基于电力网络IEC规约的基因相似性入侵检测方法与流程

本发明涉及电通信技术的数字信息的传输检测的技术领域，具体而言，尤其涉及一种基于电力网络iec规约的基因相似性入侵检测方法。

背景技术：

2015年乌克兰大面积停电反映网络时代电力系统已经成为国际网络战优先选择的攻击目标，电力监控系统及其网络安全形势日益严峻。

目前市场网络入侵检测产品安全模型主要采用被动的身份认证和访问控制这两种安全技术手段来保证系统的安全性。然而被动防护技术并不能抵制脆弱性口令、协议攻击、特洛伊木马、网络嗅探器等攻击手段，对于访问控制，入侵者也可以利用系统漏洞、脆弱性程序等绕过访问控制，或提升用户权限。同时市场网络入侵检测产品存在功能复杂、价格昂贵、不适合电力系统需求等问题。

技术实现要素：

根据上述提出的技术问题，而提供基于电力网络iec规约的基因相似性入侵检测方法。本发明提出一种基于电力网络iec规约的基因相似性入侵检测方法，其特征在于，至少包括以下步骤：

s1：接收电力网络、厂站网络以及调度网络的待解析的通讯报文；

s2：将多个所述待解析的通讯报文存储在共享内存中；

s3：根据资源情况，对所述存储在共享内存的多个待解析的通讯报文进行网络行为解析，建立行为、事件、关系三个层次的映射模型；

s4：通过推理规则发现和深度关系挖掘，实现电力网络事件之间关系的聚合，事件的归并、多维关系关联，建立电力网络异常行为基因特征库；

s5：通过基于均值与偏差模型的基因相似性比对，计算网络行为事件的均值和标准偏差；所述均值为相邻的前一事件与当前事件子图特征向量的相似系数的平均值；

s6：若偏差超出预设值的置信区间，触发多模态组合告警，并把异常行为基因特征值存入存储单元，更新行为事件的子图模型和每个子图的特征向量，更新异常行为基因特征库所述网络异常行为基因特征库即。

进一步的，所述步骤s1中，所述厂站网配置数据汇聚口，协议处理单元的网络口接入厂站数据网交换机数据汇聚口，实时接收上传/下发的数据报文；

所述步骤s3中，对所述存储在共享内存的多个待解析的通讯报文进行调度处理，对所述通讯报文做引用计数，对多个待解析的通讯报文进行排序和处理，根据系统资源的忙闲程度，实现负载均衡的调度处理。

更进一步的，所述步骤s4中，将所述网络行为表示成结点和边，建立行为的带权有向图，则行为i对应的子图模型gi定义为：gi＝{vi，ei，bi}，其中，vi表示第i个数据窗内源的ip即sip、目的ip即dip、源端口即sport以及目的端口即dport的集合，vi＝{sip，dip，sport，dport}i；ei表示第i个数据窗内的有向边集合，ei＝{<sip，sport>，<sport，dport>，<dport，dip>}i；每一条流量对应ei中3个序偶；bi表示第i个数据窗内的流量权重集合即行为内容。

进一步的，所述行为、事件、关系三个层次的映射模型通过三顶点子图表示，所述三顶点子图通过6种特征表示。

更进一步的，每个所述三顶点子图gi表示为一个特征向量x则特征向量x为：

其中，si表示当前图中i类型的特征的个数，bi表示特征向量的权重；

行为关系通过本地主机、本地端口、远程端口、远程主机以及行为内容的映射，建立行为之间的多维关联关系rij＝{gi，gj，dij}，gi、gj分别表示子图gi、gj；dij表示连接图gi、gj的最短路径上的边数。

所述行为关系的动态变化或演化描述电力网络事件，则电力网络事件wi＝{g，r}，其中，g＝{g1，g2，g3，…，gm}表示数据窗口序列上的子图集合，r＝{r1，r2，r3，…，rn}表示事件序列上的关系集合。

进一步的，所述步骤s5中，假设仅根据均值和标准偏差能够获得系统行为的度量；定义连续事件序列w＝{w1，w2，w3，…，wn}为连续事件集合，wi表示第i个事件，定义wi＝{g，r}为事件的模型集合，gi表示第i个事件的图模型；则对每个图模型gi划分得到其子图，令wi＝{{g1，g2，g3，…，gm}，{r1，r2，r3，…，rn}}，其中gj表示wi的第j个子图；

通过刻画所述子图的通信特征，采用k-means聚类算法对每个数据窗口下的子图进行聚类，检测扫描行为；

设某事件的两个子图a和b的子图特征向量分别为

则a和b的相似性度量为：

设置r为阈值，对于每一个事件，计算相邻的前一事件与当前事件的相似系数，并求平均值，如果该平均值低于阈值r，则该事件为异常事件，否则为正常事件；

同时计算所述当前数据窗口下事件wi和异常行为基因库的事件wj的相似系数，wi和wj的相似系数为：

若d(wi,wj)低于阈值r，则该事件为异常事件，否则为正常事件。

本发明的优点在于：本发明对电力监控系统关键节点进行信息采集，对采集的iec报文进行协议解析，建立行为、事件、关系三个层次的映射模型，通过推理规则自动发现和深度关系挖掘解决事件之间关系的聚合，事件的归并、多维关系关联，建立电力网络异常行为基因特征库，通过基于均值与偏差模型的基因相似性比对，发现隐含攻击，通过多模态组合告警，实现安全事件主动防御，实时阻断网络攻击，防止本地监控系统瘫痪和失控，防止危害蔓延避免事态扩大。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明整体流程示意图。

图2为本发明行为子图模型图。

图3为本发明特征定义图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

如图1所示为本发明基于电力网络iec规约的基因相似性入侵检测方法的整体流程图，所述方法至少包括以下步骤：

s1：接收电力网络、厂站网络以及调度网络的待解析的通讯报文；

s2：将多个所述待解析的通讯报文存储在共享内存中；

s3：根据资源情况，对所述存储在共享内存的多个待解析的通讯报文进行网络行为解析，建立行为、事件、关系三个层次的映射模型。作为优选的实施方式，本申请所述的资源情况是指cpu、内存等计算资源

s4：通过推理规则发现和深度关系挖掘，实现电力网络事件之间关系的聚合，事件的归并、多维关系关联，建立电力网络异常行为基因特征库；

s5：通过基于均值与偏差模型的基因相似性比对，计算网络行为事件的均值和标准偏差；所述均值为相邻的前一事件与当前事件子图特征向量的相似系数的平均值；

s6：若偏差超出预设值的置信区间，触发多模态组合告警，并把异常行为基因特征值存入存储单元，更新行为事件的子图模型和每个子图的特征向量，更新异常行为基因特征库所述网络异常行为基因特征库即。

作为优选的实施方式，本发明需要获取电力网络中所有的网络数据流，通过配置数据网交换机的汇聚口，可以把所有交换机其他网口的网络数据流汇聚，从而实施监听。

作为优选的实施方式，所述步骤s1中，所述厂站网配置数据汇聚口，协议处理单元的网络口接入厂站数据网交换机数据汇聚口，实时接收上传/下发的数据报文。作为本申请的一种实施例，配置数据网交换机，一般为华为、中兴等品牌交换机，设置23或24口为数据汇聚口，可以理解为在其它的实施方式中，所述的交换机也可以按照实际需求进行设定只要能够满足实时接收上传/下发的数据报文即可。

作为优选的实施方式，所述步骤s3中，对所述存储在共享内存的多个待解析的通讯报文进行调度处理，对所述通讯报文做引用计数，对多个待解析的通讯报文进行排序和处理，根据系统资源的忙闲程度，实现负载均衡的调度处理。

在本实施方式中，待解析的报文是排队进入队列的，一般是多线程并发调度，哪个线程空闲了就按照先进先出的原则从队列中取一条数据进行处理。

作为优选的实施方式，所述步骤s4中，将所述网络行为表示成结点和边，建立行为的带权有向图，则行为i对应的子图模型gi定义为：gi＝{vi，ei，bi}，其中，vi表示第i个数据窗内源的ip即sip、目的ip即dip、源端口即sport以及目的端口即dport的集合，vi＝{sip，dip，sport，dport}i；ei表示第i个数据窗内的有向边集合，ei＝{<sip，sport>，<sport，dport>，<dport，dip>}i；每一条流量对应ei中3个序偶；bi表示第i个数据窗内的流量权重集合即行为内容。作为优选的实施方式，如图3所示，1条流对应ei中3个序偶；bi是第i个数据窗内的流量权重集合，即行为内容。

在本实施方式中，所述行为、事件、关系三个层次的映射模型通过三顶点子图表示，所述三顶点子图通过6种特征表示，如图3所示；

每个所述三顶点子图gi表示为一个特征向量x则特征向量x为：

其中，si表示当前图中i类型的特征的个数，bi表示特征向量的权重；行为关系通过本地主机、本地端口、远程端口、远程主机以及行为内容的映射，建立行为之间的多维关联关系rij＝{gi，gj，dij}，gi、gj分别表示子图gi、gj；dij表示连接图gi、gj的最短路径上的边数。

作为优选的实施方式，所述行为关系的动态变化或演化描述电力网络事件，则电力网络事件wi＝{g，r}，其中，g＝{g1，g2，g3，…，gm}表示数据窗口序列上的子图集合，r＝{r1，r2，r3，…，rn}表示事件序列上的关系集合。作为本申请的一种实施例，行为可以理解为遥信、遥测、电度等电力网络专用和发邮件、telnet等通用的行为，关系就是这些行为的关系，通常一个网络攻击事件有若干相似的行为组成，这些行为之间有直接间接的关系。作为本申请的一种实施例，宏病毒攻击事件，首先通过ping这个行为进行端口嗅探，然后通过发送tcp数据包这个行为进行攻击，这些行为是有前后关系的，这些行为和关系就组成了网络宏病毒攻击事件。虽然客户的行为和使用习惯是随机的，但是使用的服务是相对稳定的。当这类稳定性减弱时，通常表示网络由于受到某种因素干扰，出现网络入侵异常。

在本实施方式中，所述步骤s5中，假设仅根据均值和标准偏差能够获得系统行为的度量；定义连续事件序列w＝{w1，w2，w3，…，wn}为连续事件集合，wi表示第i个事件，定义wi＝{g，r}为事件的模型集合，gi表示第i个事件的图模型；则对每个图模型gi划分得到其子图，令wi＝{{g1，g2，g3，…，gm}，{r1，r2，r3，…，rn}}，其中gj表示wi的第j个子图。

作为优选的实施方式，通过刻画所述子图的通信特征，采用k-means聚类算法对每个数据窗口下的子图进行聚类，检测扫描行为；

设某事件的两个子图a和b的子图特征向量分别为

则a和b的相似性度量为：

设置r为阈值，对于每一个事件，计算相邻的前一事件与当前事件的相似系数，并求平均值，如果该平均值低于阈值r，则该事件为异常事件，否则为正常事件；

同时计算所述当前数据窗口下事件wi和异常行为基因库的事件wj的相似系数，wi和wj的相似系数为：

若d(wi,wj)低于阈值r，则该事件为异常事件，否则为正常事件。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。