[发明专利]一种配电通信网络安全态势感知与异常入侵检测方法

权利要求书

1.一种配电通信网络安全态势感知与异常入侵检测方法，其特征在于：包括，

对网络关键节点中的原始网络行为数据进行数据预处理，并整合为标准化训练数据集；

基于随机森林算法，从标准化训练数据集中提取影响网络异常状态的关键特征指标；

根据标准化训练数据集构建特征层森林，并结合所述关键特征指标训练所述特征层森林，计算连接权重；

根据所述连接权值建立网络异常检测模型，识别网络攻击类型。

2.如权利要求1所述的配电通信网络安全态势感知与异常入侵检测方法，其特征在于：原始网络行为数据包括，

原始网络行为数据的每条数据包含5方面属性：网络连接基本特征、网络连接内容特征、网络主机相关信息、网络流量特征和网络防护特征；

其中，所述网络连接基本特征为：连接时长DURATION，连接协议类型PROTOCOL_TYPE，连接状态FLAG；

所述网络连接内容特征为：登陆状态LOG_IN，今日登录次数NUM_LOGIN，今日操作次数NUM_OPERATION，今日受到威胁状态的次数NUM_COMPROMISED；

所述网络主机相关信息为：主机标识HOST_ID，主机数量HOST_NUM，各主机的安全防护等级SECURE_LEVEL；

所述网络流量特征为：连接服务数SERVICE_NUM，连接服务类型SERVICE_TYPE，连接相同服务的次数SAME_SERVICE_NUM，连接不同服务的次数DIFF_SERVICE_NUM；

所述网络防护特征为：攻击标识类型ATTACK_NUM、源地址SIP、目的地址DIP。

3.如权利要求2所述的配电通信网络安全态势感知与异常入侵检测方法，其特征在于：数据预处理包括数据清洗、数据转化、数据归一化；

通过对网络关键节点中的原始网络行为数据进行数据预处理，生成网络行为特征向量X∈R^N×M；

其中，R表示该特征向量的维度标识，N表示样本容量，M表示输入特征个数。

4.如权利要求3所述的配电通信网络安全态势感知与异常入侵检测方法，其特征在于：标准化训练数据集包括，

按照攻击标识类型ATTACK_TYPE对特征字段进行分类标注，正常记录标注为1，DoS攻击记录标注为2，Probe攻击记录标注为3，R2L攻击记录标注为4，U2R攻击记录标注为5，以符号Y表示；

将所述网络行为特征向量X∈R^N×M和攻击标识Y∈R^N×K组合为标准化训练数据集D：

D＝{(x_i,y_i),i＝1,2,...,N}

其中，K表示所属类别个数，x_i为第i个样本的网络行为特征向量，y_i为第i个样本的攻击标识类别。

5.如权利要求3或4所述的配电通信网络安全态势感知与异常入侵检测方法，其特征在于：关键特征指标包括，

根据重要性度量得分{Score_j}_j＝1,...,M对标准化训练数据集的M个特征进行排序，并设置参数r∈[0,1]作为特征选择的比率，选择出Q＝rM个最重要特征作为关键特征指标。

6.如权利要求5所述的配电通信网络安全态势感知与异常入侵检测方法，其特征在于：特征层森林包括，

特征层森林由n组森林组成，每组包含一个随机森林和一个完全随机森林；假设每个随机森林由T棵决策树组成，设置T＝50。