攻击类型的前提下，HMM模型可以快速判定出攻击行为所属的具体攻击类型一并输出，较其他方法具有较大的优越性。

附图说明

为了更清楚地说明本发明示例性实施方式的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。在附图中：

图1为基于HMM模型的电网网络入侵检测方法流程概述示意图；

图2为基于HMM模型的电网网络入侵检测过程示意图；

图3为经典方法与本申请方法准确率比较示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1

本实施例提供一种基于HMM模型的电网网络入侵检测方法，如图1所示，包括步骤：

步骤一：采集电网观察数据；所述观察数据包括电力设备数据和网络监测数据；

步骤二：对观察数据进行归一化处理；

步骤三：将归一化处理后的观察数据输入已构建好的HMM模型中进行入侵检测，判断出是否发生攻击行为；当判定发生攻击行为时一并输出攻击行为所属的具体攻击类型；所述 HMM模型包括多个攻击类型模式，各攻击类型模式对应的攻击类型由历史观察数据经自动聚类分析得到。

所述电力设备数据包括：电网中各个电力设备的报文、一次侧线路中电力设备的监测数据。

所述步骤三具体包括以下子步骤：

S31、将归一化处理后的观察数据依次输入HMM模型中，所述HMM模型包括多个攻击类型模式；

S32、基于Viterbi算法计算各攻击类型模式的似然概率；

S33、选取各攻击类型模式下的最大似然概率，并将最大似然概率与阈值进行比较得到电网入侵检测结果：当最大似然概率值大于或等于阈值时，判定该观察数据发生攻击行为并输出对应的攻击类型；否则判定该观察数据正常。

如图2所示，HMM模型的构建方法包括步骤：

T1、采样电网的历史观察数据并对历史观察数据归一化处理；

T2、对归一化处理后的历史观察数据进行自动聚类分析得到各样本的攻击类型及其后验概率；

T3、以每个攻击类型为一个攻击类型模式，结合各攻击类型的后验概率训练出HMM模型。

所述自动聚类分析包括步骤：

T21、构建聚类分析网络，包括：输入层、竞争层、输出层；

随机采样历史观察数据中的样本空间X＝{x₁，x₂，......x_n}，其中x_m＝{x_m1，x_m2，......x_mn}， m＝1，2，......n，输入层与输出层聚类节点j之间的连接权矢量为w_j＝{w_1j，w_2j，......w_nj}；

T22、根据样本空间确定n维输入模式X＝{x₁，x₂，......x_n}和竞争层聚类节点个数M，并初始化设置；

T23、计算输入模式X_i与每个聚类节点连接权矢量之间的欧氏距离

选择具有最小D值的竞争层聚类节点作为获胜神经元；

T24、对输入层与竞争层获胜聚类节点相互之间的权值与学习效率进行更新；

T25、计算各聚类节点的信任度和中心相似度，并比较信任度和中心相似度决定聚类节点保留或删除；

T26、当所有的输入模式都输出完毕则聚类分析结束。

各聚类节点的信任度通过计算熵值得到：

信任度

其中，c_q为聚类节点中心，且c_q＝w_j，N为并入该节点的输入模式个数，H_N为动态函数升半Cauchy分布；x_q＝x_m。

聚类节点保留或删除的策略为：

第i个节点与第j个节点的中心相似度为SC_ij＝simi(c_i，c_j)，l＜i＜j＜P，信任度阈值σ，中心相似度阈值3；

当SC_ij＜σ，则删除第i个节点；

当SC_ij＜＜3，则删除信任度较小的一个节点；

如果无删除节点，返回步骤T23，否则删除节点，将该节点的数据模式依次输入网络，返回步骤T23逐步执行。

T3包括以下子步骤：

T31、基于攻击类型及其后验概率进行初始化，并根据贝叶斯定理计算观察值概率矩阵中的元素；

T32、以最大化后验概率为目标更新初始分布矢量和状态转移概率矩阵

T33、在当前模型满足训练阈值时，训练结束，否则进行下一次迭代，并输入下一个样本数据返回步骤T31直至训练结束。

具体的，采用攻击类型来初始化模型λ₀，HMM模型训练阀值tho，当前迭代次数为k＝1；攻击类型λ_k的后验概率P(λ_k|o_t)；由P(λ_k|o_t)初始化P(HMM_k|o_t)，根据贝叶斯定理计算观察值概率矩阵B＝[b_ij]_N×M中的元素；

设α_t(i)表示当前模型λ在t时对应的观察序列为o₁，o₂，......，o_t，处于状态为q_i的概率；设β_t(i)表示模型λ在t时刻，当观察序列为o_t+1，o_t+2，......，o_t时，处于状态为q_i的概率，则根据前向评估算法和后向评估算法得到：

以最大化后验概率为目标，假设L₁＝P{λ，O|λ}，L₂＝P{O|λ}，则目标函数可以表示为：

将J分别对π_i和a_ij求导，得到初始分布矢量π和状态转移概率矩阵A＝[a_ij]_N×N

根据阀值来判断HMM模型的训练是否结束：

如果当前模型λ满足式：

|log{P(O|λ_k+1)}-λ₁log{P(O|λ_k)|≤tho，

的条件，则训练结束；否则λ_k＝λ_k+1，并输入下一个样本数据并返回步骤T31计算迭代。

本实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现上述方法的步骤。

实施例2

本实施例提供一种基于HMM模型的电网网络入侵检测系统，应用于上一实施例所述的方法，包括：采集模块、预处理模块和计算模块；

所述采集模块用于采集电网观察数据；所述观察数据包括电力设备数据和网络监测数据；

所述预处理模块用于对观察数据进行归一化处理；

所述计算模块用于将归一化处理后的观察数据输入已构建好的HMM模型中进行入侵检测，判断各攻击类型模式的最大似然概率以得到是否发生攻击行为；当判定发生攻击行为时一并输出攻击行为所属的具体攻击类型；所述HMM模型包括多个攻击类型模式，各攻击类型模式对应的攻击类型由历史观察数据经自动聚类分析得到。

为了上述方法进行验证，选取数据库中上一年的电网数据作为样本数据，每条样本数据均包含41个特征属性和1个决策属性，采用数据库中的10％的数据记录作为样本数据，其中5％为训练样本数据，剩余的5％为观察样本数据，每个TCP/IP连接均包含41个属性，以及对其的攻击类型(是否为攻击以及攻击的具体类型)；采用攻击类型来初始化模型λ0， HMM模型训练阀值0.1，当前迭代次数为k＝1，最大值K＝100；仿真得到的系统总体性能为：

检测率/％	误报率/％	正确率/％
			98.11％	0.46％	99.34％

经典方法与本申请方法的比较图如图3所示，本方案提供的方法具有较高的检测率，且在仿真时间为400ms时，就趋于收敛，而传统方法的检测率最低。本申请方法不仅具有较快的检测速度而且有较高的检测率，是由于采用后验概率来训练HMM模型，增加了检测的精度并加快了训练速度。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于HMM模型的电网网络入侵检测方法，其特征在于，包括步骤：

步骤一：采集电网观察数据；所述观察数据包括电力设备数据和网络监测数据；

步骤二：对观察数据进行归一化处理；

步骤三：将归一化处理后的观察数据输入已构建好的HMM模型中进行入侵检测，判断各攻击类型模式的最大似然概率以得到是否发生攻击行为；当判定发生攻击行为时一并输出攻击行为所属的具体攻击类型；

所述HMM模型包括多个攻击类型模式，各攻击类型模式对应的攻击类型由历史观察数据经自动聚类分析得到。

2.根据权利要求1所述的一种基于HMM模型的电网网络入侵检测方法，其特征在于，所述电力设备数据包括：电网中各个电力设备的报文和一次侧线路中电力设备的监测数据。

3.根据权利要求1所述的一种基于HMM模型的电网网络入侵检测方法，其特征在于，所述步骤三具体包括以下子步骤：

S31、将归一化处理后的观察数据依次输入HMM模型中；

S32、基于Viterbi算法计算各攻击类型模式的似然概率；

S33、选取各攻击类型模式下的最大似然概率，并将最大似然概率与阈值进行比较得到电网入侵检测结果：当最大似然概率值大于或等于阈值时，判定该观察数据发生攻击行为并输出对应的攻击类型；否则判定该观察数据正常。

4.根据权利要求1所述的一种基于HMM模型的电网网络入侵检测方法，其特征在于，HMM模型的构建方法包括步骤：

T1、采样电网的历史观察数据并对历史观察数据归一化处理；

T2、对归一化处理后的历史观察数据进行自动聚类分析得到各样本的攻击类型及其后验概率；

T3、以每个攻击类型为一个攻击类型模式，结合各攻击类型的后验概率训练出HMM模型。

5.根据权利要求4所述的一种基于HMM模型的电网网络入侵检测方法，其特征在于，所述自动聚类分析包括步骤：

T21、构建聚类分析网络，包括：输入层、竞争层、输出层；

随机采样历史观察数据中的样本空间X＝{x₁，x₂，......x_n}，其中x_m＝{x_m1，x_m2，......x_mn}，m＝1，2，......n，输入层与输出层聚类节点j之间的连接权矢量为w_j＝{w_1j，w_2j，......w_nj}；

T22、根据样本空间确定n维输入模式X＝{x₁，x₂，......x_n}和竞争层聚类节点个数M，并初始化设置；

T23、计算输入模式Xi与每个聚类节点连接权矢量之间的欧氏距离

选择具有最小D值的竞争层聚类节点作为获胜神经元；

T24、对输入层与竞争层获胜聚类节点相互之间的权值与学习效率进行更新；

T25、计算各聚类节点的信任度和中心相似度，并比较信任度和中心相似度决定聚类节点保留或删除；

T26、当所有的输入模式都输出完毕则聚类分析结束。

6.根据权利要求5所述的一种基于HMM模型的电网网络入侵检测方法，其特征在于，各聚类节点的信任度通过计算熵值得到：

信任度

其中，c_q为聚类节点中心，且c_q＝w_j，N为并入该节点的输入模式个数，H_N为动态函数升半Cauchy分布；x_q＝x_m。

7.根据权利要求5所述的一种基于HMM模型的电网网络入侵检测方法，其特征在于，聚类节点保留或删除的策略为：

第i个节点与第j个节点的中心相似度为SC_ij＝simi(c_i，c_j)，l＜i＜j＜P，信任度阈值σ，中心相似度阈值3；

当SC_ij＜σ，则删除第i个节点；

当SC_ij＜＜3，则删除信任度较小的一个节点；

如果无删除节点，返回步骤T23，否则删除节点，将该节点的数据模式依次输入网络，返回步骤T23逐步执行。

8.根据权利要求4所述的一种基于HMM模型的电网网络入侵检测方法，其特征在于，T3包括以下子步骤：

T31、基于攻击类型及其后验概率进行初始化，并根据贝叶斯定理计算观察值概率矩阵中的元素；

T32、以最大化后验概率为目标更新初始分布矢量和状态转移概率矩阵

T33、在当前模型满足训练阈值时，训练结束，否则进行下一次迭代，并输入下一个样本数据返回步骤T31直至训练结束。

9.一种非暂态计算机可读存储介质，其上存储有计算机指令，其特征在于，该指令被处理器执行时实现权利要求1-8中任一项所述的方法的步骤。

10.一种基于HMM模型的电网网络入侵检测系统，应用于权利要求1-8任意一项所述的方法，其特征在于，包括：采集模块、预处理模块和计算模块；

所述采集模块用于采集电网观察数据；所述观察数据包括电力设备数据和网络监测数据；

所述预处理模块用于对观察数据进行归一化处理；

所述计算模块用于将归一化处理后的观察数据输入已构建好的HMM模型中进行入侵检测，判断各攻击类型模式的最大似然概率以得到是否发生攻击行为；当判定发生攻击行为时一并输出攻击行为所属的具体攻击类型；所述HMM模型包括多个攻击类型模式，各攻击类型模式对应的攻击类型由历史观察数据经自动聚类分析得到。

Images