CN115865479A - 一种基于加权熵的网络攻击监测方法 - Google Patents
一种基于加权熵的网络攻击监测方法 Download PDFInfo
- Publication number
- CN115865479A CN115865479A CN202211515139.0A CN202211515139A CN115865479A CN 115865479 A CN115865479 A CN 115865479A CN 202211515139 A CN202211515139 A CN 202211515139A CN 115865479 A CN115865479 A CN 115865479A
- Authority
- CN
- China
- Prior art keywords
- node
- network
- entropy
- complex
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012544 monitoring process Methods 0.000 title claims abstract description 20
- 230000035515 penetration Effects 0.000 claims abstract description 5
- 238000012163 sequencing technique Methods 0.000 claims abstract description 4
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims 2
- 241001235534 Graphis <ascomycete fungus> Species 0.000 claims 1
- 239000010410 layer Substances 0.000 description 34
- 238000005111 flow chemistry technique Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Abstract
本发明提供一种基于加权熵的网络攻击监测方法,包括:将电力系统网络抽象为有向加权复杂网络;将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V;确定复杂网络向边集确定复杂网络权值集确定复杂网络节点度k(vi),出度kout(vi),入度km(vi)及度集合确定复杂网络节点强度s(vi),出强度sout、入强度sin及强度集合确定复杂网络局部结构;根据局部网络结构对中心节点影响程度,计算抗毁熵;对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析容易被外部攻破的薄弱点。本发明根据设备节点所反馈的状态,能够及时有效识别攻击强度和类型,并分析可能对整个信息网络造成的供应链风险。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于加权熵的网络攻击监测方法。
背景技术
一种基于多源信息分析的网络攻击监测方法。所述方法基于网络攻击监测系统来实施,所述网络攻击监测系统包括:规则制定模块、流量采集模块、流量处理模块、恶意代码样本采集模块、流量扫描与分析模块、威胁评估与预警发布模块;所述方法包括如下步骤:步骤1:规则制定模块根据固定与浮动位置关键词、应用协议内容,制定流量抽样的标准,使流量采集模块按照流量比例方式、IP五元组方式或时间方式对流量进行抽样采集;步骤2:流量采集模块按照抽样采集规则,对流量进行数据采集,并将流量数据传递给流量处理模块;步骤3:流量处理模块对采集的流量数据进行去重操作、规范化操作和压缩处理操作,并传递给流量扫描与分析模块;步骤4:恶意代码样本采集模块在恶意代码样本库中获取恶意代码样本,并传递给流量扫描与分析模块;步骤5:流量扫描与分析模块将处理后的流量数据存储成流量文件,同时结合恶意代码样本,对要监测的流量文件进行检测,当在流量文件中识别出与恶意代码样本相匹配的内容时,认为发现网络攻击行为,则生成报警事件数据,传递给威胁评估与预警发布模块;步骤6:威胁评估与预警发布模块接收报警事件数据并实现威胁评估、特征提取与样本库升级、事件报警功能。
随着国家电网数字化转型战略部署的提出,公司网络变得越来越复杂和不可预测,网络安全技术团队正处于一场愈演愈烈的风暴之中,技术挑战变得越来越复杂,随着公司面临的网络威胁数量的增加,外部网络攻击监测变得越来越困难,本发明的提出可以有效分析获取容易被外部攻破的薄弱点。
发明内容
针对现有技术中存在的问题,本发明提出了一种基于加权熵的网络攻击监测方法,根据电力系统网络设备节点间存在的不同方向关联关系的、含有不同关联程度这一具体情况和结构特性,结合信息论中加权熵的形式,将信息网络中设备节点及设备节点间关联程度与熵融合,分别对信息网络模型中设备节点构成的单层及双层局部结构进行定义,建立不同的信息网络模型。
本发明采用的技术方案如下:
一种基于加权熵的网络攻击监测方法,所述方法包括:
将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V={vi}(i∈N),N为节点个数;
确定复杂网络局部结构;
根据局部网络结构对中心节点影响程度,计算抗毁熵;
对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析容易被外部攻破的薄弱点。
本发明的有益效果为:本发明建立了不同的信息网络模型,该模型在遭受不同程度及类型的外部网络攻击时,根据设备节点所反馈的状态,能够及时有效识别攻击强度和类型,并分析可能对整个信息网络造成的供应链风险。有助于解决现有网络攻击检测技术存在的检测攻击范围不够全面和检测率和降低误报率之间矛盾的问题,可提供主机、局域网、广域网等各种网络环境进行网络异常检测。
附图说明
图1本发明基于加权熵的网络攻击监测方法流程图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明:为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,本发明提供了一种基于加权熵的网络攻击监测方法,具体包括:
将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V={vi}(i∈N),N为节点个数;
确定复杂网络局部结构;
根据局部网络结构对中心节点影响程度,计算抗毁熵;
对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析容易被外部攻破的薄弱点。
将整个公司信息内外网、集体企业、第三方专线的安全、网络、主机及终端等设备,以及设备间连接统一抽象为复杂网络,通过破坏复杂网络设备节点及其连接模拟外部网络攻击,实现电力系统网络攻击监测的准确高效。
利用现实电力信息网络中终端、网络、主机、安全等设备以及各类信息系统节点间存在的不同方向关联关系的、含有不同关联程度这一具体情况和结构特性,将设备抽象为节点vi,表示节点编号为i的节点,这些节点组成了复杂网络中节点集V={vi}(i∈N)。
设备节点对(vi,vj)间关联关系抽象为一条有方向的边ei,j,其箭头方向从节点i指向节点j,节点i称为源节点,节点j称为目的节点,这些含有方向的有向边共同组成了有向加权图中有向边集E={eij},i,j∈N且eij≠eji。
节点对(vi,vj)间关系程度的大小则抽象为这条方向边eij的权重wij,所有边的权重共同组成了有向边的权值集W={wij},权值集的权重元素wij与边集中的边eij一一对应。
在电力系统有向网络中,设备节点的度与它相连的节点数量不一定相同,因为网络中任意两设备节点间的边存在方向,导致设备节点间可能存在一条甚至多条边,并且每个设备节点可以同时是发送节点和接收节点,因此,有向网络中设备节点i的度k(vi)存在设备节点出度kout(vi)和设备节点入度kin(vi)之分。
k(vi)=kin(vi)+kout(vi) (3)
在电力系统有向加权复杂网络中,利用设备节点度的概念可以定义设备节点i的强度s(vi),并且可将设备节点强度分为节点出强度sout(vi)和节点入强度sin(vi),可用表示节点的强度集合,其中包括出强度sout(vi)、入强度sin(vi)和总强度s,具体公式如下。
s(vi)=sin(vi)+sout(vi) (6)
每个设备节点在网络中的作用、对电力系统网络造成的影响大小可能受到其直接节点甚至间接节点的影响,即电力系统中的设备节点对整个网络的影响是基于直接节点和间接节点所构成的局部网络在整个网络中的影响来实现的。如果节点i和节点j间存在直接相连的边eji,则节点j是节点i的一层节点;如果节点i和节点h没有直接连接,而是通过节点j和两条边ehj和eji连接,则节点h是节点i的一个二层节点。将节点自身与其所有一层节点组成的结构定义为电力系统一层局部网络,二层节点与一层节点构成了双层结构,两层结构共同组成了电力系统二层局部网络,以此类推,根据设备节点个数N确定电力系统n层局部网络。
电力系统一层局部网络:在基于度和强度的有向加权复杂网络模型中,节点对(vi,vj)间存在一条方向边eji,则节点j称为节点i的一层节点。针对网络中每个节点i及其直接最近邻居节点j间的结构关系,所构成的局部网络为电力系统一层局部网络此结构包含了节点及其最近邻节点,以及节点间边的所有特点和信息。
电力系统二层局部网络:在基于双向异权边的复杂网络模型G(V,E,W,K,S)中,存在三个节点i,j,h间有两条有向边eji和ehj,则节点i及其所有一层节点j所构成局部结构称为的电力一层局部结构,二层节点h与一层节点j共同构成双层结构,两层结构共同组成含有双向异权边的双层邻居关系的电力系统二层局部网络Gi。
电力系统n层局部网络:在基于双向异权边的复杂网络模型中,节点i及其所有一层节点j所构成局部结构称为的电力一层局部结构,二层节点h与一层节点j共同构成双层结构,以此类推,n层结构共同组成含有双向异权边的n层邻居关系的电力系统n层局部网络Gni。
设备节点抗毁性E(vi)等于多层结构下各层熵值和。
E(vi)=E1(vi)+E2(vi)+...+En(vi) (11)
抗毁熵表示电力系统网络节点的抗毁性,抗毁性越高意味着当网络遭受外部攻击时受到影响的可能性最小,抗毁性越低意味着被外部攻破的可能性最高。本发明根据电力系统一层局部网络和节电力系统二层局部网络计算出复杂网络所有节点的抗毁性并排序,对于抗毁性较差的网络重点关注和防护。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (9)
1.一种基于加权熵的网络攻击监测方法,其特征在于,所述方法包括:
将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V={vi}(i∈N),N为节点个数;
确定复杂网络局部结构;
根据局部网络结构对中心节点影响程度,计算抗毁熵;
对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析易被外部攻破的薄弱点。
6.如权利要求1所述的基于加权熵的网络攻击监测方法,其特征在于,确定复杂网络局部结构具体包括:如果节点i和节点j间存在直接相连的边eji,则节点j是节点i的一层节点;如果节点i和节点h没有直接连接,而是通过节点j和两条边ehj和eji连接,则节点h是节点i的一个二层节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211515139.0A CN115865479A (zh) | 2022-11-30 | 2022-11-30 | 一种基于加权熵的网络攻击监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211515139.0A CN115865479A (zh) | 2022-11-30 | 2022-11-30 | 一种基于加权熵的网络攻击监测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115865479A true CN115865479A (zh) | 2023-03-28 |
Family
ID=85668040
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211515139.0A Pending CN115865479A (zh) | 2022-11-30 | 2022-11-30 | 一种基于加权熵的网络攻击监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115865479A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721207A (zh) * | 2016-01-29 | 2016-06-29 | 国家电网公司 | 电力通信网中通信节点重要度的确定方法和装置 |
CN106790099A (zh) * | 2016-12-26 | 2017-05-31 | 大连大学 | 基于网络抗毁熵的指控网络抗毁测度方法 |
CN109598552A (zh) * | 2018-11-28 | 2019-04-09 | 东南大学 | 一种基于复杂网络理论的跨境电力贸易市场特征分析方法 |
WO2022180255A1 (en) * | 2021-02-27 | 2022-09-01 | Hitachi Energy Switzerland Ag | Power grid topology determination |
-
2022
- 2022-11-30 CN CN202211515139.0A patent/CN115865479A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721207A (zh) * | 2016-01-29 | 2016-06-29 | 国家电网公司 | 电力通信网中通信节点重要度的确定方法和装置 |
CN106790099A (zh) * | 2016-12-26 | 2017-05-31 | 大连大学 | 基于网络抗毁熵的指控网络抗毁测度方法 |
CN109598552A (zh) * | 2018-11-28 | 2019-04-09 | 东南大学 | 一种基于复杂网络理论的跨境电力贸易市场特征分析方法 |
WO2022180255A1 (en) * | 2021-02-27 | 2022-09-01 | Hitachi Energy Switzerland Ag | Power grid topology determination |
Non-Patent Citations (2)
Title |
---|
先九洲: "基于多指标融合的复杂网络节点重要度评估方法", 《CNKI优秀硕士学位论文全文数据库》, 15 August 2021 (2021-08-15), pages 43 - 46 * |
张诗琪,等: "基于信息熵的电力信息耦合网络重要节点评估", 《科学技术与工程》, vol. 22, no. 17, 18 June 2022 (2022-06-18), pages 7042 - 7049 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3528463B1 (en) | An artificial intelligence cyber security analyst | |
US20220124108A1 (en) | System and method for monitoring security attack chains | |
Sangkatsanee et al. | Practical real-time intrusion detection using machine learning approaches | |
CN108400895B (zh) | 一种基于遗传算法改进的bp神经网络安全态势评估算法 | |
US10609057B2 (en) | Digital immune system for intrusion detection on data processing systems and networks | |
Srivastav et al. | Novel intrusion detection system integrating layered framework with neural network | |
Mukhopadhyay et al. | Back propagation neural network approach to Intrusion Detection System | |
Efstathopoulos et al. | Operational data based intrusion detection system for smart grid | |
David et al. | Zero day attack prediction with parameter setting using Bi direction recurrent neural network in cyber security | |
Li et al. | Intelligent intrusion detection method of industrial internet of things based on CNN-BiLSTM | |
Cheng et al. | Cyber situation perception for Internet of Things systems based on zero‐day attack activities recognition within advanced persistent threat | |
JP2023549284A (ja) | 分散型テレメトリデータ分析によるマルウェア検出 | |
Dairi et al. | Semi-supervised deep learning-driven anomaly detection schemes for cyber-attack detection in smart grids | |
Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
Alheeti et al. | Intelligent detection system for multi-step cyber-attack based on machine learning | |
Tanaka et al. | IoT system security issues and solution approaches | |
CN115865479A (zh) | 一种基于加权熵的网络攻击监测方法 | |
Wang et al. | Network security situation evaluation based on modified DS evidence theory | |
Nicheporuk et al. | A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication. | |
CN102111302A (zh) | 一种蠕虫检测方法 | |
Japertas et al. | Method of early staged cyber attacks detection in IT and telecommunication networks | |
Zhao et al. | Quantitative evaluation model of network security situation based on DS evidence theory | |
Gurin et al. | Intrusion detection system on the basis of data mining algorithms in the industrial network | |
CN113132414A (zh) | 一种多步攻击模式挖掘方法 | |
CN113162904A (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |