本發(fā)明涉及網(wǎng)絡安全,具體涉及一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警方法及裝置。
背景技術(shù):
1、隨著互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)絡流量數(shù)據(jù)呈爆炸性增長,各種網(wǎng)絡應用和服務層出不窮。在電網(wǎng)數(shù)字化轉(zhuǎn)型的過程中,面向電力數(shù)字化的網(wǎng)絡通信安全也日益成為關(guān)注的焦點。通信網(wǎng)絡承載著大量的實時數(shù)據(jù)和控制指令,其安全性直接關(guān)系到電網(wǎng)數(shù)字化系統(tǒng)的穩(wěn)定運行。然而,當前電力通信網(wǎng)絡面臨著諸多安全威脅,如黑客攻擊、網(wǎng)絡病毒、人為入侵等,這些威脅可能導致電網(wǎng)數(shù)字化通信中斷、數(shù)據(jù)泄露或系統(tǒng)崩潰等嚴重后果。
2、在電力企業(yè)中,傳統(tǒng)的網(wǎng)絡安全監(jiān)測方法主要依賴于防火墻、入侵檢測系統(tǒng)等工具,但這些方法往往存在誤報率高、漏報率高、響應速度慢等問題,已難以應對日益復雜的網(wǎng)絡攻擊。一方面,電網(wǎng)通信網(wǎng)絡的邊界日益模糊,網(wǎng)絡攻擊者可以通過各種手段繞過邊界防護,直接對電網(wǎng)內(nèi)部系統(tǒng)發(fā)起攻擊;另一方面,網(wǎng)絡攻擊手段不斷更新?lián)Q代,傳統(tǒng)的靜態(tài)防御方法已難以有效應對。因此,如何實現(xiàn)對網(wǎng)絡流量數(shù)據(jù)的實時監(jiān)控和深入分析,以精準識別異常通信行為,并及時觸發(fā)預警,成為了電力網(wǎng)絡安全領(lǐng)域亟待解決的問題。
3、近年來,隨著大數(shù)據(jù)、人工智能等技術(shù)的快速發(fā)展,為網(wǎng)絡流量數(shù)據(jù)的深度分析和實時預警提供了新的思路和方法。然而,根據(jù)當前署名發(fā)明人的工作發(fā)現(xiàn),現(xiàn)有技術(shù)中結(jié)合lstm和自編碼器的網(wǎng)絡流量異常檢測方法可能存在特征提取局限、模型魯棒性不足、實時性差、預警機制不完善和泛化能力有限等問題,這些不足影響了異常檢測的準確性和時效性,因此需要進一步優(yōu)化以提高檢測效率和實用性。
技術(shù)實現(xiàn)思路
1、發(fā)明目的:為了解決上述技術(shù)問題,本發(fā)明的目的是提供一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警方法及裝置,能夠?qū)崟r收集網(wǎng)絡流量數(shù)據(jù),通過深度解析和智能分析,識別出潛在的通信威脅和異常行為,并觸發(fā)相應的預警機制。
2、技術(shù)方案:第一方面,一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警方法,包括以下步驟:
3、實時采集網(wǎng)絡流量數(shù)據(jù),構(gòu)建電網(wǎng)流量數(shù)據(jù)集;
4、對電網(wǎng)流量數(shù)據(jù)集進行預處理,通過刪除冗余和缺失值、特征編碼、數(shù)據(jù)歸一化處理,消除噪聲和無效數(shù)據(jù);
5、基于預處理后的電網(wǎng)流量數(shù)據(jù),通過多層神經(jīng)網(wǎng)絡和特征選擇算法,提取出最具代表性的通信行為特征數(shù)據(jù),稱為最優(yōu)特征數(shù)據(jù)子集;
6、結(jié)合長短時記憶網(wǎng)絡lstm和降噪自編碼器dae框架,建立lstm-dae深度學習優(yōu)化模型對最優(yōu)特征子集數(shù)據(jù)進行深度學習和訓練,建立通信行為分析模型;
7、利用通信行為分析模型對新的網(wǎng)絡流量數(shù)據(jù)進行實時分析,以識別異常通信行為,并在檢測到異常通信行為時,觸發(fā)實時預警。
8、第二方面,一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警裝置,包括:
9、數(shù)據(jù)采集模塊,用于實時采集網(wǎng)絡流量數(shù)據(jù),構(gòu)建電網(wǎng)流量數(shù)據(jù)集;
10、數(shù)據(jù)預處理模塊,用于對電網(wǎng)流量數(shù)據(jù)集進行預處理,通過刪除冗余和缺失值、特征編碼、數(shù)據(jù)歸一化處理,消除噪聲和無效數(shù)據(jù);
11、特征提取模塊,用于基于預處理后的電網(wǎng)流量數(shù)據(jù),通過多層神經(jīng)網(wǎng)絡和特征選擇算法,提取出最具代表性的通信行為特征數(shù)據(jù),稱為最優(yōu)特征數(shù)據(jù)子集;
12、模型構(gòu)建模塊,用于結(jié)合長短時記憶網(wǎng)絡lstm和降噪自編碼器dae框架,建立lstm-dae深度學習優(yōu)化模型對最優(yōu)特征數(shù)據(jù)子集進行深度學習和訓練,建立通信行為分析模型;
13、通信行為分析與預警模塊,用于利用通信行為分析模型對新的網(wǎng)絡流量數(shù)據(jù)進行實時分析,以識別異常通信行為,并在檢測到異常通信行為時,觸發(fā)實時預警。
14、第三方面,本發(fā)明還提供一種計算機設備,包括:一個或多個處理器;存儲器;以及一個或多個程序,其中所述一個或多個程序被存儲在所述存儲器中,并且被配置為由所述一個或多個處理器執(zhí)行,所述程序被處理器執(zhí)行時實現(xiàn)如上所述的基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警方法的步驟。
15、第四方面,本發(fā)明還提供一種計算機可讀存儲介質(zhì),其上存儲有計算機程序,所述計算機程序被處理器執(zhí)行時實現(xiàn)如上所述的基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警方法的步驟。
16、有益效果:(1)本發(fā)明提出了一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與實時預警方法及裝置,針對已有通過基于lstm進行網(wǎng)絡流量數(shù)據(jù)異常分析、以及結(jié)合lstm和自編碼器的lstm-ae網(wǎng)絡流量異常檢測,但是其精度受到訓練數(shù)據(jù)中噪聲的限制,導致了模型難以區(qū)分正常、異常、和噪聲數(shù)據(jù)能力不強,進而導致檢測精度不高的問題。該方法和裝置能夠?qū)崟r捕獲和分析網(wǎng)絡流量數(shù)據(jù),利用深度學習算法對通信行為進行深度學習和訓練,建立通信行為分析模型對新的網(wǎng)絡流量數(shù)據(jù)進行實時分析,以識別異常通信行為,并觸發(fā)實時預警。同時還支持多種預警信息發(fā)布渠道,方便管理員或相關(guān)安全人員及時了解和應對網(wǎng)絡安全事件。
17、(2)本發(fā)明一方面通過特征選擇從而更精準捕捉時間序列特征數(shù)據(jù),有效去除噪聲數(shù)據(jù),提高處理的效率;另一方面通過對優(yōu)化后的lstm和降噪自編碼器dae結(jié)合,充分利用dae使得模型具備魯棒表達的能力和lstm在時序數(shù)據(jù)處理方面的優(yōu)勢,有效提高異常通信行為的檢測的準確性,通過通信異常檢測預警及時發(fā)現(xiàn)和應對網(wǎng)絡攻擊和惡意行為,保護組織和個人免受損失。
1.一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警方法,其特征在于,包括以下步驟:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,實時采集網(wǎng)絡流量數(shù)據(jù),構(gòu)建電網(wǎng)流量數(shù)據(jù)集,具體方法包括:
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,基于預處理后的電網(wǎng)流量數(shù)據(jù),通過多層神經(jīng)網(wǎng)絡和特征選擇算法,提取出最具代表性的通信行為數(shù)據(jù)特征,稱為最優(yōu)特征數(shù)據(jù)子集,具體方法包括:
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,每個特征和攻擊類型的f值計算方法如下:
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述lstm-dae深度學習優(yōu)化模型包括:
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述lstm層包含h個隱藏單元,lstm隱藏單元包括輸入門it、輸出門ot和遺忘門ft,同時通過單元狀態(tài)ct進行連接,表示為:
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,利用通信行為分析模型對新的網(wǎng)絡流量數(shù)據(jù)進行實時分析,以識別異常通信行為,并在檢測到異常通信行為時,觸發(fā)實時預警,具體方法包括:
8.一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警裝置,其特征在于,包括:
9.一種計算機設備,其特征在于,包括:一個或多個處理器;存儲器;以及
10.一種計算機可讀存儲介質(zhì),其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1-7中任一項所述的一種基于網(wǎng)絡流量數(shù)據(jù)的通信行為深度分析與預警方法的步驟。