基于Levenshtein距离算法的电力物联网网络安全风险预测方法与流程

基于levenshtein距离算法的电力物联网网络安全风险预测方法
技术领域
1.本发明涉及网络安全预测领域，具体是指基于levenshtein距离算法的电力物联网网络安全风险预测方法。


背景技术：

2.当电力物联网网络规模逐渐增大后，伴随着的网络攻击事件的数量也逐渐上升，网络安全的研究十分必要，以入侵检测技术、防火墙为代表的传统的保护方式已经难以满足大规模网络对安全防护的要求，网络安全防护是建立在安全态势分析与安全风险预测的基础上进行的，风险预测环节在网络安全态势感知系统中处于最后阶段，只有对可能发生的告警事件进行预测，才能做到防患于未然，更好的维持网络安全态势。
3.准确地预测网络中的安全风险概率对提高网络的安全性意义重大，近年来，研究人员在网络安全风险预测领域进行了许多研究，常用的技术是采用基于隐马尔可夫模型的网络安全风险预测方法，基于马尔可夫模型的策略虽然预测效果良好，但是其不适宜用于系统中长期的预测，无论是故障还是维修，都假设状态变化的概率是固定的。


技术实现要素：

4.基于以上问题，本发明提供了基于levenshtein距离算法的电力物联网网络安全风险预测方法，解决了现有技术对于系统中长期预测效果差的问题。
5.为解决以上技术问题，本发明采用的技术方案如下：
6.基于levenshtein距离算法的电力物联网网络安全风险预测方法，包括如下步骤：
7.步骤1、将单个告警事件中的攻击源ip、攻击行为、攻击目标ip作为一条有效告警信息，针对每条告警信息，以当前告警事件为果，寻找该告警事件发生时间之前最相近的六个告警事件作为因，由此构建一条因果数据，将因果数据存入数据库中形成因果数据库；
8.步骤2、对因果数据库进行过滤；
9.步骤3、采用levenshtein距离算法对告警事件进行预测。
10.进一步，所述1中，具体包括如下：
11.首先将所有告警事件以开始时间进行排序，然后以当前告警事件为果，并以该告警事件开始时间为基准点向前推进，将与基准点开始时间最相近且在它之前发生的六个告警事件作为因，由此构建出一条因果数据，将因果数据存入数据库中形成因果数据库。
12.进一步，所述步骤1中，还包括：
13.因果数据库采用链表散列的方式对因果数据进行存储，每当有新的因果数据加入数据库时，统计因果数据出现的次数，判断次数用x和y进行统计，其中，每当加入一条全新的因果数据时，则将其顺序加入数组中，同时对比其之前的所有具有相同果的数组数据，计算因之前的levenshtein相似度，同时设置容忍度tol，若存在容忍度大于tol的项，则将该项连接在新数据的链表上，同时也将新数据连接在该项的链表上，然后更新数据，新数据的
y值等于更新前的x值加上自己链表上所有数据的x值，同时在数组中更新这些链表数据的y值，其y值等于更新前的x值加上自己链表上所有数据的x值，每当加入一条已存在于数组中的因果数据时，则直接找到该条数据，令x＝x 1，同时更新y值等于更新前的x值加上自己链表上所有数据的x值，最后在数组中更新这条数据链表上的所有数据。
14.进一步，所述步骤2中，对因果数据库进行过滤的方法具体如下：
15.需要对低频的因果数据进行过滤，仅出现一次的因果数据直接删除，并且设定阈值，将低于阈值的因果数据删除，过滤因果数据库时均使用判断次数y。
16.进一步，所述阈值的公式为：
[0017][0018]
进一步，所述步骤3具体包括如下步骤：
[0019]
步骤31、将当前已有告警事件按开始时间顺序排序；
[0020]
步骤31、当发生告警事件后，选择包括该告警事件在内的开始时间最近的三个告警事件，同时选择这三个告警事件包含自己的前六个告警事件分别作为其因序列；
[0021]
步骤33、将构建出的所有因序列分别与过滤后的因果库中的所有因序列使用levenshtein距离算法来进行相似度的计算；
[0022]
步骤34、将匹配到的因果数据中的果作为预测结果，表示为预测告警事件，并计算使用某个因序列得到的预测告警事件发生的风险大小；
[0023]
步骤35、根据步骤34的结果计算该预测的告警事件在当前告警事件发生后可能会发生的风险程度。
[0024]
进一步，所述步骤34中，使用某个因序列得到的预测告警事件发生的风险大小的计算公式为：
[0025]
risk(num)
t
＝∑(similarity
×
logmx)；
[0026]
其中，risk(num)
t
为使用第num个因序列计算后得到的告警事件t发生的风险大小，similarity为当前“因序列”与因果库中的“因序列”计算出的相似程度，m为因果库中“因序列”对应的果在初始数据库中出现的次数，x为该条因果数据的出现次数，risk为对所有预测结果为告警事件t的计算求和。
[0027]
进一步，所述步骤35中，该预测的告警事件在当前告警事件发生后可能会发生的风险程度的计算公式为：
[0028]
risk
t
＝0.2
×
risk(3)
t
0.3
×
risk(2)
t
0.5
×
risk(1)
t
；
[0029]
其中，risk
t
为告警事件t在当前告警事件发生后可能会发生的风险程度。
[0030]
与现有技术相比，本发明的有益效果是：关联告警事件的发生事件，直接构建因果数据库，同时结合当前状态，通过因果数据库预测各种告警事件发生的风险程度，参照过往数据情况预测未来情况，随着不断产生新的告警事件，也可以同时丰富因果库，便于系统中中长期预测。
附图说明
[0031]
图1为本实施例的流程图。
具体实施方式
[0032]
下面结合附图对本发明作进一步的说明。本发明的实施方式包括但不限于下列实施例。
[0033]
如图1所示的基于levenshtein距离算法的电力物联网网络安全风险预测方法，包括如下步骤：
[0034]
步骤1、构建因果数据库。
[0035]
其中，电力物联网中单个告警事件具体包括攻击源ip、攻击行为、攻击ip、开始时间和结束时间，将单个告警事件中的攻击源ip、攻击行为、攻击ip作为一条有效告警信息。
[0036]
另外，针对每条告警信息，构建因果数据库，首先将所有告警事件以开始时间进行排序，然后以当前告警事件为果，并以该告警事件开始时间为基准点向前推进，将与基准点开始时间最相近且在它之前发生的六个告警事件作为因，由此构建出一条因果数据，将因果数据存入数据库中形成因果数据库。
[0037]
另外，因果数据库采用链表散列的方式对因果数据进行存储，每当有新的因果数据加入数据库时，统计因果数据出现的次数，判断次数用x和y进行统计，其中，每当加入一条全新的因果数据时，则将其顺序加入数组中，同时对比其之前的所有具有相同果的数组数据，计算因之前的levenshtein相似度，同时设置容忍度tol，若存在容忍度大于tol的项，则将该项连接在新数据的链表上，同时也将新数据连接在该项的链表上，然后更新数据，新数据的y值等于更新前的x值加上自己链表上所有数据的x值，同时在数组中更新这些链表数据的y值，其y值等于更新前的x值加上自己链表上所有数据的x值，每当加入一条已存在于数组中的因果数据时，则直接找到该条数据，令x＝x 1，同时更新y值等于更新前的x值加上自己链表上所有数据的x值，最后在数组中更新这条数据链表上的所有数据，基于此因果数据库示例如下表所示(告警事件用大写字母表示)：
[0038]
因果次数x次数ya b c d e fg56r d t f g cp33q d c f t ym11a b c d f eg16
……………………
[0039]
步骤2、对因果数据库进行过滤。
[0040]
其中，需要对低频的因果数据进行过滤，仅出现一次的因果数据直接删除，并且设定阈值，将低于阈值的因果数据删除，过滤因果数据库时均使用判断次数y。
[0041]
另外，阈值的公式为：(最高次数 最低次数)/2。
[0042]
步骤3、采用levenshtein距离算法对告警事件进行预测。
[0043]
具体包括如下步骤：
[0044]
步骤31、将当前已有告警事件按开始时间顺序排序；
[0045]
步骤31、当发生告警事件后，选择包括该告警事件在内的开始时间最近的三个告警事件，同时选择这三个告警事件包含自己的前六个告警事件分别作为其因序列；
[0046]
例如，告警事件为a、b、c、d、ad、f、g、hi时，选择hi、g、f构建因序列，hi的因序列为c、d、ad、f、g、hi，g的因序列为b、c、d、ad、f、g，f的因序列为a、b、c、d、ad、f；设它们分别为第
一、第二、第三因序列；
[0047]
步骤33、将构建出的所有因序列分别与过滤后的因果库中的所有因序列使用levenshtein距离算法来进行相似度的计算；
[0048]
步骤34、将匹配到的因果数据中的果作为预测结果，表示为预测告警事件，并计算使用某个因序列得到的预测告警事件发生的风险大小，其公式为：
[0049]
risk(num)
t
＝∑(similarity
×
logmx)；
[0050]
其中，risk(num)
t
为使用第num因序列计算后得到的告警事件t发生的风险大小，similarity为当前“因序列”与因果库中的“因序列”计算出的相似程度，m为因果库中“因序列”对应的果在初始数据库中出现的次数，x为该条因果数据的出现次数，risk为对所有预测结果为告警事件t的计算求和；
[0051]
步骤35、根据步骤34的结果计算该预测的告警事件在当前告警事件发生后可能会发生的风险程度，其公式为：
[0052]
risk
t
＝0.2
×
risk(3)
t
0.3
×
risk(2)
t
0.5
×
risk(1)
t
；
[0053]
其中，第一因序列的可信度最高，第二第三因序列的可信度依次降低，risk
t
为告警事件t在当前告警事件发生后可能会发生的风险程度。
[0054]
如上即为本发明的实施例。上述实施例以及实施例中的具体参数仅是为了清楚表述发明人的发明验证过程，并非用以限制本发明的专利保护范围，本发明的专利保护范围仍然以其权利要求书为准，凡是运用本发明的说明书及附图内容所作的等同结构变化，同理均应包含在本发明的保护范围内。