CN114006744B - 一种基于lstm的电力监控***网络安全态势预测方法及*** - Google Patents
一种基于lstm的电力监控***网络安全态势预测方法及*** Download PDFInfo
- Publication number
- CN114006744B CN114006744B CN202111263080.6A CN202111263080A CN114006744B CN 114006744 B CN114006744 B CN 114006744B CN 202111263080 A CN202111263080 A CN 202111263080A CN 114006744 B CN114006744 B CN 114006744B
- Authority
- CN
- China
- Prior art keywords
- attack
- monitoring system
- power monitoring
- abnormal behavior
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 42
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 56
- 238000013528 artificial neural network Methods 0.000 claims abstract description 44
- 238000007781 pre-processing Methods 0.000 claims abstract description 20
- 230000007787 long-term memory Effects 0.000 claims abstract description 18
- 230000000306 recurrent effect Effects 0.000 claims abstract description 12
- 230000006403 short-term memory Effects 0.000 claims abstract description 9
- 230000009471 action Effects 0.000 claims description 43
- 125000004122 cyclic group Chemical group 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 26
- 238000004364 calculation method Methods 0.000 claims description 23
- 238000012549 training Methods 0.000 claims description 22
- 230000006399 behavior Effects 0.000 claims description 20
- 238000004140 cleaning Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 4
- 210000004027 cell Anatomy 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000001276 controlling effect Effects 0.000 description 3
- 238000003062 neural network model Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000002787 reinforcement Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000009933 burial Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于LSTM的电力监控***网络安全态势预测方法及***,该方法包括对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络。本申请提供的方法基于LSTM模型对电力监控***,可以对未来一段时间段内的网络安全态势进行预测,电力监控***的网络安全态势预测可以给管理员生成未来时间段内的威胁信息,然后管理员参考相应的网络安全态势的结果,了解到具体可能发生的威胁,找到对应的解决方法,防患于未然,或者在未发生之前消灭威胁。
Description
技术领域
本发明涉及电力监控***网络安全态势预测技术领域,特别是涉及一种基于LSTM的电力监控***网络安全态势预测方法及***。
背景技术
电力是国家重要的基础设施,关系着国家的经济和人民生活,其安全性尤为重要。而电力监控***用于监视和控制电力生产和供应过程,是电力安全稳定运行的支撑***。它以计算机和网络技术的业务***为技术基础,并且作为基础支撑的通信及数据网络为电力***保驾护航。电力监控***面临的网络安全形势日益严重,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。
建立电力监控***网络安全体系架构,目的是防止黑客、病毒、恶意代码对电力监控***形成恶意破坏、攻击、非法操作、防止电力监控***的瘫痪。电力监控***网络安全体系架构可以从防护、加固、监控三个方面划分,形成了防护体系、加固体系、监控体系。网络安全态势预测可以在监控体系中起到预警的作用,在攻击者未发动攻击前提前预防其攻击。
“态势”的概念最早来源于军事,通常用于说明一个较大范围的、内部结构比较复杂、受多因素影响的被研究对象的状态综合表现,最典型的如战场态势。电力监控***网络同样具有上述特点,因此,在分析电力监控***网络安全中引入“态势”的概念,目的是希望建立一套可行的电力监控***网络安全态势体系,对大型网络的整体状况有一个全面、直观、快速的了解。在日益复杂的网络安全环境下,电力监控***网络安全态势预测的意义日益凸显。
电力监控***网络安全态势预测实时把控网络安全态势,监测网络中的安全事件分析用户的异常行为将事后处理转变为事前预警防患于未然。使电力监控***网络安全从被动变为主动,通过对网络安全态势预测,电力监控***网络管理者可以判断网络安全所处状态的趋势,更好地理解网络状态及其所受攻击的状态。使得在网络遭受攻击和损失之前,网络管埋者能及时采取防御措施,加强网络安全设备的安全策略,更改网络***的安全规则,真正达到敌欲动、我先动的主动防卫目的。
目前,电网公司电力监控***网络安全态势预测领域还处于起步阶段,电力监控***安全防护尚存在网络安全态势预警能力不足的问题,具体表现在主站和厂站端网络安全运行数据采集手段不足,缺乏监管与分析;电力监控***安全合规性过于依赖人工手段,核查效率低下;安全运行数据规范化程度较低,难于直接分析处理;对跨区互联、网络非法接入、移动介质非法接入等典型安全问题缺乏自动发现与管控手段。同时,现有运行管控***无法对网络安全态势进行监测与准确分析预警,距离全天候全方位网络安全态势预测的要求存在显著差距。
因此,建立电力监控***网络安全态势预测***,实现对公司各电力监控***全方位、全天候的网络安全态势预测,及时发现各类网络安全风险以及非法访问事件,实现电力监控***网络安全的态势预警,成为电力监控***网络安全防护的迫切需求。
发明内容
本发明提供了一种基于LSTM的电力监控***网络安全态势预测方法及***。
本发明提供了如下方案:
一种基于LSTM的电力监控***网络安全态势预测方法,包括:
对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;
将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络,以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。
优选地:所述对第一过去时间段内的电力监控***中与网络安全相关的异常行为数据进行收集,包括:
收集第一过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据。
优选地:所述预处理包括采用聚类法对所述第一异常行为数据进行数据清洗,去除数据中的噪声数据获得所述初始数据集。
优选地:对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集,将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集;
通过所述第二初始数据集计算获得安全态势值;
将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络;以便所述长短期记忆循环神经网络输出训练输出值;
将所述训练输出值与所述安全态势值进行误差计算获得误差值,通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成。
优选地:所述通过所述第二初始数据集计算获得安全态势值;包括:
收集第二过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据;所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗,去除数据中的噪声数据获得所述第二初始数据集;
将多个所述攻击行为组成一个攻击序列;
将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值。
优选地:每个所述攻击行为分别采用一个第一六元组(st,info,time,v,dt,pro)表示;
其中,st和dt分别为攻击动作的源和目的节点;info表示攻击动作的描述信息;time为攻击动作的发生时间;v为攻击动作利用的脆弱性;pro为该攻击动作的发生概率。
优选地:如果该攻击动作已经发生或已被检测出,则pro=1,如果该攻击动作为预测得出的攻击动作,则0≤pro≤1。
优选地:每个所述攻击序列分别采用一个第二六元组(ida,times,timee,pa,va,proa)表示;
其中,ida为该攻击序列的唯一标识符;times表示该攻击序列的起始时间;timee为该攻击序列的终止时间;pa为该攻击序列所涉及的资产的集合;va为该攻击序列所利用的脆弱性的集合;proa为攻击序列的发生频率。
优选地:所述第一过去时间段与所述第二过去时间段为同一时间段或不同时间段。
一种基于LSTM的电力监控***网络安全态势预测***,所述***包括:
第一初始数据集获取单元,用于对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;
网络安全态势预测单元,用于将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络,以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
通过本发明,可以实现一种基于LSTM的电力监控***网络安全态势预测方法及***,在一种实现方式下,该方法可以包括对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络,以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。本申请提供的方法基于LSTM模型对电力监控***,可以对未来一段时间段内的网络安全态势进行预测,电力监控***的网络安全态势预测可以给管理员生成未来时间段内的威胁信息,然后管理员参考相应的网络安全态势的结果,了解到具体可能发生的威胁,找到对应的解决方法,防患于未然,或者在未发生之前消灭威胁。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于LSTM的电力监控***网络安全态势预测方法的流程图;
图2是本发明实施例提供的LSTM神经网络结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
参见图1,为本发明实施例一提供的一种基于LSTM的电力监控***网络安全态势预测方法,如图1所示,该方法可以包括:
对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;
将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络,以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。
本申请实施例一提供的方法,采用收集到的过去时间段内包含的多个异常行为数据集经过处理后获得的第一初始数据集作为输入参数集输入经训练完成的长短期记忆循环神经网络,长短期记忆循环神经网络输出的值作为网络安全态势预测结果,管理员参考相应的网络安全态势的结果,了解到具体可能发生的威胁,找到对应的解决方法,防患于未然,或者在未发生之前消灭威胁。
具体的,所述对第一过去时间段内的电力监控***中与网络安全相关的异常行为数据进行收集,包括:
收集第一过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据。
所述预处理包括采用聚类法对所述第一异常行为数据进行数据清洗,去除数据中的噪声数据获得所述初始数据集。
可以理解的是,本申请实施例提供的方法采用LSTM(Long Short-Term Memory)长短期记忆循环神经网络作为预测模型使用,为了可以保证长短期记忆循环神经网络模型训练可以满足精度要求,本申请实施例还可以提供:
对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集,将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集;
通过所述第二初始数据集计算获得安全态势值;
将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络;以便所述长短期记忆循环神经网络输出训练输出值;
将所述训练输出值与所述安全态势值进行误差计算获得误差值,通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成。
所述通过所述第二初始数据集计算获得安全态势值;包括:
收集第二过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据;所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗,去除数据中的噪声数据获得所述第二初始数据集;
将多个所述攻击行为组成一个攻击序列;
将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值。
每个所述攻击行为分别采用一个第一六元组(st,info,time,v,dt,pro)表示;
其中,st和dt分别为攻击动作的源和目的节点;info表示攻击动作的描述信息;time为攻击动作的发生时间;v为攻击动作利用的脆弱性;pro为该攻击动作的发生概率。具体的,如果该攻击动作已经发生或已被检测出,则pro=1,如果该攻击动作为预测得出的攻击动作,则0≤pro≤1。
每个所述攻击序列分别采用一个第二六元组(ida,times,timee,pa,va,proa)表示;
其中,ida为该攻击序列的唯一标识符;times表示该攻击序列的起始时间;timee为该攻击序列的终止时间;pa为该攻击序列所涉及的资产的集合;va为该攻击序列所利用的脆弱性的集合;proa为攻击序列的发生频率。
所述第一过去时间段与所述第二过去时间段为同一时间段或不同时间段。其中,第一过去时间段以及第二过去时间段可以采用同一时间段,也可以采用不同时间段。
本申请实施例一提供的方法,对电力监控***的网络安全态势预测,根据网络安全态势预测原理,电力监控***的网络安全态势预测可分为三个阶段:态势收集阶段(获得第一初始数据集或第二初始数据集)、态势计算阶段(获得安全态势值)、态势预测阶段(采用长短期记忆循环神经网络获得未来时间段的网络安全态势预测结果)。其中的态势收集阶段具有两个用途,可以收集态势预测所需的第一初始数据集,还可以收集态势计算时所需的第二初始数据集。当然两个初始数据集可以共用一组。其中态势计算阶段用于获取安全态势值,该安全态势值用于态势预测阶段所需神经网络训练时对训练是否结束提供比对数据支持。
首先是网络安全态势预测的初始阶段态势要素收集,利用数据融合技术对不同数据源的安全日志等进行处理,提取出影响态势的要素因子;
其次是网络安全态势预测的中间阶段态势计算,计算态势要素得出态势值并根据结果分析当前网络安全态势;
最后是网络安全态势预测的最终阶段态势预测,分析至今一段时间的态势值预测未来的态势,帮助制定相应决策。其中态势预测环节是监测网络安全攻击,预警网络安全风险的重中之重。图1为电力监控***的网络安全态势预测的流程图。
电力监控***的网络安全态势预测根据网络攻击的过程化以及安全设备产生告警的非线性时序化,由各类告警加权得到的具有表现网络运行状况特性的网络安全态势值x,可以抽象为时间序列t的函数,即:x=f(t),此态势值具有非线性的特点。
由此,网络安全态势值可以看作一个时间序列进行处理,因此假定有网络安全态势值的时间序列x={xi|xi∈R,i=1,2,…,L},现在希望通过序列的前N个时刻的态势值,预测出以后的M个态势值。
(1)态势收集,网络安全态势预测的初始阶段:对电力监控***中网络安全的异常行为进行收集,将发生在网络安全中的异常数据进行汇总,并进行预处理。
(2)态势计算,网络安全态势预测的中间阶段:根据态势收集阶段汇总的异常数据进行融合计算,形成具有特征性的数值。
通过一系列数学方法处理,将海量的网络安全信息归并融合成一组或者几组有意义的数值。这些数值具有表现网络运行状况的特性,随着网络安全事件发生的频率、数量,以及网络受威胁程度的不同,该数值的大小会随之产生特征性的变化。
(3)态势预测,网络安全态势预测的最终阶段:利用LSTM(Long Short-TermMemory)长短期记忆循环神经网络对态势计算阶段产生的数值和初始阶段收集到的数据进行学习,并最终预测未来的网络异常和攻击。
LSTM是一种具有长短期记忆功能的循环神经网络,通过gates的调控,允许线性自连接的权重在每一步都可以自我调节变化,能够很好的处理时间序列。而网络安全态势值是具有较强的时序性时间序列,LSTM可以有效的处理网络安全态势值。
LSTM拥有强大的门控***,分别是记忆门、遗忘门、和输出门。可以对输入的信息,选择性的记录或遗忘,更好的处理网络安全态势数据。
与传统神经网络模型每一层使用不同参数相比,在LSTM中,每一层每一个时刻都使用相同的参数,保证了LSTM对所有节点执行相同的操作,从而减少了需要学习参数的个数。
首先在LSTM中,神经网络首先构建了3个gates(i、f、o)来控制信息的流通量。虽然gates的式子构成方式一样,但是3个gates式子W和b的下角标并不相同。它们有各自的物理意义,在网络学习过程中会产生不同的权重。
it=sigmoid(Wxixt+Whiht-1+bi)
ft=sigmoid(Wxfxt+Whfht-1+bf)
ot=sigmoid(Wxoxt+Whoht-1+bo)
将gates装备在循环神经网络(RNN)上来控制信息流,而根据它们所用于控制信息流通的地点不同,它们又被分为:
输入门it:控制有多少信息可以流入memory cell(第四个式子Ct)。
遗忘门ft:控制有多少上一时刻的memory cell中的信息可以累积到当前时刻的memory cell中。
输出门Ot:控制有多少当前时刻的memory cell中的信息可以流入当前隐藏状态ht中。
gates并不提供额外信息,gates只是起到限制信息的量的作用。gates起到的是过滤器作用。
图2展示了LSTM神经网络按照时序展开成全网络结构图。x为输入单元,标记为{x0,xt,…,xt,…},其中xt,代表时刻为t时刻的输入。用s代表隐含单元,标记为{s0,st,…,st,…},其中st,为t时刻的隐含层状态,st通过上一时刻隐含层状态和当前时刻输入计算得到:st=f(Uxt+Wst-1)。函数f一般使用非线性函数如tanh或者ReLU,第一个隐含层状态s,初始化为0。h为输入单元,标记为{h0,ht,…,ht,…}其中ht代表时刻为t时刻的输出。
输入空间Rn通过LSTM非线性转换到输出空间Rm。而通过上面的分析,网络安全态势值是一类非线性较强的时间序列,对它们进行预测,即从前N个数据中预测将来的M个数据,实质上就是找出Rn到Rm的非线性映射关系。本文发明采用LSTM将电力监控***中网络安全的异常数据x,通过学习将其映射为M个值。这M个值代表之后的M个时刻的预。
对该长短期记忆循环神经网络进行训练的原理包括:
本申请提供的方法主要通过态势收集阶段收集电力监控***中网络的攻击数据,然后在态势计算阶段将收集到的数据进行态势值计算,并送入LSTM中进行训练,最终预测未来一段时间内的攻击。
态势收集阶段:
在该阶段将电力监控***中网络安全监测装置、防火墙、网络安全入侵检测装置等其他安全装置的日志文件进行收集,将其中的攻击行为提取出,并采用聚类法进行数据清洗,去除数据中的噪声数据。
然后攻击行为用一个六元组(st,info,time,v,dt,pro)表示,其中st和dt分别表示攻击动作的源和目的节点,如果源节点(目的节点)未知或不存在,则用#表示;info表示攻击动作的描述信息;time表示攻击动作的发生时间,如果攻击动作已发生或已被检测出,则该时间为防护日志记录的时间,如果是预测得出的未来攻击动作,则用预测得出的时间表示;v表示攻击动作利用的脆弱性,如果脆弱性未知或不存在,则用#代替;pro为该攻击动作的发生概率,如果该攻击动作已经发生或已被检测出,则pro=1,如果该攻击动作为预测得出的攻击动作,则0≤pro≤1。
多个攻击行为组成一个攻击序列,攻击序列为一个六元组(ida,times,timee,pa,va,proa),其中ida为该攻击序列的唯一标识符;times表示该攻击序列的起始时间,即该攻击序列起始攻击动作的发生时间;timee为该攻击序列的终止时间,也就是该攻击序列的最后一个攻击动作的发生时间;pa为该攻击序列所涉及的资产的集合,即该攻击序列的攻击动作所涉及的源和目的节点的集合;va为该攻击序列所利用的脆弱性的集合,即该攻击序列的攻击动作所利用的脆弱性的集合;proa为攻击序列的发生频率,由该攻击序列所有攻击动作的发生次数得出。
态势计算阶段:
将态势收集到的攻击序列提取成安全态势要素集从时间维度上预测未来时段内的安全态势要素集,为安全态势的预测提供数据基础。
安全态势值的计算为权值定义和事件发生统计的频率加权平均。随着时间的推移,预测分析得出的安全态势要素集会在实际的网络攻防场景中得到验证和应用,可以验证网络安全态势时间维度预测分析的效果,进而提高下一轮次的安全要素提取和时间维度预测分析的目的性和准确性。
态势预测阶段:
在态势预测阶段需搭建LSTM模型,LSTM包括前向传播和反向传播。在BP神经网络中,前向传播即根据给定的输入计算输出,通过组合每一个layer层的计算来表示整个神经网络模型,传播方式是自底向上,因此称作前向传播。反向传播即根据前向传播计算结果计算损失值,反向传播使用梯度下降算法,训练各神经元参数。
在搭建好LSTM模型后,输入态势收集阶段电力监控***的网络安全数据,即输入训练样本训练得到输出值并与态势计算阶段的安全态势值进行误差计算,反向更新模型参数,重复此过程自至误差小于期望误差。则说明此模型已经训练完成,最后,输入测试验证数据输出测试结果,验证模型的性能。
总之,本申请提供的方法基于LSTM模型对电力监控***,可以对未来一段时间段内的网络安全态势进行预测,电力监控***的网络安全态势预测可以给管理员生成未来时间段内的威胁信息,然后管理员参考相应的网络安全态势的结果,了解到具体可能发生的威胁,找到对应的解决方法,防患于未然,或者在未发生之前消灭威胁。
实施例二
与本申请实施例一提供的一种基于LSTM的电力监控***网络安全态势预测方法相对应,本申请实施例二还提供了一种基于LSTM的电力监控***网络安全态势预测***,该***具体可以包括:
第一初始数据集获取单元,用于对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;
网络安全态势预测单元,用于将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络,以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (4)
1.一种基于LSTM的电力监控***网络安全态势预测方法,其特征在于,所述方法包括:
对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;收集第一过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据;
将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络,以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果;
对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集,将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集;
通过所述第二初始数据集计算获得安全态势值;
将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络;以便所述长短期记忆循环神经网络输出训练输出值;
将所述训练输出值与所述安全态势值进行误差计算获得误差值,通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成;
所述通过所述第二初始数据集计算获得安全态势值;包括:
收集第二过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据;所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗,去除数据中的噪声数据获得所述第二初始数据集;
将多个所述攻击行为组成一个攻击序列;
将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值;
每个所述攻击行为分别采用一个第一六元组(st,info,time,v,dt,pro)表示;
其中,st和dt分别为攻击动作的源和目的节点;info表示攻击动作的描述信息;time为攻击动作的发生时间;v为攻击动作利用的脆弱性;pro为该攻击动作的发生概率;
如果该攻击动作已经发生或已被检测出,则pro=1,如果该攻击动作为预测得出的攻击动作,则0≤pro≤1;
每个所述攻击序列分别采用一个第二六元组(ida,times,timee,pa,va,proa)表示;
其中,ida为该攻击序列的唯一标识符;times表示该攻击序列的起始时间;timee为该攻击序列的终止时间;pa为该攻击序列所涉及的资产的集合;va为该攻击序列所利用的脆弱性的集合;proa为攻击序列的发生频率。
2.根据权利要求1所述的基于LSTM的电力监控***网络安全态势预测方法,其特征在于,所述预处理包括采用聚类法对所述第一异常行为数据进行数据清洗,去除数据中的噪声数据获得所述初始数据集。
3.根据权利要求1所述的基于LSTM的电力监控***网络安全态势预测方法,其特征在于,所述第一过去时间段与所述第二过去时间段为同一时间段或不同时间段。
4.一种基于LSTM的电力监控***网络安全态势预测***,其特征在于,所述***包括:
第一初始数据集获取单元,用于对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集,将所述异常行为数据进行汇总并进行预处理获得第一初始数据集;收集第一过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据;
网络安全态势预测单元,用于将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络,以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果;
对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集,将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集;
通过所述第二初始数据集计算获得安全态势值;
将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络;以便所述长短期记忆循环神经网络输出训练输出值;
将所述训练输出值与所述安全态势值进行误差计算获得误差值,通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成;
所述通过所述第二初始数据集计算获得安全态势值;包括:
收集第二过去时间段内的电力监控***中安全装置的日志文件,将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据;所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗,去除数据中的噪声数据获得所述第二初始数据集;
将多个所述攻击行为组成一个攻击序列;
将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值;
每个所述攻击行为分别采用一个第一六元组(st,info,time,v,dt,pro)表示;
其中,st和dt分别为攻击动作的源和目的节点;info表示攻击动作的描述信息;time为攻击动作的发生时间;v为攻击动作利用的脆弱性;pro为该攻击动作的发生概率;
如果该攻击动作已经发生或已被检测出,则pro=1,如果该攻击动作为预测得出的攻击动作,则0≤pro≤1;
每个所述攻击序列分别采用一个第二六元组(ida,times,timee,pa,va,proa)表示;
其中,ida为该攻击序列的唯一标识符;times表示该攻击序列的起始时间;
timee为该攻击序列的终止时间;pa为该攻击序列所涉及的资产的集合;va为该攻击序列所利用的脆弱性的集合;proa为攻击序列的发生频率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111263080.6A CN114006744B (zh) | 2021-10-28 | 2021-10-28 | 一种基于lstm的电力监控***网络安全态势预测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111263080.6A CN114006744B (zh) | 2021-10-28 | 2021-10-28 | 一种基于lstm的电力监控***网络安全态势预测方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114006744A CN114006744A (zh) | 2022-02-01 |
CN114006744B true CN114006744B (zh) | 2024-05-28 |
Family
ID=79924572
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111263080.6A Active CN114006744B (zh) | 2021-10-28 | 2021-10-28 | 一种基于lstm的电力监控***网络安全态势预测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114006744B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116827688B (zh) * | 2023-08-28 | 2023-11-10 | 北京安天网络安全技术有限公司 | 一种设备安全防护方法、装置、设备及介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786369A (zh) * | 2017-09-26 | 2018-03-09 | 广东电网有限责任公司电力调度控制中心 | 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法 |
CN110392048A (zh) * | 2019-07-04 | 2019-10-29 | 湖北央中巨石信息技术有限公司 | 基于ce-rbf的网络安全态势感知模型和方法 |
CN111585948A (zh) * | 2020-03-18 | 2020-08-25 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于电网大数据的网络安全态势智能预测方法 |
CN111580999A (zh) * | 2020-04-30 | 2020-08-25 | 上海应用技术大学 | 基于长短期记忆网络的cps软件可靠性预测*** |
CN112165485A (zh) * | 2020-09-25 | 2021-01-01 | 山东炎黄工业设计有限公司 | 一种大规模网络安全态势智能预测方法 |
WO2021047270A1 (zh) * | 2019-09-09 | 2021-03-18 | 中兴通讯股份有限公司 | 一种网络流量预测方法及通信设备和存储介质 |
CN112714130A (zh) * | 2020-12-30 | 2021-04-27 | 南京信息工程大学 | 一种基于大数据自适应网络安全态势感知方法 |
-
2021
- 2021-10-28 CN CN202111263080.6A patent/CN114006744B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786369A (zh) * | 2017-09-26 | 2018-03-09 | 广东电网有限责任公司电力调度控制中心 | 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法 |
CN110392048A (zh) * | 2019-07-04 | 2019-10-29 | 湖北央中巨石信息技术有限公司 | 基于ce-rbf的网络安全态势感知模型和方法 |
WO2021047270A1 (zh) * | 2019-09-09 | 2021-03-18 | 中兴通讯股份有限公司 | 一种网络流量预测方法及通信设备和存储介质 |
CN111585948A (zh) * | 2020-03-18 | 2020-08-25 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于电网大数据的网络安全态势智能预测方法 |
CN111580999A (zh) * | 2020-04-30 | 2020-08-25 | 上海应用技术大学 | 基于长短期记忆网络的cps软件可靠性预测*** |
CN112165485A (zh) * | 2020-09-25 | 2021-01-01 | 山东炎黄工业设计有限公司 | 一种大规模网络安全态势智能预测方法 |
CN112714130A (zh) * | 2020-12-30 | 2021-04-27 | 南京信息工程大学 | 一种基于大数据自适应网络安全态势感知方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114006744A (zh) | 2022-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wu et al. | Big data analysis-based security situational awareness for smart grid | |
Ye et al. | Robustness of the Markov-chain model for cyber-attack detection | |
Mukkamala et al. | Detecting denial of service attacks using support vector machines | |
Chernov et al. | Security incident detection technique for multilevel intelligent control systems on railway transport in Russia | |
CN115086089B (zh) | 一种用于网络安全评估预测的方法及*** | |
Sakhnini et al. | A generalizable deep neural network method for detecting attacks in industrial cyber-physical systems | |
Bode et al. | Risk analysis in cyber situation awareness using Bayesian approach | |
CN116112283A (zh) | 一种基于cnn-lstm的电力***网络安全态势预测方法及*** | |
CN114006744B (zh) | 一种基于lstm的电力监控***网络安全态势预测方法及*** | |
Kumar et al. | IIoT-IDS network using inception CNN model | |
Bian et al. | Network security situational assessment model based on improved AHP_FCE | |
Fan et al. | A hierarchical method for assessing cyber security situation based on ontology and fuzzy cognitive maps | |
Peng et al. | Sensing network security prevention measures of BIM smart operation and maintenance system | |
Li et al. | Research on intrusion detection based on neural network optimized by genetic algorithm | |
Huang et al. | Application of type-2 fuzzy logic to rule-based intrusion alert correlation detection | |
Zhao | Attack-defense game model: Research on dynamic defense mechanism of network security | |
Baiardi et al. | CyVar: Extending var-at-risk to ICT | |
Lian et al. | Critical meter identification and network embedding based attack detection for power systems against false data injection attacks | |
Azeroual et al. | A framework for implementing an ml or dl model to improve intrusion detection systems (ids) in the ntma context, with an example on the dataset (cse-cic-ids2018) | |
Al-Nafjan et al. | Intrusion detection using PCA based modular neural network | |
Yang et al. | Research on security self-defense of power information network based on artificial intelligence | |
Naik et al. | An Approach for Building Intrusion Detection System by Using Data Mining Techniques | |
Traore et al. | Artificial Intelligence for Cyber-Physical Systems Hardening | |
CN117879970B (zh) | 一种网络安全防护方法及*** | |
CN117478365B (zh) | 一种计及攻击的能源互联网用电数据软恢复方法、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |