CN114006744B - 一种基于lstm的电力监控***网络安全态势预测方法及*** - Google Patents

Abstract

本发明公开了一种基于LSTM的电力监控***网络安全态势预测方法及***，该方法包括对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络。本申请提供的方法基于LSTM模型对电力监控***，可以对未来一段时间段内的网络安全态势进行预测，电力监控***的网络安全态势预测可以给管理员生成未来时间段内的威胁信息，然后管理员参考相应的网络安全态势的结果，了解到具体可能发生的威胁，找到对应的解决方法，防患于未然，或者在未发生之前消灭威胁。

Description

一种基于LSTM的电力监控***网络安全态势预测方法及***

技术领域

本发明涉及电力监控***网络安全态势预测技术领域，特别是涉及一种基于LSTM的电力监控***网络安全态势预测方法及***。

背景技术

电力是国家重要的基础设施，关系着国家的经济和人民生活，其安全性尤为重要。而电力监控***用于监视和控制电力生产和供应过程，是电力安全稳定运行的支撑***。它以计算机和网络技术的业务***为技术基础，并且作为基础支撑的通信及数据网络为电力***保驾护航。电力监控***面临的网络安全形势日益严重，一旦遭受网络安全攻击将可能导致大面积停电事件，严重威胁企业和国家安全。

建立电力监控***网络安全体系架构，目的是防止黑客、病毒、恶意代码对电力监控***形成恶意破坏、攻击、非法操作、防止电力监控***的瘫痪。电力监控***网络安全体系架构可以从防护、加固、监控三个方面划分，形成了防护体系、加固体系、监控体系。网络安全态势预测可以在监控体系中起到预警的作用，在攻击者未发动攻击前提前预防其攻击。

“态势”的概念最早来源于军事，通常用于说明一个较大范围的、内部结构比较复杂、受多因素影响的被研究对象的状态综合表现，最典型的如战场态势。电力监控***网络同样具有上述特点，因此，在分析电力监控***网络安全中引入“态势”的概念，目的是希望建立一套可行的电力监控***网络安全态势体系，对大型网络的整体状况有一个全面、直观、快速的了解。在日益复杂的网络安全环境下，电力监控***网络安全态势预测的意义日益凸显。

电力监控***网络安全态势预测实时把控网络安全态势，监测网络中的安全事件分析用户的异常行为将事后处理转变为事前预警防患于未然。使电力监控***网络安全从被动变为主动，通过对网络安全态势预测，电力监控***网络管理者可以判断网络安全所处状态的趋势，更好地理解网络状态及其所受攻击的状态。使得在网络遭受攻击和损失之前，网络管埋者能及时采取防御措施，加强网络安全设备的安全策略，更改网络***的安全规则，真正达到敌欲动、我先动的主动防卫目的。

目前，电网公司电力监控***网络安全态势预测领域还处于起步阶段，电力监控***安全防护尚存在网络安全态势预警能力不足的问题，具体表现在主站和厂站端网络安全运行数据采集手段不足，缺乏监管与分析；电力监控***安全合规性过于依赖人工手段，核查效率低下；安全运行数据规范化程度较低，难于直接分析处理；对跨区互联、网络非法接入、移动介质非法接入等典型安全问题缺乏自动发现与管控手段。同时，现有运行管控***无法对网络安全态势进行监测与准确分析预警，距离全天候全方位网络安全态势预测的要求存在显著差距。

因此，建立电力监控***网络安全态势预测***，实现对公司各电力监控***全方位、全天候的网络安全态势预测，及时发现各类网络安全风险以及非法访问事件，实现电力监控***网络安全的态势预警，成为电力监控***网络安全防护的迫切需求。

发明内容

本发明提供了一种基于LSTM的电力监控***网络安全态势预测方法及***。

本发明提供了如下方案：

一种基于LSTM的电力监控***网络安全态势预测方法，包括：

对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；

将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络，以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。

优选地：所述对第一过去时间段内的电力监控***中与网络安全相关的异常行为数据进行收集，包括：

收集第一过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据。

优选地：所述预处理包括采用聚类法对所述第一异常行为数据进行数据清洗，去除数据中的噪声数据获得所述初始数据集。

优选地：对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集，将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集；

通过所述第二初始数据集计算获得安全态势值；

将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络；以便所述长短期记忆循环神经网络输出训练输出值；

将所述训练输出值与所述安全态势值进行误差计算获得误差值，通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成。

优选地：所述通过所述第二初始数据集计算获得安全态势值；包括：

收集第二过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据；所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗，去除数据中的噪声数据获得所述第二初始数据集；

将多个所述攻击行为组成一个攻击序列；

将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值。

优选地：每个所述攻击行为分别采用一个第一六元组(st，info，time，v，dt，pro)表示；

其中，st和dt分别为攻击动作的源和目的节点；info表示攻击动作的描述信息；time为攻击动作的发生时间；v为攻击动作利用的脆弱性；pro为该攻击动作的发生概率。

优选地：如果该攻击动作已经发生或已被检测出，则pro＝1，如果该攻击动作为预测得出的攻击动作，则0≤pro≤1。

优选地：每个所述攻击序列分别采用一个第二六元组(id_a，time_s，time_e，p_a，v_a，pro_a)表示；

其中，id_a为该攻击序列的唯一标识符；time_s表示该攻击序列的起始时间；time_e为该攻击序列的终止时间；p_a为该攻击序列所涉及的资产的集合；v_a为该攻击序列所利用的脆弱性的集合；pro_a为攻击序列的发生频率。

优选地：所述第一过去时间段与所述第二过去时间段为同一时间段或不同时间段。

一种基于LSTM的电力监控***网络安全态势预测***，所述***包括：

第一初始数据集获取单元，用于对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；

网络安全态势预测单元，用于将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络，以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

通过本发明，可以实现一种基于LSTM的电力监控***网络安全态势预测方法及***，在一种实现方式下，该方法可以包括对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络，以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。本申请提供的方法基于LSTM模型对电力监控***，可以对未来一段时间段内的网络安全态势进行预测，电力监控***的网络安全态势预测可以给管理员生成未来时间段内的威胁信息，然后管理员参考相应的网络安全态势的结果，了解到具体可能发生的威胁，找到对应的解决方法，防患于未然，或者在未发生之前消灭威胁。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于LSTM的电力监控***网络安全态势预测方法的流程图；

图2是本发明实施例提供的LSTM神经网络结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

参见图1，为本发明实施例一提供的一种基于LSTM的电力监控***网络安全态势预测方法，如图1所示，该方法可以包括：

对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；

将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络，以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。

本申请实施例一提供的方法，采用收集到的过去时间段内包含的多个异常行为数据集经过处理后获得的第一初始数据集作为输入参数集输入经训练完成的长短期记忆循环神经网络，长短期记忆循环神经网络输出的值作为网络安全态势预测结果，管理员参考相应的网络安全态势的结果，了解到具体可能发生的威胁，找到对应的解决方法，防患于未然，或者在未发生之前消灭威胁。

具体的，所述对第一过去时间段内的电力监控***中与网络安全相关的异常行为数据进行收集，包括：

收集第一过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据。

所述预处理包括采用聚类法对所述第一异常行为数据进行数据清洗，去除数据中的噪声数据获得所述初始数据集。

可以理解的是，本申请实施例提供的方法采用LSTM(Long Short-Term Memory)长短期记忆循环神经网络作为预测模型使用，为了可以保证长短期记忆循环神经网络模型训练可以满足精度要求，本申请实施例还可以提供：

对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集，将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集；

通过所述第二初始数据集计算获得安全态势值；

将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络；以便所述长短期记忆循环神经网络输出训练输出值；

将所述训练输出值与所述安全态势值进行误差计算获得误差值，通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成。

所述通过所述第二初始数据集计算获得安全态势值；包括：

收集第二过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据；所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗，去除数据中的噪声数据获得所述第二初始数据集；

将多个所述攻击行为组成一个攻击序列；

将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值。

每个所述攻击行为分别采用一个第一六元组(st，info，time，v，dt，pro)表示；

其中，st和dt分别为攻击动作的源和目的节点；info表示攻击动作的描述信息；time为攻击动作的发生时间；v为攻击动作利用的脆弱性；pro为该攻击动作的发生概率。具体的，如果该攻击动作已经发生或已被检测出，则pro＝1，如果该攻击动作为预测得出的攻击动作，则0≤pro≤1。

每个所述攻击序列分别采用一个第二六元组(id_a，time_s，time_e，p_a，v_a，pro_a)表示；

其中，id_a为该攻击序列的唯一标识符；time_s表示该攻击序列的起始时间；time_e为该攻击序列的终止时间；p_a为该攻击序列所涉及的资产的集合；v_a为该攻击序列所利用的脆弱性的集合；pro_a为攻击序列的发生频率。

所述第一过去时间段与所述第二过去时间段为同一时间段或不同时间段。其中，第一过去时间段以及第二过去时间段可以采用同一时间段，也可以采用不同时间段。

本申请实施例一提供的方法，对电力监控***的网络安全态势预测，根据网络安全态势预测原理，电力监控***的网络安全态势预测可分为三个阶段：态势收集阶段(获得第一初始数据集或第二初始数据集)、态势计算阶段(获得安全态势值)、态势预测阶段(采用长短期记忆循环神经网络获得未来时间段的网络安全态势预测结果)。其中的态势收集阶段具有两个用途，可以收集态势预测所需的第一初始数据集，还可以收集态势计算时所需的第二初始数据集。当然两个初始数据集可以共用一组。其中态势计算阶段用于获取安全态势值，该安全态势值用于态势预测阶段所需神经网络训练时对训练是否结束提供比对数据支持。

首先是网络安全态势预测的初始阶段态势要素收集，利用数据融合技术对不同数据源的安全日志等进行处理，提取出影响态势的要素因子；

其次是网络安全态势预测的中间阶段态势计算，计算态势要素得出态势值并根据结果分析当前网络安全态势；

最后是网络安全态势预测的最终阶段态势预测，分析至今一段时间的态势值预测未来的态势，帮助制定相应决策。其中态势预测环节是监测网络安全攻击，预警网络安全风险的重中之重。图1为电力监控***的网络安全态势预测的流程图。

电力监控***的网络安全态势预测根据网络攻击的过程化以及安全设备产生告警的非线性时序化，由各类告警加权得到的具有表现网络运行状况特性的网络安全态势值x，可以抽象为时间序列t的函数，即：x＝f(t)，此态势值具有非线性的特点。

由此，网络安全态势值可以看作一个时间序列进行处理，因此假定有网络安全态势值的时间序列x＝{x_i|x_i∈R,i＝1,2,…,L}，现在希望通过序列的前N个时刻的态势值，预测出以后的M个态势值。

(1)态势收集，网络安全态势预测的初始阶段：对电力监控***中网络安全的异常行为进行收集，将发生在网络安全中的异常数据进行汇总，并进行预处理。

(2)态势计算，网络安全态势预测的中间阶段：根据态势收集阶段汇总的异常数据进行融合计算，形成具有特征性的数值。

通过一系列数学方法处理，将海量的网络安全信息归并融合成一组或者几组有意义的数值。这些数值具有表现网络运行状况的特性，随着网络安全事件发生的频率、数量，以及网络受威胁程度的不同，该数值的大小会随之产生特征性的变化。

(3)态势预测，网络安全态势预测的最终阶段：利用LSTM(Long Short-TermMemory)长短期记忆循环神经网络对态势计算阶段产生的数值和初始阶段收集到的数据进行学习，并最终预测未来的网络异常和攻击。

LSTM是一种具有长短期记忆功能的循环神经网络，通过gates的调控，允许线性自连接的权重在每一步都可以自我调节变化,能够很好的处理时间序列。而网络安全态势值是具有较强的时序性时间序列，LSTM可以有效的处理网络安全态势值。

LSTM拥有强大的门控***,分别是记忆门、遗忘门、和输出门。可以对输入的信息，选择性的记录或遗忘，更好的处理网络安全态势数据。

与传统神经网络模型每一层使用不同参数相比，在LSTM中，每一层每一个时刻都使用相同的参数，保证了LSTM对所有节点执行相同的操作，从而减少了需要学习参数的个数。

首先在LSTM中，神经网络首先构建了3个gates(i、f、o)来控制信息的流通量。虽然gates的式子构成方式一样，但是3个gates式子W和b的下角标并不相同。它们有各自的物理意义，在网络学习过程中会产生不同的权重。

i_t＝sigmoid(W_xix_t+W_hih_t-1+b_i)

f_t＝sigmoid(W_xfx_t+W_hfh_t-1+b_f)

o_t＝sigmoid(W_xox_t+W_hoh_t-1+b_o)

将gates装备在循环神经网络(RNN)上来控制信息流，而根据它们所用于控制信息流通的地点不同，它们又被分为：

输入门i_t：控制有多少信息可以流入memory cell(第四个式子C_t)。

遗忘门f_t：控制有多少上一时刻的memory cell中的信息可以累积到当前时刻的memory cell中。

输出门O_t：控制有多少当前时刻的memory cell中的信息可以流入当前隐藏状态h_t中。

gates并不提供额外信息，gates只是起到限制信息的量的作用。gates起到的是过滤器作用。

图2展示了LSTM神经网络按照时序展开成全网络结构图。x为输入单元，标记为{x₀,x_t,…,x_t,…}，其中x_t，代表时刻为t时刻的输入。用s代表隐含单元，标记为{s₀,s_t,…,s_t,…}，其中s_t，为t时刻的隐含层状态，s_t通过上一时刻隐含层状态和当前时刻输入计算得到：s_t＝f(U_xt+W_st-1)。函数f一般使用非线性函数如tanh或者ReLU，第一个隐含层状态s，初始化为0。h为输入单元，标记为{h₀,h_t,…,h_t,…}其中h_t代表时刻为t时刻的输出。

输入空间Rⁿ通过LSTM非线性转换到输出空间R^m。而通过上面的分析，网络安全态势值是一类非线性较强的时间序列，对它们进行预测，即从前N个数据中预测将来的M个数据，实质上就是找出Rⁿ到R^m的非线性映射关系。本文发明采用LSTM将电力监控***中网络安全的异常数据x，通过学习将其映射为M个值。这M个值代表之后的M个时刻的预。

对该长短期记忆循环神经网络进行训练的原理包括：

本申请提供的方法主要通过态势收集阶段收集电力监控***中网络的攻击数据，然后在态势计算阶段将收集到的数据进行态势值计算，并送入LSTM中进行训练，最终预测未来一段时间内的攻击。

态势收集阶段：

在该阶段将电力监控***中网络安全监测装置、防火墙、网络安全入侵检测装置等其他安全装置的日志文件进行收集，将其中的攻击行为提取出，并采用聚类法进行数据清洗，去除数据中的噪声数据。

然后攻击行为用一个六元组(st，info，time，v，dt，pro)表示，其中st和dt分别表示攻击动作的源和目的节点，如果源节点(目的节点)未知或不存在，则用#表示；info表示攻击动作的描述信息；time表示攻击动作的发生时间，如果攻击动作已发生或已被检测出，则该时间为防护日志记录的时间，如果是预测得出的未来攻击动作，则用预测得出的时间表示；v表示攻击动作利用的脆弱性，如果脆弱性未知或不存在，则用#代替；pro为该攻击动作的发生概率，如果该攻击动作已经发生或已被检测出，则pro＝1，如果该攻击动作为预测得出的攻击动作，则0≤pro≤1。

多个攻击行为组成一个攻击序列，攻击序列为一个六元组(ida，times，timee，pa，va，proa)，其中ida为该攻击序列的唯一标识符；times表示该攻击序列的起始时间，即该攻击序列起始攻击动作的发生时间；timee为该攻击序列的终止时间，也就是该攻击序列的最后一个攻击动作的发生时间；pa为该攻击序列所涉及的资产的集合，即该攻击序列的攻击动作所涉及的源和目的节点的集合；va为该攻击序列所利用的脆弱性的集合，即该攻击序列的攻击动作所利用的脆弱性的集合；proa为攻击序列的发生频率，由该攻击序列所有攻击动作的发生次数得出。

态势计算阶段：

将态势收集到的攻击序列提取成安全态势要素集从时间维度上预测未来时段内的安全态势要素集，为安全态势的预测提供数据基础。

安全态势值的计算为权值定义和事件发生统计的频率加权平均。随着时间的推移，预测分析得出的安全态势要素集会在实际的网络攻防场景中得到验证和应用，可以验证网络安全态势时间维度预测分析的效果，进而提高下一轮次的安全要素提取和时间维度预测分析的目的性和准确性。

态势预测阶段：

在态势预测阶段需搭建LSTM模型，LSTM包括前向传播和反向传播。在BP神经网络中，前向传播即根据给定的输入计算输出，通过组合每一个layer层的计算来表示整个神经网络模型，传播方式是自底向上，因此称作前向传播。反向传播即根据前向传播计算结果计算损失值，反向传播使用梯度下降算法，训练各神经元参数。

在搭建好LSTM模型后，输入态势收集阶段电力监控***的网络安全数据，即输入训练样本训练得到输出值并与态势计算阶段的安全态势值进行误差计算，反向更新模型参数，重复此过程自至误差小于期望误差。则说明此模型已经训练完成，最后，输入测试验证数据输出测试结果，验证模型的性能。

总之，本申请提供的方法基于LSTM模型对电力监控***，可以对未来一段时间段内的网络安全态势进行预测，电力监控***的网络安全态势预测可以给管理员生成未来时间段内的威胁信息，然后管理员参考相应的网络安全态势的结果，了解到具体可能发生的威胁，找到对应的解决方法，防患于未然，或者在未发生之前消灭威胁。

实施例二

与本申请实施例一提供的一种基于LSTM的电力监控***网络安全态势预测方法相对应，本申请实施例二还提供了一种基于LSTM的电力监控***网络安全态势预测***，该***具体可以包括：

第一初始数据集获取单元，用于对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；

网络安全态势预测单元，用于将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络，以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (4)

1.一种基于LSTM的电力监控***网络安全态势预测方法，其特征在于，所述方法包括：

对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；收集第一过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据；

将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络，以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果；

对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集，将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集；

通过所述第二初始数据集计算获得安全态势值；

将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络；以便所述长短期记忆循环神经网络输出训练输出值；

将所述训练输出值与所述安全态势值进行误差计算获得误差值，通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成；

所述通过所述第二初始数据集计算获得安全态势值；包括：

收集第二过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据；所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗，去除数据中的噪声数据获得所述第二初始数据集；

将多个所述攻击行为组成一个攻击序列；

将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值；

每个所述攻击行为分别采用一个第一六元组(st，info，time，v，dt，pro)表示；

其中，st和dt分别为攻击动作的源和目的节点；info表示攻击动作的描述信息；time为攻击动作的发生时间；v为攻击动作利用的脆弱性；pro为该攻击动作的发生概率；

如果该攻击动作已经发生或已被检测出，则pro＝1，如果该攻击动作为预测得出的攻击动作，则0≤pro≤1；

每个所述攻击序列分别采用一个第二六元组(id_a，time_s，time_e，p_a，v_a，pro_a)表示；

其中，id_a为该攻击序列的唯一标识符；time_s表示该攻击序列的起始时间；time_e为该攻击序列的终止时间；p_a为该攻击序列所涉及的资产的集合；v_a为该攻击序列所利用的脆弱性的集合；pro_a为攻击序列的发生频率。

2.根据权利要求1所述的基于LSTM的电力监控***网络安全态势预测方法，其特征在于，所述预处理包括采用聚类法对所述第一异常行为数据进行数据清洗，去除数据中的噪声数据获得所述初始数据集。

3.根据权利要求1所述的基于LSTM的电力监控***网络安全态势预测方法，其特征在于，所述第一过去时间段与所述第二过去时间段为同一时间段或不同时间段。

4.一种基于LSTM的电力监控***网络安全态势预测***，其特征在于，所述***包括：

第一初始数据集获取单元，用于对第一过去时间段内的电力监控***中与网络安全相关的第一异常行为数据进行收集，将所述异常行为数据进行汇总并进行预处理获得第一初始数据集；收集第一过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第一异常行为数据；

网络安全态势预测单元，用于将所述第一初始数据集作为的输入参数集输入经训练完成的长短期记忆循环神经网络，以便所述长短期记忆循环神经网络输出未来时间段内的网络安全态势预测结果；

对第二过去时间段内的电力监控***中与网络安全相关的第二异常行为数据进行收集，将所述第二异常行为数据进行汇总并进行预处理获得第二初始数据集；

通过所述第二初始数据集计算获得安全态势值；

将所述第二初始数据集作为所述长短期记忆循环神经网络的训练样本参数集输入所述长短期记忆循环神经网络；以便所述长短期记忆循环神经网络输出训练输出值；

将所述训练输出值与所述安全态势值进行误差计算获得误差值，通过所述误差值与期望值的比对结果判定所述长短期记忆循环神经网络训练是否完成；

所述通过所述第二初始数据集计算获得安全态势值；包括：

收集第二过去时间段内的电力监控***中安全装置的日志文件，将所述日志文件中的攻击行为进行提取获得所述第二异常行为数据；所述预处理包括采用聚类法对所述第二异常行为数据进行数据清洗，去除数据中的噪声数据获得所述第二初始数据集；

将多个所述攻击行为组成一个攻击序列；

将所述攻击序列进行权值定义和事件发生统计的频率加权平均计算获得所述安全态势值；

每个所述攻击行为分别采用一个第一六元组(st，info，time，v，dt，pro)表示；

其中，st和dt分别为攻击动作的源和目的节点；info表示攻击动作的描述信息；time为攻击动作的发生时间；v为攻击动作利用的脆弱性；pro为该攻击动作的发生概率；

如果该攻击动作已经发生或已被检测出，则pro＝1，如果该攻击动作为预测得出的攻击动作，则0≤pro≤1；

每个所述攻击序列分别采用一个第二六元组(id_a，time_s，time_e，p_a，v_a，pro_a)表示；

其中，id_a为该攻击序列的唯一标识符；time_s表示该攻击序列的起始时间；

time_e为该攻击序列的终止时间；p_a为该攻击序列所涉及的资产的集合；v_a为该攻击序列所利用的脆弱性的集合；pro_a为攻击序列的发生频率。