一种数据双向互动多协议流量异常分析方法与流程

本发明涉及流量异常分析，具体地说，涉及一种数据双向互动多协议流量异常分析方法。

背景技术：

1、随着光伏、风电等新能源为主体的新型电力系统的建设，电力系统的结构将发生深刻变化，通过储能的灵活性调节以及与源-储与荷的联动，实现电源、电网、负荷、储能各个环节的协调互动，实现系统安全、稳定、可靠的运行。电力系统的运行机理相当复杂，涉及暂态、稳态方方面面，电力系统中“源、网、荷、储”各环节高度协调双向互动，数据量剧增带来流量分析压力及电力系统专有业务协议多且封闭等问题。

2、专利号为cn114358970a中公开了一种源网荷储智能控制终端安全监测方法，包括对源网荷储智能负荷控制终端的边信道信息进行采集，得到原始特征集；提取原始特征集的12维特征，得到特征集合；从原始特征集中选取第一样本，从特征集合中选取第二样本，将第一样本和第二样本作为训练样本；通过长短期记忆模型循环神经网络对训练样本进行学习，输出当前的预测值；将预测值与当前的功耗信息进行比较，得到误差信息；基于误差信息判断源网荷储智能负荷控制终端是否遭受攻击，重点在于解决了在源网荷储智能负荷控制终端的设备级层面遭受攻击时不能及时得知并进行维护的问题。

3、虽然能够及时反应出源网荷储智能负荷信息的监控，但是对于从生产控制大区到互联网大区的多种协议流量无法做到及时监控，网络系统中出现的流量异常的情况容易对系统造成损害，也就无法对全流量的安全审计提供支撑。

技术实现思路

1、(一)解决的技术问题

2、针对现有技术的不足，本发明的目的在于提供一种数据双向互动多协议流量异常分析方法，针对新型电力系统“源、网、荷、储”各环节高度协调双向互动，数据量剧增带来的流量分析压力及电力系统专有业务协议多且封闭等问题，研究多协议流量异常行为分析技术。基于多协议协同和数据互动关系，实现从生产控制大区到互联网大区的多种协议流量综合分析，突破电力专有协议感知适配、多协议流量深度解析、大流量实时分析等关键技术，实现数据跨区互动的快速安全分析，为全流量的安全审计提供支撑。

3、(二)技术方案

4、本为实现上述目的，本发明提供如下技术方案，一种数据双向互动多协议流量异常分析方法，包括：

5、s1，首先，采集网络流，以ipfix的流记录作为输入；

6、s2，进行网络流异常分类，包括：网络故障和性能异常、网络行为异常和恶意攻击异常；

7、s3，常规流量模型建立：运用二分k-means聚类算法建立网络正常行为的模型；

8、s4，流量异常检测：对数据进行熵值刻画和指标计算后进行网络数据的异常检测，流量异常需要用当前窗口网络流数据与常规流量模型进行比对，流量异常检测是对待测数据进行与正常行为模式的比对，然后判断其是否为异常；

9、s5，异常流量分析：选择协直推式信度机-k邻近聚类(atcm-knn)的网络异常检测算法，用于对待检测数据的异常检测；

10、s6，发现受到威胁的具体目标、事件类型和受到影响的具体服务，并完成告警。

11、作为优选方案，所述采集网络流通过采集单元进行采集，采集到的网络流通过数据传输模块传输到全流量分析单元，所述全流量分析单元进行采集到的网络流的分析。

12、作为优选方案，所述全流量分析单元包括流量解析模块和大流量实时分析模块，所述流量解析模块针对多协议流量的深度解析，所述全流量分析单元电性连接有标签模块，通过标签模块对网络流进行标记，并由分组单元进行分组，形成类别，再通过存储单元进行储存。

13、作为优选方案，所述全流量分析单元电性连接有数据模型对比单元，所述数据模型对比单元电性连接有knn算法模块。

14、作为优选方案，所述s2中网络流异常分类是基于网络流特征，对网络进程进行抓包，提取ip、端口、报文长度等维度特征，使用报文过滤获取多种网络数据特征。

15、作为优选方案，所述s3中常规流量模型的建立是基于网络流量线性特征，采用多项式拟合函数无限逼近真实流量数据，通过设置足够多的未知参数达到最佳拟合度。

16、作为优选方案，所述s4中模型比对包括：上行流量、下行流量、特殊波峰及特殊波谷，其比对步骤为：首先模型化正常行为，即建立基线，其次建立边界，该边界为容许范围，落入边界内部为网络正常行为，否则认为是异常行为。

17、作为优选方案，所述s5中atcm-knn算法是基于训练集、距离与相似的衡量及k的大小，根据离这个样本最邻近的k个样本的数据类型来确定样本的数据类型，k值采用交叉检验来确定。

18、作为优选方案，所述knn算法模块电性连接有异常分析模块，对流量异常进行分析，并且异常分析模块电性连接有告警模块，从而实现警报。

19、作为优选方案，所述全流量分析单元采用全流量分析探针对流量数据进行逐层解码，将解析后的流量元数据上传至大数据平台。

20、有益效果

21、与现有技术相比，本发明提供了一种数据双向互动多协议流量异常分析方法，具备以下有益效果：

22、(1)本发明在多协议协同和数据互动关系的基础上，基于网络流秩序的泛在电力物联网终端层流量异常监测分析技术是支撑研究电力物联网中异构网络安全监测分析技术的基础。流量异常分析技术以ipfix的流记录作为输入，通过基于熵和数据挖掘方法的监测发现受到威胁的具体目标、事件类型和受到影响的具体服务，完成告警，实现从生产控制大区到互联网大区的多种协议流量综合分析，突破电力专有协议感知适配、多协议流量深度解析、大流量实时分析等关键技术，实现数据跨区互动的快速安全分析，为全流量的安全审计提供支撑。

23、(2)本发明通过网络威胁模型及识别技术的使用，能够采集和对采集到的网络流进行分析，可以实现网络流量异常行为的诊断与告警，确定异常终端的地址以便网络管理人员的维护。本发明通过各个层面分析了安全风险，实现了安全威胁模型及采集实时数据流做流量分析，这些都为后续为协议深度解析及漏洞分析做好了铺垫。

技术特征：

1.一种数据双向互动多协议流量异常分析方法，其特征在于，包括：

2.根据权利要求1所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述采集网络流通过采集单元进行采集，采集到的网络流通过数据传输模块传输到全流量分析单元，所述全流量分析单元进行采集到的网络流的分析。

3.根据权利要求2所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述全流量分析单元包括流量解析模块和大流量实时分析模块，所述流量解析模块针对多协议流量的深度解析，所述全流量分析单元电性连接有标签模块，通过标签模块对网络流进行标记，并由分组单元进行分组，形成类别，再通过存储单元进行储存。

4.根据权利要求3所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述全流量分析单元电性连接有数据模型对比单元，所述数据模型对比单元电性连接有knn算法模块。

5.根据权利要求1所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述s2中网络流异常分类是基于网络流特征，对网络进程进行抓包，提取ip、端口、报文长度等维度特征，使用报文过滤获取多种网络数据特征。

6.根据权利要求1所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述s3中常规流量模型的建立是基于网络流量线性特征，采用多项式拟合函数无限逼近真实流量数据，通过设置足够多的未知参数达到最佳拟合度。

7.根据权利要求1所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述s4中模型比对包括：上行流量、下行流量、特殊波峰及特殊波谷，其比对步骤为：首先模型化正常行为，即建立基线，其次建立边界，该边界为容许范围，落入边界内部为网络正常行为，否则认为是异常行为。

8.根据权利要求1所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述s5中atcm-knn算法是基于训练集、距离与相似的衡量及k的大小，根据离这个样本最邻近的k个样本的数据类型来确定样本的数据类型，k值采用交叉检验来确定。

9.根据权利要求4所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述knn算法模块电性连接有异常分析模块，对流量异常进行分析，并且异常分析模块电性连接有告警模块，从而实现警报。

10.根据权利要求2所述的一种数据双向互动多协议流量异常分析方法，其特征在于：所述全流量分析单元采用全流量分析探针对流量数据进行逐层解码，将解析后的流量元数据上传至大数据平台。

技术总结
本发明公开了一种数据双向互动多协议流量异常分析方法，包括：S1，首先，以I PF IX的流记录作为输入；S2，进行网络流异常分类，包括：网络故障和性能异常、网络行为异常和恶意攻击异常；S3，运用二分K‑means聚类算法建立网络正常行为的模型；S4，对数据进行熵值刻画和指标计算后进行网络数据的异常检测，流量异常需要用当前窗口网络流数据与常规流量模型进行比对；S5，选择协直推式信度机‑K邻近聚类的网络异常检测算法，用于对待检测数据的异常检测；S6，完成告警。本发明实现从生产控制大区到互联网大区的多种协议流量综合分析，实现数据跨区互动的快速安全分析，为全流量的安全审计提供支撑。

技术研发人员：盛剑桥,方圆,张亮,丁鑫,许静萱,沈越欣,张冠男,孙强,宫帅,程航,余东波,董小菱,张敏
受保护的技术使用者：国网安徽省电力有限公司信息通信分公司
技术研发日：
技术公布日：2024/1/15