[发明专利]一种电力监控系统网络安全客体异常行为分析方法及系统

说明书

本发明公开了一种电力监控系统网络安全客体异常行为分析方法及系统。方法包括采集电力监控系统网络安全客体数据；对采集的数据进行预处理；将预处理后的数据输入训练好的LSTM模型中，输出异常行为数据；将所述异常行为数据与电力监控系统网络拓扑图进行关联匹配，形成知识图谱。本发明通过深度学习算法模型对数据进行处理，检测识别出的异常行为数据具有较高的准确率；通过将异常行为数据与电力监控系统的网络拓扑结构关联起来，以知识图谱的形式进行展示，能够确保电力监控系统网络安全客体在应用环境及网络结构复杂多样的情况下直观显示异常行为部分，为快速定位异常行为点提供准确的可视化操作。

技术领域

本发明涉及一种电力监控系统网络安全客体异常行为分析方法及系统，属于电力网络安全领域。

背景技术

近年来，随着IT技术和通信技术的迅猛发展，网络空间正面临复杂多变的时代，一方面大、智、移、物、云等新兴技术正在深刻改变传统电力行业面貌，推动电力改革和发展；另一方面，是大规模网络攻击和网络病毒的爆发，网络攻击、恶意程序、网络入侵等异常行为时刻威胁电力基础设施，电力行业成为APT和黑客组织的首要攻击目标，这对电力监控系统网络安全造成了巨大威胁。越来越多的安全设备被运用到电力监控系统中，如何更好的整合这些网络安全设备，更有效地展示异常行为是目前研究的方向之一，利用深度学习和知识图谱技术提取并展示电力监控系统网络安全客体异常行为是更加便捷的途径和方法。

针对异常行为分析，国内外学者提出了很多有效的方法，包括机器学习SVM算法、DNN深度神经网络模型、MLP算法模型等，这些算法被用于识别分析异常行为。但现有方法都是针对异常行为进行检测和分析的，并没有涉及多系统行为检测。与此同时，为了积极应对网络安全风险，提升电力监控系统网络空间安全能力，一批防火墙、入侵检测、入侵防御等安全防护装置被应用部署，全方位保护电力监控系统网络安全。这些安全装置在多层面实时监测的同时，各自产生了海量的告警信息、监测日志等网络安全数据，如何利用好这些数据，构建大规模可视化网络结构，并针对这些数据进行分析、挖掘和关联是目前面临一个重要问题。

发明内容

本发明的目的在于提供一种电力监控系统网络安全客体异常行为分析方法及系统，以解决电力监控系统中网络结构复杂，电力监控系统网络安全客体异常行为定位不准确以及查看不便捷的问题。

为实现上述目的，本发明采用如下技术方案：

一方面，一种电力监控系统网络安全客体异常行为分析方法，包括：

采集电力监控系统网络安全客体数据；

对采集的数据进行预处理；

将预处理后的数据输入训练好的LSTM(长短期记忆网络，Long Short-TermMemory)模型中，输出异常行为数据；

将所述异常行为数据与电力监控系统网络拓扑图进行关联匹配，形成知识图谱。

进一步地，所述电力监控系统网络安全客体数据，包括：电力监控系统网络安全客体的网络属性数据、资产信息以及在运行和监控过程中产生的数据；所述在运行和监控过程中产生的数据包括正常数据、日志数据、系统信息、异常行为数据和告警信息。

进一步地，所述网络属性数据包括网络流量协议类型、网络连接状态、网络服务类型和端口；所述资产信息包括主机属性数据和DNS数据；所述异常行为数据和告警信息，包括但不限于：DoS攻击、探测攻击、远程非法访问和越权访问。

进一步地，所述对采集的数据进行预处理，包括：

清洗错误数据和无用的数据；

将清洗后的数据进行数值化操作；

将经过数值化的数据进行归一化和标准化处理。

进一步地，根据下式对经过数值化的数据进行标准化处理，使得处理后的数据满足均值为0、标准差为1的正态分布：