本發(fā)明涉及電力網(wǎng)絡(luò)，特別是一種基于協(xié)議深度解析的電力網(wǎng)絡(luò)未知攻擊自動(dòng)發(fā)現(xiàn)方法。

背景技術(shù)：

1、因應(yīng)用軟件接口服務(wù)提供方、應(yīng)用軟件接口開(kāi)發(fā)團(tuán)隊(duì)、應(yīng)用軟件接口自身的安全機(jī)制存在缺陷等多方面原因，應(yīng)用軟件接口的開(kāi)發(fā)為攻擊者攻擊提供了攻擊通道。通過(guò)異常檢測(cè)手段對(duì)基于應(yīng)用軟件接口漏洞的攻擊實(shí)現(xiàn)高效的識(shí)別，并定位應(yīng)用軟件接口漏洞，對(duì)應(yīng)用軟件接口資產(chǎn)的生命周期管理極其重要?，F(xiàn)有技術(shù)對(duì)于網(wǎng)絡(luò)未知攻擊的預(yù)測(cè)能力尚有欠缺。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種基于協(xié)議深度解析的電力網(wǎng)絡(luò)未知攻擊自動(dòng)發(fā)現(xiàn)方法，能夠很好地進(jìn)行電力網(wǎng)絡(luò)未知攻擊自動(dòng)發(fā)現(xiàn)。

2、為實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：一種基于協(xié)議深度解析的電力網(wǎng)絡(luò)未知攻擊自動(dòng)發(fā)現(xiàn)方法，包括以下步驟：

3、步驟1：是從資產(chǎn)狀態(tài)、網(wǎng)絡(luò)流量和協(xié)議指令三個(gè)層面建立全面的監(jiān)測(cè)指標(biāo)項(xiàng)；

4、步驟2：研究正常行為基準(zhǔn)模型自動(dòng)學(xué)習(xí)構(gòu)建技術(shù)，基于多個(gè)rbm神經(jīng)網(wǎng)絡(luò)建立正?；鶞?zhǔn)模型，研究電力業(yè)務(wù)操作行為基準(zhǔn)、同類(lèi)型設(shè)備基準(zhǔn)、特定通訊線(xiàn)路基準(zhǔn)等正常行為基線(xiàn)，構(gòu)建電力網(wǎng)絡(luò)正常行為模型的安全基線(xiàn)指標(biāo)；在此基礎(chǔ)上研究基于正?；鶞?zhǔn)模型的異常行為發(fā)現(xiàn)技術(shù)；

5、步驟3：開(kāi)展異常行為自動(dòng)發(fā)現(xiàn)技術(shù)驗(yàn)證，通過(guò)采用基于模擬網(wǎng)絡(luò)流量和基于電力網(wǎng)絡(luò)用采業(yè)務(wù)數(shù)據(jù)來(lái)驗(yàn)證異常行為自動(dòng)發(fā)現(xiàn)技術(shù)。

6、在一較佳的實(shí)施例中，所述步驟1中用于進(jìn)行網(wǎng)絡(luò)正常行為建模的指標(biāo)可大體分為資產(chǎn)狀態(tài)指標(biāo)、網(wǎng)絡(luò)流量指標(biāo)和協(xié)議指標(biāo)三類(lèi)。

7、在一較佳的實(shí)施例中，資產(chǎn)狀態(tài)指標(biāo)包括運(yùn)行狀態(tài)、配置合規(guī)、日志和系統(tǒng)異常行為；

8、運(yùn)行狀態(tài)指標(biāo)包括：cpu利用率、內(nèi)存利用率、io使用情況、網(wǎng)絡(luò)流量情況、關(guān)鍵進(jìn)程、系統(tǒng)服務(wù)狀態(tài)、服務(wù)端口狀態(tài)、關(guān)鍵文件狀態(tài)、注冊(cè)表、啟動(dòng)項(xiàng)、內(nèi)核、硬件配置、操作系統(tǒng)信息；

9、配置合規(guī)指標(biāo)包括：賬號(hào)策略、日志策略、授權(quán)策略、ip通信策略、口令策略、服務(wù)配置、內(nèi)核參數(shù)配置和漏洞補(bǔ)丁情況；

10、日志指標(biāo)包括：主機(jī)日志、中間件日志、數(shù)據(jù)庫(kù)日志、各種常見(jiàn)應(yīng)用服務(wù)日志；

11、系統(tǒng)異常行為指標(biāo)包括：異常網(wǎng)絡(luò)訪(fǎng)問(wèn)行為、異常進(jìn)程操作行為、異常api調(diào)用行為、異常注冊(cè)表操作行為、異常文件讀寫(xiě)行為、惡意文件。

12、在一較佳的實(shí)施例中，網(wǎng)絡(luò)流量指標(biāo)包括：

13、傳輸協(xié)議類(lèi)型，離散類(lèi)型，共有3種：tcp,udp,icmp；

14、目標(biāo)主機(jī)的網(wǎng)絡(luò)服務(wù)類(lèi)型，離散類(lèi)型；

15、具體協(xié)議類(lèi)型，例如用電信息采集協(xié)議；

16、單位時(shí)間內(nèi)終端的網(wǎng)絡(luò)指標(biāo)；終端發(fā)送和接收數(shù)據(jù)包的平均長(zhǎng)度、終端發(fā)出數(shù)據(jù)包的個(gè)數(shù)、終端接受數(shù)據(jù)包的個(gè)數(shù)、終端連接的服務(wù)主機(jī)個(gè)數(shù)、終端所使用的端口數(shù)量；

17、終端連接主機(jī)的指標(biāo)：主機(jī)所使用的端口數(shù)量、主機(jī)所使用的端口的頻度。

18、在一較佳的實(shí)施例中，協(xié)議指標(biāo)：用采協(xié)議的指令指標(biāo)包括afn和fn字段。

19、在一較佳的實(shí)施例中，所述步驟2中先對(duì)物聯(lián)網(wǎng)架構(gòu)及常用通信協(xié)議進(jìn)行分析，在語(yǔ)法和語(yǔ)義層面分析建模業(yè)務(wù)協(xié)議的行為特征；隨后以協(xié)議關(guān)鍵字段為考察對(duì)象，依據(jù)協(xié)議關(guān)鍵字段出現(xiàn)的頻率以及先后順序建立協(xié)議行為模型并提出基于業(yè)務(wù)協(xié)議報(bào)文的行為異常檢測(cè)方法；

20、基于業(yè)務(wù)協(xié)議報(bào)文的行為異常檢測(cè)方法包括協(xié)議數(shù)據(jù)包特征選取、建立序列標(biāo)記模型步驟；在異常協(xié)議行為檢測(cè)中，從網(wǎng)絡(luò)數(shù)據(jù)流以網(wǎng)絡(luò)連接為單位采集數(shù)據(jù)包觀(guān)測(cè)序列x后，對(duì)每個(gè)數(shù)據(jù)包標(biāo)記正常度y_i，進(jìn)而得到標(biāo)注序列y，選用條件隨機(jī)場(chǎng)作為序列標(biāo)記模型；在條件隨機(jī)場(chǎng)模型建立后，應(yīng)用其進(jìn)行實(shí)時(shí)協(xié)議異常檢測(cè)的原理在于，對(duì)于每個(gè)網(wǎng)絡(luò)連接內(nèi)某協(xié)議的觀(guān)測(cè)序列xn'，n代表網(wǎng)絡(luò)連接的長(zhǎng)度，每個(gè)觀(guān)測(cè)值對(duì)應(yīng)一個(gè)協(xié)議數(shù)據(jù)包，根據(jù)已建立的crf模型，若此連接內(nèi)出現(xiàn)協(xié)議異常，則給定正常標(biāo)記序列yn＝(1,1,…,1)，1表示正常狀態(tài)，條件概率p(y|x,θ)應(yīng)當(dāng)大于預(yù)先設(shè)定的閾值pthr，根據(jù)閾值判定協(xié)議行為異常與否。

21、在一較佳的實(shí)施例中，步驟2包括以下步驟：

22、步驟21：根據(jù)電力信息系統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)特性進(jìn)行指標(biāo)提取，提取完的數(shù)據(jù)完成預(yù)處理環(huán)節(jié)，預(yù)處理環(huán)節(jié)包括：數(shù)據(jù)收集、指標(biāo)提取、歸一化處理，然后按照時(shí)間段ta內(nèi)流量數(shù)據(jù)的數(shù)量進(jìn)行指標(biāo)的歸并；

23、步驟22：將歸并完成的數(shù)據(jù)設(shè)定為訓(xùn)練數(shù)據(jù)集，同時(shí)按照網(wǎng)絡(luò)常見(jiàn)的流量傳輸時(shí)間進(jìn)行時(shí)間段劃分，數(shù)據(jù)集劃分為各個(gè)數(shù)據(jù)簇；

24、步驟23：構(gòu)建基準(zhǔn)模型；基準(zhǔn)模型由k個(gè)rbm網(wǎng)絡(luò)構(gòu)成，其中k初始化為1。

25、在一較佳的實(shí)施例中，步驟23包括：

26、1)隨機(jī)初始化一個(gè)rbm網(wǎng)絡(luò)，rbm網(wǎng)絡(luò)的網(wǎng)絡(luò)參數(shù)可以先設(shè)定為隨機(jī)數(shù)，然后將進(jìn)行歸一化處理后的指標(biāo)數(shù)據(jù)輸入到該rbm模型中，網(wǎng)絡(luò)不記錄隱含層的輸出，通過(guò)最小化模型輸出和原有輸入的誤差完成模型的訓(xùn)練，模型的輸出過(guò)程為原有指標(biāo)數(shù)據(jù)輸入到可見(jiàn)層中，通過(guò)隱含層訓(xùn)練，再將隱含層數(shù)據(jù)反訓(xùn)練為可見(jiàn)層的輸出；將第一個(gè)數(shù)據(jù)簇訓(xùn)練得到的rbm模型設(shè)定為初始基準(zhǔn)模型；

27、輸入xi與輸出yi的平方根誤差表示如下：

28、

29、2)取下一個(gè)數(shù)據(jù)簇，將數(shù)據(jù)簇輸入到各個(gè)rbm模型中，測(cè)試基準(zhǔn)模型集中的所有的rbm基準(zhǔn)模型，計(jì)算該數(shù)據(jù)簇在基準(zhǔn)模型的重構(gòu)輸出，計(jì)算輸出數(shù)據(jù)與原數(shù)據(jù)的平方根誤差；

30、3)比較所有平方根誤差；

31、如果所有平方根誤差ρ超過(guò)設(shè)定閾值，則說(shuō)明該數(shù)據(jù)與現(xiàn)有的所有rbm網(wǎng)絡(luò)模式均不吻合，因此該數(shù)據(jù)屬于新的模式類(lèi)型，則新建一個(gè)rbm網(wǎng)絡(luò)，隨機(jī)初始化，將該數(shù)據(jù)簇輸入這個(gè)新的rbm網(wǎng)絡(luò)中進(jìn)行訓(xùn)練，調(diào)整網(wǎng)絡(luò)參數(shù)；將該rbm網(wǎng)絡(luò)加入到基準(zhǔn)模型中；

32、如果部分平方根誤差在閾值范圍內(nèi)，選定平方根誤差ρ最小的模型集，添加該數(shù)據(jù)簇的原始數(shù)據(jù)進(jìn)入對(duì)應(yīng)基準(zhǔn)模型的數(shù)據(jù)集；如果數(shù)據(jù)集中數(shù)據(jù)過(guò)多，根據(jù)設(shè)定數(shù)據(jù)集數(shù)據(jù)量個(gè)數(shù)隨機(jī)拋棄部分冗余數(shù)據(jù)，訓(xùn)練新的數(shù)據(jù)集并更新對(duì)應(yīng)的基準(zhǔn)模型參數(shù)；

33、最小平方根誤差ρ＝min{pj},j為第j個(gè)模型

34、4)返回步驟2)，直到所有數(shù)據(jù)訓(xùn)練完畢；

35、5)根據(jù)聚類(lèi)后rbm模型中的數(shù)據(jù)簇的數(shù)量設(shè)定每個(gè)數(shù)據(jù)簇的異常度，rbm模型中數(shù)據(jù)簇的數(shù)量越多，說(shuō)明該模型越符合網(wǎng)段傳輸規(guī)律，對(duì)應(yīng)的數(shù)據(jù)簇異常度越低；

36、異常度其中n為該rbm模型中數(shù)據(jù)簇?cái)?shù)據(jù)，n為所有數(shù)據(jù)簇的數(shù)量；

37、6)設(shè)定異常度檢測(cè)閾值，將符合該異常度閾值的rbm模型匯總，匯總后為一個(gè)多rbm模型集，模型集對(duì)應(yīng)多個(gè)rbm模型，rbm模型的個(gè)數(shù)為k，每個(gè)rbm模型對(duì)應(yīng)自己的參數(shù)與數(shù)據(jù)簇，該多rbm模型集就是網(wǎng)絡(luò)正?；鶞?zhǔn)模型。

38、在一較佳的實(shí)施例中，從網(wǎng)絡(luò)流屬性入手，設(shè)計(jì)網(wǎng)絡(luò)流秩序的構(gòu)成；對(duì)流形學(xué)習(xí)進(jìn)行研究并基于流形學(xué)習(xí)提出網(wǎng)絡(luò)流秩序刻畫(huà)方案；對(duì)多層感知機(jī)算法進(jìn)行研究并提出基于多層感知機(jī)的網(wǎng)絡(luò)流秩序分類(lèi)方法。

39、與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果：能夠很好地進(jìn)行電力網(wǎng)絡(luò)未知攻擊自動(dòng)發(fā)現(xiàn)。