一种基于人工智能的全场景网络安全智慧决策处置方法

技术领域

本发明涉及电力网络安全技术领域，特别涉及一种基于人工智能的全场景网络安全智慧决策处置方法。

背景技术

随着电网的持续发展，越来越多的安全系统在电网中被使用。传统的安全产品只能对网络中的攻击进行告警，但并不具备自动化处置的功能。无法在攻击产生后进行一些有效的处理，事后处理也均是手工处置，这种方式让安全事件的响应速度远低于基准。

现有技术中，目前常用机器学习相关技术进行异常检测等任务。如授权公告号CN106790008B的发明公开了一种用于在企业网络中检测异常主机的机器学习系统。所述机器学习系统包括数据收集子系统、数据处理子系统、三阶段机器学习子系统和标记报警子系统，所述四个子系统顺次衔接，所述数据收集子系统收集企业网络中各类安全信息后，传递给所述数据处理子系统，所述数据处理子系统对数据进行标准化和特征提取处理后，将特征向量传递给所述三阶段机器学习子系统，所述三阶段机器学习子系统对安全信息进行逐级求精的甄别和筛选，将异常主机的信息传递给所述标记报警子系统，所述标记报警子系统对异常主机进行标记，对达到报警要求的异常主机和安全事件进行报警。所述机器学习系统能够解决现有技术存在的报警量大、虚警率高的问题。

现有技术的着重点均放在了判断的准确性上，却忽略了网络安全处置系统本身工作环境的问题。在受到网络攻击时，传统的密钥加密方式安全性存疑，信息的传输容易被窃取和篡改，而现有的网络安全处置系统进行判断的依据往往正是这些传输的数据，因此该缺陷容易被攻击者利用，使处置系统读取错误的信息进而被误导，导致判断结果失去价值。

发明内容

针对现有技术在网络安全事件决策处置过程中无法保证信息传输安全的问题，本发明提供了一种基于人工智能的全场景网络安全智慧决策处置方法，具备自动化响应、决策及处置功能，从而提高电力网络安全事件的响应速度，并且具有完善的信息传输安全机制，防止受到网络攻击时出现信息被篡改和劫持的问题。

以下是本发明的技术方案。

一种基于人工智能的全场景网络安全智慧决策处置方法，包括以下步骤：

S01：将数据采集任务分配给采集器，由采集器根据任务的内容对目标发送数据采集请求，待目标返回数据后，采集器将采集到的数据转换为极坐标编码图并进行掺杂加密后得到密码图，上传消息总线，掺杂源保存在采集器和存储单元内；

S02：存储单元接收消息总线内的数据，进行逆掺杂解密后，根据得到的数据特征进行网络安全事件的分类和处置方法标注，分类和标注后加上时间戳存储；

S03：将历史网络安全事件和对应处置方法导入到神经网络中进行训练，并根据结果验证的准确率进行调整，得到最终模型；

S04：将实时网络安全事件导入最终模型进行判断，得到处置方法，根据处置方法的内容进行处置。

本发明包含了数据采集、数据加密、数据分析和事件处理过程，可以实现对网络安全事件的自动处置，大幅减少人工压力，掺杂加密后的信息即使被窃取，由于无法知晓掺杂源，因此无法分解读取，保障了出现网络安全事件时信息传输的可靠性。

作为优选，所述掺杂加密的过程包括：将数据转换为二进制，每8位截取一次，记录截取到的数值；建立极坐标系，从原点向逆时针旋转为正，每隔固定度数划标线，每条标线由连续的坐标点组成，用（Ln,An）表示标线上的位置，其中Ln为标线编号，An为对应编号标线上坐标点的编号，将每个截取到的数值转换为十进制并作为灰度值依次导入至标线中的坐标点所涵盖的像素, 顺序为从L1上的A1位置开始至L1上的An，然后跳转至下一条标线，直至导入完成，得到带有灰度的极坐标编码图并记录生成时刻，利用预置的极坐标掺杂图对极坐标编码图进行掺杂，得到密码图，所述密码图和极坐标编码图的生成时刻用于上传消息总线。其中，极坐标编码图、极坐标掺杂图和密码图均呈现为由深浅不一的标线组成的中心发散图形。

作为优选，所述利用预置的极坐标掺杂图对极坐标编码图进行掺杂，包括：将极坐标编码图的生成时刻带入预置公式计算出偏转角，将极坐标掺杂图旋转对应偏转角后与极坐标编码图叠加，得到密码图；其中，逆掺杂解密时，利用相同的预置公式结合所述生成时刻得到偏转角，将极坐标掺杂图旋转对应偏转角后从密码图中滤去，还原得到极坐标编码图，读取各坐标点的灰度值后拼接成二进制数据，得到原数据。叠加时，同一位置的像素灰度值相加，超过255时，以超过的数值作为新的灰度值，滤去时反之。由于电网信息的特殊性，需要传输的数据往往存在重复，如一直采用一成不变的加密方式，仍然容易被破解，或即使不被破解，也能够通过归纳相同的加密信息而猜测出具体含义，因此增加了时间-偏转角的关联关系，降低了相似性，提高了破解难度。其中预置公式一般取周期函数，如正弦函数或以正弦函数为基础扩展后的函数。

作为优选，步骤S03包括：将历史网络安全事件名称转化为词向量形式，并分为训练集和验证集，将训练集中的词向量和处置方法分批导入至参数不同的神经网络中进行训练得到若干种训练后的神经网络；将验证集输入至各训练后的神经网络中输出处置方法，与验证集中原处置方法进行对比，统计得到准确率；根据准确率调整并筛选训练后的神经网络，从中得到最终模型。利用了神经网络学习中参数设置不同会直接影响训练结果的原理，将多个不同参数的神经网络进行横向对比，从而进行调整，得到最优的最终模型。

作为优选，所述准确率的统计过程包括：如果对比结果一致则正确计数加一，如果不一致则错误计数加一，准确率=正确计数/正确计数与错误计数之和。

作为优选，所述神经网络为BP神经网络，训练过程包括：设置BP神经网络的输入层节点数、隐含层节点数、输出层节点数、训练迭代次数以及学习率，将训练集中的特征集合作为输入，处置方法作为输出，导入至BP神经网络进行训练，其中每批次训练时设置不同的隐含层节点数。于隐含层节点数的设置对于准确率的影响较大，且无法一次性获得最优解，因此先分批设置后待后续调整。

作为优选，所述隐含层节点数m取值范围为：32n>m>2n，且m

作为优选，所述根据准确率调整并筛选训练后的神经网络，从中得到最终模型，包括：判断准确率是否达到预设条件，如是则取准确率最高的神经网络作为最终模型；如否，则建立准确率-隐含层节点数分布图，并进行曲线拟合，取曲线中准确率最高点对应的隐含层节点数作为最终模型的隐含层节点数并重新训练，得到最终模型。分布图中纵坐标为准确率，横坐标为隐含层节点数，可以直观到曲线波动高点，通常高点附近对应的隐含层节点数即为当前条件下的最优解。

作为优选，所述极坐标掺杂图包括多种不同样式，加密时选用的样式名称与密码图一同上传。

本发明的实质性效果包括：具备从数据采集、数据加密、数据分析到事件处理的完整过程，大幅减少人工干预强度，可以实现网络安全事件的自动识别和处置，并且通过掺杂加密的方式，避免信息传输过程中的泄露可能，防止发生网络安全事件时信息出现系统被错误信息误导的问题。

附图说明

图1是本发明实施例的流程图；

图2是本发明实施例的标线示意图。

具体实施方式

下面将结合实施例，对本申请的技术方案进行描述。另外，为了更好的说明本发明，在下文中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本发明同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未做详细描述，以便于凸显本发明的主旨。

实施例：

一种基于人工智能的全场景网络安全智慧决策处置方法，如图1所示，包括以下步骤：

S01：将数据采集任务分配给采集器，由采集器根据任务的内容对目标发送数据采集请求，待目标返回数据后，采集器将采集到的数据转换为极坐标编码图并进行掺杂加密后得到密码图，上传消息总线，掺杂源保存在采集器和存储单元内；包括：为每个采集器分配全局唯一ID，利用哈希散列算法对每个数据采集任务名称进行计算得到哈希值，然后将任务随机分配至采集器，采集器接收任务后发送经数据请求至目标，目标收到后返回请求的数据至采集器。将采集任务分散到不同的采集器上执行，并以哈希值作为每个任务索引的键，也用于防止任务的重复下发或执行。

掺杂加密的过程包括：将数据转换为二进制，每8位截取一次，记录截取到的数值；如图2所示，建立极坐标系，从原点向逆时针旋转为正，每隔固定度数划标线，每条标线由连续的坐标点组成，用（Ln,An）表示标线上的位置，其中Ln为标线编号，An为对应编号标线上坐标点的编号，将每个截取到的数值换为十进制并作为灰度值依次导入至标线中的坐标点所涵盖的像素，顺序为从L1上的A1位置开始至L1上的An，然后跳转至下一条标线，直至导入完成，得到带有灰度的极坐标编码图并记录生成时刻，将极坐标编码图的生成时刻带入预置公式计算出偏转角，将预置的极坐标掺杂图旋转对应偏转角后与极坐标编码图叠加，得到密码图，密码图和极坐标编码图的生成时刻用于上传消息总线。其中，极坐标编码图、极坐标掺杂图和密码图均呈现为由深浅不一的标线组成的中心发散图形。

叠加时，同一位置的像素灰度值相加，超过255时，以超过的数值作为新的灰度值，滤去时反之。由于电网信息的特殊性，需要传输的数据往往存在重复，如一直采用一成不变的加密方式，仍然容易被破解，或即使不被破解，也能够通过归纳相同的加密信息而猜测出具体含义，因此增加了时间-偏转角的关联关系，降低了相似性，提高了破解难度。其中预置公式一般取周期函数，如正弦函数或以正弦函数为基础扩展后的函数。极坐标掺杂图包括多种不同样式，加密时选用的样式名称与密码图一同上传。

S02：存储单元接收消息总线内的数据，进行逆掺杂解密后，根据得到的数据特征进行网络安全事件的分类和处置方法标注，分类和标注后加上时间戳存储；其中，逆掺杂解密时，利用相同的预置公式结合生成时刻得到偏转角，将极坐标掺杂图旋转对应偏转角后从密码图中滤去，还原得到极坐标编码图，读取各坐标点的灰度值后拼接成二进制数据，得到原数据。

S03：将历史网络安全事件和对应处置方法导入到神经网络中进行训练，并根据结果验证的准确率进行调整，得到最终模型；包括：将历史网络安全事件名称转化为词向量形式，并分为训练集和验证集，将训练集中的词向量和处置方法分批导入至参数不同的神经网络中进行训练得到若干种训练后的神经网络；将验证集输入至各训练后的神经网络中输出处置方法，与验证集中原处置方法进行对比，统计得到准确率；根据准确率调整并筛选训练后的神经网络，从中得到最终模型。利用了神经网络学习中参数设置不同会直接影响训练结果的原理，将多个不同参数的神经网络进行横向对比，从而进行调整，得到最优的最终模型。

其中准确率的统计过程包括：如果对比结果一致则正确计数加一，如果不一致则错误计数加一，准确率=正确计数/正确计数与错误计数之和。

本实施例采用的神经网络为BP神经网络，训练过程包括：设置BP神经网络的输入层节点数、隐含层节点数、输出层节点数、训练迭代次数以及学习率，将训练集中的特征集合作为输入，处置方法作为输出，导入至BP神经网络进行训练，其中每批次训练时设置不同的隐含层节点数。于隐含层节点数的设置对于准确率的影响较大，且无法一次性获得最优解，因此先分批设置后待后续调整。

其中隐含层节点数m取值范围为：32n>m>2n，且m

其中，根据准确率调整并筛选训练后的神经网络，从中得到最终模型，包括：判断准确率是否达到预设条件，如是则取准确率最高的神经网络作为最终模型；如否，则建立准确率-隐含层节点数分布图，并进行曲线拟合，取曲线中准确率最高点对应的隐含层节点数作为最终模型的隐含层节点数并重新训练，得到最终模型。分布图中纵坐标为准确率，横坐标为隐含层节点数，可以直观到曲线波动高点，通常高点附近对应的隐含层节点数即为当前条件下的最优解。

S04：将实时网络安全事件导入最终模型进行判断，得到处置方法，根据处置方法的内容进行处置。步骤S04中，根据处置方法的内容进行处置，包括：根据得到的处置方法，进行数据反序列化解析，得到处置的剧本数据；加载对应剧本数据到命令管道当中，并判断处置设备类型及设备网络是否可达；如网络可达则通过远程命令执行的方法将命令管道中存储的命令在指定的处置设备执行；等待处置设备最终的返回值，根据返回值判断是否处置成功。如网络不可达则意味着通讯受损或权限管理出问题，直接向管理人员报备。

其中，进行数据反序列化解析，得到处置的剧本数据，包括：将JSON字符串解析成JSON对象，再一对一地映射成当前编程语言的数据类型，使得能够在当前编程语言中直接读取JSON字符串中的键值对数据，从而形成剧本数据。

本实施例具备从数据采集、数据加密、数据分析到事件处理的完整过程，大幅减少人工干预强度，可以实现网络安全事件的自动识别和处置，并且通过掺杂加密的方式，避免信息传输过程中的泄露可能，防止发生网络安全事件时信息出现系统被错误信息误导的问题。

通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中可以根据需要而将上述功能分配由不同的功能模块完成，即将具体装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的实施例中，应该理解到，所揭露的结构和方法，可以通过其它的方式实现。例如，以上所描述的关于结构的实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个结构，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，结构或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。