电网工控系统流量异常检测的应用与算法改进

“两化融合”的工业控制网络的安全问题不断突显.电力作为国家重要基础设施,其电网工控系统的安全防护工作极其重要.本文根据电网工控系统中控制网的内防水平低且其安全监测和防护缺乏内部网络流量异常检测的现状,分析了电网工控系统的组成结构、网络安全需求及面临的威胁.提出了将流量异常检测技术应用于针对电网工控系统控制网的安全防护中,形成针对电网工控系统控制网的两级安全防护.然后研究了流量异常检测方法的分类和特点以及电网工控系统的网络流量数据特点,提出了基于熵的动态半监督K-means算法并辅以单类支持向量机对半监督K-means算法进行改进,为提升电力系统内防水平奠定基础.     

基于流计算的电力调度网络流量监测平台

由于电力调度网出现任何网络故障都可能发生极度严重的事故,因此具有的极高可靠性及安全性的要求.而当前传统的网络监测系统在面对大数据量时,其实时处理能力和扩展能力都无法满足需求.因此对实时产生的大规模各类型数据的分析处理则需要一种专门的实时数据分析平台完成.本文结合电力调度信息网络的特点以及监测准确性及实时性的需求,构建出一个基于流计算的数据处理分析平台,以Apache Spark中的Spark Streaming为代表的开源流计算框架,加入如Kafka分布式消息队列、Redis内存数据库等组件,为数据分析平台提供稳定高效的数据来源和数据服务接口,从而实现适用于电力调度网的各类海量数据的实时分析处理完成流量异常监测场景.     

基于高斯混合聚类的电力工控系统异常检测研究

电力工控系统数据在时间维度上具有周期性,但其时间序列呈现多元高斯分布特性且周期长度不固定,这导致通过相似性度量来发现异常难以进行。针对上述问题,文章提出一种基于多元高斯聚类的电力工控系统异常时序检测方法。该方法首先获取电力工控系统流量数据,对其采用多元高斯分布混合算法实现时间序列的符号化,然后利用马尔可夫链从长度不固定的时间序列中提取出大小一致的状态转移概率矩阵作为数据特征,最后通过层次聚类方法计算样本的异常率实现异常检测。经实验分析表明,文章方法可以有效实现电力工控系统时序数据周期长度不同下的异常自动检测。     

基于NetFlow时间序列的网络异常检测

网络流量在正常运行的情况下是具有一定的周期性、稳定性的,异常流量会打破这种规律使流量产生异常波动。提出了一种基于NetFlow时间序列滑动窗口检测网络异常的方法,利用时间序列异常发现算法发现网络流量的异常波动从而实现了实时高效的异常流量发现及预警。已经被检测到的网络异常会持续产生预警信息并影响后续的异常检测,为此还提出了两种平抑异常的方法。实验结果表明该方法能够有效地发现网络异常。     

基于网络流量分析的入侵检测技术的研究

本文介绍了入侵检测系统的概念、分类和常用的入侵分析技术，对常见的引起流量异常的原因进行了简单的介绍，并设计了一种使用时间序列分析的网络流量异常检测的实时入侵检测系统原型，用于监测局域网的网络流量。该流量异常检测系统能够对整个局域网或者一些核心服务器和主机的异常流量进行识别和判断。     

基于分层抽样算法的异常攻击流量检测

在高速互联网应用中,海量数据无法逐包检测分析,异常攻击流量也不易被识别。为解决该问题,利用泊松帕累托突发过程的经典流量模型对网络流量自相似特性进行分析,将网络流量分为长流与短流,并根据数据流到达时间的抽样比增量进行分层抽样,由此实现异常攻击流量的检测。在基于数据报文级检测的snort异常入侵检测系统上对该方法进行仿真实验,结果证明其能有效缩小异常攻击数据范围,快速准度地检测出攻击。     

基于长短记忆神经网络的海量异常信号实时监控预警与处置全流程管控方法研究

在海量异常信号实时监控预警与处置的过程中，通过全过程流程管控能够实现更加迅速地解决设备故障，设计一种基于长短记忆神经网络的实时监控预警与处置全流程管控方法。通过信息采集模块，实施海量异常信号信息采集。设计长短记忆神经网络与CNN相结合的行为识别模型，实施海量异常信号行为识别。通过由设备任务模块、设备态势模块构成的海量异常信号实时监控预警与处置全流程管控模型，实现相关行为的全流程管控。利用设计方法管控某大企业的可视化设备，测试其管控性能。测试结果为在发生物理层设备故障、物理层线路故障、设备兼容性故障时，该方法分别能够实现96%以上、95%以上、94%左右设备的实时监控预警与实时处理，表现出了良好的管控效果。     

基于混合随机边缘计算的工控入侵检测系统设计

针对传统工控入侵检测系统缺少对边缘入侵信号段的研究,无法及时检测到边缘入侵行为,导致系统入侵潜伏期过长、威胁工控系统网络安全的问题,提出了基于混合随机边缘计算的工控入侵检测系统设计;使用中央服务器处理并发送告警信息,形成统一的告警日志;选择JY211-QTQ-04型号光缆探测器,实时显示信号强度;通过高速网络I/O架构Netmap网络流量采集器采集流量信息,再由TCP/IP协议下的数据预处理器处理数据,利用入侵检测引擎检测入侵行为;构建入侵检测动态模型,结合混合随机边缘算法,确定待检测段的最高能量和信噪比,通过检测到的入侵信号段,判断入侵行为;由实验结果可知,该系统在异常入侵情况下,能够及时发现入侵行为,在入侵时间为7 s时,潜伏期达到最长为2.4 s,与实际入侵后潜伏期变化一致,能够精准检测工控入侵行为。     

基于改进机器学习的无人机网络入侵自动感知系统设计

提升无人机网络的安全通信能力,是保证无人机应用的基础,因此,设计基于改进机器学习的无人机网络入侵自动感知系统。系统数据模块通过NetFlow网络流量采集器,采集网络的内部安全流量,管控模块管理并调用这些数据传送至入侵检测模块中,该模块中的入侵感知网关通过部署的时空卷积网络模型,检测无人机网络入侵行为,并完成入侵行为分类,全面感知无人机网络通信状态;感知结果则通过可视化模块进行展示。测试结果显示：该系统能够精准检测网络入侵行为并及时发送入侵预警,网络中主机的内核安全程度均在0.955以上,保证网络的安全通信。     

一种基于Hurst参数的SYN Flooding攻击实时检测方法

提出了一种轻量级的源端DDoS攻击检测的有效方法.基于Bloom Filter技术提取网络数据包中新的可疑源IP地址出现的次数,然后使用实时在线VTP方法进行异常检测,不仅能够实时检测出DDoS攻击的存在,而且能够避免因为网络数据流量的正常突变引起的误报.从实验结果可以看出,该方法还能够发现大流量背景下,攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

基于 Spark 的大规模网络流量准实时分类方法

大数据时代催生了互联网流量的指数级增长,为了有效地管控网络资源,提高网络安全性,需要对网络流量进行快速、准确的分类,这就对流量分类技术的实时性提出了更高的要求。目前,国内外的网络流量分类研究大多是在单机环境下进行的,计算资源有限,难以应对高速网络中的 (准) 实时流量分类任务。本文在充分借鉴已有研究成果的基础上,吸收当前最新的思想和技术,基于Spark 平台,有机结合其流处理框架 Spark Streaming 与机器学习算法库 MLlib,提出一种大规模网络流量准实时分类方法。实验结果表明,该方法在保证高分类准确率的同时,也具有很好的实时分类能力,可以满足实际网络中流量分类任务的实时性需求。     

基于Spark框架和PSO优化算法的电力通信网络安全态势预测

随着电力通信网络规模的不断扩大,电力通信网络不间断地产生海量通信数据。同时,对通信网络的攻击手段也在不断进化,给电力通信网络的安全造成极大威胁。针对以上问题,结合Spark大数据计算框架和PSO优化神经网络算法的优点,提出基于Spark内存计算框架的并行PSO优化神经网络算法对电力通信网络的安全态势进行预测。本研究首先引入Spark计算框架,Spark框架具有内存计算以及准实时处理的特点,符合电力通信大数据处理的要求。然后提出PSO优化算法对神经网络的权值进行修正,以增加神经网络的学习效率和准确性。之后结合RDD的并行特点,提出了一种并行PSO优化神经网络算法。最后通过实验比较可以看出,基于Spark框架的PSO优化神经网络算法的准确度高,且相较于传统基于Hadoop的预测方法在处理速度上有显著提高。     

云计算Hadoop平台的异常数据检测算法研究

近年来,随着我国互联网技术的飞速发展与大规模网络运算平台研究的深入,云平台下的数据处理已成为大规模数据的主要处理方式;但是,现有的云计算Hadoop平台在海量数据异常涌入状态下,常常出现数据逻辑错误、数据链完整性缺失、数据失效的问题,造成无法对上述异常数据进行有效检测处理,严重影响云计算Hadoop平台的数据运算准确性;针对上述问题,提出云计算Hadoop平台的异常数据检测算法研究方法;采用JNS数据采集筛查模组、算法逻辑补偿模组与动态反馈模组对现有的云端计算平台存在的问题进行针对性解决;通过仿真模拟实验证明,提出的云计算Hadoop平台的异常数据检测算法研究方法,具有异常数据识别率高,准确性高,速度快、可实施性强、稳定性好的特点。     

内外网数据安全交换技术在电网企业的应用研究

为保护企业机密,需要采用安全有效且成熟的技术来保障企业信息安全。以网闸等安全设备为基础的内外网数据安全交换平台,通过网络隔离、安全访问控制、协议剥离重组等技术,实现可控安全的数据交换,建立一套完善的内外网数据安全交换系统。本文参考电网企业安全防护标准、公安信息通信网边界接入平台安全规范及其他行业内外网安全防护设计思路,结合电网企业的应用需求,提出了多层次安全隔离防护,强管控数据交换的安全策略,并设计了符合电网企业应用需求的内外网数据安全交换平台、数据交换体系和安全管控方法,实现了电网企业内外网安全数据交换。同时结合试点、推广建设与实践,阐述了该体系在电网企业内外网实际环境中的应用效果。     

基于宽度学习的智能电网数据服务器流量异常检测算法

电力系统的信息网络是电力行业长久持续有效运行下的重要组成部分,而智能电网中电力网与信息网耦合下的复杂网络结构给信息通讯网络安全中的流量异常检测带来了巨大的挑战。传统机器学习算法与新兴的深度学习算法在解决流量异常检测问题领域往往存在着检测准确度低、实时性差等缺陷,而结合宽度学习与质量管理图的流量异常检测流程则有着训练速度快、准确性高、实时性强的优势,在一定程度上可以满足智能电网服务器流量异常检测需求,从而达到提升电网信息安全的目的。     

基于Spark平台城市出租车乘客出行特征分析

从海量出租车GPS轨迹数据中挖掘和分析城市出租车乘客的出行特征,可以为城市交通管理者和出租车行业管理者在城市交通规划与管理、城市交通流均衡与车辆调度等方面提供决策依据.基于Spark大数据处理分析平台,选择YARN作为资源管理调度系统,采用HDFS分布式存储系统,对出租车GPS轨迹数据进行挖掘.给出了基于Spark平台的出租车乘客出行特征的挖掘方法,包括出租车乘客出行距离分布、出租车使用时间分布及出租车出行需求.实验结果表明,基于Spark平台分析方法能够快速且准确的分析出出租车乘客出行特征.     

基于无监督学习的智能电网入侵检测

智能电网通过引入信息和通信技术服务,带来了传统电网的技术演变,与此同时在安全方面也带来了严重的挑战.本文提出了一种智能电网入侵检测系统安全架构和一种基于无监督学习的新型入侵检测系统(intrusion detection system, IDS).我们设计了区域式训练(block-training)架构,不仅可以减轻数据中心的计算压力,还可以对本地流量进行特征训练.我们还提出了一种基于交叉验证的递归特征消除的差分自编码器算法(RFECV-VAE).RFECV-VAE综合了RFECV和VAE模型,在特征选择过程使用递归特征消除交叉验证法(recursive feature elimination cross-validation, RFECV),异常检测采用差分自编码器(variational autoencoders, VAE),它可以对大规模高维数据进行高精度异常检测.最后,本文选择深度自编码器、深度自编码器高斯混合模型、单类支持向量机、隔离森林、差分自编码器作为对比算法,采用准确率、ROC＿AUC、F1＿score和训练时间等指标来进行性能评估.实验结果表明,RFECV-VAE算法...     

基于聚类过采样和自动编码器的网络入侵检测方法

近年来,随着互联网技术的不断发展,入侵检测在维护网络空间安全方面发挥着越来越重要的作用。但是,由于网络入侵行为的数据稀疏性,已有的检测方法对于海量流量数据的检测效果较差,模型准确率、F-measure等指标数值较低,并且高维数据处理的成本过高。为了解决这些问题,本文提出了一种基于稀疏异常样本数据场景下的新型深度神经网络入侵检测方法,该方法能够有效地识别不平衡数据集中的异常行为。本文首先使用k均值综合少数过采样方法来处理不平衡的流量数据,解决网络流量数据类别分布不平衡问题,平衡网络流量数据分布。再采用自动编码器来处理海量高维数据并训练检测模型,来提升海量高维流量中异常行为的检测精度,并在两个真实典型的入侵检测数据集上进行了大量的实验。实验结果表明,本文所提出的方法在两个真实典型数据集上的检测准确率分别为99.06%和99.16%, F-measure分别为99.15%和98.22%。相比于常用的欠采样和过采样方法, k均值综合少数过采样技术能够有效地解决网络流量数据类别分布不平衡的问题,提升模型对低频攻击行为的检测效果。同时,与已有的网络入侵检测方法相比,本文所提出的方法在准确率、F-m...