本发明专利技术公开了一种基于熵分析的智能电网通信网络流量异常检测方法,包括如下步骤:S1,实时接收智能电网运行过程中产生的日志信息的特征值;S2,在时间阈值内,统计每个特征值出现的概率;S3,计算每个特征值的熵,并进行归一化处理,生成熵向量;S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。本方法获取熵向量的方法比较简单,可以有效地满足智能电网日志信息实时检测的需求。另一方面,该方法不仅能检测出日志异常,而且能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,可以很好地满足智能电网的检测需求。
【技术实现步骤摘要】
本专利技术涉及一种智能电网通信网络流量异常检测方法,尤其涉及一种基于熵分析的智能电网通信网络流量异常检测方法,属于电力通信安全
技术介绍
随着网络规模的急剧扩展,网络所面临的安全问题越来越复杂,对网络流量的分析是网络安全管理尤其是入侵检测分析的重要研究内容。网络异常是网络面临的重大威胁之一。典型的网络异常活动有分布式拒绝服务(DDos)、端口扫描、蠕虫和病毒等。如今,虽然网络异常检测已经有大量相关研究,但找到一种泛型方法来检测网络异常仍然是一个挑战。在网络运行过程中,攻击和错误发现的越早,所能采用的补救措施就越多,造成的损失就会越少。因此,在线异常检测受到了学术界和工业界的重视。在应用运行的过程中,应用本身和各种监控程序都会产生各类日志信息来记录应用的状态、重要的运行事件和网络流量,因此日志信息中包含应用运行的动态信息,适合用来进行异常检测。传统日志分析是通过人工参与或者使用事前定义好的规则来完成的。当日志大小有限以及异常类型事先可知时,这些方法非常有效并且也很灵活。但是如果程序产生了百万行日志,人工处理日志就不太现实了。为了解决上述问题,在申请号为201310492962.9的中国专利申请中公开了一种实时在线日志检测方法,包括:步骤1:将整个的训练日志转换为一个离散事件序列;步骤2:建立一个检测模型;步骤3:将待测日志分段生成至少一个日志段,并为每个日志段分配日志段序列;步骤4:对一个日志段进行异常程度评分,得到相对熵;步骤5:判断相对熵是否为正值,如果是,当前日志段异常,跳至步骤7;否则,当前日志段为正常;步骤6:判断相对熵是否大于阈值,如果是,当前日志段为异常;否则,跳至步骤8;步骤7:发送异常警告给用户,待检测程序恢复到检测所述日志段之前的状态;步骤8:判断异常日志中是否存在未评分日志段,如果是,跳转至步骤4;否则,结束。该处理过程可以有效地检测日志异常。但是,智能电网作为一种集成配电系统和通讯网络的双向电力及信息流基础设施,在运行过程中会产生大量的日志信息,上述处理方法对于日志信息的处理过程过于复杂,不能满足智能电网日志实时检测的需求。另一方面,上述处理方法只能检测出日志异常,不能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,不能很好地满足智能电网的检测需求。
技术实现思路
本专利技术所要解决的技术问题在于提供一种基于熵分析的智能电网通信网络流量异常检测方法。为实现上述专利技术目的,本专利技术采用下述的技术方案:一种基于熵分析的智能电网通信网络流量异常检测方法,包括如下步骤:S1,实时接收智能电网运行过程中产生的日志信息的特征值;S2,在时间阈值内,统计每个特征值出现的概率;S3,计算每个特征值的熵,并进行归一化处理,生成熵向量;S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。其中较优地,在步骤S1中,所述日志信息的特征值包括源IP地址、源端口号、目的IP地址和目的端口号。其中较优地,在步骤S2中,所述在时间阈值内,统计每个特征值出现的概率包括如下步骤:S21,在时间阈值内,实时统计在智能电网运行过程中,每个源IP、源端口、目的IP、目的端口出现的次数;S22,在时间阈值内,统计源IP、源端口、目的IP、目的端口出现的总数;S23,用每个源IP、源端口、目的IP、目的端口出现的次数分别除以时间阈值内源IP、源端口、目的IP、目的端口出现的总数,分别得到源IP、源端口、目的IP、目的端口四个特征值出现的概率。其中较优地,在步骤S3中,对每个特征值的熵进行归一化处理采用如下公式:Ht(Xi)=Hs(Xi)/logN;其中,Hs(Xi)为特征值的熵,logN为归一化因数,N为时间阈值内观测的活动特征值的个数。其中较优地,在步骤S3中,所述根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,包括如下步骤:S41,通过分析常见网络流量攻击模式的特点,获取智能电网运行过程中出现常见网络流量攻击模式时,日志信息的特征值的熵的变化特征;S42,获取智能电网运行过程中,当前时间阈值与上一时间阈值的熵向量的差值;S43,判断熵向量的差值是否满足步骤S41中的熵的变化特征,如果满足任意一条变化特征,则发出报警信息,同时将所述变化特征对应的网络流量攻击模式展示出来。其中较优地,在步骤S3中,根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,还包括如下步骤:S44,当熵向量的差值不满足步骤S41中的熵的变化特征中的任意一条时,判定无网络流量异常发生,继续实时接收下一时间阈值的日志数据的特征值。本专利技术所提供的基于熵分析的智能电网通信网络流量异常检测方法,通过实时接收智能电网运行过程中产生的日志信息的特征值,计算每个特征值的熵,并进行归一化处理,生成熵向量;然后计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,同时指明攻击来源及攻击目标。该方法获取熵向量的方法比较简单,可以有效地满足智能电网日志信息实时检测的需求。另一方面,该方法不仅能检测出日志异常,而且能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,可以很好地满足智能电网的检测需求。附图说明图1为本专利技术提供的基于熵分析的智能电网通信网络流量异常检测方法的流程图;图2为本专利技术提供的实施例中,三种常见的网络流量攻击模式特点的展示图;图3为本专利技术提供的一个实施例中,在时间阈值内不同特征值的变化状态图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步的详细说明。如图1所示,本专利技术提供的基于熵分析的智能电网通信网络流量异常检测方法,具体包括如下步骤:首先,实时接收智能电网运行过程中产生的日志信息的特征值;其次,在时间阈值内,统计每个特征值出现的概率;然后,计算每个特征值的熵,并进行归一化处理,生成熵向量;最后,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。下面对这一过程做详细具体的说明。S1,实时接收智能电网运行过程中产生的日志信息的特征值。实时接收在智能电网运行过程中产生的日志信息的特征值,便于在智能电网运行过程中及时对日志信息的特征值进行判断,如若网络流量出现异常,能够第一时间发现,并及时进行处理,能够有效地保证在网络异常出现初期检测出来。在本专利技术所提供的实施例中,日志信息的特征值包括源IP地址、源端口号、目的IP地址和目的端口号。其中,源IP地址用srcIP代表,源端口号用srcPort代表,目的IP地址用dstIP代表,目的端口号用dstPort代表。通过对日志信息的特征值进行简单处理进而判断网络流量是否发生异常,简化了日志信息的处理过程,可以满足智能电网日志实时检测的需求。S2,在时间阈值内,统计每个特征值出现的概率。根据智能电网的运行特点和使用需求设定时间阈值,在时间阈值内,统计每个特征值出现的概率。为了通过流量检测网络异常,此处用xi表示网络日志信息的特征值。前面已经述及,主要使用四个特征值:srcIP代表源IP地址,srcPort代表源端口号,dstIP代表目的IP地址,dstPor本文档来自技高网...
【技术保护点】
一种基于熵分析的智能电网通信网络流量异常检测方法,其特征在于包括如下步骤:S1,实时接收智能电网运行过程中产生的日志信息的特征值;S2,在时间阈值内,统计每个特征值出现的概率;S3,计算每个特征值的熵,并进行归一化处理,生成熵向量;S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。
【技术特征摘要】
1.一种基于熵分析的智能电网通信网络流量异常检测方法,其特征在于包括如下步骤:S1,实时接收智能电网运行过程中产生的日志信息的特征值;S2,在时间阈值内,统计每个特征值出现的概率;S3,计算每个特征值的熵,并进行归一化处理,生成熵向量;S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。2.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法,其特征在于:在步骤S1中,所述日志信息的特征值包括源IP地址、源端口号、目的IP地址和目的端口号。3.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法,其特征在于在步骤S2中,所述在时间阈值内,统计每个特征值出现的概率包括如下步骤:S21,在时间阈值内,实时统计在智能电网运行过程中,每个源IP、源端口、目的IP、目的端口出现的次数;S22,在时间阈值内,统计源IP、源端口、目的IP、目的端口出现的总数;S23,用每个源IP、源端口、目的IP、目的端口出现的次数分别除以时间阈值内源IP、源端口、目的IP、目的端口出现的总数,分别得到源IP、源端口、目的IP、目的端口四个特征值出现的概率。4.如权利要求1所述的基于...
【专利技术属性】
技术研发人员:吕超,高明慧,霍雪松,裴培,王黎明,
申请(专利权)人:国家电网公司,国网江苏省电力公司,南京南瑞集团公司,北京科东电力控制系统有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。