[发明专利]一种电力监控系统网络安全客体异常行为分析方法及系统

权利要求书

1.一种电力监控系统网络安全客体异常行为分析方法，其特征在于，包括：

采集电力监控系统网络安全客体数据；

对采集的数据进行预处理；

将预处理后的数据输入训练好的LSTM模型中，输出异常行为数据；

将所述异常行为数据与电力监控系统网络拓扑图进行关联匹配，形成知识图谱。

2.根据权利要求1所述的一种电力监控系统网络安全客体异常行为分析方法，其特征在于，所述电力监控系统网络安全客体数据，包括：电力监控系统网络安全客体的网络属性数据、资产信息以及在运行和监控过程中产生的数据；所述在运行和监控过程中产生的数据包括正常数据、日志数据、系统信息、异常行为数据和告警信息。

3.根据权利要求2所述的一种电力监控系统网络安全客体异常行为分析方法，其特征在于，所述网络属性数据包括网络流量协议类型、网络连接状态、网络服务类型和端口；所述资产信息包括主机属性数据和DNS数据；所述异常行为数据和告警信息，包括但不限于：DoS攻击、探测攻击、远程非法访问和越权访问。

4.根据权利要求1所述的一种电力监控系统网络安全客体异常行为分析方法，其特征在于，所述对采集的数据进行预处理，包括：

清洗错误数据和无用的数据；

将清洗后的数据进行数值化操作；

将经过数值化的数据进行归一化和标准化处理。

5.根据权利要求4所述的一种电力监控系统网络安全客体异常行为分析方法，其特征在于，根据下式对经过数值化的数据进行标准化处理，使得处理后的数据满足均值为0、标准差为1的正态分布：

其中，X为当前电力监控系统网络安全客体采集到的经过数值化的数据，μ为当前电力监控系统网络安全客体采集到的经过数值化的数据的均值，σ为当前电力监控系统网络安全客体采集到的经过数值化的数据的标准差；X^*为经过标准化处理后的数据。

6.根据权利要求1所述的一种电力监控系统网络安全客体异常行为分析方法，其特征在于，所述LSTM模型的隐藏层单元包括输入门、输出门和遗忘门，

将输入数据x_t与前一时刻隐藏层的输出数据h_t-1共同作用于遗忘门，由遗忘门选择需要遗忘的数据，得到遗忘门值f_t；

将输入数据x_t以及前一时刻隐藏层的输出数据h_t-1输入输入门，由输入门选择需要记忆的数据，得到输入门值i_t和临时细胞状态

根据输入门值i_t、遗忘门值f_t和临时细胞状态计算当前时刻细胞状态C_t；

将输入数据x_t、前一时刻隐藏层的输出数据h_t-1以及当前时刻细胞状态C_t共同作用于输出门，得到当前时刻隐藏层状态h_t。

7.根据权利要求6所述的一种电力监控系统网络安全客体异常行为分析方法，其特征在于，所述遗忘门值f_t的计算公式如下：

其中，σ为门数量，W_f，b_f为隐藏元维数，为前一时刻输出门值与tanh乘积结果，保证输入的值在-1～1之间；

输入门值i_t和临时细胞状态的计算公式如下：

其中，W_i、W_C和b_i、b_C为隐藏元维数；

当前时刻细胞状态C_t计算公式如下：

其中，C_t-1为前一时刻细胞状态；

当前时刻隐藏层状态h_t计算公式如下：

其中，o_t为输出门值，W_o，b_o为隐藏层维数。