一种电力工控云平台的异常流量检测方法及装置制造方法及图纸

本发明专利技术公开了一种电力工控云平台的异常流量检测方法及装置。该方法包括：从电力工控云平台的流表中获取网络流量属性，并基于离散小波变换，对所述网络流量属性进行特征预处理，得到特征化流数据；对所述特征化流数据进行标准化映射，得到目标特征化流数据，并基于深度强化学习，根据所述目标特征化流数据进行异常流量检测，得到检测结果。本发明专利技术能够准确检测电力工控云平台异常流量，有效监控工控网络安全状态。络安全状态。络安全状态。

【技术实现步骤摘要】
一种电力工控云平台的异常流量检测方法及装置


[0001]本专利技术涉及工控网络安全防护
，尤其涉及一种电力工控云平台的异常流量检测方法及装置。

技术介绍

[0002]目前，随着电网覆盖区域的不断扩大，电网各站点之间的信息交互需求愈发迫切，开始将电网各站点接入电力工控云平台进行监控。在互联互通、纵向集成等新的生产模式下，电网各站点的关键基础设施暴露于互联网中，电力工控云平台的安全问题逐渐显现，比如软件隐患、网络边界隐患、环境和硬件隐患、网络安全协议问题等。而国内关于电力工控云平台安全防护的相关技术仍处于起步阶段，如何通过检测电力工控云平台异常流量来监控工控网络安全状态，成为当前研究热点。

技术实现思路

[0003]为了克服现有技术的缺陷，本专利技术提供一种电力工控云平台的异常流量检测方法及装置，能够准确检测电力工控云平台异常流量，有效监控工控网络安全状态。
[0004]为了解决上述技术问题，第一方面，本专利技术一实施例提供一种电力工控云平台的异常流量检测方法，包括：
[0005]从电力工控云平台的流表中获取网络流量属性，并基于离散小波变换，对所述网络流量属性进行特征预处理，得到特征化流数据；
[0006]对所述特征化流数据进行标准化映射，得到目标特征化流数据，并基于深度强化学习，根据所述目标特征化流数据进行异常流量检测，得到检测结果。
[0007]进一步地，所述电力工控云平台的异常流量检测方法，还包括：
[0008]当检测到异常流量时，根据预先定义的异常流量处理策略，执行异常流量处理操作。
[0009]进一步地，所述从电力工控云平台的流表中获取网络流量属性，具体为：
[0010]从所述流表中获取比特流长度、消息数、源IP地址、目的IP地址、源端口和目的端口；
[0011]对所述源IP地址、所述目的IP地址、所述源端口和所述目的端口进行量化处理，得到量化后的源IP地址、量化后的目的IP地址、量化后的源端口和量化后的目的端口；
[0012]将所述比特流长度、所述消息数、所述量化后的源IP地址、所述量化后的目的IP地址、所述量化后的源端口和所述量化后的目的端口作为所述网络流量属性。
[0013]进一步地，所述对所述源IP地址、所述目的IP地址、所述源端口和所述目的端口进行量化处理，得到量化后的源IP地址、量化后的目的IP地址、量化后的源端口和量化后的目的端口，具体为：
[0014]基于香农熵理论，对所述源IP地址、所述目的IP地址、所述源端口和所述目的端口进行量化处理，得到所述量化后的源IP地址、所述量化后的目的IP地址、所述量化后的源端
口和所述量化后的目的端口。
[0015]进一步地，所述对所述特征化流数据进行标准化映射，得到目标特征化流数据，具体为：
[0016]根据预先定义的数据排序策略，对所述特征化流数据中的各个数据进行排序，得到排序后的特征化流数据，并将所述排序后的特征化流数据随机划分为若干个序列；
[0017]对于每一所述序列，根据预先定义的最小最大标准化映射公式，分别对所述序列中的每一数据进行标准化映射，得到对应的目标数据，并整合所有所述目标数据，得到目标特征化流数据。
[0018]进一步地，所述根据预先定义的数据排序策略，对所述特征化流数据中的各个数据进行排序，得到排序后的特征化流数据，具体为：
[0019]根据数据采集时间从前到后的顺序，对所述特征化流数据中的各个数据进行排序，得到所述排序后的特征化流数据。
[0020]进一步地，所述最小最大标准化映射公式为：
[0021][0022]其中，y'为所述目标数据，y为所述序列中的数据；max、min分别为所述序列中所有数据的最大值、最小值；max'和min'分别为映射区间[min'，max']的最大值、最小值。
[0023]进一步地，所述基于深度强化学习，根据所述目标特征化流数据进行异常流量检测，得到检测结果，具体为：
[0024]基于深度强化学习构建智能体，将所述目标特征化流数据输入所述智能体，使环境根据所述目标特征化流数据选择所述智能体的当前状态，以及根据所述智能体针对所述当前状态所采取的动作向所述智能体返回奖励；
[0025]根据所述智能体的当前状态和对应的动作、奖励，更新Q值，利用更新的Q值指导所述智能体输出所述检测结果。
[0026]第二方面，本专利技术一实施例提供一种电力工控云平台的异常流量检测装置，包括：
[0027]流表数据处理模块，用于从电力工控云平台的流表中获取网络流量属性，并基于离散小波变换，对所述网络流量属性进行特征预处理，得到特征化流数据；
[0028]异常流量检测模块，用于对所述特征化流数据进行标准化映射，得到目标特征化流数据，并基于深度强化学习，根据所述目标特征化流数据进行异常流量检测，得到检测结果。
[0029]进一步地，所述电力工控云平台的异常流量检测装置，还包括：
[0030]异常流量处理模块，用于当检测到异常流量时，根据预先定义的异常流量处理策略，执行异常流量处理操作。
[0031]相比于现有技术，本专利技术的实施例，具有如下有益效果：
[0032]通过从电力工控云平台的流表中获取网络流量属性，并基于离散小波变换，对网络流量属性进行特征预处理，得到特征化流数据，对特征化流数据进行标准化映射，得到目标特征化流数据，并基于深度强化学习，根据目标特征化流数据进行异常流量检测，得到检测结果，能够准确检测电力工控云平台异常流量，有效监控工控网络安全状态。
附图说明
[0033]图1为本专利技术第一实施例中的一种电力工控云平台的异常流量检测方法的流程示意图；
[0034]图2为本专利技术第一实施例中示例的电力工控云平台的结构示意图；
[0035]图3为本专利技术第一实施例中示例的基于深度强化学习进行异常流量检测的数据流图；
[0036]图4为本专利技术第一实施例中示例的一种电力工控云平台的异常流量检测方法的数据流图；
[0037]图5为本专利技术第一实施例中示例的训练过程中的奖励增长的示意图；
[0038]图6为本专利技术第二实施例中的一种电力工控云平台的异常流量检测装置的结构示意图。
具体实施方式
[0039]下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0040]需要说明的是，文中的步骤编号，仅为了方便具体实施例的解释，不作为限定步骤执行先后顺序的作用。本实施例提供的方法可以由相关的终端设备执行，且下文均以控制器作为执行主体为例进行说明。
[0041]如图1所示，第一实施例提供一种电力工控云平台的异常流量检测方法，包括步骤S1～S2：
[0042]S1、从电本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力工控云平台的异常流量检测方法，其特征在于，包括：从电力工控云平台的流表中获取网络流量属性，并基于离散小波变换，对所述网络流量属性进行特征预处理，得到特征化流数据；对所述特征化流数据进行标准化映射，得到目标特征化流数据，并基于深度强化学习，根据所述目标特征化流数据进行异常流量检测，得到检测结果。2.如权利要求1所述的电力工控云平台的异常流量检测方法，其特征在于，还包括：当检测到异常流量时，根据预先定义的异常流量处理策略，执行异常流量处理操作。3.如权利要求1所述的电力工控云平台的异常流量检测方法，其特征在于，所述从电力工控云平台的流表中获取网络流量属性，具体为：从所述流表中获取比特流长度、消息数、源IP地址、目的IP地址、源端口和目的端口；对所述源IP地址、所述目的IP地址、所述源端口和所述目的端口进行量化处理，得到量化后的源IP地址、量化后的目的IP地址、量化后的源端口和量化后的目的端口；将所述比特流长度、所述消息数、所述量化后的源IP地址、所述量化后的目的IP地址、所述量化后的源端口和所述量化后的目的端口作为所述网络流量属性。4.如权利要求3所述的电力工控云平台的异常流量检测方法，其特征在于，所述对所述源IP地址、所述目的IP地址、所述源端口和所述目的端口进行量化处理，得到量化后的源IP地址、量化后的目的IP地址、量化后的源端口和量化后的目的端口，具体为：基于香农熵理论，对所述源IP地址、所述目的IP地址、所述源端口和所述目的端口进行量化处理，得到所述量化后的源IP地址、所述量化后的目的IP地址、所述量化后的源端口和所述量化后的目的端口。5.如权利要求1所述的电力工控云平台的异常流量检测方法，其特征在于，所述对所述特征化流数据进行标准化映射，得到目标特征化流数据，具体为：根据预先定义的数据排序策略，对所述特征化流数据中的各个数据进行排序，得到排序后的特征化流数据，并将所述排序后的特征化流数据随机划分为若干个序列；对于每一所述序列，根据预先定...

【专利技术属性】
技术研发人员：刘嘉宁，苏卓，王可，丁俐夫，颜钢锋，
申请(专利权)人：广东电网有限责任公司电力调度控制中心，
类型：发明
国别省市：