一种电力专网恶意流量识别方法及系统与流程

本发明涉及一种恶意流量识别方法及系统，尤其是电力专网恶意流量识别方法及系统。

背景技术：

1、电力无线专网是指在电力系统中建立起来的专用通信网络，用于实现电力系统的监测、控制、保护和管理。随着电力系统的不断发展和升级，电力无线专网成为了关键的通信基础设施。然而，电力无线专网非授权频段的安全性问题是一个重要关注点。确保电力无线专网的安全性对于保护电力系统免受潜在威胁，维护整个能源网络的完整性和可靠性至关重要。电力无线专网非授权频段存在被攻击破解的风险，传统的网络流量识别方法无法确保电力无线专网的安全。因此，需要一种更加安全可靠智能的网络流量识别方法，以保障非授权频段的安全性。

技术实现思路

1、发明目的：本发明的目的是提供一种电力专网恶意流量识别方法及系统，以解决电力无线专网中非授权频段的非法访问和恶意攻击问题，从而提高电力无线专网的安全性和可信度。

2、技术方案：本发明所述的电力专网恶意流量识别方法，包括如下步骤：

3、将电力专网流量数据的数据包进行分装得到流集；

4、将所述流集转化为idx格式并生成对应的灰度图像；

5、建立流量识别网络模型用于根据所述流集和所述灰度图像进行恶意流量识别，得到电力专网流量数据的流量类型识别结果；

6、所述流量识别网络模型包括输入层和cbam模块；在输入层输入所述流集，在cbam模块输入所述灰度图像。

7、进一步地，所述流量识别网络模型还包括隐藏层，隐藏层后连接cbam模块组成特征提取模块；特征提取模块为三个，三个所述特征提取模块相互串联；在第一个cbam模块输入所述灰度图像。

8、进一步地，所述将电力专网流量数据的数据包分装得到流集包括：

9、将所有数据包定义为集合，电力专网流量数据p划分为|p|个子集，p＝{p1,...,p|p|}，每个数据包pi＝(xi,bi,ti)，i＝1,2,...,|p|，其中xi表示五元组信息，五元组信息包括源ip、源端口、目的ip、目的端口和传输级协议，bi表示数据包的大小，ti表示传输开始时间；将每个子集表示为一个流，f＝(x,b,dt,t)，其中x是所有数据包的五元组信息的集合，b为流中所有数据包大小之和，dt＝tn-t1为流动持续时间，t是第一个数据包传输的开始时间；

10、将电力专网流量数据p表示为流集f＝(f1,f2,···,fn)，其中n根据idx格式文件的大小确定。

11、进一步地，将所述流集转化为idx格式并生成对应的灰度图像之前还包括，对所述流集进行数据清洗，剔除流集中电力专网流量数据的ip地址和mac地址，删除空数据和重复数据，并将流集调整至标准大小。

12、进一步地，通过计算恶意流量识别的准确度、精确度和召回率对所述流量识别网络模型的参数进行微调。

13、本发明所述的电力专网恶意流量识别系统，包括：

14、流集生成单元，用于将电力专网流量数据的数据包进行分装得到流集；

15、灰度图像生成单元，用于将所述流集转化为idx格式并生成对应的灰度图像；恶意流量识别单元，用于建立流量识别网络模型用于根据所述流集和所述灰度图像进行恶意流量识别，得到电力专网流量数据的流量类型识别结果；

16、所述流量识别网络模型包括输入层和cbam模块；在输入层输入所述流集，在cbam模块输入所述灰度图像。

17、进一步地，所述流量识别网络模型还包括隐藏层，隐藏层后连接cbam模块组成特征提取模块；特征提取模块为三个，三个所述特征提取模块相互串联；在第一个cbam模块输入所述灰度图像。

18、进一步地，所述将电力专网流量数据的数据包分装得到流集包括：

19、将所有数据包定义为集合，电力专网流量数据p划分为|p|个子集，p＝{p1,...,p|p|}，每个数据包pi＝(xi,bi,ti)，i＝1,2,...,|p|，其中xi表示五元组信息，五元组信息包括源ip、源端口、目的ip、目的端口和传输级协议，bi表示数据包的大小，ti表示传输开始时间；将每个子集表示为一个流，f＝(x,b,dt,t)，其中b为流中所有数据包大小之和，dt＝tn-t1为流动持续时间，t是第一个数据包传输的开始时间；

20、将电力专网流量数据p表示为流集f＝(f1,f2,···,fn)，其中n根据idx格式文件的大小确定。

21、进一步地，将所述流集转化为idx格式并生成对应的灰度图像之前还包括，对所述流集进行数据清洗，剔除流集中电力专网流量数据的ip地址和mac地址，删除空数据和重复数据，并将流集调整至标准大小。

22、进一步地，通过计算恶意流量识别的准确度、精确度和召回率对所述流量识别网络模型的参数进行微调。

23、本发明所述的电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被加载至处理器时实现所述的电力专网恶意流量识别方法。

24、本发明所述的计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述的电力专网恶意流量识别方法。

25、有益效果：与现有技术相比，本发明的优点在于：(1)本发明的流量识别网络模型是一种注意力卷积深度神经网络，通过在输入层输入流集，在cbam模块输入灰度图像，cbam模块可以同时对从流集中提取的初始特征以及流集转化的灰度图像中更好地捕获重要的特征信息，提高流量识别网络模型的性能。(2)本发明通过将深度神经网络方法与智能网络流量识别技术相结合，通过有效识别恶意软件流量降低网络攻击的风险，并利用智能网络流量识别技术对通信流量进行实时监测和分析，提高在非授权频段的安全性。

技术特征：

1.一种电力专网恶意流量识别方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的电力专网恶意流量识别方法，其特征在于，所述流量识别网络模型还包括隐藏层，隐藏层后连接cbam模块组成特征提取模块；特征提取模块为三个，三个所述特征提取模块相互串联；在第一个cbam模块输入所述灰度图像。

3.根据权利要求1所述的电力专网恶意流量识别方法，其特征在于，所述将电力专网流量数据的数据包分装得到流集包括：

4.根据权利要求1所述的电力专网恶意流量识别方法，其特征在于，将所述流集转化为idx格式并生成对应的灰度图像之前还包括，对所述流集进行数据清洗，以剔除流集中电力专网流量数据的ip地址和mac地址，删除空数据和重复数据，并将流集调整至标准大小。

5.根据权利要求1所述的电力专网恶意流量识别方法，其特征在于，通过计算恶意流量识别的准确度、精确度和召回率对所述流量识别网络模型的参数进行微调。

6.一种电力专网恶意流量识别系统，其特征在于，包括：

7.根据权利要求6所述的电力专网恶意流量识别系统，其特征在于，所述流量识别网络模型还包括隐藏层，隐藏层后连接cbam模块组成特征提取模块；特征提取模块为三个，三个所述特征提取模块相互串联；在第一个cbam模块输入所述灰度图像。

8.根据权利要求6所述的电力专网恶意流量识别方法，其特征在于，所述将电力专网流量数据的数据包分装得到流集包括：

9.根据权利要求6所述的电力专网恶意流量识别方法，其特征在于，将所述流集转化为idx格式并生成对应的灰度图像之前还包括，对所述流集进行数据清洗，以剔除流集中电力专网流量数据的ip地址和mac地址，删除空数据和重复数据，并将流集调整至标准大小。

10.根据权利要求6所述的电力专网恶意流量识别方法，其特征在于，通过计算恶意流量识别的准确度、精确度和召回率对所述流量识别网络模型的参数进行微调。

11.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述计算机程序被加载至处理器时实现根据权利要求1-5任一项所述的电力专网恶意流量识别方法。

12.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现根据权利要求1-5任一项所述的电力专网恶意流量识别方法。

技术总结本发明公开了一种电力专网恶意流量识别方法及系统，该方法首先将电力专网流量数据的数据包分装得到流集，将流集转化为IDX格式并生成对应的灰度图像；然后建立流量识别网络模型用于根据所述流集和所述灰度图像进行恶意流量识别，得到流量类型的识别结果；流量识别网络模型包括输入层和CBAM模块；在输入层输入所述流集，在CBAM模块输入所述灰度图像；本发明通过在输入层输入流集，在CBAM模块输入灰度图像，CBAM模块可以同时对从流集中提取的初始特征以及流集转化的灰度图像中更好地捕获重要的特征信息，提高流量识别网络模型的性能，提高在非授权频段的安全性。技术研发人员：蒋承伶,朱道华,胡阳,龚亮亮,杨爽,汪大洋,曹委,黄忠明,张影,张明,张俊尧,刘峰受保护的技术使用者：国网江苏省电力有限公司技术研发日：技术公布日：2024/8/1