基于人工免疫和灰色关联度分析的网络安全态势感知方法技术

本发明专利技术涉及基于人工免疫和灰色关联度分析的网络安全态势感知方法，包括以下步骤：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取；通过特征提取得到的数据，运用人工免疫模型计算得到网络安全姿态值；建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。本发明专利技术提供的基于人工免疫和灰色关联度分析的网络安全态势感知方法，充分考虑到了电力系统的特殊性和网络安全态势的随机性与不确定性，避免单个算法的局限性，大大的提升预测的准确度。

Network security situation awareness method based on artificial immune and grey correlation analysis

The invention relates to a network security situational awareness method based on artificial immunity and grey relational analysis, which comprises the following steps: selecting the characteristics affecting network security situational assessment from the data of electric power physical system and electric power information system, performing data preprocessing and feature extraction, and using the data obtained by the characteristics to apply the human being The network security posture value is calculated by the industrial immune model; the network security posture prediction model is established based on the grey relational degree analysis, and the grey prediction and DT decision tree algorithm are combined; the network security posture value is taken as the model input of the network security posture prediction model, and the network situation prediction value in the next stage is obtained. . The network security situation awareness method based on artificial immunity and grey relational analysis fully takes into account the particularity of power system and the randomness and uncertainty of network security situation, avoids the limitation of a single algorithm, and greatly improves the accuracy of prediction.

【技术实现步骤摘要】
基于人工免疫和灰色关联度分析的网络安全态势感知方法
本专利技术涉及网络安全态势分析
，更具体地，涉及一种基于人工免疫和灰色关联度分析的网络安全态势感知方法。
技术介绍
随着互联网的广泛普及和多向渗透，智能电网也逐步往双向互动、实时需求响应的方向发展。如何在保证电网安全稳定运转的同时确保信息的保密性，将成为智能电网设计和实现过程中的关键。从组成成分、分布地域来看，智能电网是个非常复杂的系统，与传统的电能输送系统相比，智能电网更具信息化与自动化等智能特征。然而，实现电网智能化的关键是将电力系统与信息系统进行深度融合，形成信息物理融合系统(CyberPhysicalSystem，CPS)。CPS能够自动对信息进行感知，通过对数据进行自动处理实现自主调节和控制。因此，信息系统本身发生的故障或遭受的网络攻击不仅会影响信息系统本身的运行，甚至会对物理系统造成影响，使得物理系统也无法正常运行。随着频频发生的针对工业控制系统特别是电力系统的网络攻击事件的发生，信息物理安全问题已经成为电力行业与学术界关注的焦点问题。当前，国内外针对输电系统的网络安全检测与预防做了许多研究工作。美国国家高级安全系统研究中心(NCASSR)的SIFT项目[4-5]开发了NVIsionIP、VisFlowConnect-IP等安全态势感知软件；林肯实验室的Braun等人使用支持向量机作为合成基础，对多种类别的信息进行融合，以此实现对态势的感知。在国内，提出了两种分别基于D-S证据理论和支持向量机的网络安全态势预测和评估算法；张勇等人给出了一种以模糊理论为基础的智能电网运行风险估算模型。虽然针对网络安全态势的模型和方法有很多，但由于电力系统的特殊性以及网络安全态势的随机性与不确定性，单一的预测模型难以得出较为精确的网络态势预测值。
技术实现思路
本专利技术为解决以上现有技术在对电力通信网络安全态势预测模型单一，难以得出较为精确的网络态势预测值的技术缺陷，提供一种基于人工免疫和灰色关联度分析的网络安全态势感知方法。为实现以上专利技术目的，采用的技术方案是：基于人工免疫和灰色关联度分析的网络安全态势感知方法，包括以下步骤：S1：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取，得到特征提取后的数据；S2：通过特征提取得到的数据，运用人工免疫模型计算的到网络安全姿态值；S3：将计算得到的网络安全姿态值作为参考序列，建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；S4：将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。其中，所述步骤S1包括以下步骤：S11：从电力通信网络中收集的数据，主要包括两方面：第一方面，电力物理系统中的设备日志：报警标识符ALARM_ID，报警时间ALARM_TIME，攻击类型ATTACK_TYPE；第二方面，电力信息系统中的网络端口数据：源地址SIP；目的地址DIP；源端口SP；目的端口DP；协议类型PROTOCAL_TYPE；S12：对于收集到的数据进行预处理，具体为对数据进行格式转换、时空校准、非法数据剔除；S13：对预处理后的数据进行特征提取：监视并使用SmartSniff工具抓取网络中的数据包，将数据包转换成长度为96的二进制字符串，其中包括：源IP地址32位、目的IP地址32位、目的端口16位、协议标志16位。其中，所述步骤S2包括以下步骤：S21：定义映射关系：通过特征提取得到的二进制字符串x，长度为96，分为正常网络活动或网络攻击两种情况，将待匹配的二进制字符串用y表示；初始训练时，根据已知非法攻击经验划定分类；训练过程中，被y匹配并使y达到激活阈值的x定义为非自体抗原；随机生成的长度为96的二进制字符串y，定义为抗体集合D，其中：D＝{d|d＝<y，m，count>，m，count∈N}其中,N为自然数集合；m为运算迭代次数；count为y匹配到的x数量；S22：完成x-y的匹配：采用r连续位匹配算法，其匹配结果fm(x,y)定义为：其中，1表示匹配成功，0表示匹配失败，xk为字符串x的第k个字符，yk为字符串y的第k个字符；S23：对y进行复制：本过程包含了复制阈值和复制数量两个过程其中，复制阈值的过程如下：当匹配到的x数量count达到一定的激活阈值θ时，y被激活并开始复制，规定运算迭代次数M内没有达到复制阈值则抗体死亡，其中：激活阈值θ为经验值，由管理员设置；关于复制数量，其过程如下：其中，σ为y的集合D中与被激活的待匹配字符串的数目；为复制速度常熟，由管理人员设定，y的浓度表示为S24：计算网络安全态势值：首先，计算主机i在t时刻的网络安全姿态值ri(t)，计算公式为：其中，βi(0＜βi＜1)表示主机i的重要性，该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注，数值越大重要性越高；Ni为主机i此时刻检测到的抗体数量；Si为正常1网络运行情况下主机i检测到的匹配字符串数量；接着，计算主机i在t时刻j类攻击下的网络安全态势值rij(t)，计算公式为：其中，αj为j类攻击行为的危害程度，该等级为维修人员经验判断值，数值越大，危害程度越高；Nij为主机i在t时刻检测到的j类攻击字符串数量；而后，计算系统在t时刻j类攻击下的网络安全态势值Rj(t)，计算公式为：最后，计算系统的t时刻的网络安全态势值：t＝1，...，n，网络安全态势值在[0，1]区间内。其中，所述步骤S3包括以下步骤：S31：将步骤S2得到的网络安全态势计算值Rt记作R0，作为参考序列，其中：R0＝{R0(t)|t＝1，2，...，n}＝{R0(1)，R0(2)，...，R0(n)}预测输出：将参考序列作为训练输入值，完成灰色系统理论GM(1，1)预测算法以及DT决策树算法训练及预测输出，得到输出序列，其公式为：Ri＝{Ri(t)|t＝1，2，...，n}＝{Ri(1)，Ri(2)，...，Ri(n)}其中，Ri为比较序列；基于灰色关联度分析的组合预测，首先，计算t时刻关联度，计算公式为：其中，为选定选定预测序列Ri相当于参考序列R0在时刻t的关联系数，其中ρ∈[0，1]为分辨系数。接着，计算整体关联度δi以及权值系数εi，计算公式为：最后，得到组合预测安全势态值Reo：其中，所述步骤S4包括以下步骤：S41：根据所述步骤S2求得各个时间段的网络安全态势值序列数据R0；将R0作为模型输入，带入训练出的GM(1，1)灰色预测和DT决策树算法组合预测模型中，得到下一时间段的网络态势预测值Reo。上述方案中，通过运用人工免疫的态势评估模型，得到网络环境下免疫系统中抗原抗体的表达方式，从而得到网络安全风险的定量计算模型，该方法具有分布式实时计算、定量描述、自学习、自适应等特点。上述方案中，采用基于灰色关联度分析的组合预测算法，充分考虑到了电力系统的特殊性和网络安全态势的随机性与不确定性，避免单个算法的局限性，大大的提升预测的准确度。与现有技术相比，本专利技术的有益效果是：本专利技术提供的基于人工免疫和灰色关联度分析的网络安全态势感知方法，采用人工免疫模型，得到网络安全风险的定量计算模型；采用灰本文档来自技高网...

【技术保护点】
1.基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：包括以下步骤：S1：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取，得到特征提取后的数据；S2：通过特征提取得到的数据，运用人工免疫模型计算得到网络安全姿态值；S3：将计算得到的网络安全姿态值作为参考序列，建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；S4：将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。

【技术特征摘要】
1.基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：包括以下步骤：S1：从电力物理系统和电力信息系统数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取，得到特征提取后的数据；S2：通过特征提取得到的数据，运用人工免疫模型计算得到网络安全姿态值；S3：将计算得到的网络安全姿态值作为参考序列，建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；S4：将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。2.根据权利要求1所述的基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：所述步骤S1包括以下步骤：S11：从电力通信网络中收集的数据，主要包括两方面：第一方面，电力物理系统中的设备日志：报警标识符ALARM_ID，报警时间ALARM_TIME，攻击类型ATTACK_TYPE；第二方面，电力信息系统中的网络端口数据：源地址SIP；目的地址DIP；源端口SP；目的端口DP；协议类型PROTOCAL_TYPE；S12：对于收集到的数据进行预处理，具体为对数据进行格式转换、时空校准、非法数据剔除；S13：对预处理后的数据进行特征提取：监视并使用SmartSniff工具抓取网络中的数据包，将数据包转换成长度为96的二进制字符串，其中包括：源IP地址32位、目的IP地址32位、目的端口16位、协议标志16位。3.根据权利要求1所述的基于人工免疫和灰色关联度分析的网络安全态势感知方法，其特征在于：所述步骤S2包括以下步骤：S21：定义映射关系：通过特征提取得到的二进制字符串x，长度为96，分为正常网络活动或网络攻击两种情况，将待匹配的二进制字符串用y表示；初始训练时，根据已知非法攻击经验划定分类；训练过程中，被y匹配并使y达到激活阈值的x定义为非自体抗原；随机生成的长度为96的二进制字符串y，定义为抗体集合D，其中：D＝{d|d＝＜y，m，count＞，m，count∈N}其中,N为自然数集合；m为运算迭代次数；count为y匹配到的x数量；S22：完成x-y的匹配：采用r连续位匹配算法，其匹配结果fm(x,y)定义为：其中，1表示匹配成功，0表示匹配失败，xk为字符串x的第k个字符，yk为字符串y的第k个字符；S23：对y进行复制：本过程包含了复制阈值和复制数量两个过程其中，复制阈值的过程如下：当匹配到的x数量...

【专利技术属性】
技术研发人员：姜文婷，邓晓智，陈飞鹏，苏卓，周安，王远丰，
申请(专利权)人：广东电网有限责任公司，广东电网有限责任公司电力调度控制中心，
类型：发明
国别省市：广东,44