CN116112283A - 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统 - Google Patents

一种基于cnn-lstm的电力系统网络安全态势预测方法及系统 Download PDF

Info

Publication number
CN116112283A
CN116112283A CN202310196757.1A CN202310196757A CN116112283A CN 116112283 A CN116112283 A CN 116112283A CN 202310196757 A CN202310196757 A CN 202310196757A CN 116112283 A CN116112283 A CN 116112283A
Authority
CN
China
Prior art keywords
data
abnormal behavior
cnn
time
lstm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310196757.1A
Other languages
English (en)
Inventor
曹扬
陶文伟
苏扬
陆力瑜
庞晓健
易思瑶
李孟阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202310196757.1A priority Critical patent/CN116112283A/zh
Publication of CN116112283A publication Critical patent/CN116112283A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/50Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Biophysics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)

Abstract

本发明公开了一种基于CNN‑LSTM的电力系统网络安全态势预测方法及系统,该方法包括对过去某一时间段内的电力监控系统中与网络安全相关的数据进行收集,将所述数据进行汇总并进行预处理获得第一初始数据集,所述的第一初始数据集将作为CNN‑LSTM模型的预测数据。同时对过去另外一时间段内的电力监控系统中与网络安全相关的数据进行收集,将所述数据进行汇总并进行预处理获得第二初始数据集,所述的第二初始数据集将作为CNN‑LSTM模型的训练集。模型通过训练集完成训练工作,当模型完成拟合之后,再将预测数据输入到模型当中,模型将会输出未来一段时间内的安全态势值,结合安全态势值对该时间段内的网络安全进行评估。本方法可以对未来一段时间段内的网络安全态势进行预测,电力监控系统的网络安全态势预测可以帮助电网安全管理人员提前了解到未来一段时间内的网络安全态势情况。

Description

一种基于CNN-LSTM的电力系统网络安全态势预测方法及系统
技术领域
本发明涉及电力系统网络安全态势预测技术领域,特别是涉及一种基于CNN-LSTM的电力系统网络安全态势预测方法及系统。
背景技术
随着电力系统的高速发展,其信息化和自动化技术也在不断提高,电力系统在给用户带来便利的同时系统安全问题也越发重要。电力系统的监控是用来监控电力的生产和供应过程,也是电力系统平稳安全运行的重要保障。电力系统监控是利用计算机技术为基础,同时采用通信及数据网络技术保护电力系统的安全。电力系统所面临的安全问题日益严重,如果遭受到了网络安全攻击,可能会导致大面积的电力问题,严重威胁国家安全和居民生活。
电力系统监控的建立,其目的是为了防止黑客、病毒、恶意的网络攻击对电力系统造成破坏、非法操作、数据窃取等恶意行破坏行为。电力系统监控一般有防护、监控、加固三个方面,这三个方面相辅相成,形成了电力系统的保护网。而网络安全态势预测可以在监控体系中起到预警的作用,在恶意操作到来之前提前做好防护。
电力系统网络安全态势预测可以实时的掌握网络安全,监控网络中的安全事件,分析异常行为操作,可以在异常行为到来之前提前预警,防患于未然,使得电力系统安全从被动转为主动,通过对电力系统网络安全的态势预测,管理者可以判断目前网络所处的安全状态,从而更好地理解网络状态及其所受攻击的状态,在网络异常行为之前,管理者可以有充足的时间采用相应对的措施。
目前电力系统网络安全态势预测技术还处于起步阶段,在电力系统安全防护上存在着预警能力不足的问题,具体表现为表现为,难以采集主站与分站段安全网络相关的数据,缺乏一定的监控与数据分析,电力系统安全的规范性严重依赖于人工判断,整体判断效率低下,电力系统安全数据的数据不规范,很难直接用于数据分析,同时现行的监控系统难以对网络安全态势进行监测与分析预警。
因此,建立一个电力系统网络安全态势预测系统,实现对各个电力系统进行多方位、不间断的监控,及时发现并预警网络中存在的非法事件,进而实现电力系统网络态势的预警,成为目前电力系统网络安全的重要需求。
发明内容
本发明提供了一种基于CNN-LSTM的电力系统的网络安全态势预测方法及系统。
本发明提供的方案如下:
一种基于CNN-LSTM的电力系统的网络安全态势预测方法,包括:
对过去的某一时间段内的电力监控系统和网络安全有关的数据进行收集,所收集的这些数据中应当包含正常数据和异常行为数据,将所收集的数据按照时间序列整理汇总,通过预处理操作后获得第一初始数据集;
将所述的第一初始数据集作为输入数据输入到训练完成的CNN-LSTM模型中,作为模型的预测数据,模型可以输出未来一段时间内网络安全态势的预测结果。
优选地:所述对过去某一时间段内的电力系统中与网络安全相关的数据进行收集,包括:
收集和预处理过去某一时间段内的电力系统中安全设备的日志文件,所收集的日志文件数据应当包括正常行为数据和异常行为数据。
优选地:所述预处理包括采用K-means算法对所述数据进行聚类,使用PCA降维算法对数据进行除噪,从而得到所述的初始数据集。
优选地:对过去另外一个时间段内的电力系统中安全设备的日志文件,所收集的日志文件数据应当包括正常行为数据和异常行为数据,将所述的数据进行汇总和数据预处理后得到第二初始数据集,同时将所述的异常行为数据单独提取出来,获得异常行为数据集;
通过所述的异常行为数据集计算获得安全态势的值;
将所述的第二初始数据集作为CNN-LSTM模型的训练集,用于完成所述模型的训练工作,将所述第二初始数据集作为输入数据输入到CNN-LSTM模型中,模型可以输出训练时的输出值;
将所述训练输出值与所述安全态势的值进行均方误差计算,通过所述均方误差值与期望值的对比结果判断CNN-LSTM模型是否完成拟合。
优选地:所述通过异常行为数据集计算安全态势的值,包括:
收集过去另外一个时间段内的电力监控系统中安全设备的日志文件,将所述文件中的数据进行整合和预处理,所述预处理包括采用K-means算法对数据进行聚类,使用PCA降维算法对数据进行除噪,从而得到所述的第二初始数据集,同时将所述的异常行为数据单独提取出来,获得异常行为数据集;
将多个所述的异常行为组合成一个异常行为序列;
将所述异常行为序列进行量化定义和事件的发生统计频率加权平均计算得到所述的安全势态的值。
优选地:每个所述的异常行为都使用一个六元组(st,info,time,v,dt,pro)表示;
所述六元组中,st表示异常行为的源;dt表示异常行为的目的节点;info表示异常行为的详细信息;time表示发生异常行为的时间;v表示异常行为利用的系统脆弱性;pro表示发生异常行为的概率。
优选地:若异常行为已经发生了或是异常行为被捕捉到,那么pro=1,若此次异常行为是被模型预测得出的异常行为,那么pro的取值范围为[0,1]。
优选地:每个所述的异常行为序列采用第二个六元组(id,times,timee,p,va,proa)表示;
所述的第二个六元组中,id是异常行为序列的标识符;times是该异常行为序列的开始时间;timee是该异常行为序列的结束时间;p是该异常行为序列中所涉及到的所有资产的合集;va是该异常行为序列利用的系统脆弱性的合集;proa是异常行为序列所发生的概率。
优选地:所述的某一时间段和另外一时间段应当为不同的时间段。
一种基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,所述系统包括:
第一初始数据集的获取单位,该单元用于收集过去某一时间段内的电力监控系统和网络安全有关的数据,所收集的这些数据中应当包含正常数据和异常行为数据,将所收集的数据按照时间序列整理汇总,通过预处理操作后获得第一初始数据集;
网络安全态势的预测单元,该单元用于将所述的第一初始数据集作为输入数据从而输入到已经完成拟合的CNN-LSTM模型当中,使得CNN-LSTM可以输出未来一段时间内的网络安全态势的预测结果。
与现有的技术手段相比,本发明具备了以下优点:
本发明可以实现一种基于CNN-LSTM的电力系统网络安全态势预测方法及系统,在此方式下,本方法对过去的某一时间段内的电力监控系统和网络安全有关的数据进行收集,所收集的这些数据中应当包含正常数据和异常行为数据,将所收集的数据按照时间序列整理汇总,通过预处理操作后获得第一初始数据集;将所述的第一初始数据集作为输入数据输入到训练完成的CNN-LSTM模型中,作为模型的预测数据,模型可以输出未来一段时间内网络安全态势的预测结果。本申请所阐述的基于CNN-LSTM模型对电力系统监控的方法,可以预测未来一段时间内的电力系统网络安全态势情况,而管理人员可以通过未来一段时间网络安全态势的情况,采用相应的应对手段,即在攻击威胁到来之前就做好防护,做到防患于未然。
附图说明
为了可以详细的介绍本发明实施例或者现有的技术手段,下面对实施例中需要的附图做简单地介绍,下述的附图仅为本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图l为本发明实施示例所提供的一种基于CNN-LSTM的电力系统网络安全态势预测方法的流程图;
图2为本发明实施示例所提供的CNN-LSTM模型结构图。
具体实施方式
为了让本发明实施示例的目的、技术手段以及方案优点更加明了,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行详细、清楚地描述。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,为本发明实施例一所提供的一种基于CNN-LSTM的电力系统的网络安全态势预测方法,该方法具体过程如下:
对过去的某一时间段内的电力监控系统和网络安全有关的数据进行收集,所收集的这些数据中应当包含正常数据和异常行为数据,将所收集的数据按照时间序列整理汇总,通过预处理操作后获得第一初始数据集;
将所述的第一初始数据集作为输入数据输入到训练完成的CNN-LSTM模型中,作为模型的预测数据,模型可以输出未来一段时间内网络安全态势的预测结果。
本申请实施例一所提供的方法,使用收集的过去某一事件段内的数据,所述数据应当包含正常行为样本和异常行为样本,将所述数据经过数据预处理之后作为预测数据输入到已经完成拟合的CNN-LSTM模型中,模型会输出未来一段时间内的预测结果,电网安全工作人员可以参照对应的网络安全态势结果,掌握可能会发生的攻击威胁,从而提前找到相应的解决办法,做到未雨绸缪。
具体的,所述对过去某一时间段内的电力系统中与网络安全相关的数据进行收集,包括:
收集和预处理过去某一时间段内的电力系统中安全设备的日志文件,所收集的日志文件数据应当包括正常行为数据和异常行为数据。
所述预处理包括采用K-means算法对数据进行聚类,使用PCA降维算法对数据进行除噪,从而得到所述的初始数据集。
本申请实施例是使用CNN-LSTM模型作为预测模型,为了提高CNN-LSTM模型的精度,本申请实施例还可以提供:
收集过去另外一个时间段内的电力系统中安全设备的日志文件,所收集的日志文件数据应当包括正常行为数据和异常行为数据,将所述的数据进行汇总和数据预处理后得到第二初始数据集,同时将所述的异常行为数据单独提取出来,获得异常行为数据集;
通过所述的异常行为数据集计算获得安全态势的值。
将所述的第二初始数据集作为CNN-LSTM模型的训练集,用于完成所述模型的训练工作,将所述第二初始数据集作为输入数据输入到CNN-LSTM模型中,模型可以输出训练时的输出值;
将所述训练输出值与所述安全态势的值进行均方误差计算,通过所述均方误差值与期望值的对比结果判断CNN-LSTM模型是否完成拟合。
所述通过所述的异常行为数据集计算安全态势的值,包括:
收集过去另外一个时间段内的电力监控系统中安全设备的日志文件,将所述文件中的数据进行整合和预处理,所述预处理包括采用K-means算法对所述数据进行聚类,使用PCA降维算法对数据进行除噪,从而得到所述的第二初始数据集,同时将所述的异常行为数据单独提取出来,获得异常行为数据集;
将多个所述的异常行为组合成一个异常行为序列;
将所述异常行为序列进行量化定义和事件的发生统计频率加权平均计算得到所述的安全势态的值。
每个所述的异常行为都使用一个六元组(st,info,time,v,dt,pro)表示;
所述六元组中,st表示异常行为的源;dt表示异常行为的目的节点;info表示异常行为的详细信息;time表示发生异常行为的时间;v表示异常行为利用的系统脆弱性;pro表示发生异常行为的概率。若异常行为已经发生了或是异常行为被捕捉到,那么pro=1,若此次异常行为是被模型预测得出的异常行为,那么pro的取值范围为[0,1]。
每个所述的异常行为序列采用第二个六元组(id,times,timee,p,va,proa)表示;
所述的第二个六元组中,id是异常行为序列的标识符;times是该异常行为序列的开始时间;timee是该异常行为序列的结束时间;p是该异常行为序列中所涉及到的所有资产的合集;va是该异常行为序列利用的系统脆弱性的合集;proa是异常行为序列所发生的概率。
所述的某一时间段和另外一时间段应当为不同的时间段。
本申请实施例一所阐述的方法,对电力系统网络安全态势预测可以分为三个步骤:第一步为数据收集阶段,在该阶段中获得第一初始数据集、第二初始数据集和异常行为数据集。第二步为态势计算阶段,在该阶段通过异常行为数据计算安全态势的值。第三步为态势预测阶段,在该阶段将预测数据输入到已经训练好的CNN-LSTM模型当中,模型会输出未来一段时间内的态势值。另外在数据收集阶段所收集的第一初始数据集将被作为预测数据输入到已经训练好的CNN-LSTM模型中,以此获得未来时间段内的态势数据,所收集的第二初始数据集作为训练集被用来训练CNN-LSTM模型。在态势计算阶段所计算出的安全态势的值则会被用来评估CNN-LSTM模型的训练结果。
首先,网络安全态势预测的第一个阶段是数据收集,使用数据融合等技术对多个数据源的安全日志进行提取,获得影响安全态势的数据特征;
其次,网络安全态势预测的第二个阶段是态势计算,使用态势特征计算出态势值,并且根据所计算的态势结果进行分析,得出当前的网络安全态势情况;
最后,网络安全态势预测的第三个阶段是态势预测,使用从过去到现在一段时间内的态势值预测未来一段时间内的态势变化,从而帮助管理人员采取相应的措施。态势预测环节是整个方法的核心部分。电力系统的网络安全态势预测的流程图如图1所示。
电力系统网络安全态势数据是依据网络攻击过程和硬件设备产生告警的非线性时序化数据,通过各种不同的告警加权获得可以表现网络安全状态的安全态势值x,所以可以得到一个抽象函数x=f(t),并且安全态势函数是一个非线性函数。
网络安全态势预测可以转化为一个时序问题,假设网络安全态势的事件序列为x={xi|xi∈R,i=1,2,…,n},网络安全态势预测问题则是通过前m个时刻的态势情况预测后t个时刻的态势变化。
(1)数据收集,网络安全态势预测的第一阶段:收集电力系统网络安全相关的日志数据,将这些数据进行预处理之后获得第一初始数据集、第二初始数据集和异常行为数据集。
(2)态势计算,网络安全态势预测的第二阶段:根据第一阶段所收集到的异常行为数据集进行融合计算,获得网络安全态势值以及其相关特征。这些特征包含了攻击频率、数量以及网络受威胁程度等,随着这些特征的变化网络安全态势值也会相应的发生改变。
(3)态势预测,网络安全态势预测的第三阶段:使用CNN-LSTM模型学习第一阶段所收集到的第二初始数据集,待模型完成拟合之后,再将第一初始数据集作为输入数据输入到CNN-LSTM模型中,模型输出未来一段时间内的网络安全态势情况。
CNN-LSTM模型是将CNN模型与LSTM模型搭配使用的混合神经网络,该模型首先通过CNN模型强大的特征提取能力获得数据的特征分布,再通过LSTM对数据的时序特征进行提取。相较于单一的神经网络模型,这种混合神经网络具备更加强大的特征提取能力,从而使得模型的整体精度更高,对结果的预测也更加准确。
CNN-LSTM模型由CNN模型和LSTM模型两个部分组成,模型的整体架构如图2所示。CNN模型部分由输入层、卷积层、池化层以及全连接层组成,LSTM模型部分由LSTM层、全连接层和输出层组成。电网安全态势数据首先经过CNN部分处理,提取数据的局部特征,返回一个高维向量再传输到LSTM模型中,LSTM提取数据的时序特征,最后通过输出层输出模型的预测结果。
CNN模型部分由两个卷积层和两个池化层组成,前一个卷积层和池化层将使用小窗口的卷积核提取数据的局部特征,之后通过池化层池化获得清晰的特征,后一个卷积层和池化层则使用较大窗口的卷积核提取位置较远的特征之间的相互关系。卷积层表达式如式(1):
Figure BDA0004107533810000071
式(1)中,f为卷积核的大小;b为偏置项;w为权重矩阵;c为卷积核数量;l为层数;S为步幅;Z(i,j)是数据特征;x为数据中的字节;y为数据中的有效负载字节。
卷积层中所使用的激活函数可以如式(2)表示:
Figure BDA0004107533810000072
式(2)中,A表示向量Z通过激活函数输出的向量,CNN模型部分中两个卷积层分别使用了sigmoid激活函数和relu激活函数;k表示数据特征的维度。
通过卷积层的局部特征提取之后,需要再使用池化层进行特征选择。池化层的计算公式如式(3):
Figure BDA0004107533810000073
式(3)中,p是一个预先指定的参数。
在模型进行训练的过程中,会通过反向传播来优化模型的参数,优化过程表达式如式(4)所示:
wl=wl-α∑δl·Al-1    (4)
式(4)中,w为权值矩阵;δ为损失函数的增量误差;α为学习率。
数据经过两次卷积和池化操作之后,再传入到LSTM模型部分。LSTM模型部分主要由两个LSTM层和一个全连接层构成,在LSTM层中首先是将单元状态中的信息进行选择性的丢弃,这一过程由遗忘门进行计算,计算公式如式(5)所示:
ft=σ(Wf[ht-1,xt]+bf)   (5)
式(5)中,xt表示t时刻的输入序列;ht-1表示上一时刻的输出向量;W表示神经网络中的权重参数;b表示偏置项。遗忘门通过上一时刻的输出ht-1和当前时刻的输入xt计算遗忘多少数据信息。
数据经过遗忘门之后,LSTM需要更新数据信息,tanh函数会生成一个向量作为更新信息的替代,具体更新过程如式(6)到式(8)所示:
It=σ(Wi[ht-1,xt]+bi) (6)
Figure BDA0004107533810000074
Figure BDA0004107533810000075
由输出门确定最后的输出,输出时使用sigmoid函数控制被导出的情况,由tanh函数控制有多少当前时刻的信息进入隐藏状态ht,具体计算过程如式(9)到式(10)所示。
Ot=σ(Wo[ht-1,xt]+bo    (9)
ht=0t·tanh(Ct)   (10)
在整个CNN-LSTM模型中,输入空间Rn会通过CNN-LSTM的非线性计算转化到输出空间Rm上,而网络安全态势数据则是一种非线性的时序数据,对网络安全态势的预测是从前N个时刻的数据预测未来的M时刻态势情况,本质上就是一种Rn映射到Rm的关系。
对CNN-LSTM模型训练的具体步骤包括:
本申请所提供的方法主要是在数据收集阶段收集电力系统中网络安全相关的数据,之后在态势计算阶段将所收集到的异常行为数据进行计算,得到相应的态势值,最后将数据送入到CNN-LSTM模型当中进行训练,待模型完成拟合之后用预测数据数据预测未来一段时间内的网络态势情况。
数据收集阶段:
在该阶段通过收集电力系统中与网络安全相关的硬件设备日志,提取出日志数据,这些数据中包含了正常数据和被攻击数据,使用K-means算法对所述数据进行聚类,使用PCA降维算法对数据进行除噪,得到第一初始数据集、第二初始数据集和异常行为数据集。
每个异常行为都使用一个六元组(st,info,time,v,dt,pro)表示。st表示异常行为的源;dt表示异常行为的目的节点;info表示异常行为的详细信息;time为发生异常行为的时间;v为异常行为利用的系统脆弱性;pro为发生异常行为的概率。若异常行为已经发生了或是异常行为被捕捉到,那么pro=1,若此次异常行为是被模型预测得出的异常行为,那么pro的取值范围为[0,1]。
多个异常行为组成异常行为序列,异常行为序列采用第二个六元组(id,times,timee,p,va,proa)表示。id是异常行为序列的标识符;times是该异常行为序列的开始时间;timee是该异常行为序列的结束时间;p是该异常行为序列中所涉及到的所有资产的合集;va是该异常行为序列利用的系统脆弱性的合集;proa为异常行为序列所发生的概率,可以由异常行为序列中所有的攻击动作发生次数得出。
态势计算阶段:
在收据收集阶段所获得的异常行为数据集作为态势计算的可用数据,网络安全态势值得计算是权值定义和事件发生统计的频率加权。所计算出的网络安全态势值会用来评估CNN-LSTM模型的训练情况,从而优化模型的参数,使得模型具备更好的预测精度。所计算出的网络安全态势值会在真实的网络安全场景中应用和验证,可以验证CNN-LSTM模型在真实场景下的预测分析结果,通过结果的反馈,重新对模型进行优化,提高下一次预测分析的准确性和目的性。
态势预测阶段:
态势预测阶段会构建CNN-LSTM模型,CNN-LSTM模型包括了前向传播和反向传播。前向传播指的是根据输入计算输出,通过每一个网络层的组合来表示整个模型,数据的传播方向是自下而上的,所以称之为前向传播。反向传播指的是为了优化损失值,模型会将损失值反馈到网络层中,进而重新优化网络层中的权值矩阵,反向传播使用的是随机梯度下降法,训练各个网络层中的权值矩阵。
在构建好CNN-LSTM模型框架之后,需要对模型进行训练才能应用到预测场景当中,将数据收集阶段所收集到的第二初始数据集作为输入数据输入到模型中,之后通过训练样本所得到的训练结果与态势计算阶段所得到的网络安全态势值进行均方误差计算,反向更新模型中各个网络层的权值矩阵,重复该过程直至均方误差小于期望误差,至此模型拟合完成,最后通过一定量的测试数据测试模型的表现效果。
本申请所提供的一种基于CNN-LSTM的电力系统的网络安全态势预测方法,可以对未来一定时间段内的网络安全态势进行预测,通过CNN-LSTM模型的预测结果,电网安全管理人员可以提前掌握电网安全的相关情况,提前了解到可能发生的威胁,并通过相对应的办法解决攻击威胁,做到防患于未然。
实施例二
与本申请实施例一所提供的一种基于CNN-LSTM的电力系统的网络安全态势预测方法对应,本申请实施例二提供了一种基于CNN-LSTM的电力系统的网络安全态势预测系统,该系统包括:
第一初始数据集的获取单位,该单元用于收集过去某一时间段内的电力系统中和网络安全有关的数据进行收集,所收集的这些数据中应当包含正常数据和异常行为数据,将所收集的数据按照时间序列整理汇总,通过预处理操作后获得第一初始数据集;
网络安全态势的预测单元,该单元用于将所述的第一初始数据集作为输入从而输入到已经完成拟合的CNN-LSTM模型当中,使得CNN-LSTM可以输出未来一段时间内的网络安全态势的预测结果。
需要说明的,本文中所述的某一时间段和另外一时间段应当为不同的时间段,即第一初始数据集和第二初始数据集应为不同数据集。在术语中“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上实施例仅用以说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于:
对过去的某一时间段内的电力监控系统和网络安全有关的数据进行收集,所收集的这些数据中应当包含正常数据和异常行为数据,将所收集的数据按照时间序列整理汇总,通过预处理操作后获得第一初始数据集:
将所述的第一初始数据集作为输入数据输入到训练完成的CNN-LSTM模型中,作为模型的预测数据,模型可以输出未来一段时间内网络安全态势的预测结果。
2.根据权利要求1所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,所述对过去某一时间段内的电力系统中与网络安全相关的数据进行收集,包括:
收集和预处理过去某一时间段内的电力系统中安全设备的日志文件,所收集的日志文件数据应当包括正常行为数据和异常行为数据。
3.根据权利要求2所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,所述预处理包括采用K-means算法对所述数据进行聚类,使用PCA降维算法对数据进行除噪,从而得到所述的第一初始数据集。
4.根据权利要求1所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,对过去另外一个时间段内的电力系统中安全设备的日志文件,所收集的日志文件数据应当包括正常行为数据和异常行为数据,将所述的数据进行汇总和数据预处理后得到第二初始数据集,同时将所述的异常行为数据单独提取出来,获得异常行为数据集;
通过所述的异常行为数据集计算获得安全态势的值;
将所述的第二初始数据集作为CNN-LSTM模型的训练集,用于完成所述模型的训练工作,将所述第二初始数据集作为输入输入到CNN-LSTM模型中,模型可以输出训练时的输出值;
将所述训练输出值与所述安全态势的值进行均方误差计算,通过所述均方误差值与期望值的对比结果判断CNN-LSTM模型是否完成拟合。
5.根据权利要求4所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,所述通过所述的异常行为数据集计算安全态势的值,包括:
收集过去另外一个时间段内的电力监控系统中安全设备的日志文件,将所述文件中的数据进行整合和预处理,所述预处理包括采用K-means算法对所述数据进行聚类,使用PCA降维算法对数据进行除噪,从而得到所述的第二初始数据集,同时将所述的异常行为数据单独提取出来,获得异常行为数据集;
将多个所述的异常行为组合成一个异常行为序列;
将所述异常行为序列进行量化定义和事件的发生统计频率加权平均计算得到所述的安全势态的值。
6.根据权利要求5所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,每个所述的异常行为都使用一个六元组(st,info,time,v,dt,pro)表示;
所述六元组中,st表示异常行为的源;dt表示异常行为的目的节点;info表示异常行为的详细信息:time表示发生异常行为的时间;v表示异常行为利用的系统脆弱性;pro表示发生异常行为的概率。
7.根据权利要求6所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,若异常行为已经发生了或是异常行为被捕捉到,那么pro=1,若此次异常行为是被模型预测得出的异常行为,那么pro的取值范围为[0,1]。
8.根据权利要求6所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,每个所述的异常行为序列采用第二个六元组(id,times,timee,p,va,proa)表示;
所述的第二个六元组中,id是异常行为序列的标识符;times是该异常行为序列的开始时间;timee是该异常行为序列的结束时间;p是该异常行为序列中所涉及到的所有资产的合集;va是该异常行为序列利用的系统脆弱性的合集;proa是异常行为序列所发生的概率。
9.根据权利要求4所述的基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,所述的某一时间段和另外一时间段应当为不同的时间段。
10.一种基于CNN-LSTM的电力系统网络安全态势预测方法,其特征在于,所述系统包括:
第一初始数据集的获取单元,该单元用于收集过去某一时间段内的电力监控系统和网络安全有关的数据进行收集,所收集的这些数据中应当包含正常数据和异常行为数据,将所收集的数据按照时间序列整理汇总,通过预处理操作后获得第一初始数据集;
网络安全态势的预测单元,该单元用于将所述的第一初始数据集作为输入数据输入到已经完成拟合的CNN-LSTM模型当中,使得CNN-LSTM可以输出未来一段时间内的网络安全态势的预测结果。
CN202310196757.1A 2023-03-02 2023-03-02 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统 Pending CN116112283A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310196757.1A CN116112283A (zh) 2023-03-02 2023-03-02 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310196757.1A CN116112283A (zh) 2023-03-02 2023-03-02 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统

Publications (1)

Publication Number Publication Date
CN116112283A true CN116112283A (zh) 2023-05-12

Family

ID=86261652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310196757.1A Pending CN116112283A (zh) 2023-03-02 2023-03-02 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统

Country Status (1)

Country Link
CN (1) CN116112283A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116541251A (zh) * 2023-07-04 2023-08-04 天津通信广播集团有限公司 显示设备状态预警方法、装置、设备和计算机可读介质
CN117171548A (zh) * 2023-11-03 2023-12-05 北京格蒂智能科技有限公司 一种基于电网大数据的网络安全态势智能预测方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116541251A (zh) * 2023-07-04 2023-08-04 天津通信广播集团有限公司 显示设备状态预警方法、装置、设备和计算机可读介质
CN116541251B (zh) * 2023-07-04 2023-10-20 天津通信广播集团有限公司 显示设备状态预警方法、装置、设备和计算机可读介质
CN117171548A (zh) * 2023-11-03 2023-12-05 北京格蒂智能科技有限公司 一种基于电网大数据的网络安全态势智能预测方法
CN117171548B (zh) * 2023-11-03 2024-02-02 北京格蒂智能科技有限公司 一种基于电网大数据的网络安全态势智能预测方法

Similar Documents

Publication Publication Date Title
CN116112283A (zh) 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统
Gwon et al. Network intrusion detection based on LSTM and feature embedding
CN110909811A (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
Peng et al. Network intrusion detection based on deep learning
Wan et al. Event-Based Anomaly Detection for Non-Public Industrial Communication Protocols in SDN-Based Control Systems.
CN106453417A (zh) 一种基于近邻相似性的网络攻击目标预测方法
CN106101252A (zh) 基于大数据和可信计算的信息安全风险防护系统
Ye et al. EWMA forecast of normal system activity for computer intrusion detection
Nakhodchi et al. Steeleye: An application-layer attack detection and attribution model in industrial control systems using semi-deep learning
CN115099684B (zh) 企业安全生产管理系统及其管理方法
CN110298374B (zh) 一种基于深度学习的驾驶轨迹能耗分析方法和装置
CN111629006A (zh) 融合深度神经网络和层级注意力机制的恶意流量更新方法
CN111669385B (zh) 融合深度神经网络和层级注意力机制的恶意流量监测系统
CN111756687B (zh) 一种应对网络攻击的防御措施配置方法及系统
CN116684878B (zh) 一种5g信息传输数据安全监测系统
CN115208604B (zh) 一种ami网络入侵检测的方法、装置及介质
CN117580046A (zh) 一种基于深度学习的5g网络动态安全能力调度方法
Potluri et al. Deep learning based efficient anomaly detection for securing process control systems against injection attacks
CN117768235A (zh) 一种基于物联网的实时流量监测警报系统
CN116956148A (zh) 一种电力系统数据交互安全威胁信息分析方法
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN114006744B (zh) 一种基于lstm的电力监控系统网络安全态势预测方法及系统
CN116662184A (zh) 一种基于Bert的工控协议模糊测试用例筛选方法及系统
Zhang et al. False data injection attack testbed of industrial cyber-physical systems of process industry and a detection application
Zhang et al. A novel network intrusion attempts prediction model based on fuzzy neural network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication