电网异常事件的关联规则生成方法及装置与流程
本发明涉及电力信息安全技术领域,具体涉及一种电网异常事件的关联规则生成方法及装置。
背景技术:
随着智能电网建设的不断推进以及信息通信技术在电网中的应用越来越广泛,以及近年来印度、乌克兰、印度等国家发生的大停电事故表明,电网在网络安全防护方面还存在不足。
分析由网络攻击导致的大停电事故原因,主要是在攻击者对电网发动的一系列攻击阶段,没有及时发现攻击者意图,并对攻击者行为产生的异常事件进行高精度关联分析,采取相关措施,进而错失了控制网络安全事故发展的最佳时期。此外,不同区域电网结构、所使用的稳控装置不同,产生的异常事件也不尽相同,不同的攻击者有不同的攻击方式。因此,应对复杂多变的环境,需要研究电网异常事件的关联规则自动生成方法,根据实时多变的电网环境以及不同的攻击手段,实时对关联规则进行更新,以便实时对电网产生的异常事件进行关联分析,挖掘潜在的攻击行为,提高电网网络安全防御能力。
在不同的攻击手段以及复杂多变的电网运行环境中,目前在基于网络异常事件生成关联规则方面的方法,主要有基于相似度的方法、基于因果关联关系的方法、基于攻击图的方法、基于数据挖掘的方法以及基于apriori的关联算法。然而,上述方法在关联规则生成和更新过程中高度依赖人工干预,使得生成的关联规则受人为主观因素的影响,进而导致生成的关联规则的准确性较低。
技术实现要素:
有鉴于此,本发明实施例提供了一种电网异常事件的关联规则生成方法及装置,以解决现有方法生成的关联规则准确性较低的问题。
根据第一方面,本发明实施例提供了一种电网异常事件的关联规则生成方法,包括:
获取若干异常事件;
基于预设分类模型对所述异常事件进行分类,以得到预设攻击场景下的正例集以及负例集;其中,所述预设分类模型为利用样本异常事件对神经网络模型进行训练得到的;
利用所述正例集形成多个预设关联规则;
根据预设算法、所述正例集以及负例集,训练所述预设关联规则,以生成所述异常事件的关联规则;其中,所述预设算法用于对所述预设关联规则进行全局寻优。
本发明实施例提供的电网异常事件的关联规则生成方法,首先通过基于神经网络模型对若干异常事件按照攻击场景进行初步分类,以剔除各攻击场景下的非相关异常事件,为后续保证所生成的关联规则的准确性提供了基础;此外,再结合预设算法(例如改进遗传算法)对初始预设关联规则进行训练,以保证寻优的全局性,提高了所生成的关联规则的准确性。
结合第一方面,在第一方面第一实施方式中,所述正例集包括信息量异常事件以及电气量异常事件;其中,所述利用所述正例集形成多个预设关联规则,包括:
基于所述正例集中的所述信息量异常事件,形成多个初始关联规则;
按照时序对每个所述初始关联规则中的所述信息量异常事件进行排序;
在排序后的所述初始关联规则的预设深度处设定所述电气量异常事件,以形成所述预设关联规则。
本发明实施例提供的电网异常事件的关联规则生成方法,按照时序对正例集中的信息量异常事件进行排序,提高了初始关联规则的有效性;此外,由于电网攻击在扫描和获取权限阶段不会影响电气系统,只有在攻击阶段才会对电气量产生影响,因此在排序后的初始关联规则的预设深度处设置电气量异常事件,能够提高所生成的预设关联规则的有效性。
结合第一方面第一实施方式,在第一方面第二实施方式中,所述根据预设算法、所述正例集以及负例集,训练所述预设关联规则,以生成所述异常事件的关联规则,包括:
利用所述正例集以及负例集与所述预设关联规则进行匹配,以确定第一例数以及第二例数;其中,所述第一例数为所述正例集中匹配成功的数量,所述第二例数为所述负例集中匹配失败的数量;
基于所述第一例数、所述第二例数、所述正例集以及所述负例集,计算适应度;
根据所述适应度以及预设迭代次数,利用所述预设算法训练所述预设关联规则。
本发明实施例提供的电网异常事件的关联规则生成方法,利用匹配结果计算适应度,从而能够反映出预设关联规则的性能,为后续利用预设算法对预设关联规则进行训练,提供了训练基础。
结合第一方面第二实施方式,在第一方面第三实施方式中,采用如下公式计算适应度:
其中,of为所述适应度;zp为所述第一例数;zn为所述第二例数;sp为所述正例集中所述异常事件的数量;sn为所述负例集中所述异常事件的数量。
结合第一方面第二实施方式,在第一方面第四实施方式中,所述根据所述适应度以及预设迭代次数,利用所述预设算法训练所述预设关联规则,包括:
判断所述适应度是否小于预设阈值;
当所述适应度小于所述预设阈值时,判断当前迭代次数是否达到所述预设迭代次数;
当当前迭代次数小于所述预设迭代次数时,利用所述当前迭代次数计算交叉概率以及变异概率;
基于计算结果,训练所述预设关联规则。
本发明实施例提供的电网异常事件的关联规则生成方法,其中,对交叉概率以及变异概率进行了改进,交叉概率与变异概率对预设关联规则的优化有很大作用,在迭代初始阶段,设置较大的概率值,保证寻优的全局性,不会陷入局部优化中;在迭代结束时,设置较小的概率值,保证优良规则的遗传性,提高了所生成的关联规则的准确性。
结合第一方面第四实施方式,在第一方面第五实施方式中,采用如下公式计算所述交叉概率:
其中,p为所述交叉概率;p1为初始交叉概率;p2为结束交叉概率;t为所述预设迭代次数;t为所述当前迭代次数;
和/或,
采用如下公式计算所述变异概率:
其中,k为所述变异概率;k1为初始变异概率;k2为结束变异概率;t为所述预设迭代次数;t为所述当前迭代次数。
结合第一方面第五实施方式,在第一方面第六实施方式中,所述基于计算结果,训练所述预设关联规则,包括:
提取所述预设关联规则中的信息量异常事件;
利用所述交叉概率,对提取出的所述信息量异常事件进行交叉运算;
利用所述变异概率,对交叉运算的结果进行变异运算,以得到训练结果。
本发明实施例提供的电网异常事件的关联规则生成方法,基于改进后的遗传算法对分类后的异常事件进行训练,生成关联规则,为电网恶意攻击的关联分析提供了基础。
结合第一方面第六实施方式,在第一方面第七实施方式中,所述根据所述适应度以及预设迭代次数,计算所述交叉概率以及变异概率,还包括:
结合第一方面,或第一方面任意实施方式,在第一方面第八实施方式中,所述预设分类模型通过如下步骤训练得到:
获取若干所述样本异常事件;其中,所述样本异常事件包括预设攻击场景产生的正样本异常事件,以及非所述预设攻击场景产生的负样本异常事件;
初始化所述预设攻击场景对应的所述神经网络模型;其中,所述神经网络模型包括输入层、隐含层以及输出层;
基于所述样本异常事件,调整第一权重、第二权重以及判断阈值,以得到所述预设分类模型;其中,所述第一权重为所述隐含层到所述输出层的权重,所述第二权重为所述输入层到所述隐含层的权重。
本发明实施例提供的电网异常事件的关联规则生成方法,采用大量不同攻击场景的异常事件对神经网络模型进行训练,以得到不同攻击场景下的异常事件分类模型,即预设分类模型;该预设分类模型能够将对应于某一攻击场景下的异常事件进行分类。
根据第二方面,本发明实施例还提供了一种电网异常事件的关联规则生成方法,包括:
获取模块,用于获取若干异常事件;
分类模块,用于基于预设分类模型对所述异常事件进行分类,以得到预设攻击场景下的正例集以及负例集;其中,所述预设分类模型为利用样本异常事件对神经网络模型进行训练得到的;
预设关联规则形成模块,用于利用所述正例集形成多个预设关联规则;
关联规则生成模块,用于根据预设算法、所述正例集以及负例集,训练所述预设关联规则,以生成所述异常事件的关联规则;其中,所述预设算法用于对所述预设关联规则进行全局寻优。
本发明实施例提供的电网异常事件的关联规则生成装置,通过基于神经网络模型对若干异常事件按照攻击场景进行初步分类,以剔除各攻击场景下的非相关异常事件,为后续保证所生成的关联规则的准确性提供了基础;此外,再结合预设算法对初始预设关联规则进行训练,以保证寻优的全局性,提高了所生成的关联规则的准确性。
根据第三方面,本发明实施例还提供了一种电子设备,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明第一方面,或第一方面任一实施方式中所述的电网异常事件的关联规则生成方法。
根据第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明第一方面,或第一方面任一实施方式中所述的电网异常事件的关联规则生成方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的电网异常事件的关联规则生成方法的流程图;
图2是根据本发明实施例的预设关联规则生成方法的流程图;
图3是根据本发明实施例的预设分类模型的结构示意图;
图4是根据本发明实施例的电网异常事件的关联规则生成方法的流程图;
图5是根据本发明实施例的预设关联规则结构示意图;
图6是根据本发明实施例的电网异常事件的关联规则生成方法的流程图;
图7是根据本发明实施例的电网异常事件的关联规则生成方法的流程图;
图8是根据本发明实施例的电网系统的结构示意图;
图9a是根据本发明实施例的ddos攻击关联规则的示意图;
图9b是根据本发明实施例的ddos攻击场景的攻击路径示意图;
图10a是根据本发明实施例的分布式数据篡改攻击关联规则的示意图;
图10b是根据本发明实施例的分布式数据篡改攻击场景的攻击路径示意图;
图11a是根据本发明实施例的伪造控制指令攻击关联规则的示意图;
图11b是根据本发明实施例的伪造控制指令攻击场景的攻击路径示意图;
图12是根据本发明实施例的电网异常事件的关联规则生成装置的结构框图;
图13是根据本发明实施例的电网异常事件的关联规则生成装置的结构框图;
图14是本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明实施例,提供了一种电网异常事件的关联规则生成方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种电网异常事件的关联规则生成方法,可用于上述的电子设备,图1是根据本发明实施例的电网异常事件的关联规则生成方法的流程图,如图1所示,该流程包括如下步骤:
s11,获取若干异常事件。
电子设备所获取的电网异常事件,可以是利用仿真环境所产生的异常事件,也可以是现场采集得到的异常事件;也可以是通过其他方式获得的;只需保证电子设备能够获取到异常事件即可。
s12,基于预设分类模型对异常事件进行分类,以得到预设攻击场景下的正例集以及负例集。
其中,预设分类模型为利用样本异常事件对神经网络模型进行训练得到的。
具体地,预设分类模型对应于某一具体的电网攻击场景(例如,入侵攻击、分布式数据篡改攻击或伪造控制指令攻击等等),即,一个具体的电网攻击场景对应于一个预设分类模型。
其中,由于预设分类模型对异常事件进行分类的目的,是便于确定异常事件对应的电网具体攻击场景,因此,样本异常事件可以是大量不同攻击场景下的异常事件,即对应于某一具体的电网攻击场景,样本异常事件可以是利用仿真环境或现场采集得到该攻击场景产生的各类异常事件,也可以是采集部分非该攻击场景下的网络异常事件等等。利用样本异常事件对神经网络模型进行训练,即可得到预设网络模型。
该预设网络模型用于对电子设备所获取的若干异常事件进行分类,由于预设网络模型与电网攻击场景对应,因此,该预设网络模型将若干异常事件分为两类,一类为该预设网络模型生成的异常事件,即正例集;一类为非该预设网络模型生成的异常事件,即负例集;电子设备利用预设网络模型即可实现对若干异常事件的初步分类。
s13,利用正例集形成多个预设关联规则。
电子设备在对异常事件分类所得到的正例集中的异常事件为某一具体攻击场景所产生的异常事件,因此,电子设备可以利用该正例集形成多个预设关联规则。
其中,预设关联规则用于表示电网在遭受某一具体攻击时,对应所产生的异常事件之间的相互关系。电子设备在利用正例集形成多个预设关联规则时,可以结合一些专家知识,或者利用先验知识等等。
s14,根据预设算法、正例集以及负例集,训练预设关联规则,以生成异常事件的关联规则。
其中,所述预设算法用于对预设关联规则进行全局寻优。
电子设备在形成预设关联规则之后,再利用预设分类模型所得到的正例集以及负例集,结合预设算法,对多个预设关联规则进行全局寻优,以实现从多个预设关联规则中寻找出最优的关联规则。例如,预设算法可以是遗传算法、模拟退火算法、禁忌搜索算法、粒子群算法或蚁群算法等等,也可以是其他全局优化算法;只需保证利用该预设算法能够从多个预设关联规则中,寻找出最优的关联规则即可。
本实施例提供的电网异常事件的关联规则生成方法,首先通过基于神经网络模型对若干异常事件按照攻击场景进行初步分类,以剔除各攻击场景下的非相关异常事件,为后续保证所生成的关联规则的准确性提供了基础;此外,再结合预设算法对初始预设关联规则进行训练,以保证寻优的全局性,提高了所生成的关联规则的准确性。
作为本实施例的一种可选实施方式,如图2所示,所述预设分类模型通过如下步骤训练得到:
s21,获取若干样本异常事件。
其中,所述样本异常事件包括预设攻击场景产生的正样本异常事件,以及非所述预设攻击场景产生的负样本异常事件。
具体地,正样本异常事件为某一具体电网攻击场景所产生的异常事件,负样本异常事件为非该攻击场景所产生的异常事件。所述样本异常事件可以是利用仿真环境采集或现场采集得到的。
例如,样本异常事件可以是信息量的异常事件:即,流量异常事件、拒绝服务事件、扫描事件等等;也可以是电气量的异常事件:即,电压异常事件、电流异常事件、拒动事件等等;亦或是既包括有信息量异常事件,也包括有电气量的异常事件等等。
s22,初始化预设攻击场景对应的神经网络。
其中,如图3所示,神经网络模型包括输入层、隐含层以及输出层。隐含层的数量可以根据实际情况进行具体设置,可以是一层、两层、三层等等,在图3中仅以一层输入层、一层隐含层以及一层输出层为例,进行具体描述。
初始化预设攻击场景对应的神经网络模型时,除了需要设置该神经网络模型的各层数量,还需要设置各层之间的连接权重,以及输出的判断阈值等等。
具体地,如图3所示,输出层中的f(t1)、f(t2)、f(t3)、……、以及f(tm)为样本异常事件,ω11、……、ωmk分别为输入层与隐含层之间的连接权重,ε1、ε2、……、εm为隐含层的数值,v1、……、vk分别为隐含层与输出层之间的连接权重,ε为输出层的数值,h为输出的判断阈值。
s23,基于样本异常事件,调整第一权重、第二权重以及判断阈值,以得到所述预设分类模型。
其中,所述第一权重为隐含层到输出层的权重,所述第二权重为输入层到隐含层的权重。
具体地,可以采用如下公式对第一权重、第二权重以及判断阈值进行调整。
vj(n+1)=vj(n)+α×(c-ε)×y×(1-ε)×εj;(2)
wij(n+1)=wij(n)+α×(c-ε)×y×(1-ε)×vj×εj×(1-εj)×f(ti);(3)
h(n+1)=h(n)+β×(c-ε)×y×(1-ε);(4)
上述各式中,y为所述预设分类模型的输出;h为所述判断阈值;vj为所述第一权重;wij为所述第二权重;f(ti)为所述样本异常事件;
即,输入标记的和未标记的攻击场景对应异常事件f(ti),由式(1)计算模型的输出,wij、vj分别为各层权值,h为判断阀值;
利用公式(2)对神经网络隐含层到输出层的权重vj进行调整,式中c为输出层的期望输出,α为权值学习速率;
利用公式(3)对神经网络输入层到隐含层的权重wij进行调整;
利用公式(4)对模型的阈值进行更新,式中β为阈值学习速率。
继续输入训练数据,转到公式(1),不断重复直到全部样本训练完毕,从而输出得到不同攻击场景对应的神经网络分类模型。
本实施例提供的电网异常事件的关联规则生成方法,采用大量不同攻击场景的异常事件对神经网络模型进行训练,以得到不同攻击场景下的异常事件分类模型,即预设分类模型;该预设分类模型能够将对应于某一攻击场景下的异常事件进行分类。
在本实施例中提供了一种电网异常事件的关联规则生成方法,可用于上述的电子设备,图4是根据本发明实施例的电网异常事件的关联规则生成方法的流程图,如图4所示,该流程包括如下步骤:
s31,获取若干异常事件。详细请参见图1所示实施例的s11,在此不再赘述。
s32,基于预设分类模型对异常事件进行分类,以得到正例集以及负例集。
其中,所述预设分类模型为利用样本异常事件对神经网络模型进行训练得到的。
针对某一具体攻击场景,本实施例中将预设分类模型输出为1的异常事件集合成为正例集sp,输出为-1的异常事件集合称为负例集sn。详细请参见图1所示实施例的s12,在此不再赘述。
s33,利用正例集形成多个预设关联规则。
其中,预设关联规则的生成过程可以看作关联分析的逆过程,即,电子设备利用已知攻击场景的攻击实例产生的正例集sp生成该场景对应的关联规则。具体地,可以包括以下步骤:
s331,基于正例集中的信息量异常事件,形成多个初始关联规则。
由于电网攻击在扫描和获取权限阶段不会影响电气系统,只有在攻击阶段才会对电气量产生影响,因此,在某一具体电网攻击场景所产生的异常事件中,信息量异常事件远远多于电气量异常事件。因此,可以先利用正例集中的信息量异常事件,形成多个初始关联规则,该初始关联规则的形成可以是利用先验知识,也可以结合专家知识等等。
s332,按照时序对每个初始关联规则中的信息量异常事件进行排序。
电子设备根据时序对初始关联规则中的信息量异常事件进行排序,可以提高每个初始关联规则的有效性。
s333,在排序后的初始关联规则的预设深度处设定电气量异常事件,以形成预设关联规则。
电子设备在初始关联规则的预设深度处设置电气量异常事件,即在排序后的初始关联规则的攻击阶段添加电气量异常事件,以进一步提高预设关联规则的有效性。
例如,如图5所示,利用n-gram模型,对输入层中的事件集sp1、sp2、……、spn(即,正例集)进行分类,以得到若干预设关联规则tr1、tr2、……、trm。其中,n-gram是计算机语言学和概率论范畴内的概念,是指给定的一段文本或语音中n个项目(item)的序列。
可选地,为了清晰直观的呈现预设关联规则,可以采用树形结构的预设关联规则对攻击场景进行描述,如图5所述,该规则主要包括与(and)、或(or)关系组成。即,每个预设关联规则trk都可以采用树形结构表示。
s34,根据预设算法、正例集以及负例集,训练预设关联规则,以生成异常事件的关联规则。
其中,所述预设算法用于对所述预设关联规则进行全局寻优。详细请参见图1所示实施例的s14,在此不再赘述。
与图1所示实施例相比,本实施例提供的电网异常事件的关联规则生成方法,按照时序对正例集中的信息量异常事件进行排序,提高了初始关联规则的有效性;此外,由于电网攻击在扫描和获取权限阶段不会影响电气系统,只有在攻击阶段才会对电气量产生影响,因此在排序后的初始关联规则的预设深度处设置电气量异常事件,能够提高所生成的预设关联规则的有效性。
在本实施例中提供了一种电网异常事件的关联规则生成方法,可用于上述的电子设备,图6是根据本发明实施例的电网异常事件的关联规则生成方法的流程图,如图6所示,该流程包括如下步骤:
s41,获取若干异常事件。详细请参见图4所示实施例的s31,在此不再赘述。
s42,基于预设分类模型对异常事件进行分类,以得到正例集以及负例集。
其中,所述预设分类模型为利用样本异常事件对神经网络模型进行训练得到的。详细请参见图4所示实施例的s32,在此不再赘述。
s43,利用正例集形成多个预设关联规则。详细请参见图4所示实施例的s33,在此不再赘述。
s44,根据预设算法、正例集以及负例集,训练预设关联规则,以生成异常事件的关联规则。
其中,所述预设算法用于对预设关联规则进行全局寻优。本实施例中采用的预设算法为遗传算法,在利用遗传算法对多个预设关联规则进行全局寻优时,主要有如下参数的调整:交叉概率、变异概率以及适应度函数。具体地,包括以下步骤:
s441,利用正例集以及负例集与预设关联规则进行匹配,以确定第一例数以及第二例数。
其中,所述第一例数为正例集中匹配成功的数量,所述第二例数为负例集中匹配失败的数量。
电子设备利用正例集sp以及负例集sn分别与所有预设关联规则进行匹配,以确定匹配正例集sp中匹配成功的数量,以及负例集sn中匹配失败的数量。
例如,预设关联规则为tr1、tr2以及tr3,在进行匹配时,利用正例集sp分别与tr1、tr2以及tr3进行匹配,以确定对应于每条预设关联规则,正例集sp中匹配成功的数量;利用负例集sn分别与tr1、tr2以及tr3进行匹配,以确定对应于每条预设关联规则,负例集sn中匹配失败的数量。
具体地,匹配方法可以采用基于单线程的关联匹配方法、基于多线程的关联匹配方法以及基于启发式的关联分析引擎等等。
s442,基于第一例数、第二例数、正例集以及负例集,计算适应度。
电子设备在确定出第一例数以及第二例数之后,计算每条预设关联规则对应的适应度;具体地,可以采用如下公式计算适应度:
其中,of为所述适应度;zp为所述第一例数;zn为所述第二例数;sp为所述正例集中所述异常事件的数量;sn为所述负例集中所述异常事件的数量。
s443,根据适应度以及预设迭代次数,利用预设算法训练预设关联规则。
电子设备在计算得到适应度之后,可以采用如下步骤训练预设关联规则:
(1)判断适应度是否小于预设阈值。
(2)当适应度小于预设阈值时,判断当前迭代次数是否达到预设迭代次数。
(3)当当前迭代次数小于预设迭代次数时,利用当前迭代次数计算交叉概率以及变异概率。
具体地,采用如下公式计算交叉概率:
其中,p为所述交叉概率;p1为初始交叉概率;p2为结束交叉概率;t为所述预设迭代次数;t为所述当前迭代次数。例如,初始交叉概率p1可以取0.5,结束交叉概率p2可以取0.2,预设迭代次数t可以取100。
和/或,
采用如下公式计算所述变异概率:
其中,k为所述变异概率;k1为初始变异概率;k2为结束变异概率;t为所述预设迭代次数;t为所述当前迭代次数。例如,初始变异概率k1可以取0.4,结束变异概率k2可以取0.1,预设迭代次数t可以取100。
(4)基于计算结果,训练预设关联规则。
电子设备在计算得到交叉概率以及变异概率之后,利用所得到的计算结果,对所有预设关联规则进行训练,具体可以包括:
1)提取预设关联规则中的信息量异常事件。
2)利用交叉概率,对提取出的信息量异常事件进行交叉运算。
3)利用变异概率,对交叉运算的结果进行变异运算,以得到训练结果。
由于在预设关联规则的攻击阶段设置有电气量异常事件,因此遗传操作时,跳过攻击阶段的电气量异常事件,保留优良遗传基因,提高关联规则的生成速度。
作为本实施例的一种可选实施方式,在s443中,当适应度大于或等于预设阈值时,输出该适应度对应的关联规则;或者,当当前迭代次数大于或等于预设迭代次数时,输出训练结果,其中,所述训练结果为异常事件的关联规则。
作为本实施例的另一种可选实施方式,在现场使用时,现场采集的在线数据首先进过预设分类模型进行分类,然后与生成的预设关联规则进行匹配,根据成功匹配的程度,将在线数据导入数据库,对基于改进遗传算法的初始关联规则生成方法进行改进,以提高其工程实用性。即,根据实际攻击场景对关联规则进行不断迭代更新,对电网异常事件的关联规则生成方法进行在线进化,有效提高了电网网络安全分析质量和效率,保障电网安全稳定运行。
可选地,本实施例中电网异常事件的关联规则生成方法的具体流程,如图7所示,
(1)利用预设分类模型对异常事件进行分类,以将异常事件归为两个集合。将属于该攻击场景的异常事件称为正例集sp,将不属于该攻击场景的异常事件称为负例集sn。
(2)进行初始化方案改进,根据时间对每条预设关联规则异常事件进行排序,在初始关联规则的深度x处设置电气量异常事件。
(3)用正例集、负例集与生成的预设关联规则进行匹配。
(4)根据匹配结果,计算每条预设关联规则的适应度。
(5)判断适应度函数是否大于或等于预设阈值。若大于或等于时,则输出关联规则,否则进行遗传操作。
(6)选择算子改进。在遗传操作中,首先需要选择遗传因子,选择遗传因子时,选择关联规则深度x以外的电气量异常事件,保留优良遗传基因。
(7)交叉、变异概率改进。在遗传操作中,需要对选择后的遗传算子进行交叉、遗传操作,设置自适应交叉、遗传算子,提高关联规则的生成效率及生成质量。然后,返回步骤(3),重复上述过程。
与图4所示实施例相比,本实施例提供的电网异常事件的关联规则生成方法,对交叉概率以及变异概率进行了改进,交叉概率与变异概率对预设关联规则的优化有很大作用,在迭代初始阶段,设置较大的概率值,保证寻优的全局性,不会陷入局部优化中;在迭代结束时,设置较小的概率值,保证优良规则的遗传性,提高了所生成的关联规则的准确性。
综上,本发明实施例提供的电网异常事件的关联规则生成方法,具有如下特点:
(1)基于神经网络的攻击场景分类模型。该场景分类模型主要基于神经网络模型对异常事件按照攻击场景进行初步分类,初步剔除了各攻击场景下的非相关异常事件,提高了离线关联规则生成效率,为基于改进遗传算法的关联规则自动生成提供数据基础;
(2)对初始化方案进行了改进。根据时序对初始种群产生的关联规则异常事件进行排序,并在攻击阶段设置电气侧异常事件,提高了初始关联规则有效性;
(3)对选择算子进行了改进。由于在关联规则攻击阶段设置有电气侧异常事件,故遗传操作时,跳过攻击阶段的电气侧异常事件,保留优良遗传基因,提高关联规则的自动生成速度;
(4)对交叉概率与变异概率进行了改进。交叉概率与遗传概率对关联规则的优化有很大作用,在迭代初始阶段,设置较大的概率值,保障寻优的全局性,不会陷入局部优化中。在迭代快结束时,设置较小的概率值,保证优良规则的遗传性。提高了关联规则的精确度;
(5)实现关联规则的在线自动生成,循环迭代,不断进化的训练模式。现场使用时,现场采集的在线数据首先经过训练好的神经网络模型进行分类,然后与生成的关联规则进行匹配,根据成功匹配的程度,将在线数据导入数据库,对基于改进遗传算法的关联规则自动生成模型进行改进,极大的提高其工程实用性,具有广泛的工程实用价值。
作为本实施的一种具体应用实例,其中,电网系统的结构如图8所示,包括源网荷主站、变电站、用户侧以及网荷终端,根据电网异常事件的关联生成方法,生成的关联规则如下:
基于改进遗传算法,基于ddos攻击场景下的异常事件,对其进行神经网络分类模型训练、基于改进遗传算法进行关联规则自动生成训练,得到了ddos攻击关联规则,如图9a所示;此外,ddos攻击在实体系统中的关联规则体现为图9b所示的路径。将终端、用户交换机上报的信息侧异常事件与系统监测的电气量异常事件相关联,识别电网ddos攻击。
基于改进遗传算法,基于分布式数据篡改攻击场景下的异常事件,对其进行神经网络分类模型训练、基于改进遗传算法进行关联规则自动生成训练,得到分布式数据篡改攻击关联规则,如图10a所示;此外,分布式数据篡改攻击在实体系统中的关联规则体现为图10b所示的路径。将变电站交换机监测的信息侧异常事件与系统监测的电气量异常事件相关联,识别电网分布式数据篡改攻击。
基于改进遗传算法,基于伪造控制指令攻击场景下的异常事件,对其进行神经网络分类模型训练、基于改进遗传算法进行关联规则自动生成训练,得到伪造控制指令攻击关联规则,如图11a所示;此外,伪造控制指令攻击在实体系统中的关联规则体现为图11b所示的路径。将变电站交换机监测的信息侧异常事件与系统监测的电气量异常事件相关联,识别电网伪造控制指令攻击。
在本实施例中还提供了一种电网异常事件的关联规则生成装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种电网异常事件的关联规则生成装置,如图12所示,包括:
获取模块51,用于获取若干异常事件;
分类模块52,用于基于预设分类模型对所述异常事件进行分类,以得到预设攻击场景下的正例集以及负例集;其中,所述预设分类模型为利用样本异常事件对神经网络模型进行训练得到的;
预设关联规则形成模块53,用于利用所述正例集形成多个预设关联规则;
关联规则生成模块54,用于根据预设算法、所述正例集以及负例集,训练所述预设关联规则,以生成所述异常事件的关联规则;其中,所述预设算法用于对所述预设关联规则进行全局寻优。
作为本实施例的一种可选实施方式,所述正例集包括信息量异常事件以及电气量异常事件,其中,如图13所示,预设关联规则形成模块53,包括:
初始关联规则形成单元531,用于基于正例集中的所述信息量异常事件,形成多个初始关联规则。
排序单元532,用于按照时序对每个初始关联规则中的信息量异常事件进行排序。
预设关联规则形成单元533,用于在排序后的初始关联规则的预设深度处设定电气量异常事件,以形成预设关联规则。
本实施例中的电网异常事件的关联规则生成装置是以功能单元的形式来呈现,这里的单元是指asic电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各个模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本发明实施例还提供一种电子设备,具有上述图12或图13所示的电网异常事件的关联规则生成装置。
请参阅图14,图14是本发明可选实施例提供的一种终端的结构示意图,如图14所示,该终端可以包括:至少一个处理器61,例如cpu(centralprocessingunit,中央处理器),至少一个通信接口63,存储器64,至少一个通信总线62。其中,通信总线62用于实现这些组件之间的连接通信。其中,通信接口63可以包括显示屏(display)、键盘(keyboard),可选通信接口63还可以包括标准的有线接口、无线接口。存储器64可以是高速ram存储器(randomaccessmemory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器64可选的还可以是至少一个位于远离前述处理器61的存储装置。其中处理器61可以结合图12或图13所描述的装置,存储器64中存储应用程序,且处理器61调用存储器64中存储的程序代码,以用于执行上述任一方法步骤。
其中,通信总线62可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。通信总线62可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器64可以包括易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-accessmemory,缩写:ram);存储器也可以包括非易失性存储器(英文:non-volatilememory),例如快闪存储器(英文:flashmemory),硬盘(英文:harddiskdrive,缩写:hdd)或固态硬盘(英文:solid-statedrive,缩写:ssd);存储器64还可以包括上述种类的存储器的组合。
其中,处理器61可以是中央处理器(英文:centralprocessingunit,缩写:cpu),网络处理器(英文:networkprocessor,缩写:np)或者cpu和np的组合。
其中,处理器61还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specificintegratedcircuit,缩写:asic),可编程逻辑器件(英文:programmablelogicdevice,缩写:pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文:complexprogrammablelogicdevice,缩写:cpld),现场可编程逻辑门阵列(英文:field-programmablegatearray,缩写:fpga),通用阵列逻辑(英文:genericarraylogic,缩写:gal)或其任意组合。
可选地,存储器64还用于存储程序指令。处理器61可以调用程序指令,实现如本申请图1、图4以及图6实施例中所示的电网异常事件的关联规则生成方法。
本发明实施例还提供了一种非暂态计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的电网异常事件的关联规则生成方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)、随机存储记忆体(randomaccessmemory,ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive,缩写:hdd)或固态硬盘(solid-statedrive,ssd)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
- 还没有人留言评论。精彩留言会获得点赞!