电力通信网络异常入侵检测方法、装置、设备及存储介质与流程

本发明涉及电力通信网络安全领域，特别涉及电力通信网络异常入侵检测方法、装置、设备及存储介质。

背景技术

随着信息通信技术及互联网技术的不断发展，电力企业越来越依赖于信息技术。近年来，信息技术在电力企业的生产效率和运用成本中起到了关键性的作用，并且在电力企业的生产方式和业务拓展方面也发挥了重要作用。但是在信息技术不断发展的同时，电力行业却要面临网络威胁，网络安全问题日益突出。网络攻击不仅可以入侵电力系统而且可以窃取电力企业的客户信息，甚至可以破坏电力企业的基础设施。因此解决网络安全问题已成为电力行业的重中之重。

网络异常入侵检测是一种可以改善网络安全性的策略，可以有效地维护网络安全，抵制各种外部入侵以及内部攻击等，可以在一定程度上弥补防火墙的不足。网络异常入侵检测实际上是一个分类问题，即通过分析网络数据记录，采用一定的技术手段将正常数据记录与异常数据记录进行有效分类，找出异常数据。近年来，基于机器学习的网络异常检测模型很多，例如利用神经网络模型检测网络是否异常。但是由于电力企业网络数据量大，噪声数据较多，网络特征属性较多且具有相关性，传统的bp神经网络模型收敛速度较慢，无法有效提取关键特征，导致网络异常检测准确性较低。

由此可见，如何克服在对电力通信网络异常入侵检测时，检测准确性低的问题是本领域技术人员亟待解决的问题。

技术实现要素：

本申请实施例提供了电力通信网络异常入侵检测方法、装置、设备及存储介质，以解决现有技术中在对电力通信网络异常入侵检测时，检测精度低的问题。

为解决上述技术问题，本发明提供了一种电力通信网络异常入侵检测方法，包括：

获取电力通信网络运行时的原始数据，并对所述原始数据进行预处理以得出第一目标数据；

从所述第一目标数据中提取影响所述电力通信网络异常的第二目标数据；

依据所述第二目标数据构建所述电力通信网络的bp_adaboost神经网络模型，并对所述bp_adaboost神经网络模型进行训练；

根据训练后的所述bp_adaboost神经网络模型对所述电力通信网络进行异常入侵检测。

优选地，所述原始数据具体包括：

与所述电力通信网络的连接状态对应的第一数据；与用户访问对应的第二数据、与所述电力通信网络中主机对应的第三数据、与网络流量对应的第四数据以及与报警对应的第五数据；

对应地，所述对所述原始数据进行预处理以得出第一目标数据具体包括：

去除所述第一数据、所述第二数据、所述第三数据、所述第四数据和所述第五数据中有缺失值的数据记录以得出所述第一目标数据。

优选地，在所述去除所述第一数据、所述第二数据、所述第三数据、所述第四数据和所述第五数据中有缺失值的数据记录以得出所述第一目标数据之后，还包括：

对所述第一目标数据进行标准化处理以将所述第一目标数据转换为数值型。

优选地，所述对所述第一目标数据进行标准化处理以将所述第一目标数据转换为数值型具体为：

对所述第一目标数据中包含字符型信息的数据进行统一编码以将所述第一目标数据转换为所述数值型。

优选地，所述从所述第一目标数据中提取影响所述电力通信网络异常的第二目标数据具体包括：

对所述第一目标数据进行标准化处理；

通过pls算法获取经标准化处理后的所述第一目标数据的主成分、回归系数及特征向量得出所述第二目标数据。

优选地，所述依据所述第二目标数据构建所述电力通信网络的bp_adaboost神经网络模型，并对所述bp_adaboost神经网络模型进行训练具体包括：

将所述第二目标数据分成两部分，一部分作为训练数据集，一部分作为测试数据集；

利用所述训练数据集构建所述bp_adaboost神经网络模型，并对所述bp_adaboost神经网络模型进行训练；

利用所述测试数据集对训练后的所述bp_adaboost神经网络模型进行测试。

优选地，所述利用所述第二目标数据中的测试数据集对训练后的所述bp_adaboost神经网络模型进行测试具体包括：

计算所述测试数据集的主成分以得出目标测试数据集；

将所述目标测试数据集作为输入值带入训练后的所述bp_adaboost神经网络模型进行测试以完成所述电力通信网络的异常入侵检测。

为解决上述技术问题，本发明还提供了一种与电力通信网络异常入侵检测方法对应的装置，包括：

获取模块，用于获取电力通信网络运行时的原始数据，并对所述原始数据进行预处理以得出第一目标数据；

提取模块，用于从所述第一目标数据中提取影响所述电力通信网络异常的第二目标数据；

构建模块，用于依据所述第二目标数据构建所述电力通信网络的bp_adaboost神经网络模型，并对所述bp_adaboost神经网络模型进行训练以完成所述电力通信网络的异常入侵检测；

检测模块，用于根据训练后的所述bp_adaboost神经网络模型对所述电力通信网络进行异常入侵检测。

为解决上述技术问题，本发明还提供了一种与电力通信网络异常入侵检测方法对应的设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现上述任意一种所述电力通信网络异常入侵检测方法的步骤。

为解决上述技术问题，本发明还提供了一种与电力通信网络异常入侵检测方法对应的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行以实现上述任意一种所述电力通信网络异常入侵检测方法的步骤。

相比于现有技术，本发明所提供的一种电力通信网络异常入侵检测方法，一方面，在得出第一目标数据之后；又从第一目标数据中提取影响电力通信网络异常的第二目标数据，也就是说可以提取关键特征，进而提高了网络异常检测准确性；另一方面，在得出第二目标数据之后，依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对构建的bp_adaboost神经网络模型进行训练，最后根据训练后的bp_adaboost神经网络模型对电力通信网络进行异常入侵检测，因为bp_adaboost神经网络模型相比于现有技术中传统的bp神经网络模型，收敛速度较快，所以进一步提高了网络异常检测准确性。另外，本发明还提供了一种电力通信网络异常入侵检测装置、设备及存储介质，效果如上。

附图说明

图1为本发明实施例所提供的一种电力通信网络异常入侵检测方法流程图；

图2为本发明实施例所提供的一种电力通信网络异常入侵检测装置组成示意图；

图3为本发明实施例所提供的一种电力通信网络异常入侵检测设备组成示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明的核心是提供电力通信网络异常入侵检测方法、装置、设备及存储介质，可以解决现有技术中在对电力通信网络异常入侵检测时，检测精度低的问题。

为了使本技术领域的人员更好地理解本发明的方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。

图1为本发明实施例所提供的一种电力通信网络异常入侵检测方法流程图，如图1所示，该检测方法包括：

s101：获取电力通信网络运行时的原始数据，并对原始数据进行预处理以得出第一目标数据。

电力通信网络在运行时会产生相关数据，首先获取电力通信网络运行产生的原始数据，并对获取的原始数据进行预处理，最终得出第一目标数据。作为优选地实施方式，原始数据包括与电力通信网络连接状态对应的第一数据；与用户访问对应的第二数据、与电力通信网络中主机对应的第三数据、与网络流量对应的第四数据以及与报警对应的第五数据。与电力通信网络连接状态对应的第一数据包含网络连接持续时间、网络连接协议类型以及网络连接状态标记等；与用户访问对应的第二数据包含用户登录失败次数，用户登录状态，用户访问次数以及用户访问频率等；与电力通信网络中主机对应的第三数据包含主机标识、主机数量、各主机的安全防护等级以及各主机的源地址sip和目的地址dip、源端口sp和目的端口dp等；与网络流量对应的第四数据包含电力通信网络中连接服务的总数、建立相同连接的服务次数以及建立不同连接的服务次数等；报警对应的第五数据包含报警标识符以及攻击类型等。

为了提高电力通信网络异常入侵检测准确性，最后需要去除第一数据、第二数据、第三数据、第四数据和第五数据有缺失值的数据记录以得出第一目标数据，即对获取的电力通信网络中的原始数据进行数据清洗。例如。第一数据是与电力通信网络的连接状态对应的数据，如果各第一数据是正常数据(没有含有缺失值)时，每个第一数据中应该包括三个属性(网络连接持续时间、网络连接协议类型以及网络连接状态标记)，但是由于某些客观原因，有的第一数据中的数据属性可能会少于三个，如果第一数据中的数据属性少于三个，就说明该第一数据存在缺失值，需要将这样的第一数据去除，最后剩余的原始数据称之为第一目标数据。在实际应用中，还需要对第一目标数据中的数据进行标记，例如可以将正常数据标记为1，入侵数据标记为0等，在得出第一目标数据之后，正常数据和异常数据相当于是已知的，只需进行统计处理即可。

s102：从第一目标数据中提取影响电力通信网络异常的第二目标数据。

在得出第一目标数据之后，从第一目标数据中提取影响电力通信网络异常的第二目标数据，也就是说提取出影响电力通信网络异常的关键特征指标。在上述实施例的基础上，作为优选地实施方式，从第一目标数据中提取影响电力通信网络异常的第二目标数据具体包括：对第一目标数据进行标准化处理；因为第一目标数据是有多个的，所以将第一目标数据集记为(x，y)，构建如下数据块：

将x，y经标准化处理后分别得到数据矩阵e0,f0：

e0＝(e01,e02,...,e0p)n×p

f0＝(f01,f02,...,f0q)n×q

其中，标准化处理的公式为：

其中，i＝1,2,...,n，j＝1,2,...,q；

其中，i＝1,2,...,n，j＝1,2,...,q；

通过pls算法获取经标准化处理后的第一目标数据的回归系数、主成分及特征向量得出第二目标数据。pls算法的具体计算过程为：设定迭代次数i＝1，总迭代次数为m，即提取所需的主成分数为m。

计算第一目标数据的特征向量ωi：

计算第一目标数据集的主成分：ti＝ei-1ωi；

计算第一目标数据集的回归系数pi：

计算第一目标数据集的残差矩阵e：ei＝ei-1-tipi^t；

判断迭代次数是否大于m，如果迭代次数不大于m，则继续计算第一目标数据的特征向量、主成分、回归系数以及残差矩阵直至迭代次数大于m，最终计算得到第一目标数据的主成分t、特征向量w和回归系数p分别为：

t＝[t1,t2,...,tm]

w＝[ω1,ω2,...,ωm]

p＝[p1,p2,...,pm]。

s103：依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对bp_adaboost神经网络模型进行训练。

在得出第二目标数据之后，依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，将构建的bp_adaboost神经网络模型作为电力通信网络的异常入侵模型。作为优选地实施方式，依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对bp_adaboost神经网络模型进行训练具体包括：

将第二目标数据分成两部分，一部分作为训练数据集，一部分作为测试数据集；利用第二目标数据中的训练数据集构建bp_adaboost神经网络模型，并对bp_adaboost神经网络模型进行训练；利用第二目标数据中的测试数据集对训练后的bp_adaboost神经网络模型进行测试。

具体地，就是将经pls算法计算得到的主成分t作为输入特征，以入侵标记y作为输出特征，训练得到bp_adaboost模型。具体过程如下：

第一，根据求得主成分t，形成输入数据样本(x1,x2,x3,...,xn)，及预处理的入侵标记y，形成输出数据(y1,y2,y3,...,yn)。由此，可以构造训练数据集

d＝{(xi,yi)|1≤i≤n}；

其中，xi∈r^m,yi∈r²，n为数据记录的条数。

第二，初始化训练数据的分布权重：

第三，开始迭代，设总迭代次数为r，用r记录具体迭代次数；

第四，训练bp神经网络模型hr(x)。具体过程如下：

设定学习率α＝0.1，随机初始化bp神经网络的权重值与偏差：

其中，r为第l层神经元的个数。

第五，开始迭代，采用选择一个三层神经网络，其包含输入层—隐含层—输出层，各层的节点数分别为8、24、1。隐含层与输出层均采用sigmoid函数，如下式：

第六，假设bp神经网络的输出值为hr(xi)，则均方误差为：

第七，基于梯度下降策略，以目标的负梯度方向对bp神经网络的权重值进行调整：

第八，设置总迭代次数为m，使用m记录具体迭代次数，如果m<m，则跳转到第五，迭代次数加1，即m＝m+1，继续下一次迭代；否则，终止迭代，输出模型的权值，并输出模型。

在训练bp模型时，得到每组数据的模型输出，从而得到模型输出的误差和，其计算公式为：

其中hr(xi)≠yi，为第r次迭代中训练样本的权重，hr(xi)为第i条记录经bp模型后的输出值，yi是正确值。

计算bp模型hr(x)的权重：

根据模型权重ar，更新下一轮迭代的样本数据权重分布：

如果r<r，则跳转到第四，迭代次数加1，即r＝r+1，继续下一次迭代；否则，终止迭代。

通过r轮训练后，得到r组bp模型分类函数hr(x)，构造强分类模型bp_adaboost神经网络模型h(x)：

最后对训练的bp_adaboost神经网络模型进行测试即可。

s104：根据训练后的bp_adaboost神经网络模型对电力通信网络进行异常入侵检测。

在bp_adaboost神经网络模型构建并训练好之后，后期可以将训练好的bp_adaboost神经网络模型作为电力通信网络的异常入侵模型，在获取到的当前电力通信网络运行时的相关原始数据之后，可以直接将其带入训练好的bp_adaboost神经网络模型进行电力通信网络异常入侵检测，可以提高异常数据检测效率。

本发明所提供的一种电力通信网络异常入侵检测方法，一方面，在得出第一目标数据之后；又从第一目标数据中提取影响电力通信网络异常的第二目标数据，也就是说可以提取关键特征，进而提高了网络异常检测准确性；另一方面，在得出第二目标数据之后，依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对构建的bp_adaboost神经网络模型进行训练，最后根据训练后的bp_adaboost神经网络模型对电力通信网络进行异常入侵检测，因为bp_adaboost神经网络模型相比于现有技术中传统的bp神经网络模型，收敛速度较快，所以进一步提高了网络异常检测准确性。

在实际应用中，为了便于对第一目标数据进行处理以及提高数据处理准确性，在上述实施例的基础上，作为优选地实施方式，在去除第一数据、第二数据、第三数据、第四数据和第五数据中有缺失值的数据记录以得出第一目标数据之后，还包括：对第一目标数据进行标准化处理以将第一目标数据转换为数值型。作为优选地实施方式，可以对第一目标数据中包含字符型信息的数据进行统一编码以将第一目标数据转换为数值型。为了进一步提高数据处理准确性，在对第一目标数据进行标准化处理之后，还可以再对第一目标数据进行归一化处理，将第一目标数据映射到[0，1]值域区间。

在上述实施例的基础上，作为优选地实施方式，利用第二目标数据中的测试数据集对训练后的bp_adaboost神经网络模型进行测试具体包括：

计算测试数据集的主成分以得出目标测试数据集；

将目标测试数据集作为输入值带入训练后的bp_adaboost神经网络模型进行测试。

具体地，就是根据步骤s102中利用pls算法最终计算得到的第一目标数据的主成分t、特征向量w和回归系数p，计算测试数据集主成分：

t′＝e′w(p^tw)^-1t

形成未知入侵标记的测试数据x′；最后将x′作为bp_adaboost神经网络模型的输入，代入训练后的bp_adaboost神经网络模型，对bp_adaboost神经网络模型进行测试。

上文中对于一种电力通信网络异常入侵检测方法的实施例进行了详细描述，基于上述实施例描述的电力通信网络异常入侵检测方法，本发明实施例还提供了一种与该方法对应的装置。由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参照方法部分的实施例描述，这里不再赘述。

图2为本发明实施例所提供的一种电力通信网络异常入侵检测装置组成示意图，如图2所示，该检测装置包括获取模块201，提取模块202、构建模块203和检测模块204。

获取模块201，用于获取电力通信网络运行时的原始数据，并对原始数据进行预处理以得出第一目标数据；

提取模块202，用于从第一目标数据中提取影响电力通信网络异常的第二目标数据；

构建模块203，用于依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对bp_adaboost神经网络模型进行训练；

检测模块204，用于根据训练后的所述bp_adaboost神经网络模型对电力通信网络进行异常入侵检测。

本发明所提供的一种电力通信网络异常入侵检测装置，一方面，在得出第一目标数据之后；又从第一目标数据中提取影响电力通信网络异常的第二目标数据，也就是说可以提取关键特征，进而提高了网络异常检测准确性；另一方面，在得出第二目标数据之后，依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对构建的bp_adaboost神经网络模型进行训练，最后根据训练后的bp_adaboost神经网络模型对电力通信网络进行异常入侵检测，因为bp_adaboost神经网络模型相比于现有技术中传统的bp神经网络模型，收敛速度较快，所以进一步提高了网络异常检测准确性。

上文中对于一种电力通信网络异常入侵检测方法的实施例进行了详细描述，基于上述实施例描述的电力通信网络异常入侵检测方法，本发明实施例还提供了一种与该方法对应的设备。由于设备部分的实施例与方法部分的实施例相互对应，因此设备部分的实施例请参照方法部分的实施例描述，这里不再赘述。

图3为本发明实施例所提供的一种电力通信网络异常入侵检测设备组成示意图，如图3所示，该检测设备包括存储器301和处理器302。

存储器301，用于存储计算机程序；

处理器302，用于执行计算机程序以实现上述任意一个实施例所提供的电力通信网络异常入侵检测方法的步骤。

本发明所提供的一种电力通信网络异常入侵检测设备，一方面，在得出第一目标数据之后；又从第一目标数据中提取影响电力通信网络异常的第二目标数据，也就是说可以提取关键特征，进而提高了网络异常检测准确性；另一方面，在得出第二目标数据之后，依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对构建的bp_adaboost神经网络模型进行训练，最后根据训练后的bp_adaboost神经网络模型对电力通信网络进行异常入侵检测，因为bp_adaboost神经网络模型相比于现有技术中传统的bp神经网络模型，收敛速度较快，所以进一步提高了网络异常检测准确性。

上文中对于一种电力通信网络异常入侵检测方法的实施例进行了详细描述，基于上述实施例描述的电力通信网络异常入侵检测方法，本发明实施例还提供了一种与该方法对应的计算机可读存储介质。由于计算机可读存储介质部分的实施例与方法部分的实施例相互对应，因此计算机可读存储介质部分的实施例请参照方法部分的实施例描述，这里不再赘述。

一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行以实现上述任意一个实施例所提供的电力通信网络异常入侵检测方法的步骤。

本发明所提供的一种计算机可读存储介质，处理器可以读取可读存储介质中存储的程序，即可以实现上述任意一个实施例所提供的电力通信网络异常入侵检测方法，一方面，在得出第一目标数据之后；又从第一目标数据中提取影响电力通信网络异常的第二目标数据，也就是说可以提取关键特征，进而提高了网络异常检测准确性；另一方面，在得出第二目标数据之后，依据第二目标数据构建电力通信网络的bp_adaboost神经网络模型，并对构建的bp_adaboost神经网络模型进行训练，最后根据训练后的bp_adaboost神经网络模型对电力通信网络进行异常入侵检测，因为bp_adaboost神经网络模型相比于现有技术中传统的bp神经网络模型，收敛速度较快，所以进一步提高了网络异常检测准确性。

以上对本发明所提供的电力通信网络异常入侵检测方法、装置、设备及存储介质进行了详细介绍。本文中运用几个实例对本发明的原理及实施方式进行了阐述，以上实施例的说明，只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制，本领域技术人员，在没有创造性劳动的前提下，对本发明所做出的修改、等同替换、改进等，均应包含在本申请中。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个操作与另一个操作区分开来，而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”等类似词，使得包括一系列要素的单元、设备或系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种单元、设备或系统所固有的要素。