基于IRT层次分析和LSTM的电力通信网络安全态势感知和预测方法

摘要

本发明公开了一种基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法，该方法用于解决对现有电力通信网络中安全态势的感知和预测，本发明的实施流程包括：首先从电力通信网络中采集到的网络连接状况数据中抽取影响网络安全态势评估的特征，并基于层次化的IRT模型计算出网络安全态势值，而后基于长短期记忆网络(LSTM)建立网络安全态势预测模型，实现对电力通信网络安全态势的预测。采用本发明的方法，能够有效提高安全态势评估过程中重要性权重的准确性，针对网络安全态势的时序特性，更好地预测电力通信网络的安全态势，并且所建立的模型评估和预测方法可以更加准确、高效地反映和预测网络安全状况。

说明书

技术领域

本发明涉及电力通信网络中网络安全态势分析技术领域，尤其涉及一种基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法。

背景技术

随着智能电网研究与实践的推进，传统意义上的电网正逐步与信息通信系统、监测控制系统相互融合，电力通信网安全和电网运行安全紧密相连，电力通信网安全为电网安全的重中之重。电力行业在“十二五”期间不断强化网络安全，具有电力行业特色的网络安全防护体系不断完善。目前电力信息网络采用“安全分区、网络专用、横向隔离、纵向认证”的安全防护体系。“安全分区”将各项电力业务功能分别置于生产控制大区与管理信息大区中；“网络专用”利用网络产品组建电力调度数据网，为调度控制业务提供专用网络支持；“横向隔离”通过自主研发的电力专用单向隔离装置实现生产控制大区与管理信息大区的安全隔离；“纵向认证”通过自主研发的电力专用纵向加密认证装置为纵向传输的业务数据提供加密和认证保护。

电力通信网络系统具有复杂性、动态性等特点，具有一定的脆弱性，而拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷，来自内外部的安全风险给网络安全工作带来了极大的压力与挑战，开展电力通信网的安全态势感知预警技术研究与应用极为必要。虽然针对网络安全态势感知和预测的模型和方法有很多，但往往存在模型的适应性不够灵活，考虑特征不够全面等原因，导致将其直接用于电力通信网络安全态势感知时预测结果的准确度不够高。因此，需要设计合理的电力通信网络的安全态势量化方法，并训练出高效地预测模型对网络安全态势进行预测。

发明内容

本发明目的在于解决上述现有技术运用于电力通信网络时的不足，提出了一种基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法，该方法应用于解决现有电力通信网络中对网络安全态势感知和预测准确性不高的问题，该方法首先从电力通信网络中采集到的网络连接状况数据中抽取影响网络安全态势评估的特征，并基于层次化的IRT模型计算出网络安全态势值，而后基于长短期记忆网络(LSTM)建立网络安全态势预测模型，实现对电力通信网络安全态势的预测。采用本发明的方法，能够有效提高安全态势评估过程中重要性权重的准确性，针对网络安全态势的时序特性，更好地预测电力通信网络的安全态势，并且所建立的模型评估和预测方法可以更加准确、高效地反映和预测网络安全状况。

本发明解决其技术问题所采取的技术方案是：

一种基于IRT层次分析和长短期记忆网络LSTM的电力通信网络安全态势感知和预测方法，该方法包括以下步骤：

步骤1：从电力通信网络中采集到的网络连接状况数据中选取影响网络安全态势评估的特征，进行数据预处理。

(1-1)从电力通信网络中收集的网络关键信息的原始记录中，挑选固定时间长度的网络关键信息数据，每条数据包含4方面属性：A.时间信息包含：采集时间段TIME；B.网路中主机相关信息包括：主机的数量HOSTS_NUM，各主机的重要性等级HOSTS_LEVEL，各主机的安全防护等级SECURE_LEVEL；C.运行信息包括：各主机上运行的服务的总数SERVICE_NUM，主机上运行的各项服务的平均访问量VISIT_NUM、访问频率VISIT_FREQ和各项服务的重要性等级SERVICE_LEVEL；D.网络防护设备的报警信息包括：报警标识符ALARM_ID，攻击类型ATTACK_TYPE，源地址SIP和目的地址DIP，源端口SP和目的端口DP；

(1-2)数据清洗，去除含有缺失值的数据记录；

(1-3)根据CVSS数据库对每条记录补充对应的以下特征的数值表示：各个主机的攻击复杂度AC，攻击途径AV，身份认证AU；

步骤2：基于层次化的IRT模型计算出网络安全态势值。

(2-1)计算服务安全等级

A.计算主机中存在的漏洞信息C：

B.计算第j个服务的安全等级SL_j：

SL_j＝3(0.4*C_j+0.6SECURE_LEVEL_j)

在上式中，C_j表示某个主机上第j个服务存在的漏洞信息，SECURE_LEVEL_j表示服务j所在主机的安全防护等级。

C.计算攻击成功概率：

基于IRT理论，计算攻击行为i对主机上服务j的攻击成功概率ATT_pro_ij：

在上式中，θ_i表示第i种攻击行为的攻击能力值，SL_j为第j个服务的安全等级，D为常数，取值1.7，使用对数最大似然的方法对参数θ_i进行估计，求取θ_i。

D.计算服务层的安全态势：

在一条数据记录中，即在固定时间段中，根据报警信息统计该时间段内服务S_i被第k类威胁攻击的总数ATT_Num_ik，根据攻击类型确定k类攻击的威胁因子TF_k，则服务S_i的安全态势值：

在上式中，n表示服务S_i受到的攻击的类型的总数，θ_k为第k类攻击的攻击能力值

(2-2)计算服务性能重要性权重：

采用(0，1，2)三标度层次分析法确定服务性能重要性权重。

A.根据三标度法构造比较矩阵Z，矩阵元素z_ij表示服务i和服务j相比的重要性大小，具体表达式如下

同理：

B.使用极差法将比较矩阵Z转化为判断矩阵Q，其中判断矩阵中的元素q_ij：

在上式中r_i表示比较矩阵第i行元素之和，r_max和r_min分别表示r_i中的最大值和最小值，e_i为常数，在本案中取9。

C.采用方根法对第i个服务的重要性权重w_i进行求解，并标准化为

在上式中，n_s表示服务的总数；

(2-3)计算主机H_g的安全态势

在上式中，表示主机H_g中第i个服务的安全态势值，表示主机中第i个服务的重要性权重，u表示主机H_g所有服务的总数。

(2-4)计算各主机重要性权重HOST_WEIGHT_g：

在上式中，HOSTS_LEVEL_g为第g台主机的重要性等级，该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注，分为1，2，3，4，5五个等级，数值越大表示重要性等级越高；HOST_NUM为网络中运行主机的总数。

(2-5)计算网络安全态势NETWORK_S

在上式中，表示主机g在网络中的安全态势值，HOST_WEIGHT_g表示主机g的再网络中的重要性权重。

步骤3：基于长短期记忆网络(LSTM)建立网络安全态势预测模型。

所述步骤3包括：

(3-1)根据求得各个时间段的网络安全态势值，从而形成时间序列样本(x₁，x₂，x₃，...，x_t，...)，由此，可以构造训练数据集

在上式中，

(3-2)随机初始化网络的权值和偏置：

W＝W^xg＝W^hg＝W^xi＝W^xf＝W^hf＝W^xo＝W^ho≈0

b_g＝b_i＝b_o＝b≈0

b_f＝1

(3-3)计算LSTM网络中各个记忆模块里面各个门的输出值:

在上式中，表示输入挤压单元，表示输入们单元，这两个单元为状态更新准备，表示遗忘门单元，用于决定网络对输入序列的忘记程度，用于更新模块的状态，表示模块更新后的输出。

(3-4)开始迭代，采用一个三层神经网络，第一层为输入层，第二层为隐藏层，第三层为输出层，各层的神经元数量分别为20，50，1，采用BPTT算法，从而训练得到LSTM模型。训练过程中通过计算以下式子对权值进行更新：

在上面的式子中τ∈{g，i，f，o}，L_N为整个函数的损失函数：

(3-5)设置总迭代次数为M，使用m记录具体迭代次数，如果m<M，则跳转到步骤(2-2)，迭代次数加1(m＝m+1)，继续下一次迭代；否则，终止迭代，输出模型的权值，并输出模型。

步骤4：实现对电力通信网络安全态势的预测。

(4-1)基于步骤2可以求得各个时间段的网络安全态势值序列数据x′；

(4-2)将x′作为模型输入，带入步骤3训练出的LSTM模型中，得到下一时间段的网络态势预测值

所述方法首先从电力通信网络中获取的数据中抽取特征，设计了基于IRT层次分析法计算网络安全态势值，而后基于预测数据的时间序列特性使用LSTM模型对下一时间段的网网络态势值进行预测。

与现有技术相比，本发明的有益效果：1、本发明使用基于IRT的层次分析模型对网络态势进行评估，考虑了网络架构中由低到高、先局部后整体的的评估策略，在评估过程中基于IRT理论引入各个攻击行为的的攻击能力值。本发明全面考虑网络的各个组成部分的真实状态，能更好的体现网络的安全态势。2、本发明充分考虑了电力通信网络安全态势值的时间序列特性，使用长短期记忆网络(LSTM)模型对下一时间段的电力通信网络安全态势值进行预测，预测结果更加准确高效。

附图说明

图1为本发明的网络层次分析图。

图2为本发明的方法流程图。

图3为本发明在基于IRT层次分析模型的基础上求得的电力通信网络的安全态势值示意图。

图4为本发明的方法LSTM和HMM，LR的绝对误差对比示意图。

具体实施方式

下面结合说明书附图对本发明创造作进一步的详细说明。

如图1所示，本发明基于IRT层次分析和长短期记忆网络(LSTM)的电力通信网络安全态势感知和预测方法，该方法包括如下步骤：

步骤1：从电力通信网络中采集到的网络连接状况数据中选取影响网络安全态势评估的特征，进行数据预处理。

(1-1)从电力通信网络中收集的网络关键信息的原始记录中，挑选固定时间长度的网络关键信息数据，每条数据包含4方面属性：A.时间信息包含：采集时间段TIME；B.网路中主机相关信息包括：主机的数量HOSTS_NUM，各主机的重要性等级HOSTS_LEVEL，各主机的安全防护等级SECURE_LEVEL；C.运行信息包括：各主机上运行的服务的总数SERVICE_NUM，主机上运行的各项服务的平均访问量VISIT_NUM、访问频率VISIT_FREQ和各项服务的重要性等级SERVICE_LEVEL；D.网络防护设备的报警信息包括：报警标识符ALARM_ID，攻击类型ATTACK_TYPE，源地址SIP和目的地址DIP，源端口SP和目的端口DP；

(1-2)数据清洗，去除含有缺失值的数据记录；

(1-3)根据CVSS数据库对每条记录补充对应的以下特征的数值表示：各个主机的攻击复杂度AC，攻击途径AV，身份认证AU；

步骤2：基于层次化的IRT模型计算出网络安全态势值，如图1所示。

(2-1)计算服务安全等级

A.计算主机中存在的漏洞信息C：

B.计算第j个服务的安全等级SL_j：

SL_j＝3(0.4*C_j+0.6SECURE_LEVEL_j)

在上式中，C_j表示某个主机上第j个服务存在的漏洞信息，SECURE_LEVEL_j表示服务j所在主机的安全防护等级。

C.计算攻击成功概率：

基于IRT理论，计算攻击行为i对主机上服务j的攻击成功概率ATT_pro_ij：

在上式中，θ_i表示第i种攻击行为的攻击能力值，SL_j为第j个服务的安全等级，D为常数，取值1.7，使用对数最大似然的方法对参数θ_i进行估计，求取θ_i。

D.计算服务层的安全态势：

在一条数据记录中，即在固定时间段中，根据报警信息统计该时间段内服务S_i被第k类威胁攻击的总数ATT_Num_ik，根据攻击类型确定k类威胁攻击因子攻击的威胁因子TF_k，则服务S_i的安全态势值

(2-2)计算服务性能重要性权重：

采用(0，1，2)三标度层次分析法确定服务性能重要性权重。

A.根据三标度大构造比较矩阵Z，矩阵元素z_ij表示服务i和服务j相比的重要性大小，具体表达式如下

同理：

B.使用极差发将比较矩阵Z转化为判断矩阵Q：

在上式中r_i表示比较矩阵第i行元素之和，r_max和r_min分别表示r_i中的最大值和最小值。

C.采用方根法对第i个服务的重要性权重w_i进行求解，并标准化为

(2-3)计算主机H_g的安全态势

在上式中，表示主机H_g中第i个服务的安全态势值，表示主机中第i个服务的重要性权重，u表示主机H_g所有服务的总数。

(2-4)计算各主机重要性权重HOST_WEIGHT_g：

在上式中，HOSTS_LEVEL_g为第g台主机的重要性等级，该等级由电力公司部署电力通信网络时根据每台主机在网络中的重要性进行标注，分为1，2，3，4，5五个等级，数值越大表示重要性等级越高；HOST_NUM为网络中运行主机的总数。

(2-5)计算网络安全态势NETWORK_S

在上式中，表示主机g在网络中的安全态势值，HOST_WEIGHT_g表示主机g的再网络中的重要性权重。

步骤3：基于长短期记忆网络(LSTM)建立网络安全态势预测模型。

网络安全态势感知和预测方法，所述步骤3包括：

(3-1)根据步骤2可以求得各个时间段的网络安全态势值，从而形成时间序列样本(x₁，x₂，x₃，...，x_t，...)，由此，可以构造训练数据集

在上式中，

(3-2)随机初始化网络的权值和偏置：

W＝W^xg＝W^hg＝W^xi＝W^xf＝W^hf＝W^xo＝W^ho≈0

b_g＝b_i＝b_o＝b≈0

b_f＝1

(3-3)计算LSTM网络中各个记忆模块里面各个门的输出值:

在上式中，表示输入挤压单元，表示输入们单元，这两个单元为状态更新准备，表示遗忘门单元，用于决定网络对输入序列的忘记程度，用于更新模块的状态，表示模块更新后的输出。

(3-4)开始迭代，采用一个三层神经网络，第一层为输入层，第二层为隐藏层，第三层为输出层，各层的神经元数量分别为20，50，1，采用BPTT算法，从而训练得到LSTM模型。训练过程中通过计算以下式子对权值进行更新：

在上面的式子中τ∈{g，i，f，o}，L_N为整个函数的损失函数：

(3-5)设置总迭代次数为M，使用m记录具体迭代次数，如果m<M，则跳转到步骤(2-2)，迭代次数加1(m＝m+1)，继续下一次迭代；否则，终止迭代，输出模型的权值，并输出模型。

步骤4：实现对电力通信网络安全态势的预测。

(4-1)根据步骤2可以求得各个时间段的网络安全态势值序列数据x′；

(4-2)将x′作为模型输入，带入步骤3训练出的LSTM模型中，得到下一时间段的网络态势预测值

性能评价：

本发明按照上述流程进行实验，首先进行数据预处理，去除有缺失值的数据，采用基于IRT的层次分析模型，将从电力通信网络中获取的各个参数作为模型输入，得到各个时间段内电力通信网络的安全态势值，而后采用LSTM模型完成训练和预测。所用的数据集包括从电力通信网络中收集的90天的数据记录，通过步骤2生成电力通信网络的安全态势值作为训练数据和预测数据，随机选取其中连续10天的安全态势值作为模型的输入，第11天的安全态势值为模型输出，通过步骤3训练出预测模型，通过步骤4完成预测任务。为了分析结果，采用绝对误差来对本发明方法和两种有代表性的现有方法——隐马尔科夫链(HMM)和Logistic回归(LR)。

图3为使用本发明的方法计算出的网络安全态势值，对比了只使用层次分析法计算的电力通信网络的安全态势值，部分网络攻击存在但实际上攻击并未成功，导致只使用层次分析模型计算式网络完全态势值偏大的现象，可以看出，本发明计算出的安全态势值避免了只使用层次分析法计算时出现的偏差。

图4对比了LSTM模型，HMM，LR的绝对误差，图中横坐标为选取的其中16天的目标数据。从图中可以看出，本发明的方法通过使用LSTM模型能很好的学习电力通信网络安全态势的时间序列特性，有效提高了预测准确度。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。