一种基于熵分析的智能电网通信网络流量异常检测方法技术

本发明专利技术公开了一种基于熵分析的智能电网通信网络流量异常检测方法，包括如下步骤：S1，实时接收智能电网运行过程中产生的日志信息的特征值；S2，在时间阈值内，统计每个特征值出现的概率；S3，计算每个特征值的熵，并进行归一化处理，生成熵向量；S4，重复步骤S1～S3，计算当前时间阈值与上一时间阈值的熵向量的差值，并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。本方法获取熵向量的方法比较简单，可以有效地满足智能电网日志信息实时检测的需求。另一方面，该方法不仅能检测出日志异常，而且能根据获取的日志信息判断出异常类型，进而获取智能电网日志异常产生的原因，可以很好地满足智能电网的检测需求。

【技术实现步骤摘要】

本专利技术涉及一种智能电网通信网络流量异常检测方法，尤其涉及一种基于熵分析的智能电网通信网络流量异常检测方法，属于电力通信安全

技术介绍
随着网络规模的急剧扩展，网络所面临的安全问题越来越复杂，对网络流量的分析是网络安全管理尤其是入侵检测分析的重要研究内容。网络异常是网络面临的重大威胁之一。典型的网络异常活动有分布式拒绝服务(DDos)、端口扫描、蠕虫和病毒等。如今，虽然网络异常检测已经有大量相关研究，但找到一种泛型方法来检测网络异常仍然是一个挑战。在网络运行过程中，攻击和错误发现的越早，所能采用的补救措施就越多，造成的损失就会越少。因此，在线异常检测受到了学术界和工业界的重视。在应用运行的过程中，应用本身和各种监控程序都会产生各类日志信息来记录应用的状态、重要的运行事件和网络流量，因此日志信息中包含应用运行的动态信息，适合用来进行异常检测。传统日志分析是通过人工参与或者使用事前定义好的规则来完成的。当日志大小有限以及异常类型事先可知时，这些方法非常有效并且也很灵活。但是如果程序产生了百万行日志，人工处理日志就不太现实了。为了解决上述问题，在申请号为20131049296本文档来自技高网...

【技术保护点】
一种基于熵分析的智能电网通信网络流量异常检测方法，其特征在于包括如下步骤：S1，实时接收智能电网运行过程中产生的日志信息的特征值；S2，在时间阈值内，统计每个特征值出现的概率；S3，计算每个特征值的熵，并进行归一化处理，生成熵向量；S4，重复步骤S1～S3，计算当前时间阈值与上一时间阈值的熵向量的差值，并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。

【技术特征摘要】
1.一种基于熵分析的智能电网通信网络流量异常检测方法，其特征在于包括如下步骤：S1，实时接收智能电网运行过程中产生的日志信息的特征值；S2，在时间阈值内，统计每个特征值出现的概率；S3，计算每个特征值的熵，并进行归一化处理，生成熵向量；S4，重复步骤S1～S3，计算当前时间阈值与上一时间阈值的熵向量的差值，并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。2.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法，其特征在于：在步骤S1中，所述日志信息的特征值包括源IP地址、源端口号、目的IP地址和目的端口号。3.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法，其特征在于在步骤S2中，所述在时间阈值内，统计每个特征值出现的概率包括如下步骤：S21，在时间阈值内，实时统计在智能电网运行过程中，每个源IP、源端口、目的IP、目的端口出现的次数；S22，在时间阈值内，统计源IP、源端口、目的IP、目的端口出现的总数；S23，用每个源IP、源端口、目的IP、目的端口出现的次数分别除以时间阈值内源IP、源端口、目的IP、目的端口出现的总数，分别得到源IP、源端口、目的IP、目的端口四个特征值出现的概率。4.如权利要求1所述的基于...

【专利技术属性】
技术研发人员：吕超，高明慧，霍雪松，裴培，王黎明，
申请(专利权)人：国家电网公司，国网江苏省电力公司，南京南瑞集团公司，北京科东电力控制系统有限责任公司，
类型：发明
国别省市：北京;11