基于马尔科夫随机场理论的随机几何数据异常定位方法
技术领域
[0001] 本
发明涉及电
力数据网络安全技术领域,更具体地,涉及一种基于马尔科夫随机场理论的随机几何数据异常定位方法。
背景技术
[0002] 随着智能
电网研究与实践的推进,传统意义上的电网正逐步与信息通信系统、监测控制系统相互融合,电力通信网安全和电网运行安全紧密相连,电力通信网安全为电网安全的重中之重。电力行业面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体
网站;而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取电力企业的客户信息,更有甚者会破坏电力企业的
服务器和国家的
基础设施。APT攻击可以避开传统的基于特征的安全检测机制,例如绕过
防火墙、入侵防御系统、防病毒网关以及网闸等传统的安全机制,并且无法被侦测出来,悄无声息的从企业获取高级机密资料。
[0003] 电力通信网络系统具有复杂性、动态性等特点,具有一定的脆弱性,而拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的又层出不穷。同时,现有的异常定位方法反馈时延高、定位
精度低,无法及时准确地定位网络中的异常
节点位置。
发明内容
[0004] 本发明为解决现有数据网络异常定位技术存在的反馈时延高,定位精度低的技术
缺陷,提供一种基于马尔科夫随机场理论的随机几何数据异常定位方法。
[0005] 为实现以上发明,采用的技术方案是:
[0006] 基于马尔科夫随机场理论的随机几何数据异常定位方法,包括以下步骤:
[0007] S1:基于马尔科夫随机场理论建立电力数据网络模型,构建对应的节点关系拓扑图;
[0008] S2:在得到的节点关系拓扑图中,分析各节点在异常发生前后的拓扑差异度,并选择待判决异常点;
[0009] S3:根据协方差矩阵的相关度,对各可疑节点进行异常判决,检测出异常节点。
[0010] 其中,所述步骤S1包括以下步骤:
[0011] S11:当网络异常发生时,记录电力数据网络中正在发送或接收信息的所有N个节点,其构成一个活跃节点集合a={1,2,...,N},则a为可能存在异常的所有节点的集合;
[0012] S12:在异常发生后,对所有活跃节点进行连接关系
采样:统计在
异常检测时刻t时,所有活跃节点发送或接收数据包的路径情况,在此基础上,构建节点关系采样矩阵其表述如下:
[0013]
[0014] 其中,矩阵中的每个点(i,j)表示对应节点j在异常发生后的连接关系;当节点i和节点j仍存在连接,则(i,j)表示为1,反之为0;
[0015] S13:求节点关系标准矩阵:取时间间隔Δt,计算异常检验时刻t前Δt时间内,节点的平均关系矩阵 其满足如下关系:
[0016]
[0017] 其中,t0为异常发生时刻,它反映了异常发生前,各节点与有传输关系的相邻节点间传输关系的稳态分布,将其作为分析时使用的节点关系标准矩阵;
[0018] S14:构建节点关系拓扑图,根据活跃节点集合a、节点关系采样矩阵H[ij]和节点关系标准矩阵 将各个节点对应于图形的
顶点,存在连接关系的两个节点间连线构成边,构建节点关系采样拓扑图和节点关系标准拓扑图。
[0019] 其中,所述步骤S2包括以下步骤:
[0020] S21:计算网络节点在异常采样时刻前后连接数量,即每个节点所对应的顶点,在节点关系采样拓扑图和节点关系标准拓扑图中所连接边的总个数,并分别记为Mi和[0021] S22:计算各节点的异常权重,计算在异常采样前,在每条边上的数据传输负载量,即在Δt时间内,各边上传输的数据总量,记为e(ij);
[0022] S23:计算各节点在异常发生前后,传输关系的拓扑差异程度,记为各节点的差异度deg(i),其满足以下关系:
[0023]
[0024] 其表征了节点在异常发生后传输关系的在节点拓扑图上的变化程度,差异度越高,对应节点发生异常的概率越高;
[0025] S24:用小批量
梯度下降法(MBGD)对所有节点按差异度进行快速排序,选择差异度最高的节点作为待判决节点k。
[0026] 其中,所述步骤S3包括以下步骤:
[0027] S31:化简关系判决矩阵:在节点关系采样矩阵H[ij]中,取待判决节点k与存在传输关系的Mi个节点所对应的行向量
[0028] X[k]=[(k,1),(k,2),....,(k,Mi)],
[0029] 同时,根据节点关系标准矩阵 取行向量X[k]的均值
[0030]
[0031] 将关系判决矩阵化简为如下协方差矩阵:
[0032]
[0033] 其中,
[0034] S32:计算待判决节点k在协方差矩阵下所对应的相关度:取i=k,并对协方差矩阵进行奇异值分解,使其满足如下等式:
[0035]
[0036] 其中,Σ为半正定对
角矩阵,其对角线上元素为∑i,计算矩阵∑对角线上的元素和θ,θ即为待判决节点k与相邻节点的相关度;
[0037] S33:设δ为异常节点的判决
阈值,若θ<δ,则待判决节点k为异常节点,完成异常定位,反正则节点k正常,排除后重新选择待判决异常点。
[0038] 与
现有技术相比,本发明的有益效果是:
[0039] 本发明提供的基于马尔科夫随机场理论的随机几何数据异常定位方法,可以快速定位电力数据网络中发生异常的节点位置,及时排除网络中的异常行为;此外,该方法在保证定位精度的同时,可以有效减少网络异常定位所需的运算量,减轻网络的额外负载。
附图说明
[0040] 图1为基于马尔科夫随机场理论的随机几何数据异常定位方法流程示意图。
[0041] 图2为基于马尔科夫随机场理论的随机几何数据异常定位方法节点关系拓扑图;
[0042] 图3为在电力数据网络环境中,100个节点在半径为50米的圆形区域内,运算次数对异常定位准确度的影响;
[0043] 图4为在电力数据网络环境中,100个节点在半径为50米的圆形区域内,异常节点个数对异常定位准确度的影响;
[0044] 图5为在电力数据网络环境中,500个节点在半径为50米的圆形区域内,异常节点个数对定位用时的影响。
具体实施方式
[0045] 附图仅用于示例性说明,不能理解为对本
专利的限制;
[0046] 以下结合附图和
实施例对本发明做进一步的阐述。
[0047] 实施例1
[0048] 如图1、图2所示,基于马尔科夫随机场理论的随机几何数据异常定位方法,包括以下步骤:
[0049] S1:基于马尔科夫随机场理论建立电力数据网络模型,构建对应的节点关系拓扑图;
[0050] S2:在得到的节点关系拓扑图中,分析各节点在异常发生前后的拓扑差异度,并选择待判决异常点;
[0051] S3:根据协方差矩阵的相关度,对各可疑节点进行异常判决,检测出异常节点。
[0052] 更具体的,所述步骤S1包括以下步骤:
[0053] S11:当网络异常发生时,记录电力数据网络中正在发送或接收信息的所有N个节点,其构成一个活跃节点集合a={1,2,...,N},则a为可能存在异常的所有节点的集合;
[0054] S12:在异常发生后,对所有活跃节点进行连接关系采样:统计在异常检测时刻t时,所有活跃节点发送或接收数据包的路径情况,在此基础上,构建节点关系采样矩阵其表述如下:
[0055]
[0056] 其中,矩阵中的每个点(i,j)表示对应节点j在异常发生后的连接关系;当节点i和节点j仍存在连接,则(i,j)表示为1,反之为0;
[0057] S13:求节点关系标准矩阵:取时间间隔Δt,计算异常检验时刻t前Δt时间内,节点的平均关系矩阵 其满足如下关系:
[0058]
[0059] 其中,t0为异常发生时刻,它反映了异常发生前,各节点与有传输关系的相邻节点间传输关系的稳态分布,将其作为分析时使用的节点关系标准矩阵;
[0060] S14:构建节点关系拓扑图,根据活跃节点集合a、节点关系采样矩阵H[ij]和节点关系标准矩阵 将各个节点对应于图形的顶点,存在连接关系的两个节点间连线构成边,构建节点关系采样拓扑图和节点关系标准拓扑图。
[0061] 更具体的,所述步骤S2包括以下步骤:
[0062] S21:计算网络节点在异常采样时刻前后连接数量,即每个节点所对应的顶点,在节点关系采样拓扑图和节点关系标准拓扑图中所连接边的总个数,并分别记为Mi和[0063] S22:计算各节点的异常权重,计算在异常采样前,在每条边上的数据传输负载量,即在Δt时间内,各边上传输的数据总量,记为e(ij);
[0064] S23:计算各节点在异常发生前后,传输关系的拓扑差异程度,记为各节点的差异度deg(i),其满足以下关系:
[0065]
[0066] 其表征了节点在异常发生后传输关系的在节点拓扑图上的变化程度,差异度越高,对应节点发生异常的概率越高;
[0067] S24:用小批量梯度下降法(MBGD)对所有节点按差异度进行快速排序,选择差异度最高的节点作为待判决节点k。
[0068] 更具体的,所述步骤S3包括以下步骤:
[0069] S31:化简关系判决矩阵:在节点关系采样矩阵H[ij]中,取待判决节点k与存在传输关系的Mi个节点所对应的行向量
[0070] X[k]=[(k,1),(k,2),....,(k,Mi)],
[0071] 同时,根据节点关系标准矩阵 取行向量X[k]的均值
[0072]
[0073] 将关系判决矩阵化简为如下协方差矩阵:
[0074]
[0075] 其中,
[0076] S32:计算待判决节点k在协方差矩阵下所对应的相关度:取i=k,并对协方差矩阵进行奇异值分解,使其满足如下等式:
[0077]
[0078] 其中,∑为半正定对角矩阵,其对角线上元素为∑i,计算矩阵∑对角线上的元素和θ,θ即为待判决节点k与相邻节点的相关度;
[0079] S33:设δ为异常节点的判决阈值,若θ<δ,则待判决节点k为异常节点,完成异常定位,反正则节点k正常,排除后重新选择待判决异常点。
[0080] 在具体实施过程中,如图3所示,在节点数N=100的电力数据网络中,在基于随机几何的快速异常定位方法和传统全局搜索方法下,异常定位准确率随搜索运算次数的变化而变化的情况。从图中可以看出,本发明提出的快速异常定位
算法,可以在相同运算次数下,取得比全局搜索更好的定位准确率。在快速定位算法方法中,节点间数据传输的相关性结构被高效地利用,从而可以剔除冗余的数据,提高定位的效率。此外,可以看出,在快速定位方法中,随着测量次数超过70次,性能无明显提升,这表明通过对部分电力数据网络的观察,我们可以实现接近于全局的观测的性能。
[0081] 在具体实施过程中,如图4所示,在与图3相同的设置下,多个异常节点对搜索效果的影响。为方便比较,我们将两种方法的测量数量都设置为70次,这样两种方法都没有完成全局搜索。从图中可以看出,虽然异常节点的数量增加了,快速定位方法仍能以较高的准确率,完成异常节点的定位。同时,随着异常节点的增加,快速定位算法的效率略有下降,这表明随着异常节点的增加,网络中异常数据的相关性会上升,相应的网络稀疏性会下降,快速定位方法从局部信息中获得的全局信息量会有所减少。但在实际应用中,多个节点同时异常的情况较少。因此这不影响本发明应用于实际。
[0082] 在具体实施过程中,如图5所示,在节点数N=500的电力数据网络中,在基于随机几何的快速异常定位方法和传统全局搜索方法下,异常定位所用时间随异常节点数量的变化而变化的情况。同图4和图5不同的是,我们不限制搜索的次数,这样两个方法都完成了全局搜索。从图中可以看出,相同异常节点数量情况下,快速定位方法的搜索用时远少于全局搜索方法。同时,随着异常节点的增加,快速定位算法的时间效率优势会越发明显。这表明,快速定位算法,通过利用节点间拓扑网络的相关性,可以很好地对关系判决矩阵进行化简,避免了大型矩阵的复杂运算,提高了搜索效率。
[0083] 显然,本发明的上述实施例仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何
修改、等同替换和改进等,均应包含在本发明
权利要求的保护范围之内。
