[发明专利]一种基于AE-SVM模型的分布式拒绝服务攻击网络异常检测方法

说明书

本发明公开了一种基于AE‑SVM模型的分布式拒绝服务攻击网络异常检测方法，所述异常检测方法包含分布式拒绝服务攻击网络异常数据；以及AE‑SVM模型检测分布式拒绝服务攻击的过程：进入步骤201，将数据集输入，进入步骤202，对测量的非数值数据采用标签编码进行排列，进入步骤203，对数据进行标准化，进入步骤204，使用AE模型进行编码，然后进入步骤205，使用SVM进行分类。本发明考虑了厂站的电力监控系统网络安全受到ddos攻击时入侵检测的实时性，能够更快速有效地检测厂站电力监控系统中的分布式拒绝服务攻击网络异常。

技术领域

本发明专利涉及属于电力系统厂站安全防护的技术领域，特别涉及一种基于AE-SVM模型的分布式拒绝服务攻击网络异常检测方法。

背景技术

随着信息化与传统能源行业各环节应用的深度融合，以及物联网的快速发展，工业控制系统得到了前所未有的发展，并成为关键基础设施的重要组成部分，广泛应用于我国电力、水利、水务、石油化工、轨道交通、制药等行业中。调查发现，由于工业控制系统升级程序复杂且危害强度大等原因，半数以上的企业未对其进行过升级和漏洞修复工作。电力企业作为工业控制系统高度发展、深度融合的标杆，推动了智能电网系统的升级也增加了安全风险。与信息系统相比，工控系统地域分布广，终端侧有带传感和控制功能的装置。建立并完善电网和发电厂的电力监控系统网络安全防护体系成为保障电力系统的安全稳定运行的关键因素，也是一体化电力监控系统设计中一个非常重要的组成部分。

工业中使用的与因特网通信的设备提高了我们的生活水平，但信息安全是一个需要解决的问题。威胁信息安全的网络攻击有多种来源。拒绝服务(DoS)和分布式拒绝服务(DDOS)攻击是最常见的网络攻击。DDOS攻击分两个阶段进行，入侵和攻击。在入侵阶段，攻击者在不同的网络主机上安装DDOS攻击工具。在攻击阶段，触发攻击目标网络。攻击者通过使用这些主机创建大量流量来迫使目标路由器。受害者机器的带宽和资源被这些虚拟生成的流量大量消耗。因此，目标系统无法向其合法用户提供服务，从而导致授权拒绝服务。防火墙和入侵检测系统(IDS)通常用于处理网络上的网络攻击。这些系统被设计用来监视网络上的流量并识别异常行为。有两种方法来描述系统的异常行为。它们是误用检测和异常检测。这两种方法是根据攻击检测方法来区分的。在误用检测中，当攻击模型与恶意事务的特征码匹配时，确定攻击模型。另一方面，当数据与网络流的预期行为不符时，会发生异常检测。尽管网络安全技术取得了重大进展，但攻击者使用的复合攻击方法清楚地表明防火墙和IDS系统提供的解决方案是不够的。在文献中，研究者更喜欢使用机器学习(ML)算法来进行异常检测，包括决策树(DT)、朴素贝叶斯(NB)和支持向量机(SVM)来解决这一问题。涉及这些技术的入侵检测系统是基于在网络流量中表示其有用属性的知识。因此，通过关注结构资产和数据表示从原始数据中获得的特征被用于ML的决策中。使用ML算法检测网络中的异常会导致很高的误判率。

发明内容

本发明属于电力系统厂站安全防护的技术领域，具体涉及一种基于AE-SVM模型的分布式拒绝服务攻击网络异常检测方法，用于更快速有效地检测厂站电力监控系统中的分布式拒绝服务攻击网络异常。

本发明解决技术问题提供的技术方案是：一种基于AE-SVM模型的分布式拒绝服务攻击网络异常检测方法，所述异常检测方法包含：分布式拒绝服务攻击网络异常数据；以及AE-SVM模型检测分布式拒绝服务攻击的过程；

进入步骤201，将数据集输入，在本研究中使用的CICIDS数据集中有5个非数字特征和82个数字特征；

进入步骤202，对测量的非数值数据采用标签编码进行排列，以便AE-SVM正常工作，在编辑过程中，检查了降/升比、标志计数、协议和标志信息，标志和向下/向上信息分别传输到数据集，这些数据被标记为0和1，协议用协议号标记，协议标有协议编号，流ID，源IP，目标IP，时间戳和SimillarHTTP字段被直接丢弃，因为它们被放置在数据集中；