[发明专利]基于人工免疫和灰色关联度分析的网络安全态势感知方法有效
| 申请号: | 201810405007.X | 申请日: | 2018-04-28 |
| 公开(公告)号: | CN108667834B | 公开(公告)日: | 2020-06-09 |
| 发明(设计)人: | 姜文婷;邓晓智;陈飞鹏;苏卓;周安;王远丰 | 申请(专利权)人: | 广东电网有限责任公司;广东电网有限责任公司电力调度控制中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24 |
| 代理公司: | 广州粤高专利商标代理有限公司 44102 | 代理人: | 林丽明 |
| 地址: | 510050 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 人工免疫 灰色 关联 分析 网络安全 态势 感知 方法 | ||
1.基于人工免疫和灰色关联度分析的网络安全态势感知方法,其特征在于:包括以下步骤:
S1:从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征,进行数据预处理和特征提取,得到特征提取后的数据;
S2:通过特征提取得到的数据,运用人工免疫模型计算得到网络安全态势值;
S3:将计算得到的网络安全态势值作为参考序列,建立起基于灰色关联度分析,融合灰色预测和DT决策树算法的网络安全态势预测模型;
S4:将得到的网络安全态势值作为网络安全态势预测模型的模型输入,得到下一时间阶段的网络态势预测值;
其中,所述步骤S2包括以下步骤:
S21:定义映射关系:通过特征提取得到的二进制字符串x,长度为96,分为正常网络活动或网络攻击两种情况,将待匹配的二进制字符串用y表示;初始训练时,根据已知非法攻击经验划定分类;训练过程中,被y匹配并使y达到激活阈值的x定义为非自体抗原;随机生成的长度为96的二进制字符串y,定义为抗体集合D,其中:
D={d|d=<y,m,count>,m,count∈N1}
其中,N1表示为自然数集合;m为运算迭代次数;count为y匹配到的x数量;
S22:完成x-y的匹配:采用r连续位匹配算法,其匹配结果fm(x,y)定义为:
其中,1表示匹配成功,0表示匹配失败,xk为字符串x的第k个字符,yk为字符串y的第k个字符,p表示主机p,q表示主机q;
S23:对y进行复制:本过程包含了复制阈值和复制数量两个过程其中,复制阈值的过程如下:
当匹配到的x数量count达到一定的激活阈值θ时,y被激活并开始复制,规定运算迭代次数M内没有达到复制阈值则抗体死亡,其中:
激活阈值θ为经验值,由管理员设置;关于复制数量,其过程如下:
其中,σ为集合D中与被激活y有相同字符串的抗体数目;为复制速度常数,由管理人员设定,y的浓度表示为
S24:计算网络安全态势值:首先,计算主机i在t时刻的网络安全态势值ri(t),计算公式为:
其中,βi表示主机i的重要性且0<βi<1,是由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注,数值越大重要性越高;Ni为主机i此时刻检测到的抗体数量;Si为正常网络运行情况下主机i检测到的匹配字符串数量;
接着,计算主机i在t时刻j类攻击下的网络安全态势值rij(t),计算公式为:
其中,αj为j类攻击行为的危害程度,该危害程度为维修人员经验判断值,数值越大,危害程度越高;Nij为主机i在t时刻检测到的j类攻击字符串数量;
而后,计算系统在t时刻j类攻击下的网络安全态势值Rj(t),计算公式为:
最后,计算系统的t时刻的网络安全态势值:
其中,t=1,...,n,网络安全态势值在[0,1]区间内;
所述步骤S3包括以下步骤:
S31:将步骤S2得到的网络安全态势计算值Rt记作R0,作为参考序列,其中:
R0={R0(t)|t=1,2,...,n}={R0(1),R0(2),...,R0(n)}
预测输出:将参考序列作为训练输入值,完成灰色系统理论GM(1,1)预测算法以及DT决策树算法训练及预测输出,得到输出序列,其公式为:
Ri={Ri(t)|t=1,2,...,n}={Ri(1),Ri(2),...,Ri(n)}
其中,Ri为比较序列,i为主机标识;
基于灰色关联度分析的组合预测,首先,计算t时刻关联度,计算公式为:
其中,为选定预测序列Ri相对于参考序列R0在时刻t的关联系数,其中ρ∈[0,1]为分辨系数;
接着,计算整体关联度δi以及权值系数εi,计算公式为:
最后,得到组合预测安全势态值Reo:
其中,I为总的主机数目;
所述步骤S4具体为:
根据所述步骤S2求得各个时间段的网络安全态势值序列数据R0;将R0作为模型输入,带入训练出的GM(1,1)灰色预测和DT决策树算法组合预测模型中,得到下一时间段的网络态势预测值Reo。
2.根据权利要求1所述的基于人工免疫和灰色关联度分析的网络安全态势感知方法,其特征在于:所述步骤S1包括以下步骤:
S11:从电力通信网络中收集的数据,主要包括两方面:
第一方面,电力物理系统中的设备日志:报警标识符ALARM_ID,报警时间ALARM_TIME,攻击类型ATTACK_TYPE;
第二方面,电力信息系统中的网络端口数据:源地址SIP;目的地址DIP;源端口SP;目的端口DP;协议类型PROTOCAL_TYPE;
S12:对于收集到的数据进行预处理,具体为对数据进行格式转换、时空校准、非法数据剔除;
S13:对预处理后的数据进行特征提取:监视并使用SmartSniff工具抓取网络中的数据包,将数据包转换成长度为96的二进制字符串,其中包括:源IP地址32位、目的IP地址32位、目的端口16位、协议标志16位。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广东电网有限责任公司;广东电网有限责任公司电力调度控制中心,未经广东电网有限责任公司;广东电网有限责任公司电力调度控制中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810405007.X/1.html,转载请声明来源钻瓜专利网。
