基于社群分析的电力网络安全异常行为预警方法和系统与流程

本发明涉及计算机网络安全，具体地，涉及一种基于社群分析的电力网络安全异常行为预警方法和系统。

背景技术：

1、智能电网将现代的信息技术、通信技术、智能设备和电网基础设施有机融合，虽然大幅度提高了电能的使用效率，然而也给电网带来了病毒、木马、黑客攻击等网络安全的全新挑战。同时，由于智能化因素的加入，使得网络攻击手段更加多样、隐蔽和快速演变，越来越多的新型网络攻击不断出现，对现有网络入侵检测技术提出了巨大挑战。

2、传统的网络安全技术主要是利用静态预防技术来保证系统的安全性主要包括身份鉴别、加密技术、防火墙技术等。但是该方法不能抵御来自系统内部的攻击，也无法针对攻击行为进行实时监测。而电力信息系统与普通的信息系统在信息安全技术方面有着很大的不同，主要表现在以下两个方面：一是实时性强，与物理世界存在交互关系；二是传统的信息安全软件补丁和系统软件更新频率不适用于电力信息系统，停机更新系统的经济成本很高。因此，不能将传统的网络安全技术应用到电力信息系统中，需要研究合理的适用于电力信息系统实际运行环境的异常检测方法进行安全监测，对潜在的风险或隐患进行及时预警，有效提升电力信息系统的安全防御能力。

3、网络异常行为检测技术主要分为基于统计分析、基于数据挖掘、基于特征工程和基于机器学习的方法。其中基于统计分析的方法主要包括均值方差、多变量等；基于数据挖掘的方法主要包括关联分析、序列分析、聚类分析等；基于特征工程的方法主要包括特征降维和特征选择；基于机器学习的方法主要包括贝叶斯网络、支持向量机、决策树、人工神经网络和深度学习等。与传统机器学习方法相比，深度学习能够利用自身深层非线性网络结构学习事物内在本质特征刻画问题内部复杂的结构，表现出较强的复杂函数逼近能力，能够准确刻画数据内在本质特征。

4、异常行为发现是进行网络安全监测的重要触发点，用户作为网络中的行为主体，对其进行行为分析是网络中异常行为发现的重要手段。在电力信息系统中针对电力业务、办公、运维等业务需求，不同的用户具有不同的行为模式，并且存在特有的规律性。基于用户行为的这种规律性，可以对用户行为进行建模，得到用户行为模式，检测和发现在某段时间内与之不相匹配的异常行为，判定异常用户，为网络安全的维护进一步提供依据。但由于单个用户的行为习惯会随着环境、身份等的转变而不断变化，造成行为模式的漂移，而社群由一系列具有相关角色任务、相似工作背景或相似行为习惯的用户所组成，个体的行为特点被组织化的行为模式所取代。社群表现出的行为模式与个人用户的行为模式相比，具有更高的稳定性和参考价值。

技术实现思路

1、本发明的目的是提出一种基于社群分析的电力网络安全异常行为预警方法和系统，能够对电力信息系统进行实时的监控、预警，为电力信息系统的稳定运行提供技术支撑。

2、为实现上述目的，本发明采用以下技术方案：

3、一种基于社群分析的电力网络安全异常行为预警方法，包括：

4、从电力信息系统中获取系统的操作日志数据、上报事件数据、异常检测数据、网络流量数据和用户属性信息等；

5、将获取到的数据进行清洗、融合、归一化处理，并将处理后的数据送至异常行为检测模型中；

6、利用异常行为检测模型获取网络攻击异常行为检测结果，将检测结果中的异常信息作为攻击证据；

7、根据异常行为检测模型得到的攻击证据生成网络攻击图，利用网络攻击图实现对攻击事件的提前预警。

8、进一步地，所述用户属性信息主要包括用户的ip、所在部门、职位、角色等。

9、进一步地，所述清洗、融合、归一化处理，包括：

10、对收集到的数据进行清洗，将出现的冗余、错误及缺失的属性数据进行补全或清除处理；

11、对清洗之后的数据进行融合，将网络流量、操作日志等网络资源数据与用户属性信息根据ip地址进行数据融合；

12、对融合之后的数据进行数值化和归一化处理，数值化是将所输入的特征转换成数值表示，归一化是将所有特征值缩放到[0,1]之间。

13、进一步地，采用以下步骤构建所述异常行为检测模型：

14、利用基于深度置信网络(dbn)的深度学习算法对预处理后的数据进行特征提取；

15、将通过dbn得到的特征向量输入到通过粒子群优化算法优化的支持向量机(svm)模型中，构建异常行为检测模型(dbn和svm一起构成异常行为检测模型)。

16、进一步地，所述利用基于深度置信网络dbn的深度学习算法对处理后的数据进行特征提取，包括：

17、预训练阶段，利用无监督贪婪机制自底向上地进行逐层训练，将低层特征向高层特征转化，最终送入至顶层的回归层；

18、反向微调阶段，利用bp神经网络，自顶而下地微调网络权值，以达到降低误差的目的。

19、进一步地，将所述异常行为检测模型的检测结果进行人工研判，将人工研判得到的异常信息作为攻击证据。

20、进一步地，所述根据异常行为检测模型得到的攻击证据生成网络攻击图，利用网络攻击图实现对攻击事件的提前预警，包括：

21、利用资源状态、攻击行为、攻击证据及其关系生成网络攻击图；

22、根据网络攻击图，利用贝叶斯网络推导后续节点的风险概率；

23、依据推导出的后续节点的风险概率，实现对网络安全攻击事件的提前预警。

24、一种基于社群分析的电力网络安全异常行为预警系统，其包括：

25、数据获取模块，用于从电力信息系统中获取系统的操作日志数据、上报事件数据、异常检测数据、网络流量数据和用户属性信息；

26、预处理模块，用于将获取到的数据进行清洗、融合、归一化处理，并将处理后的数据送至异常行为检测模型中；

27、异常行为检测模块，用于利用异常行为检测模型获取网络攻击异常行为检测结果，将检测结果中的异常信息作为攻击证据；

28、预警模块，用于根据异常行为检测模型得到的攻击证据生成网络攻击图，利用网络攻击图实现对攻击事件的提前预警。

29、本发明具有如下的有益效果：

30、(1)本发明通过ip地址将用户的部门、职位、角色等属性信息与网络流量、操作日志等网络资源数据进行融合，并利用深度学习技术实现用户社群特征和网络资源数据特征的自动提取；

31、(2)考虑到电力信息系统数据的高维和非线性的大数据特点，本发明利用深度学习技术对预处理后的数据进行特征提取，克服了传统机器学习方法需要人工干预及特征提取不充分的问题；

32、(3)本发明在异常行为检测的基础上，利用攻击图算法对网络攻击行为进行提前预警，有效提升了网络安全的防御能力。

技术特征：

1.一种基于社群分析的电力网络安全异常行为预警方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的方法，其特征在于，所述用户属性信息包括用户的ip、所在部门、职位、角色。

3.根据权利要求1所述的方法，其特征在于，所述清洗、融合、归一化处理，包括：

4.根据权利要求1所述的方法，其特征在于，采用以下步骤构建所述异常行为检测模型：

5.根据权利要求1所述的方法，其特征在于，所述利用基于深度置信网络的深度学习算法对处理后的数据进行特征提取，包括：

6.根据权利要求1所述的方法，其特征在于，将所述异常行为检测模型的检测结果进行人工研判，将人工研判得到的异常信息作为攻击证据。

7.根据权利要求1所述的方法，其特征在于，所述根据异常行为检测模型得到的攻击证据生成网络攻击图，利用网络攻击图实现对攻击事件的提前预警，包括：

8.一种基于社群分析的电力网络安全异常行为预警系统，其特征在于，包括：

9.一种计算机设备，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～7中任一项所述方法的指令。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～7中任一项所述的方法。

技术总结本发明公开一种基于社群分析的电力网络安全异常行为预警方法和系统，属于智能电网、网络安全、异常行为预警技术领域。该方法首先通过IP地址将用户的部门、职位、角色等属性信息与网络流量、操作日志等网络资源数据进行融合，其次利用深度学习技术实现用户社群特征和网络资源数据特征的自动学习与提取，之后利用经过粒子群优化的支持向量回归算法对网络安全异常行为检测，最后，在此基础上利用攻击图算法对攻击事件进行早期预警。本发明有效解决了单个用户行为模式的不确定性及特征提取需要依赖专家知识的问题。技术研发人员：胡威,程杰,夏昂,崔露露,张海霞,刘倩受保护的技术使用者：国家电网有限公司信息通信分公司技术研发日：技术公布日：2024/7/23