基于二次融合终端的威胁感知方法及装置制造方法及图纸

本发明专利技术实施例涉及一种基于二次融合终端的威胁感知方法及装置，包括：采集电力一次终端中的电力业务数据并确定电力业务特征；采集电力二次融合终端上的网络流量并确定网络流量特征；将电力业务特征和网络流量特征通过融合特征算法进行融合，得到融合特征，并通过预训练的融合特征识别模型对融合特征进行检测，得到异常行为分类和攻击行为分类；对分类的异常行为进行业务分析，构建异常行为链，将异常行为链和预先建立的已知行为数据库进行相似度分析，判断分类的异常行为是否为攻击行为；若是，则基于融合特征更新融合特征识别模型，以对网络流量进行威胁感知。由此，实现精准、快速的基于二次融合终端的可更新迭代的威胁感知。知。知。

【技术实现步骤摘要】
基于二次融合终端的威胁感知方法及装置


[0001]本专利技术实施例涉及网络流量识别领域，尤其涉及一种基于二次融合终端的威胁感知方法及装置。

技术介绍

[0002]随着智能电网信息空间与物理空间耦合的不断加深，近年来，由网络攻击导致的电网物理系统故障越发常见，严重影响了电力系统的正常运行。如2015年，攻击者通过获取变电站监控系统服务器的操作权限进行了恶意倒闸操作，导致乌克兰电网80000个用户停电；2016年以色列电力供应系统受到重大网络攻击，迫使电力供应系统离线运行。电网中用于并网的各类智能二次融合终端和装置作为沟通信息系统与物理系统的桥梁，当其遭受通过篡改、伪造与重放电力业务数据包实施的攻击时，将直接影响电力系统的正常运行，造成如断路器异常开断、定值修改等问题，从而引发电力事故。因此，如何有效识别二次融合终端可能遭受的恶意攻击成为亟待解决的问题。
[0003]目前，针对电网二次融合终端网络攻击识别的研究主要有以下两种思路。一类研究是将传统信息网络的网络攻击识别系统直接应用于电网二次融合终端的网络攻击识别，通过异常检测方法利用识别非电力业务数据包流量中的网络攻击，这种方法成熟度较高，但和电力并网的场景融合度不高，很难检测电力系统中独有的攻击。另一类研究利用电力专有协议流量特征、规则或数据包不同字段的相关性等方式来实现电网二次融合终端的网络攻击识别，这类方法和电网的融合度较高，但由于二次融合终端种类繁多，协议复杂，针对协议进行分析需要大量的专家经验，耗时耗力。且由于攻击变化快，未知攻击层出不穷，这两种方法都很难对未知攻击进行检测。

技术实现思路

[0004]鉴于此，为解决上述技术问题或部分技术问题，本专利技术实施例提供一种基于二次融合终端的威胁感知方法及装置。
[0005]第一方面，本专利技术实施例提供一种基于二次融合终端的威胁感知方法，包括：
[0006]采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征；
[0007]采集电力二次融合终端上的网络流量并确定网络流量特征；
[0008]将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合，得到融合特征，并通过预训练的融合特征识别模型对所述融合特征进行检测，得到异常行为分类和攻击行为分类；
[0009]对分类的异常行为进行业务分析，构建异常行为链，将异常行为链和预先建立的已知行为数据库进行相似度分析，判断分类的异常行为是否为攻击行为；
[0010]若是，则基于判断为攻击行为的融合特征更新所述融合特征识别模型，以基于所述融合特征识别模型对网络流量进行威胁感知。
[0011]在一个可能的实施方式中，所述方法还包括：
[0012]对所述电力一次终端进行实时监测，采集电力一次终端中的电力业务数据；
[0013]基于数据采样间隔计算电力业务数据的多种电力业务特征；
[0014]将所述多种电力业务特征按采样时间顺序排列，得到电力业务特征集合。
[0015]在一个可能的实施方式中，所述方法还包括：
[0016]采集所述电力二次融合终端的原始网络数据包，并根据采样间隔提取所述原始网络数据包的交互特征；
[0017]将所述交互特征按采样时间顺序排列，得到网络数据包特征集合。
[0018]在一个可能的实施方式中，所述方法还包括：
[0019]将相同采样间隔的网络数据包特征集合和电力业务特征集合通过融合特征算法进行特征融合，得到多个融合特征向量；
[0020]将多个采样间隔得到的融合特征向量进行拼接，得到融合特征矩阵。
[0021]在一个可能的实施方式中，所述方法还包括：
[0022]预先建立基于自动编码器和卷积神经网络的融合特征识别模型；
[0023]基于所述融合特征识别模型对所述融合特征矩阵进行检测，识别正常网络流量和异常网络流量；
[0024]对所述异常网络流量进行分类，得到异常行为分类和攻击行为分类。
[0025]在一个可能的实施方式中，所述方法还包括：
[0026]对分类的异常行为对应的电力设备进行监测，构建第一行为链，得到已知业务行为数据库；
[0027]对分类的异常行为对应的异常流量进行畸变数据包检测，筛选格式符合规范的数据包，标记为攻击行为；
[0028]对其他异常流量进行预处理，并进行行为分析，构建第二行为链；
[0029]将所述第二行为链和已知业务行为数据库进行关联比对，识别其中的攻击行为；
[0030]将识别为攻击行为的异常流量作为融合特征识别模型的训练数据集。
[0031]在一个可能的实施方式中，所述方法还包括：
[0032]基于识别为攻击行为的异常流量作为融合特征识别模型的训练数据集，训练迭代融合特征识别模型；
[0033]基于所述迭代融合特征识别模型对网络流量进行威胁感知。
[0034]第二方面，本专利技术实施例提供一种基于二次融合终端的威胁感知装置，包括：
[0035]业务探针模块，用于采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征；
[0036]所述业务探针模块，还用于采集电力二次融合终端上的网络流量并确定网络流量特征；
[0037]攻击检测模块，用于将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合，得到融合特征，并通过预训练的融合特征识别模型对所述融合特征进行检测，得到异常行为分类和攻击行为分类；
[0038]攻击分析模块，用于对分类的异常行为进行业务分析，构建异常行为链，将异常行为链和预先建立的已知行为数据库进行相似度分析，判断分类的异常行为是否为攻击行
为；
[0039]模型迭代模块，用于若是，则基于判断为攻击行为的融合特征更新所述融合特征识别模型，以基于所述融合特征识别模型对网络流量进行威胁感知。
[0040]第三方面，本专利技术实施例提供一种服务器，包括：处理器和存储器，所述处理器用于执行所述存储器中存储的基于二次融合终端的威胁感知程序，以实现上述第一方面中所述的基于二次融合终端的威胁感知方法。
[0041]第四方面，本专利技术实施例提供一种存储介质，包括：所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述第一方面中所述的基于二次融合终端的威胁感知方法。
[0042]本专利技术实施例提供的基于二次融合终端的威胁感知方案，通过采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征；采集电力二次融合终端上的网络流量并确定网络流量特征；将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合，得到融合特征，并通过预训练的融合特征识别模型对所述融合特征进行检测，得到异常行为分类和攻击行为分类；对分类的异常行为进行业务分析，构建异常行为链，将异常行为链和预先建立的已知行为数据库进行相似度分析，判断分类的异常行为是否为攻击行为；若是，则基于判断为攻击行为的融本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于二次融合终端的威胁感知方法，其特征在于，包括：采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征；采集电力二次融合终端上的网络流量并确定网络流量特征；将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合，得到融合特征，并通过预训练的融合特征识别模型对所述融合特征进行检测，得到异常行为分类和攻击行为分类；对分类的异常行为进行业务分析，构建异常行为链，将异常行为链和预先建立的已知行为数据库进行相似度分析，判断分类的异常行为是否为攻击行为；若是，则基于判断为攻击行为的融合特征更新所述融合特征识别模型，以基于所述融合特征识别模型对网络流量进行威胁感知。2.根据权利要求1所述的方法，其特征在于，所述采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征，包括：对所述电力一次终端进行实时监测，采集电力一次终端中的电力业务数据；基于数据采样间隔计算电力业务数据的多种电力业务特征；将所述多种电力业务特征按采样时间顺序排列，得到电力业务特征集合。3.根据权利要求1所述的方法，其特征在于，所述采集电力二次融合终端上的网络流量并确定网络流量特征，包括：采集所述电力二次融合终端的原始网络数据包，并根据采样间隔提取所述原始网络数据包的交互特征；将所述交互特征按采样时间顺序排列，得到网络数据包特征集合。4.根据权利要求2或3所述的方法，其特征在于，所述将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合，得到融合特征，包括：将相同采样间隔的网络数据包特征集合和电力业务特征集合通过融合特征算法进行特征融合，得到多个融合特征向量；将多个采样间隔得到的融合特征向量进行拼接，得到融合特征矩阵。5.根据权利要求4所述的方法，其特征在于，所述通过预训练的融合特征识别模型对所述融合特征进行检测，得到异常行为分类和攻击行为分类，包括：预先建立基于自动编码器和卷积神经网络的融合特征识别模型；基于所述融合特征识别模型对所述融合特征矩阵进行检测，识别正常网络流量和异常网络流量；对所述异常网络流量进行分类，得到异常行为分类和攻击行为分类。6.根据权利要求5所述的方法，其特征在于，所述对分类的异常行为进行业务...

【专利技术属性】
技术研发人员：陈伟，马金辉，王吉文，李端超，李圆智，王璨，沈新村，杨文涛，王松，章莉，吴俊，欧阳亨威，文涛，
申请(专利权)人：国网安徽省电力有限公司电力科学研究院国网安徽省电力有限公司宣城供电公司国网安徽省电力有限公司淮南供电公司，
类型：发明
国别省市：