CN115865479A - 一种基于加权熵的网络攻击监测方法 - Google Patents

一种基于加权熵的网络攻击监测方法 Download PDF

Info

Publication number
CN115865479A
CN115865479A CN202211515139.0A CN202211515139A CN115865479A CN 115865479 A CN115865479 A CN 115865479A CN 202211515139 A CN202211515139 A CN 202211515139A CN 115865479 A CN115865479 A CN 115865479A
Authority
CN
China
Prior art keywords
node
network
entropy
complex
degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211515139.0A
Other languages
English (en)
Inventor
陈剑飞
范康康
曲延盛
王颖慧
黄华
程兴防
张婕
刘子函
王云霄
盛华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Shandong Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Shandong Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202211515139.0A priority Critical patent/CN115865479A/zh
Publication of CN115865479A publication Critical patent/CN115865479A/zh
Pending legal-status Critical Current

Links

Images

Abstract

本发明提供一种基于加权熵的网络攻击监测方法,包括:将电力系统网络抽象为有向加权复杂网络;将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V;确定复杂网络向边集
Figure DDA0003971673290000011
确定复杂网络权值集
Figure DDA0003971673290000012
确定复杂网络节点度k(vi),出度kout(vi),入度km(vi)及度集合
Figure DDA0003971673290000013
确定复杂网络节点强度s(vi),出强度sout、入强度sin及强度集合
Figure DDA0003971673290000014
确定复杂网络局部结构;根据局部网络结构对中心节点影响程度,计算抗毁熵;对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析容易被外部攻破的薄弱点。本发明根据设备节点所反馈的状态,能够及时有效识别攻击强度和类型,并分析可能对整个信息网络造成的供应链风险。

Description

一种基于加权熵的网络攻击监测方法
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于加权熵的网络攻击监测方法。
背景技术
一种基于多源信息分析的网络攻击监测方法。所述方法基于网络攻击监测系统来实施,所述网络攻击监测系统包括:规则制定模块、流量采集模块、流量处理模块、恶意代码样本采集模块、流量扫描与分析模块、威胁评估与预警发布模块;所述方法包括如下步骤:步骤1:规则制定模块根据固定与浮动位置关键词、应用协议内容,制定流量抽样的标准,使流量采集模块按照流量比例方式、IP五元组方式或时间方式对流量进行抽样采集;步骤2:流量采集模块按照抽样采集规则,对流量进行数据采集,并将流量数据传递给流量处理模块;步骤3:流量处理模块对采集的流量数据进行去重操作、规范化操作和压缩处理操作,并传递给流量扫描与分析模块;步骤4:恶意代码样本采集模块在恶意代码样本库中获取恶意代码样本,并传递给流量扫描与分析模块;步骤5:流量扫描与分析模块将处理后的流量数据存储成流量文件,同时结合恶意代码样本,对要监测的流量文件进行检测,当在流量文件中识别出与恶意代码样本相匹配的内容时,认为发现网络攻击行为,则生成报警事件数据,传递给威胁评估与预警发布模块;步骤6:威胁评估与预警发布模块接收报警事件数据并实现威胁评估、特征提取与样本库升级、事件报警功能。
随着国家电网数字化转型战略部署的提出,公司网络变得越来越复杂和不可预测,网络安全技术团队正处于一场愈演愈烈的风暴之中,技术挑战变得越来越复杂,随着公司面临的网络威胁数量的增加,外部网络攻击监测变得越来越困难,本发明的提出可以有效分析获取容易被外部攻破的薄弱点。
发明内容
针对现有技术中存在的问题,本发明提出了一种基于加权熵的网络攻击监测方法,根据电力系统网络设备节点间存在的不同方向关联关系的、含有不同关联程度这一具体情况和结构特性,结合信息论中加权熵的形式,将信息网络中设备节点及设备节点间关联程度与熵融合,分别对信息网络模型中设备节点构成的单层及双层局部结构进行定义,建立不同的信息网络模型。
本发明采用的技术方案如下:
一种基于加权熵的网络攻击监测方法,所述方法包括:
建立基于度和强度的有向加权电力复杂网络模型
Figure BDA0003971673270000021
将电力系统网络抽象为有向加权复杂网络,通过破坏复杂网络设备节点及连接模拟外部网络攻击,用于检测电力系统网络攻击;
将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V={vi}(i∈N),N为节点个数;
确定复杂网络向边集
Figure BDA0003971673270000022
Figure BDA0003971673270000023
边集中的元素为网络中所有有向边;
确定复杂网络权值集
Figure BDA0003971673270000024
Figure BDA0003971673270000025
则是向边集/>
Figure BDA0003971673270000026
中每条有向边所对应的权值集合;
确定复杂网络节点度集k(vi),出度kout(vi),入度km(vi)及度集合
Figure BDA0003971673270000027
Figure BDA0003971673270000028
表示节点i的度集合;
确定复杂网络节点强度集s(vi),出强度sout、入强度sin及强度集合
Figure BDA0003971673270000029
Figure BDA00039716732700000210
表示节点的强度集合;
确定复杂网络局部结构;
根据局部网络结构对中心节点影响程度,计算抗毁熵;
对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析容易被外部攻破的薄弱点。
本发明的有益效果为:本发明建立了不同的信息网络模型,该模型在遭受不同程度及类型的外部网络攻击时,根据设备节点所反馈的状态,能够及时有效识别攻击强度和类型,并分析可能对整个信息网络造成的供应链风险。有助于解决现有网络攻击检测技术存在的检测攻击范围不够全面和检测率和降低误报率之间矛盾的问题,可提供主机、局域网、广域网等各种网络环境进行网络异常检测。
附图说明
图1本发明基于加权熵的网络攻击监测方法流程图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明:为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,本发明提供了一种基于加权熵的网络攻击监测方法,具体包括:
建立基于度和强度的有向加权电力复杂网络模型
Figure BDA0003971673270000031
将电力系统网络抽象为有向加权复杂网络,通过破坏复杂网络设备节点及连接模拟外部网络攻击,用于检测电力系统网络攻击;
将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V={vi}(i∈N),N为节点个数;
确定复杂网络向边集
Figure BDA0003971673270000032
Figure BDA0003971673270000033
边集中的元素为网络中所有有向边;/>
确定复杂网络权值集
Figure BDA0003971673270000034
Figure BDA0003971673270000035
则是向边集/>
Figure BDA0003971673270000036
中每条有向边所对应的权值集合;
确定复杂网络节点度集k(vi),出度kout(vi),入度km(vi)及度集合
Figure BDA0003971673270000037
Figure BDA0003971673270000038
表示节点i的度集合;
确定复杂网络节点强度集s(vi),出强度sout、入强度sin及强度集合
Figure BDA0003971673270000039
Figure BDA00039716732700000310
表示节点的强度集合;
确定复杂网络局部结构;
根据局部网络结构对中心节点影响程度,计算抗毁熵;
对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析容易被外部攻破的薄弱点。
将整个公司信息内外网、集体企业、第三方专线的安全、网络、主机及终端等设备,以及设备间连接统一抽象为复杂网络,通过破坏复杂网络设备节点及其连接模拟外部网络攻击,实现电力系统网络攻击监测的准确高效。
利用现实电力信息网络中终端、网络、主机、安全等设备以及各类信息系统节点间存在的不同方向关联关系的、含有不同关联程度这一具体情况和结构特性,将设备抽象为节点vi,表示节点编号为i的节点,这些节点组成了复杂网络中节点集V={vi}(i∈N)。
设备节点对(vi,vj)间关联关系抽象为一条有方向的边ei,j,其箭头方向从节点i指向节点j,节点i称为源节点,节点j称为目的节点,这些含有方向的有向边共同组成了有向加权图中有向边集E={eij},i,j∈N且eij≠eji
节点对(vi,vj)间关系程度的大小则抽象为这条方向边eij的权重wij,所有边的权重共同组成了有向边的权值集W={wij},权值集的权重元素wij与边集中的边eij一一对应。
在电力系统有向网络中,设备节点的度与它相连的节点数量不一定相同,因为网络中任意两设备节点间的边存在方向,导致设备节点间可能存在一条甚至多条边,并且每个设备节点可以同时是发送节点和接收节点,因此,有向网络中设备节点i的度k(vi)存在设备节点出度kout(vi)和设备节点入度kin(vi)之分。
Figure BDA0003971673270000041
Figure BDA0003971673270000042
k(vi)=kin(vi)+kout(vi) (3)
在电力系统有向加权复杂网络中,利用设备节点度的概念可以定义设备节点i的强度s(vi),并且可将设备节点强度分为节点出强度sout(vi)和节点入强度sin(vi),可用
Figure BDA0003971673270000043
表示节点的强度集合,其中包括出强度sout(vi)、入强度sin(vi)和总强度s,具体公式如下。
Figure BDA0003971673270000051
/>
Figure BDA0003971673270000052
s(vi)=sin(vi)+sout(vi) (6)
每个设备节点在网络中的作用、对电力系统网络造成的影响大小可能受到其直接节点甚至间接节点的影响,即电力系统中的设备节点对整个网络的影响是基于直接节点和间接节点所构成的局部网络在整个网络中的影响来实现的。如果节点i和节点j间存在直接相连的边eji,则节点j是节点i的一层节点;如果节点i和节点h没有直接连接,而是通过节点j和两条边ehj和eji连接,则节点h是节点i的一个二层节点。将节点自身与其所有一层节点组成的结构定义为电力系统一层局部网络,二层节点与一层节点构成了双层结构,两层结构共同组成了电力系统二层局部网络,以此类推,根据设备节点个数N确定电力系统n层局部网络。
Figure BDA0003971673270000053
电力系统一层局部网络:在基于度和强度的有向加权复杂网络模型
Figure BDA0003971673270000054
中,节点对(vi,vj)间存在一条方向边eji,则节点j称为节点i的一层节点。针对网络中每个节点i及其直接最近邻居节点j间的结构关系,所构成的局部网络为电力系统一层局部网络
Figure BDA0003971673270000055
此结构包含了节点及其最近邻节点,以及节点间边的所有特点和信息。
Figure BDA0003971673270000056
电力系统二层局部网络:在基于双向异权边的复杂网络模型G(V,E,W,K,S)中,存在三个节点i,j,h间有两条有向边eji和ehj,则节点i及其所有一层节点j所构成局部结构称为的电力一层局部结构,二层节点h与一层节点j共同构成双层结构,两层结构共同组成含有双向异权边的双层邻居关系的电力系统二层局部网络Gi
Figure BDA0003971673270000061
电力系统n层局部网络:在基于双向异权边的复杂网络模型
Figure BDA0003971673270000062
中,节点i及其所有一层节点j所构成局部结构称为的电力一层局部结构,二层节点h与一层节点j共同构成双层结构,以此类推,n层结构共同组成含有双向异权边的n层邻居关系的电力系统n层局部网络Gni
Figure BDA0003971673270000063
设备节点抗毁性E(vi)等于多层结构下各层熵值和。
E(vi)=E1(vi)+E2(vi)+...+En(vi) (11)
抗毁熵表示电力系统网络节点的抗毁性,抗毁性越高意味着当网络遭受外部攻击时受到影响的可能性最小,抗毁性越低意味着被外部攻破的可能性最高。本发明根据电力系统一层局部网络和节电力系统二层局部网络计算出复杂网络所有节点的抗毁性并排序,对于抗毁性较差的网络重点关注和防护。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (9)

1.一种基于加权熵的网络攻击监测方法,其特征在于,所述方法包括:
建立基于度和强度的有向加权电力复杂网络模型
Figure FDA0003971673260000011
将电力系统网络抽象为有向加权复杂网络,通过破坏复杂网络设备节点及连接模拟外部网络攻击,用于检测电力系统网络攻击;
将电力系统网络中的设备抽象为节点vi,组成复杂网络节点集V={vi}(i∈N),N为节点个数;
确定复杂网络向边集
Figure FDA0003971673260000012
Figure FDA0003971673260000013
边集中的元素为网络中所有有向边;
确定复杂网络权值集
Figure FDA0003971673260000014
Figure FDA0003971673260000015
则是向边集/>
Figure FDA0003971673260000016
中每条有向边所对应的权值集合;
确定复杂网络节点度集k(vi),出度kout(vi),入度km(vi)及度集合
Figure FDA0003971673260000017
Figure FDA0003971673260000018
表示节点i的度集合;
确定复杂网络节点强度集s(vi),出强度sout、入强度sin及强度集合
Figure FDA0003971673260000019
Figure FDA00039716732600000110
表示节点的强度集合;
确定复杂网络局部结构;
根据局部网络结构对中心节点影响程度,计算抗毁熵;
对抗毁熵进行排序,抗毁熵越高表示遭受外部攻击时受到影响的可能性越小,分析易被外部攻破的薄弱点。
2.如权利要求1所述的基于加权熵的网络攻击监测方法,其特征在于,确定复杂网络向边集
Figure FDA00039716732600000111
具体包括:针对电力复杂网络中任意两节点i和节点j间存在节点对(vi,vj),节点对(vi,vj)间关联关系抽象为一条有方向的边ei,j,ei,j箭头方向从节点i指向节点j,节点i称为源节点,节点j称为目的节点,这些含有方向的有向边共同组成了有向加权图中有向边集
Figure FDA00039716732600000112
i,j∈N且eij≠eji
3.如权利要求2所述的基于加权熵的网络攻击监测方法,其特征在于,确定复杂网络权值集
Figure FDA00039716732600000113
具体包括:节点对(vi,vj)间关系程度的大小抽象为方向边eij的权重wij,所有边的权重共同组成有向边的权值集/>
Figure FDA0003971673260000021
权值集的权重元素wij与向边集/>
Figure FDA0003971673260000022
中的边eij一一对应。
4.如权利要求1所述的基于加权熵的网络攻击监测方法,其特征在于,用
Figure FDA0003971673260000023
表示节点i的度集合,其中包括复杂网络节点度k(vi),出度kout(vi),入度km(vi),其计算方法为:
Figure FDA0003971673260000024
Figure FDA0003971673260000025
k(vi)=kin(vi)+kout(vi)
其中,eij和eji为边集中的边元素;N为节点个数。
5.如权利要求1所述的基于加权熵的网络攻击检测方法,其特征在于,
Figure FDA0003971673260000026
表示节点的强度集合,其中包括复杂网络节点强度s(vi),出强度sout,入强度sin,其计算方法为:
Figure FDA0003971673260000027
Figure FDA0003971673260000028
s(vi)=sin(vi)+sout(vi)
其中,wij和wji为权值集的权重元素,N为节点个数。
6.如权利要求1所述的基于加权熵的网络攻击监测方法,其特征在于,确定复杂网络局部结构具体包括:如果节点i和节点j间存在直接相连的边eji,则节点j是节点i的一层节点;如果节点i和节点h没有直接连接,而是通过节点j和两条边ehj和eji连接,则节点h是节点i的一个二层节点。
7.如权利要求6所述的基于加权熵的网络攻击监测方法,其特征在于,根据设备节点个数N确定电力系统n层局部网络,其中
Figure FDA0003971673260000031
8.如权利要求7所述的基于加权熵的网络攻击监测方法,其特征在于,所述n层局部网络具体为:在基于双向异权边的复杂网络模型
Figure FDA0003971673260000032
中,n层结构共同组成含有双向异权边的n层邻居关系的电力系统n层局部网络Gni
9.如权利要求1所述的基于加权熵的网络攻击监测方法,其特征在于,抗毁熵计算方法为:
Figure FDA0003971673260000033
节点抗毁性E(vi)等于多层结构下各层熵值和;
E(vi)=E1(vi)+E2(vi)+...+En(vi)
抗毁熵表示电力系统网络节点的抗毁性,抗毁性越高意味着当网络遭受外部攻击时受到影响的可能性越小,抗毁性越低意味着被外部攻破的可能性越高。
CN202211515139.0A 2022-11-30 2022-11-30 一种基于加权熵的网络攻击监测方法 Pending CN115865479A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211515139.0A CN115865479A (zh) 2022-11-30 2022-11-30 一种基于加权熵的网络攻击监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211515139.0A CN115865479A (zh) 2022-11-30 2022-11-30 一种基于加权熵的网络攻击监测方法

Publications (1)

Publication Number Publication Date
CN115865479A true CN115865479A (zh) 2023-03-28

Family

ID=85668040

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211515139.0A Pending CN115865479A (zh) 2022-11-30 2022-11-30 一种基于加权熵的网络攻击监测方法

Country Status (1)

Country Link
CN (1) CN115865479A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721207A (zh) * 2016-01-29 2016-06-29 国家电网公司 电力通信网中通信节点重要度的确定方法和装置
CN106790099A (zh) * 2016-12-26 2017-05-31 大连大学 基于网络抗毁熵的指控网络抗毁测度方法
CN109598552A (zh) * 2018-11-28 2019-04-09 东南大学 一种基于复杂网络理论的跨境电力贸易市场特征分析方法
WO2022180255A1 (en) * 2021-02-27 2022-09-01 Hitachi Energy Switzerland Ag Power grid topology determination

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721207A (zh) * 2016-01-29 2016-06-29 国家电网公司 电力通信网中通信节点重要度的确定方法和装置
CN106790099A (zh) * 2016-12-26 2017-05-31 大连大学 基于网络抗毁熵的指控网络抗毁测度方法
CN109598552A (zh) * 2018-11-28 2019-04-09 东南大学 一种基于复杂网络理论的跨境电力贸易市场特征分析方法
WO2022180255A1 (en) * 2021-02-27 2022-09-01 Hitachi Energy Switzerland Ag Power grid topology determination

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
先九洲: "基于多指标融合的复杂网络节点重要度评估方法", 《CNKI优秀硕士学位论文全文数据库》, 15 August 2021 (2021-08-15), pages 43 - 46 *
张诗琪,等: "基于信息熵的电力信息耦合网络重要节点评估", 《科学技术与工程》, vol. 22, no. 17, 18 June 2022 (2022-06-18), pages 7042 - 7049 *

Similar Documents

Publication Publication Date Title
EP3528463B1 (en) An artificial intelligence cyber security analyst
US20220124108A1 (en) System and method for monitoring security attack chains
Sangkatsanee et al. Practical real-time intrusion detection using machine learning approaches
CN108400895B (zh) 一种基于遗传算法改进的bp神经网络安全态势评估算法
US10609057B2 (en) Digital immune system for intrusion detection on data processing systems and networks
Srivastav et al. Novel intrusion detection system integrating layered framework with neural network
Mukhopadhyay et al. Back propagation neural network approach to Intrusion Detection System
Efstathopoulos et al. Operational data based intrusion detection system for smart grid
David et al. Zero day attack prediction with parameter setting using Bi direction recurrent neural network in cyber security
Li et al. Intelligent intrusion detection method of industrial internet of things based on CNN-BiLSTM
Cheng et al. Cyber situation perception for Internet of Things systems based on zero‐day attack activities recognition within advanced persistent threat
JP2023549284A (ja) 分散型テレメトリデータ分析によるマルウェア検出
Dairi et al. Semi-supervised deep learning-driven anomaly detection schemes for cyber-attack detection in smart grids
Sen et al. Towards an approach to contextual detection of multi-stage cyber attacks in smart grids
Alheeti et al. Intelligent detection system for multi-step cyber-attack based on machine learning
Tanaka et al. IoT system security issues and solution approaches
CN115865479A (zh) 一种基于加权熵的网络攻击监测方法
Wang et al. Network security situation evaluation based on modified DS evidence theory
Nicheporuk et al. A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication.
CN102111302A (zh) 一种蠕虫检测方法
Japertas et al. Method of early staged cyber attacks detection in IT and telecommunication networks
Zhao et al. Quantitative evaluation model of network security situation based on DS evidence theory
Gurin et al. Intrusion detection system on the basis of data mining algorithms in the industrial network
CN113132414A (zh) 一种多步攻击模式挖掘方法
CN113162904A (zh) 一种基于概率图模型的电力监控系统网络安全告警评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination