一种基于并行神经网络的电能量数据采集安全态势评估方法与流程

本发明涉及电力系统信息监控，特别涉及一种基于并行神经网络的电能量数据采集安全态势评估方法。

背景技术：

1、随着智能电网建设的不断深入，电能量数据采集接入的智能电力终端数量大幅增加，与各类电力监控运营管理系统的数据交互呈指数级增长。目前的系统防护主要依赖系统安全扫描与安全指标统计分析，但面对日益严峻的电力信息网络安全威胁，现有论文与专利等学术研究成果中尚无针对电能量数据采集安全态势评估的成熟方案，无法满足现阶段电能量数据采集安全管理实时性、前瞻性的要求。如何根据系统运行状况、流量模式以及性能参数来掌握系统网络安全态势，尚无成熟的研究成果。

2、现有的电能量数据采集安全态势感知技术存在以下两方面问题，一是安全态势评估指标的选择未充分考虑电能量数据采集的通信协议特征以及数据交互特点，无法对伪装终端通信发起的攻击行为进行有效感知；二是先有研究成果仅提出了安全态势感知方法，未考虑在大规模服务器集群中的工程部署与应用，分析效率难以满足电能量数据采集安全态势感知的实时性要求。

3、因此亟需一种针对海量终端大规模接入电能量数据采集的安全态势评估方法，充分挖掘隐藏于终端数据通信、网络平台高频交互的电力信息网络通信特点，并利用电能量数据采集并行计算架构，对安全态势任务的执行进行自适应灵活调度，实现准确高效的安全态势感知。

技术实现思路

1、针对上述现有技术存在的不足，本发明提供了一种基于并行神经网络的电能量数据采集安全态势评估方法，用于解决如何对电能量数据采集过程进行高效安全态势感知的问题，达到保护系统安全稳定运行的目的。

2、具体技术方案如下：

3、一种基于并行神经网络的电能量数据采集安全态势评估方法，其特征在于，包括：

4、从电能量数据采集服务器集群提取并统计网络流量、通信协议、服务器运行工况三个维度的特征指标，特征指标包括通用流量特征、通信协议特征和服务器运行工况特征；

5、采用线性判别分析法，将特征指标投影到低维空间，以使得同一类数据紧凑、不同类的数据分散，获取最具判别性的投影特征指标；

6、利用投影特征指标并行训练粒子群优化神经网络，生成安全态势评估模型；

7、将实时收集的各个服务器的特征指标作为评估参数输入安全态势评估模型，对电能量数据采集各个服务器的安全态势值进行评估计算，得到每一台服务器在时间间隔δt内的安全态势评估值。

8、优选地，所述通用流量特征包括arp流量占服务器总流量的比例、icmp流量占服务器总流量的比例、udp流量占服务器总流量的比例、数据包发生重传的次数、服务器发送的向相同ip地址但多个不同端口数据包的数量、服务器接收到来自相同ip地址但多个不同端口数据包的数量、tcp报文头ack位设置1的数据包数量、tcp报文头syn位设置1的数据包数量和tcp报文中接收到重复确认的数据包数量。

9、优选地，所述通信协议特征包括通信协议类型不符合系统要求的报文数量、通信协议类型不符合系统要求的报文比例、通信协议类型符合系统要求但报文格式存在错误的报文数量、通信协议类型符合系统要求但报文格式存在错误的报文比例、协议应用层数据格式错误无法解析的报文数量、协议应用层数据格式错误无法解析的报文比例、利用链路层分帧等待续传报文数量、利用链路层分帧等待续传报文比例、上行报文中加密报文的数量和上行报文中加密报文的比例。

10、优选地，所述服务器运行工况特征包括cpu总使用率、用户空间cpu使用率、内存占用比例、虚拟内存占用比例、网络下行带宽平均占用比例、网络上行带宽平均占用比例、磁盘i/o平均读速率、磁盘i/o平均写速率、远程登录失败次数、非工作时间远程登录次数和检测到网络攻击的数量。

11、优选地，采用线性判别分析法，将特征指标投影到低维空间，以使得同一类数据紧凑、不同类的数据分散，获取最具判别性的投影特征指标，包括：

12、划分5个包括安全、轻度风险、一般风险、中度风险和高度风险的安全等级，建立安全态势训练样本指标与安全等级的关联关系；

13、设总计各类安全等级样本数量总计为n，安全等级i的样本数量为ni,i＝1,2,3,4,5，第i个类别的第k个样本表示为xi,k，k＝1,2,…,ni；计算第i个类别的均值向量mi：

14、

15、计算所有样本的总体均值向量：

16、

17、计算类内散度矩阵：

18、

19、计算类间散度矩阵：

20、

21、通过下式求解广义特征值λ与特征向量w：

22、

23、从特征值λ中选择前d个最大特征对应的特征向量作为最具判别性的投影特征指标，完成特征指标的选取；

24、每周对指标样本重新进行线性判别分析，迭代优化选取能够体现各类安全威胁的重要特征指标。

25、优选地，利用投影特征指标并行训练粒子群优化神经网络，生成安全态势评估模型；，包括：

26、s3.1：设定神经网络隐含层的初始层数为c，在模型迭代训练过程中每次迭代增加隐含层的数量为1，以模型精度为标准选择最优隐含层的数量；输入层的节点数与最具判别性的指标数量d一致；隐含层节点数为l，输出层节点数为1，利用投影特征指标，基于电能量数据采集分布式计算框架，在各台服务器生成神经网络；

27、s3.2：采用粒子群优化法，在取值范围内随机生成粒子群并随机分类n组，利用电能量数据采集分布式计算框架，在服务器集群上并行执行粒子群优化任务，采用交叉熵误差作为适应度函数计算各个粒子的适应度值，进行n次迭代，更新粒子的种群最优值与子种群的最优位置；

28、s3.3：粒子群优化n次迭代后，在每个子群体中把最差的n-1个位置替换成其他n-1个子群体最优位置；

29、s3.4：达到最大迭代次数或粒子位置不再显著变化的条件时，输出优化后的网络权重，包括输入层到隐含层的权重矩阵w1，隐含层到输出层的权重矩阵w2，隐含层和输出层的偏置向量b1和b2；否则进入步骤s3.2进行下一轮迭代；

30、s3.5：利用粒子群寻优后得到的权重矩阵实例化神经网络，神经网络隐含层输出h：

31、h＝f(w1x+b1)

32、其中f为隐含层激活函数，选择sigmoid函数作为激活函数：

33、

34、s3.6：计算神经网络输出层y：

35、y＝w2h+b2

36、采用均方差作为损失函数判断输出y的训练精度，结合训练精度与最大迭代次数为衡量标准更新网络权重参数，重复步骤3.5进行网络训练；达到最大迭代次数或训练精度要求后输出神经网络结构的安全态势评估模型。

37、优选地，基于并行计算框架的粒子群优化神经网络算法在服务器集群中的调度方法具体流程包括：

38、s301：获取用于安全态势评估的服务器在注册中心注册服务器信息与其cpu占用率、内存使用率的信息；

39、s302：各个服务器采用以下方式计算服务器集群内节点n有效权重

40、

41、其中cn为第n个节点的cpu可用率、mn为该节点内存可用率，α表示cn在权重中所占比例、β表示mn在权重中所占比例，满足α+β＝1；

42、s303：假设有k个粒子群数据集等待分配，选择当前有效权重最大的节点依次分配数据集，更新被选中节点r的当前权重计算方法如下：

43、

44、等式后的为被分配任务的服务器当前权重值，后续分配时不应连续将任务分配在此服务器，因此通过减掉r个剩余节点的初始权重之和来减小其权重；

45、s304：更新未选中节点的当前权重，计算方法如下：

46、

47、在未被选中节点r的当前权重值上累加其有效权重，使其权重逐步加大，提升后续被选中的可能性；

48、s305：重复上述过程直至k个粒子群数据全部完成分配，各服务器粒子群优化过程中通过注册中心更新种群最优值以及优化后的网络权重。

49、优选地，在步骤s3所述安全态势评估模型训练过程中完全没有安全风险的样本对应的安全态势评估值为0，存在安全风险的样本对应的安全态势评估值为1，通过所述安全态势评估模型的训练后，将一台从服务器实时收集的特征指标输入该模型，可计算得到其对应的安全态势评估值y，y∈[0,1]。

50、与现有技术相比，本发明的有益效果为：

51、本发明针对电能量数据采集特征，从通用流量特征、通信协议特征、服务器运行工况三个维度进行安全态势指标监测；考虑到新型攻击手段表征差异，周期性采用线性判别分析的方法的对各个维度的指标重要性计算分析，迭代选取重要特征为安全态势感知提供指标支撑；采用粒子群优化的神经网络进行电能量数据采集安全态势，利用并行计算框架实现安全态势计算的自适应均衡调度，提供高效的安全态势感知解决方案。

52、本发明安全态势评价指标更加精确，考虑了电能量数据采集在海量设备接入场景下通信规约相关的特征，能够较通过的网络流量特征更加精确地描述来自电力终端地网络威胁特征。

53、本发明安全态势评估更加准确高效，提出了在并行计算框架下，粒子群优化神经网络并行训练的任务调度方法，使得训练过程能够在多台服务器并发执行，能够有效提升电能量数据采集服务器集群的安全态势评价效率。