一种电力信息网络中流量识别模型的动态更新方法技术

本发明专利技术提供一种电力信息网络中流量识别模型的动态更新方法，包括以下步骤：获得流量识别模型；动态更新流量识别模型。本发明专利技术提供的电力信息网络中流量识别模型的动态更新方法，可以保证流量识别模型能够快速跟踪流量样本中所包含的知识，准确地检测出异常流量，在此基础上实现主动预警功能，提升了电力信息网络的安全性。

【技术实现步骤摘要】

本专利技术属于电力信息网络安全领域，具体涉及一种电力信息网络中流量识别模型 的动态更新方法。
技术介绍
随着计算机技术和网络通信技术的快速发展，电力行业业务的信息化已逐渐普 及。通过分层设计、区域联网实现规模宏大的电力信息网络，为电力行业的调度，业务处理 提供方便，实现电力负荷的调度使用最优化，获得较好的经济效益。由于电力系统涉及社会 各行各业，所以电力信息网络安全无小事，事事均会带来较为严重的政治、经济影响。作为 一种应用性较强的信息网络，同样面临着来自网络内部和外部的网络攻击问题，导致近年 来各地频频出现大面积停电事件。为解决相应问题，国家出台了一系列的安全标准和使用 规范，同时各研宄单位针对电力信息网络各个环节设计出许多安全产品和技术方案。2009 年华北电力大学王保义教授团队基于数据挖掘思想设计入侵检测算法AR_Tree，通过对所 提取的电力信息网络流量样本集测试获得了较为满意的实验效果。在2011年的国际会议 CSSS中，Gao Kunlun等通过对电力信息网络安全态势的宏观建模分析，获得相应的评估指 标体系，利用拟合回归函数的方法求解电力信息网络流量识别模型。在此基础上，徐茹枝等 利用AdaBoosting方法，基于滑动窗口机制建立回归识别预警模型。相关工作均是基于数 据挖掘的思想建立识别模型，然后用识别模型对后续流量进行分类，根据分类结果采取相 应的网络控制策略，实现主动预警功能。这些工作均强调了流量识别模型的构建算法，而且 在构建算法设计时，均假设了电力信息网络中流量样本系列在相应输入特征空间内所呈现 的概念是静态不变的。由于网络的动态性和应用形式不断发生变化，概念不变的假设前提 在实际环境中难以保证，因此相应的基于数据挖掘思想的流量识别模型应该适时更新。
技术实现思路
为了克服上述现有技术的不足，本专利技术提供一种电力信息网络中流量识别模型的 动态更新方法，可以保证流量识别模型能够快速跟踪流量样本中所包含的知识，准确地检 测出异常流量，在此基础上实现主动预警功能，提升了电力信息网络的安全性。 为了实现上述专利技术目的，本专利技术采取如下技术方案： 本专利技术提供，所述方法包括以 下步骤： 步骤1 :获得流量识别模型； 步骤2 :动态更新流量识别模型。 所述步骤1中，采用Bayes算法进行训练，以获得流量识别模型。 所述步骤1具体包括以下步骤： 步骤1-1 :电力信息网络中流量按类别分为正常流量和异常流量，用P (y = +1)表 示正常流量样本的先验概率分布，P (y = -1)表示异常流量样本的先验概率分布，分别对 P (y = +1)和P (y = -1)进行估算，有： 其中，/X>，= + 1)表示正常流量样本的先验概率分布p(y =+1)的估计值； /心;=-1)表示异常流量样本的先验概率分布p (y = -1)的估计值；I (Xi, yj GDnYi= +1 表示正常流量样本个数；|D I表示流量样本个数；Xi表示流量样本，y i表示流量样本所属类 另IJ，Yi取值+1代表正常流量，y i取值-1代表异常流量； 步骤1-2 :采用多变量高斯分布模型进行拟合，得到正常流量样本的均值、正常流 量样本的协方差、异常流量样本的均值和异常流量样本的协方差；分别表示为： 其中，夂表示正常流量样本的均值，表示正常流量样本，I;+表示正常流量样本 的协方差，m表示正常流量样本个数；A表示异常流量样本的均值，4表示异常流量样本， i-表示异常流量样本的协方差，n表示流量样本个数，T表示矩阵转置； 步骤1-3 :采用Bayes定理，通过流量样本的先验概率分布和类条件概率分布求出 后验概率分布得到流量样本的后验概率分布，有： 其中，P(y = +1/x)表示正常流量样本的后验概率分布，P(y = -1/x)表示异常流 量样本的后验概率分布，P (x/y = +1)表示正常流量的类条件概率分布，P (x/y = -1)表示 异常流量的类条件概率分布，P (y = +1)表示正常流量样本的先验概率分布，P (y = -1)表 示异常流量样本的先验概率分布，P(X)表示流量样本概率分布。 所述步骤2中，在对流量识别模型进行动态更新前，先进行流量样本识别。 流量样本识别包括： (1)根据IANA组织的端口分配信息，结合对应网络应用的文档说明判断出端口使 用情况，之后基于端口分配信息进行流量样本过滤，基于公众熟知的注册端口进行通讯的 连接请求予以放行； (2)采用流量识别模型对经过过滤后的流量样本进行识别，若被判断为异常流量 样本，阻止其对应的网络连接行为，并提交相应的预警信息；若被判断为正常流量样本，放 行其对应的网络连接行为，同时保留相关流量样本的分类信息。 对流量识别模型进行动态更新包括： (1)采用流量样本信息熵衡量流量样本的有用性，流量样本有用性用下式表示， 有： Ui(X) = - 2p(y = +1/x) log p(y = +1/x) Uj (x) = - 2 p (y = -I/x) log p (y = -I/x) 其中，Ui(X)表示正常流量样本有用性，Uj(X)表示异常流量有用性，P(y=+1/x) 表示正常流量样本的后验概率分布，P (y = -1/x)表示异常流量样本的后验概率分布； 流量样本有用性的临界值设置为0. 65,即当Ui (X)或Uj (X)大于0. 65时，需保存 流量样本后验概率分布进行流量识别模型的更新学习； (2)将流量样本后验概率分布迀移到流量识别模型中，利用下式估计当前先验知 识，有： pk (V - +1) ={\~a)p.k ,(V= +\) + ap(y^ + l/.v) pk (v= -\) = (\-a)pt , (v = -I) +ap{y- - 1/x) 其中，AO= +1)表示k步正常流量样本的先验概率分布p (y=+1)的估计值， ACy = -1)表示k步异常流量样本的先验概率分布P (y = -1)的估计值，，pk_i (y = +1)表 示k-1步正常流量样本的先验概率分布，pk_i(y = -1)表示k-1步异常流量样本的先验概率 分布，p (y = +1/x)表示正常流量样本的后验概率分布，p (y = -1/x)表示当前异常流量样 本的后验概率分布，a表不权重，取值为0.5。 与现有技术相比，本专利技术的有益效果在于： 1.本专利技术根据机器学习理论，借助数据挖掘工具设计出电力信息网络中流量识别 模型，具有较强的可行性与适用性； 2.本专利技术所提出的流量识别模型更新过程，直接利用流量样本中有用性较高的样 本类别信息不断修正流量识别模型中的先验知识，解决了概念变化问题。【附图说明】 图1是本专利技术实施例中电力信息网络中流量识别模型的动态更新方法流程图。【具体实施方式】 下面结合附图对本专利技术作进一步详细说明。 电力信息网络根据业务特点和安全需求分四个安全区：实时控制区、非控制生产 区、生产管理区、管理信息区。其中生产管理区和管理信息区属于信息自动化范畴，也是整 个电力信息网络面临攻击的重灾区，本专利技术通过适时更新识别模型及时反映出流量样本系 列中的概念，以便提高识别模型分类的准确性，保证电力信息网络安全。结合电力信息网络 特点本文档来自技高网...

【技术保护点】
一种电力信息网络中流量识别模型的动态更新方法，其特征在于：所述方法包括以下步骤：步骤1：获得流量识别模型；步骤2：动态更新流量识别模型。

【技术特征摘要】

【专利技术属性】
技术研发人员：张波，张涛，马媛媛，刘建明，李千目，倪震，王玉斐，邵志鹏，费稼轩，戴造建，周诚，黄秀丽，华晔，时坚，楚杰，
申请(专利权)人：中国电力科学研究院，国网智能电网研究院，国家电网公司，江苏省电力公司，江苏省电力公司信息通信分公司，南京理工大学，
类型：发明
国别省市：北京;11