【技术实现步骤摘要】
一种基于网络流量属性有向拓扑的网络攻击检测方法
[0001]本专利技术属于网络安全检测领域,尤其涉及一种基于网络流量属性有向拓扑的网络攻击检测方法。
技术介绍
[0002]现阶段能源互联网条件下智能电网的形态更为复杂,具有智能化、网络化、互动化特点的电网智能终端多部署于开放、非受控的网络环境,且存在自身保护薄弱和攻击监测手段不足等问题,给网络安全防护带来了新的挑战,来自电网末梢的网络安全风险大幅增加。网络流量是主要的网络状态之一,当网络攻击行为发生时,多会出现网络流量攻击现象,故通过网络流量有效识别网络攻击行为是保障电网智能终端安全防护的前提。
[0003]机器学习是当下网络流量攻击检测的主流方法。现阶段电网智能终端主要基于传统机器学习实现网络攻击检测,但通常存在以下问题:基于传统机器学习的网络攻击检测方法网络流量表征能力较弱,准确率及命中率低;基于深度学习的网络攻击检测方法对于网络流量的分析较为孤立,在大规模能源互联网业务场景下缺乏可靠性。
技术实现思路
[0004]为了解决现有技术中存在的缺点和不...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述网络攻击检测方法包括:采集离线网络信息和在线网络信息,分别对离线网络信息和在线网络信息进行数据预处理;根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量;构建基于图注意力机制的网络攻击检测模型,将离线网络有向拓扑图和离线流量属性特征向量输入网络攻击检测模型中进行训练;根据数据预处理后的在线网络信息,构建在线网络有向拓扑图和在线流量属性特征向量并输入训练好的网络攻击检测模型,对网络攻击情况进行实时检测。2.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述分别对离线网络信息和在线网络信息进行数据预处理,包括:筛选出离线网络信息和在线网络信息中的非数值型信息,通过独热编码转化为二进制的数值型数据;基于离差标准化法,对所有数值型数据进行归一化处理。3.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述根据数据预处理后的离线网络信息,构建离线网络有向拓扑图和离线流量属性特征向量,包括:根据离线网络信息中的网络拓扑信息获取各个节点的源IP地址和目标IP地址,将源IP地址和目标IP地址作为节点,在源IP地址和目标IP地址对应的节点之间生成边,以此构建各节点的离线网络有向拓扑图G={V,E},其中,V表示离线网络有向拓扑图的节点集合,E表示离线网络有向拓扑图的边集合;根据离线网络信息中的网络流量特征,为离线网络有向拓扑图G={V,E}中的各个节点生成离线流量属性特征向量。4.根据权利要求3所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述网络流量特征包括基本连接特征和时间统计特征;所述基本连接特征包括协议类型、网络服务类型、连接状态以及数据字节数;所述时间统计特征包括连接时间、每个时间单元与当前连接具有相同目标主机的连接数、每个时间单元与当前连接具有相同服务的连接数。5.根据权利要求1所述的一种基于网络流量属性有向拓扑的网络攻击检测方法,其特征在于,所述构建基于图注意力机制的网络攻击检测模型,包括:构建神经网络作为网络攻击检测模型,获取邻接矩阵A=[A
ij
|i,j∈{1,2,...,n}},所述邻接矩阵A根据输入网络攻击检测模型的网络有向拓扑图生成,A
ij
表示邻接矩阵A中的元素,当节点v
i
和节点v
j
之间存在边时A
ij
=1,当节点v
i
和节点v
j
之间不存在边时A
ij
=0;将邻接矩阵A和流量属性特征向量H作为网络攻击检测模型的输入;基于图注意力机制计算与节点v
i
相邻的节点v
j
对节点v
i
的影响权重α
ij
,结合节点v
j
的流量属性特征向量计算神经网络的输出为
其中N
技术研发人员:张超,卢巍,姚启桂,吴振杰,孙伟乐,章杰伦,曹张洁,周依希,王立建,姜辰,郭抒然,黄铭,陈忆瑜,张黎,张若伊,朱鎏,
申请(专利权)人:国网浙江省电力有限公司杭州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。