本發(fā)明涉及電力網絡，特別是一種基于協(xié)議深度解析的電力網絡未知攻擊自動發(fā)現(xiàn)方法。

背景技術：

1、因應用軟件接口服務提供方、應用軟件接口開發(fā)團隊、應用軟件接口自身的安全機制存在缺陷等多方面原因，應用軟件接口的開發(fā)為攻擊者攻擊提供了攻擊通道。通過異常檢測手段對基于應用軟件接口漏洞的攻擊實現(xiàn)高效的識別，并定位應用軟件接口漏洞，對應用軟件接口資產的生命周期管理極其重要?，F(xiàn)有技術對于網絡未知攻擊的預測能力尚有欠缺。

技術實現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種基于協(xié)議深度解析的電力網絡未知攻擊自動發(fā)現(xiàn)方法，能夠很好地進行電力網絡未知攻擊自動發(fā)現(xiàn)。

2、為實現(xiàn)上述目的，本發(fā)明采用如下技術方案：一種基于協(xié)議深度解析的電力網絡未知攻擊自動發(fā)現(xiàn)方法，包括以下步驟：

3、步驟1：是從資產狀態(tài)、網絡流量和協(xié)議指令三個層面建立全面的監(jiān)測指標項；

4、步驟2：研究正常行為基準模型自動學習構建技術，基于多個rbm神經網絡建立正?；鶞誓Ｐ停芯侩娏I(yè)務操作行為基準、同類型設備基準、特定通訊線路基準等正常行為基線，構建電力網絡正常行為模型的安全基線指標；在此基礎上研究基于正?；鶞誓Ｐ偷漠惓Ｐ袨榘l(fā)現(xiàn)技術；

5、步驟3：開展異常行為自動發(fā)現(xiàn)技術驗證，通過采用基于模擬網絡流量和基于電力網絡用采業(yè)務數據來驗證異常行為自動發(fā)現(xiàn)技術。

6、在一較佳的實施例中，所述步驟1中用于進行網絡正常行為建模的指標可大體分為資產狀態(tài)指標、網絡流量指標和協(xié)議指標三類。

7、在一較佳的實施例中，資產狀態(tài)指標包括運行狀態(tài)、配置合規(guī)、日志和系統(tǒng)異常行為；

8、運行狀態(tài)指標包括：cpu利用率、內存利用率、io使用情況、網絡流量情況、關鍵進程、系統(tǒng)服務狀態(tài)、服務端口狀態(tài)、關鍵文件狀態(tài)、注冊表、啟動項、內核、硬件配置、操作系統(tǒng)信息；

9、配置合規(guī)指標包括：賬號策略、日志策略、授權策略、ip通信策略、口令策略、服務配置、內核參數配置和漏洞補丁情況；

10、日志指標包括：主機日志、中間件日志、數據庫日志、各種常見應用服務日志；

11、系統(tǒng)異常行為指標包括：異常網絡訪問行為、異常進程操作行為、異常api調用行為、異常注冊表操作行為、異常文件讀寫行為、惡意文件。

12、在一較佳的實施例中，網絡流量指標包括：

13、傳輸協(xié)議類型，離散類型，共有3種：tcp,udp,icmp；

14、目標主機的網絡服務類型，離散類型；

15、具體協(xié)議類型，例如用電信息采集協(xié)議；

16、單位時間內終端的網絡指標；終端發(fā)送和接收數據包的平均長度、終端發(fā)出數據包的個數、終端接受數據包的個數、終端連接的服務主機個數、終端所使用的端口數量；

17、終端連接主機的指標：主機所使用的端口數量、主機所使用的端口的頻度。

18、在一較佳的實施例中，協(xié)議指標：用采協(xié)議的指令指標包括afn和fn字段。

19、在一較佳的實施例中，所述步驟2中先對物聯(lián)網架構及常用通信協(xié)議進行分析，在語法和語義層面分析建模業(yè)務協(xié)議的行為特征；隨后以協(xié)議關鍵字段為考察對象，依據協(xié)議關鍵字段出現(xiàn)的頻率以及先后順序建立協(xié)議行為模型并提出基于業(yè)務協(xié)議報文的行為異常檢測方法；

20、基于業(yè)務協(xié)議報文的行為異常檢測方法包括協(xié)議數據包特征選取、建立序列標記模型步驟；在異常協(xié)議行為檢測中，從網絡數據流以網絡連接為單位采集數據包觀測序列x后，對每個數據包標記正常度y_i，進而得到標注序列y，選用條件隨機場作為序列標記模型；在條件隨機場模型建立后，應用其進行實時協(xié)議異常檢測的原理在于，對于每個網絡連接內某協(xié)議的觀測序列xn'，n代表網絡連接的長度，每個觀測值對應一個協(xié)議數據包，根據已建立的crf模型，若此連接內出現(xiàn)協(xié)議異常，則給定正常標記序列yn＝(1,1,…,1)，1表示正常狀態(tài)，條件概率p(y|x,θ)應當大于預先設定的閾值pthr，根據閾值判定協(xié)議行為異常與否。

21、在一較佳的實施例中，步驟2包括以下步驟：

22、步驟21：根據電力信息系統(tǒng)網絡的網絡特性進行指標提取，提取完的數據完成預處理環(huán)節(jié)，預處理環(huán)節(jié)包括：數據收集、指標提取、歸一化處理，然后按照時間段ta內流量數據的數量進行指標的歸并；

23、步驟22：將歸并完成的數據設定為訓練數據集，同時按照網絡常見的流量傳輸時間進行時間段劃分，數據集劃分為各個數據簇；

24、步驟23：構建基準模型；基準模型由k個rbm網絡構成，其中k初始化為1。

25、在一較佳的實施例中，步驟23包括：

26、1)隨機初始化一個rbm網絡，rbm網絡的網絡參數可以先設定為隨機數，然后將進行歸一化處理后的指標數據輸入到該rbm模型中，網絡不記錄隱含層的輸出，通過最小化模型輸出和原有輸入的誤差完成模型的訓練，模型的輸出過程為原有指標數據輸入到可見層中，通過隱含層訓練，再將隱含層數據反訓練為可見層的輸出；將第一個數據簇訓練得到的rbm模型設定為初始基準模型；

27、輸入xi與輸出yi的平方根誤差表示如下：

28、

29、2)取下一個數據簇，將數據簇輸入到各個rbm模型中，測試基準模型集中的所有的rbm基準模型，計算該數據簇在基準模型的重構輸出，計算輸出數據與原數據的平方根誤差；

30、3)比較所有平方根誤差；

31、如果所有平方根誤差ρ超過設定閾值，則說明該數據與現(xiàn)有的所有rbm網絡模式均不吻合，因此該數據屬于新的模式類型，則新建一個rbm網絡，隨機初始化，將該數據簇輸入這個新的rbm網絡中進行訓練，調整網絡參數；將該rbm網絡加入到基準模型中；

32、如果部分平方根誤差在閾值范圍內，選定平方根誤差ρ最小的模型集，添加該數據簇的原始數據進入對應基準模型的數據集；如果數據集中數據過多，根據設定數據集數據量個數隨機拋棄部分冗余數據，訓練新的數據集并更新對應的基準模型參數；

33、最小平方根誤差ρ＝min{pj},j為第j個模型

34、4)返回步驟2)，直到所有數據訓練完畢；

35、5)根據聚類后rbm模型中的數據簇的數量設定每個數據簇的異常度，rbm模型中數據簇的數量越多，說明該模型越符合網段傳輸規(guī)律，對應的數據簇異常度越低；

36、異常度其中n為該rbm模型中數據簇數據，n為所有數據簇的數量；

37、6)設定異常度檢測閾值，將符合該異常度閾值的rbm模型匯總，匯總后為一個多rbm模型集，模型集對應多個rbm模型，rbm模型的個數為k，每個rbm模型對應自己的參數與數據簇，該多rbm模型集就是網絡正?；鶞誓Ｐ汀?/p>

38、在一較佳的實施例中，從網絡流屬性入手，設計網絡流秩序的構成；對流形學習進行研究并基于流形學習提出網絡流秩序刻畫方案；對多層感知機算法進行研究并提出基于多層感知機的網絡流秩序分類方法。

39、與現(xiàn)有技術相比，本發(fā)明具有以下有益效果：能夠很好地進行電力網絡未知攻擊自動發(fā)現(xiàn)。