一种结合签名和行为的电力通信网入侵检测方法

技术领域

本发明涉及通信技术领域，尤其是一种结合签名和行为的电力通信网入侵检测方法。

背景技术

安全入侵检测在电力通信网中起到保护和维护网络安全的重要作用。随着电力通信网的发展和迅速智能化的趋势，其面临的安全威胁也日益增加。电力通信网的背景包括智能电网的应用、远程监控和控制、能源信息收集和处理，以及日益增长的互联网连接。这些因素使得电力通信网成为攻击者的目标，因此，安全入侵检测在电力通信网中变得至关重要。安全入侵检测的目标是通过监控和分析电力通信网的网络流量和事件，检测和识别任何异常行为或恶意活动。它可以帮助防止网络攻击、保护敏感信息和设备，以及确保电力通信网的运行和可用性。

目前，电力通信网中常用的安全入侵检测技术包括基于规则的入侵检测和基于统计的入侵检测，基于规则的入侵检测指通过预定义的规则和模式来检测网络流量中的异常行为。当检测到与规则匹配的行为时，系统会发出警报。这种方法对于已知的攻击行为有较高的检测能力，但对于未知的攻击行为效果有限。基于统计的入侵检测通过分析网络流量中的统计特征，如流量的频率、大小和分布等，来检测异常行为。通过比较当前的流量统计与已知的正常模式，系统可以识别出异常行为。由于该方法仅基于统计数据，对于新型攻击行为的检测能力有一定限制。这两种方法的特点都在于对数据依赖性较大，方法效果与数据量呈较为明显的正相关。

发明内容

为解决上述现有技术问题，本发明提供一种结合签名和行为的电力通信网入侵检测方法。

第一发明，本发明实施例提供了一种结合签名和行为的电力通信网入侵检测方法，包括：通过数据采集模块获取m个单位样本数据；其中，每个所述单位样本数据包括采集电力通信网运行时的多个设备的运行数据；m为正整数；将所述m个单位样本数据输入至统计过滤模块，基于所述统计过滤模块对所述m个单位样本数据进行基于签名的入侵检测，获取第一集合以及第二集合；其中，所述第一集合包括检测出阳性的单位样本数据；所述第二集合包括所述m个单位样本数据中去除所述阳性的单位样本数据的剩余的单位样本数据；将所述第二集合中的单位样本数据输入至自编码器模块，基于所述自编码器模块对所述第二集合中的单位样本数据进行基于行为的入侵检测，获取第三集合；其中，所述第三集合中包括检测出阳性的单位样本数据；基于所述第一集合以及所述第三集合，确定所述电力通信网是否被入侵。

可选地，在一些实施例中，所述通过数据采集模块获取m个单位样本数据，包括：获取m个采集数据集；其中，每个所述采集数据集中的数据为间隔t时间所采集的一次数据；每一次数据中包括所述多个设备的运行数据；t为正数；将每个所述采集数据集按照长度w进行分割，生成所述m个单位样本数据；其中，w为正数。

可选地，在一些实施例中，所述基于所述统计过滤模块对所述m个单位样本数据进行基于签名的入侵检测，获取第一集合以及第二集合，包括：基于所述统计过滤模块计算每个所述单位样本数据的内部标准差；将每个所述单位样本数据的内部标准差与预设最大内部标准差以及预设最小内部标准差进行对比；若所述单位样本数据的内部标准差位于所述预设最大内部标准差以及所述预设最小内部标准差之间，则该单位样本数据的标签为第一标签，否则，该单位样本数据的标签为第二标签；基于所述第一标签的单位样本数据生成所述第二集合，基于所述第二标签的单位样本数据生成所述第一集合。

可选地，在一些实施例中，所述预设最大内部标准差以及所述预设最小内部标准差基于历史数据得到。

可选地，在一些实施例中，所述自编码器模块包括：编码器、第一解码器以及第二解码器；所述编码器用于将所述第二集合中的单位样本数据转换为隐藏变量，以降低特征量；所述第一解码器用于进行数据重建，所述第一解码器被配置于在训练过程中使用；所述第二解码器用于进行预测，输出对每个所述第二集合中的单位样本数据进行检测后的判断标签。

可选地，在一些实施例中，所述自编码器模块在训练过程中的损失函数为：

其中，Loss(D

可选地，在一些实施例中，所述编码器、所述第一解码器以及所述第二解码器的结构为长短期记忆人工神经网络。

可选地，在一些实施例中，所述基于所述第一集合以及所述第三集合，确定所述电力通信网是否被入侵，包括：判断所述第一集合以及所述第三集合中，每个所述单位样本数据中的数据量是否超过预设阈值；若超过所述预设阈值，则确定所述电力通信网被入侵。

可选地，在一些实施例中，在所述确定所述电力通信网被入侵之后，所述方法还包括：通过报警模块向管理员发出报警信息。

可选地，在一些实施例中，所述电力通信网运行时的多个设备的运行数据包括所述电力通信网运行时的多个网关、多个路由以及多个交换机的运行数据。

本发明的有益效果包括：通过数据采集模块获取m个单位样本数据；将m个单位样本数据输入至统计过滤模块，基于统计过滤模块对m个单位样本数据进行基于签名的入侵检测，获取第一集合以及第二集合；然后，将第二集合中的单位样本数据输入至自编码器模块，基于自编码器模块对第二集合中的单位样本数据进行基于行为的入侵检测，获取第三集合；最后，基于第一集合以及第三集合，确定电力通信网是否被入侵；进而提供一种通过自编码器将基于签名的入侵检测和基于行为的入侵检测相结合的方法，通过该方式，既可以提高入侵检测的精度又可以使检测较为鲁棒，预定义的统计规则过滤明显的入侵以减少自编码器的压力，使得方法整体实时性较好。

附图说明

图1为本发明一实施例所提供的终端设备的结构示意图；

图2为本发明一实施例所提供的一种结合签名和行为的电力通信网入侵检测方法的步骤流程图；

图3为本发明所提供的一种结合签名和行为的电力通信网入侵检测装置的模块框体。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1，本申请实施例提供一种结合签名和行为的电力通信网入侵检测方法的终端设备1的模块框体。该终端设备1包括：至少一个处理器10(图1中仅示出一个)、存储器11以及存储在存储器11中并可在至少一个处理器10上运行的计算机程序12，处理器10执行计算机程序12时实现任意各个结合签名和行为的入侵检测方法实施例中的步骤。

终端设备1可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。该终端设备1可包括，但不仅限于，处理器10、存储器11。本领域技术人员可以理解，图1仅仅是终端设备1的举例，并不构成对终端设备1的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。

所称处理器10可以是中央处理单元(Central Processing Unit，CPU)，该处理器10还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器11在一些实施例中可以是终端设备1的内部存储单元，例如终端设备1的硬盘或内存。所述存储器11在另一些实施例中也可以是所述终端设备1的外部存储设备，例如终端设备1上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器11还可以既包括所述终端设备1的内部存储单元也包括外部存储设备。所述存储器11用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等，例如所述计算机程序的程序代码等。所述存储器11还可以用于暂时地存储已经输出或者将要输出的数据。

请参阅图2，本申请实施例提供一种结合签名和行为的电力通信网入侵检测方法，作为示例而非限定，该方法可以应用于上述终端设备1中。该方法可以具体包括：步骤S201-步骤S204。

步骤S201：通过数据采集模块获取m个单位样本数据。

其中，每个单位样本数据包括采集电力通信网运行时的多个设备的运行数据；m为正整数。

可选地，在一些实施例中，电力通信网运行时的多个设备的运行数据包括电力通信网运行时的多个网关、多个路由以及多个交换机的运行数据。

可选地，在一些实施例中，通过数据采集模块获取m个单位样本数据，可以具体包括：获取m个采集数据集；其中，每个采集数据集中的数据为间隔t时间所采集的一次数据；每一次数据中包括多个设备的运行数据；t为正数；将每个采集数据集按照长度w进行分割，生成m个单位样本数据；其中，w为正数。

示例性的，数据采集模块可以为部署在通信网核心节点的边缘计算设备中的模块，该模块可以实时采集整个通信网的运行数据，包括网关、路由、交换机等设备的运行数据，采集间隔为t，所得数据可以为(d

步骤S202：将m个单位样本数据输入至统计过滤模块，基于统计过滤模块对m个单位样本数据进行基于签名的入侵检测，获取第一集合以及第二集合。

其中，第一集合包括检测出阳性的单位样本数据；第二集合包括m个单位样本数据中去除阳性的单位样本数据的剩余的单位样本数据。

步骤S203：将第二集合中的单位样本数据输入至自编码器模块，基于自编码器模块对第二集合中的单位样本数据进行基于行为的入侵检测，获取第三集合。

其中，第三集合中包括检测出阳性的单位样本数据。

步骤S204：基于第一集合以及第三集合，确定电力通信网是否被入侵。

综上，本发明实施例提供的一种结合签名和行为的电力通信网入侵检测方法，首先通过数据采集模块获取m个单位样本数据；将m个单位样本数据输入至统计过滤模块，基于统计过滤模块对m个单位样本数据进行基于签名的入侵检测，获取第一集合以及第二集合；然后，将第二集合中的单位样本数据输入至自编码器模块，基于自编码器模块对第二集合中的单位样本数据进行基于行为的入侵检测，获取第三集合；最后，基于第一集合以及第三集合，确定电力通信网是否被入侵；进而提供一种通过自编码器将基于签名的入侵检测和基于行为的入侵检测相结合的方法，通过该方式，既可以提高入侵检测的精度又可以使检测较为鲁棒，预定义的统计规则过滤明显的入侵以减少自编码器的压力，使得方法整体实时性较好。

可选地，在一些实施例中，基于统计过滤模块对m个单位样本数据进行基于签名的入侵检测，获取第一集合以及第二集合，包括：基于统计过滤模块计算每个单位样本数据的内部标准差；将每个单位样本数据的内部标准差与预设最大内部标准差以及预设最小内部标准差进行对比；若单位样本数据的内部标准差位于预设最大内部标准差以及预设最小内部标准差之间，则该单位样本数据的标签为第一标签，否则，该单位样本数据的标签为第二标签；基于第一标签的单位样本数据生成第二集合，基于第二标签的单位样本数据生成第一集合。

具体的，首先基于统计过滤模块计算每个单位样本数据的内部标准差

可选地，在一些实施例中，预设最大内部标准差以及预设最小内部标准差基于历史数据得到。也即，可以利用大量的历史数据得到预设最大内部标准差MAX_S以及预设最小内部标准差MIN_S。

可选地，在一些实施例中，自编码器模块包括：编码器、第一解码器以及第二解码器；编码器用于将第二集合中的单位样本数据转换为隐藏变量，以降低特征量；第一解码器用于进行数据重建，第一解码器被配置于在训练过程中使用；第二解码器用于进行预测，输出对每个第二集合中的单位样本数据进行检测后的判断标签。

具体的，自编码器模块接收到了A个单位样本数据μ＝E(d

α＝φ(μ) A×w→l×w (1)

β＝ψ(α) l×w→z×w (2)

γ＝ζ(α) l×w→z×w (3)

其中，φ是一个编码器，ψ是一个解码器用于数据重建，ζ同样为一个解码器但用于预测，α、β和γ分别代表上者的输出。当输入了一个单位样本D

需要说明的是，第一解码器可以降低数据量，便于模块进行训练。

需要说明的是，直接将签名和行为的方法结合虽然解决了现有技术对数据过分依赖和对未知入侵检测效果较差的问题，但由于自编码器和电力通信网的特性，这种直接拼接方式可能会出现伪同类检测问题，即紧密相关的设备被入侵时在数据层面上可能会表现一致，自编码器在进行编码时会将该类数据编码为高度相似的高维数据，通过解码器解码后会在这些紧密相关的设备之间发生误判，即使在训练时以及为各数据标注了正确的标签。设备之间紧密相关的情况在电力通信网之间是普遍存在的，如连接同一台交换机的目标网段相同的一台网关和一台路由，两个设备中只有网关发生过入侵，设网关被入侵过后的运行数据为data

具体的，自编码器模块在训练过程中的损失函数为：

其中，Loss(D

其中，

需要说明的是，由于

可选地，在一些实施例中，编码器、第一解码器以及第二解码器的结构为长短期记忆人工神经网络(LSTM，Long Short-Term Memory)。

可选地，在一些实施例中，基于第一集合以及第三集合，确定电力通信网是否被入侵，包括：判断第一集合以及第三集合中，每个单位样本数据中的数据量是否超过预设阈值；若超过预设阈值，则确定电力通信网被入侵。

换言之，只有当单位样本数据中的数据量超过预设阈值，才会确定电力通信网被入侵。即，当Y′∩K′超过预设阈值，则确定电力通信网被入侵。

需要说明的是，上述预设阈值可以根据实际需求设定，本申请不作限定。

可选地，在一些实施例中，在确定电力通信网被入侵之后，该方法还包括：

通过报警模块向管理员发出报警信息。

请参阅图3，本发明实施例还提供一种结合签名和行为的电力通信网入侵检测装置300，包括：数据采集模块301、统计过滤模块302、自编码器模块303以及报警模块304。

数据采集模块301用于获取m个单位样本数据；其中，每个所述单位样本数据包括采集电力通信网运行时的多个设备的运行数据；m为正整数。

统计过滤模块302用于基于所述统计过滤模块对所述m个单位样本数据进行基于签名的入侵检测，获取第一集合以及第二集合；其中，所述第一集合包括检测出阳性的单位样本数据；所述第二集合包括所述m个单位样本数据中去除所述阳性的单位样本数据的剩余的单位样本数据。

自编码器模块303用于基于所述自编码器模块对所述第二集合中的单位样本数据进行基于行为的入侵检测，获取第三集合；其中，所述第三集合中包括检测出阳性的单位样本数据。

报警模块304用于基于所述第一集合以及所述第三集合，确定所述电力通信网是否被入侵。

可选地，在一些实施例中，数据采集模块301还具体用于获取m个采集数据集；其中，每个所述采集数据集中的数据为间隔t时间所采集的一次数据；每一次数据中包括所述多个设备的运行数据；t为正数；将每个所述采集数据集按照长度w进行分割，生成所述m个单位样本数据；其中，w为正数。

可选地，在一些实施例中，统计过滤模块302还具体用于计算每个所述单位样本数据的内部标准差；将每个所述单位样本数据的内部标准差与预设最大内部标准差以及预设最小内部标准差进行对比；若所述单位样本数据的内部标准差位于所述预设最大内部标准差以及所述预设最小内部标准差之间，则该单位样本数据的标签为第一标签，否则，该单位样本数据的标签为第二标签；基于所述第一标签的单位样本数据生成所述第二集合，基于所述第二标签的单位样本数据生成所述第一集合。

可选地，在一些实施例中，所述预设最大内部标准差以及所述预设最小内部标准差基于历史数据得到。

可选地，在一些实施例中，报警模块304具体用于判断所述第一集合以及所述第三集合中，每个所述单位样本数据中的数据量是否超过预设阈值；若超过所述预设阈值，则确定所述电力通信网被入侵。

可选地，在一些实施例中，报警模块304还具体用于在所述确定所述电力通信网被入侵之后，通过报警模块向管理员发出报警信息。

即，该装置实施例由数据采集模块301、统计过滤模块302、自编码器模块303和报警模块304组成；数据采集模块301首先会采集电力通信网运行时网关、路由、交换机等设备的数据，并将数据上传至统计过滤模块302。统计过滤模块302将运行数据经过必要的数据预处理后，根据预先设置的过滤规则将运行数据中的异常数据进行过滤，过滤所得数据被称为真阳性数据剩余数据为阴性数据，随后统计过滤模块302将真阳性数据进行分类并进行统计分析，给相应数据打上异常标签并发送给报警模块304。由于阴性数据中可能包含一些假阴性数据，即未被统计过滤模块302过滤的，因此统计过滤模块302过滤会将剩余数据发送给自编码器模块303，自编码器模块303会对阴性数据进行二次异常检测，并将检测出的假阴性数据(等同于真阳性)发送至报警模块304。报警模块304会根据所接收数据判断异常数据数据量是否超过阈值，若超过阈值则向管理员发送报警信息，通知通信网遭受攻击。

需要说明的是，上述装置/单元之间的信息交互、执行过程等内容，由于与本申请方法实施例基于同一构思，其具体功能及带来的技术效果，具体可参见方法实施例部分，此处不再赘述。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。

本申请实施例提供了一种计算机程序产品，当计算机程序产品在移动终端上运行时，使得移动终端执行时实现可实现上述各个方法实施例中的步骤。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括：能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区，根据立法和专利实践，计算机可读介质不可以是电载波信号和电信信号。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置/网络设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/网络设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，既可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。