[发明专利]一种配电通信网络安全态势感知与异常入侵检测方法

说明书

本发明公开了一种配电通信网络安全态势感知与异常入侵检测方法，包括，对网络关键节点中的原始网络行为数据进行数据预处理，并整合为标准化训练数据集；基于随机森林算法，从标准化训练数据集中提取影响网络异常状态的关键特征指标；根据标准化训练数据集构建特征层森林，并结合所述关键特征指标训练特征层森林，计算连接权重；根据连接权值建立网络异常检测模型，识别网络攻击类型；本发明加快了宽度森林学习算法建模的训练速度，降低学习任务的复杂度；同时降低了模型复杂度，加快了学习收敛速度，提高了检测准确度。

技术领域

本发明涉及通信网络入侵检测的技术领域，尤其涉及一种配电通信网络安全态势感知与异常入侵检测方法。

背景技术

伴随着信息技术和网络技术的全面、快速发展，配电通信网络的运行可靠性以及运行稳定性得到了进一步的提升。信息技术的应用不仅提高了电力系统的工作效率，同时简化了工作流程，但是也因此带来了相应的网络安全防护问题，一旦配电通信网络受到外界影响，被破坏或者干扰，不能正常工作，将会严重地影响人民的生产生活，造成重大的经济损失。当前我国的配电通信网络安全依旧存在很多问题，制约了电力系统的整体发展，信息网络的安全防护问题已经成为当下配电通信网络亟待解决的问题。

为了提升网络的安全防护能力，对网络中入侵行为的异常检测技术对于网络安全具有重大意义。尽早发现入侵攻击迹象，分析入侵攻击事件，并及时、准确地检测出网络异常，能够辅助管理人员对网络进行管理，提高对主机和网络异常检测和分析效率，更快地排除网络异常，降低损失。传统的网络入侵行为检测方法检测时间长、检测效率低；基于机器学习的网络入侵行为检测方法，如基于聚类分析、支持向量机等方法，在入侵特征数据维度高、不同入侵类别之间数据差别较小时，不少入侵不能被准确检测到，同时也存在较高的误报率；基于神经网络的网络入侵行为检测方法虽然准确率有显著提高，但训练速度慢，分类精度低，实现复杂度也很高。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

为解决上述技术问题，本发明提供如下技术方案：包括，对网络关键节点中的原始网络行为数据进行数据预处理，并整合为标准化训练数据集；基于随机森林算法，从标准化训练数据集中提取影响网络异常状态的关键特征指标；根据标准化训练数据集构建特征层森林，并结合所述关键特征指标训练所述特征层森林，计算连接权重；根据所述连接权值建立网络异常检测模型，识别网络攻击类型。

作为本发明所述的配电通信网络安全态势感知与异常入侵检测方法的一种优选方案，其中：原始网络行为数据包括，原始网络行为数据的每条数据包含5方面属性：网络连接基本特征、网络连接内容特征、网络主机相关信息、网络流量特征和网络防护特征；其中，所述网络连接基本特征为：连接时长DURATION，连接协议类型PROTOCOL_TYPE，连接状态FLAG；所述网络连接内容特征为：登陆状态LOG_IN，今日登录次数NUM_LOGIN，今日操作次数NUM_OPERATION，今日受到威胁状态的次数NUM_COMPROMISED；所述网络主机相关信息为：主机标识HOST_ID，主机数量HOST_NUM，各主机的安全防护等级SECURE_LEVEL；所述网络流量特征为：连接服务数SERVICE_NUM，连接服务类型SERVICE_TYPE，连接相同服务的次数SAME_SERVICE_NUM，连接不同服务的次数DIFF_SERVICE_NUM；所述网络防护特征为：攻击标识类型ATTACK_NUM、源地址SIP、目的地址DIP。

作为本发明所述的配电通信网络安全态势感知与异常入侵检测方法的一种优选方案，其中：数据预处理包括数据清洗、数据转化、数据归一化；通过对网络关键节点中的原始网络行为数据进行数据预处理，生成网络行为特征向量X∈R^N×M；其中，R表示该特征向量的维度标识，N表示样本容量，M表示输入特征个数。