【技术实现步骤摘要】
一种多粒度的端到端网络行为识别方法及系统
[0001]本专利技术涉及网络行为识别的
,更具体地,涉及一种多粒度的端到端网络行为识别系统。
技术介绍
[0002]随着信息技术高速发展,电力网络也朝着智能化和自动化的方向快速前进,网络结构也发生了本质的变化,即从单层网络变为信息物理融合网络。由于智能电网信息化和其物理系统深度融合,这将为其引入新的安全隐患,对信息系统的攻击在窃取核心机密或破坏其正常运行的同时,也会将威胁传导到物理系统并使其部分设备发生故障,这将会触发负载重分布导致更多的设备失效,反过来,这些物理设备故障会导致与其耦合的信息设备因缺乏供电而失效。这样就引发连锁故障而导致大规模停电事故,对国家的经济带来严重的损失和人民的生活带来极大的损害。
[0003]信息物理系统安全问题包括信息系统安全和物理系统安全,从以往的信息系统攻击事件可以看出,信息攻击具有很大优点,如攻击手段多样、远程操控、可以隐藏身份逃避法律追责、跨层渗透、代价小、破坏力强、社会影响大等。这就对防御者提出更高的要求,分配防御资源,预测和感知可能的跨层攻击路径,制定防御机制来对抗不同入侵策略的信息物理协同攻击,国网电力信息系统亟需研究网络安全的相关技术。入侵策略的不确定性和攻击手段的多样性给防御带来了很多困难和挑战,以及有组织、有目标、有协同的攻击行为让人很难预测和重点防御,这就需要防御者站在攻击者的角度去识别攻击路径和制定防御机制。
[0004]目前,电网分布式光伏的接入数量、装机容量不断上升,对现有配电网安全带来重大挑战。 ...
【技术保护点】
【技术特征摘要】
1.一种多粒度的端到端网络行为识别方法,其特征在于,包括如下步骤:步骤1,基于多域收集的流量历史数据集,在控制节点拟合关键特征与相应的动作策略训练并优化,得到最优lightGBM模型;步骤2,通过模型转换组件将步骤1生成的lightGBM模型转换为交换机可部署的数据结构,有序下发至需要部署流量访问控制的可编程交换机;步骤3,当用户侧的数据流注入网络时,执行访问控制的节点基于IP五元组识别数据流是否已获取授权,若已授权则按相应动作处理,否则提取数据流的关键特征并输入部署的lightGBM模型完成实时授权决策,并通过寄存器维持数据流的授权状态。2.根据权利要求1所述的多粒度的端到端网络行为识别方法,其特征在于,所述步骤1还包括:步骤1
‑
1,采集流量历史数据集,对采集到的数据进行预处理,并控制节点对采集的流量历史数据集进行数据处理,建立表格化数据集;步骤1
‑
2,将表格化数据集分割为训练集与测试集,使用lightGBM模型拟合训练集的特征数据与授权动作,使用测试集验证模型准确性能;步骤1
‑
3,通过多次交叉熵数据验证选出适应于当前网络访问策略的最优lightGBM模型。3.根据权利要求2所述的多粒度的端到端网络行为识别方法,其特征在于,所述步骤1
‑
1中,采集的流量历史数据集包括流量记录、访问策略、授权动作;对采集到的数据进行预处理还包括:数据清洗、数据过滤、数据格式转换、时间窗口划分和数据标准归一化处理;建立的表格化数据集还包括特征数据和授权动作;其中,特征数据由lightGBM模型对预处理的数据集进行自动筛选;授权动作包括:再授权、正常转发、丢弃或向控制平面告警操作。4.根据权利要求2所述的多粒度的端到端网络行为识别方法,其特征在于,所述步骤1
‑
2还包括:判断步骤1
‑
1中得到的表格化数据集是否为独立同分布数据集,若存在非独立同分布的数据集,则基于非独立同分布的数据集分别划分训练集和测试集,并分别对多个lightGBM模型进行训练,生成差异化的lightGBM模型。5.根据权利要求1所述的多粒度的端到端网络行为识别方法,其特征在于,所述步骤2还包括:步骤2
‑
1,通过模型转化组件将最优lightGBM模型的底层分类逻辑转换为P4交换机能够读取的赋值、条件判断与寄存器读取语句,并添加至P4交换机的转发程序中;步骤2
‑
2,控制最优lightGBM模型叶节点与P4交换机的数据平面通信,将转发程序下发至P4交换机并安装;步骤2
‑
3,控制最优lightGBM模型叶节点基于P4runtime协议更改交换机寄存器指定位置的数值,完成动态最优lightGBM模型的部署。6.根据权利要求5所述的多粒度的端到端网络行为识别方法,其特征在于,所述步骤2
‑
3中,还可以采用南向通信协议或thrift协...
【专利技术属性】
技术研发人员:李晓龙,王波,王晓康,段文奇,魏文婷,王宁,张治民,王峰,张庆平,景妍华,张翔,侯瑞,杨家玉,晏振宇,徐文亮,
申请(专利权)人:国网宁夏电力有限公司国网宁夏电力有限公司电力科学研究院华北电力大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。