一种基于网络流量数据的通信行为深度分析与预警方法及装置与流程

本发明涉及网络安全，具体涉及一种基于网络流量数据的通信行为深度分析与预警方法及装置。

背景技术：

1、随着互联网的迅猛发展，网络流量数据呈爆炸性增长，各种网络应用和服务层出不穷。在电网数字化转型的过程中，面向电力数字化的网络通信安全也日益成为关注的焦点。通信网络承载着大量的实时数据和控制指令，其安全性直接关系到电网数字化系统的稳定运行。然而，当前电力通信网络面临着诸多安全威胁，如黑客攻击、网络病毒、人为入侵等，这些威胁可能导致电网数字化通信中断、数据泄露或系统崩溃等严重后果。

2、在电力企业中，传统的网络安全监测方法主要依赖于防火墙、入侵检测系统等工具，但这些方法往往存在误报率高、漏报率高、响应速度慢等问题，已难以应对日益复杂的网络攻击。一方面，电网通信网络的边界日益模糊，网络攻击者可以通过各种手段绕过边界防护，直接对电网内部系统发起攻击；另一方面，网络攻击手段不断更新换代，传统的静态防御方法已难以有效应对。因此，如何实现对网络流量数据的实时监控和深入分析，以精准识别异常通信行为，并及时触发预警，成为了电力网络安全领域亟待解决的问题。

3、近年来，随着大数据、人工智能等技术的快速发展，为网络流量数据的深度分析和实时预警提供了新的思路和方法。然而，根据当前署名发明人的工作发现，现有技术中结合lstm和自编码器的网络流量异常检测方法可能存在特征提取局限、模型鲁棒性不足、实时性差、预警机制不完善和泛化能力有限等问题，这些不足影响了异常检测的准确性和时效性，因此需要进一步优化以提高检测效率和实用性。

技术实现思路

1、发明目的：为了解决上述技术问题，本发明的目的是提供一种基于网络流量数据的通信行为深度分析与预警方法及装置，能够实时收集网络流量数据，通过深度解析和智能分析，识别出潜在的通信威胁和异常行为，并触发相应的预警机制。

2、技术方案：第一方面，一种基于网络流量数据的通信行为深度分析与预警方法，包括以下步骤：

3、实时采集网络流量数据，构建电网流量数据集；

4、对电网流量数据集进行预处理，通过删除冗余和缺失值、特征编码、数据归一化处理，消除噪声和无效数据；

5、基于预处理后的电网流量数据，通过多层神经网络和特征选择算法，提取出最具代表性的通信行为特征数据，称为最优特征数据子集；

6、结合长短时记忆网络lstm和降噪自编码器dae框架，建立lstm-dae深度学习优化模型对最优特征子集数据进行深度学习和训练，建立通信行为分析模型；

7、利用通信行为分析模型对新的网络流量数据进行实时分析，以识别异常通信行为，并在检测到异常通信行为时，触发实时预警。

8、第二方面，一种基于网络流量数据的通信行为深度分析与预警装置，包括：

9、数据采集模块，用于实时采集网络流量数据，构建电网流量数据集；

10、数据预处理模块，用于对电网流量数据集进行预处理，通过删除冗余和缺失值、特征编码、数据归一化处理，消除噪声和无效数据；

11、特征提取模块，用于基于预处理后的电网流量数据，通过多层神经网络和特征选择算法，提取出最具代表性的通信行为特征数据，称为最优特征数据子集；

12、模型构建模块，用于结合长短时记忆网络lstm和降噪自编码器dae框架，建立lstm-dae深度学习优化模型对最优特征数据子集进行深度学习和训练，建立通信行为分析模型；

13、通信行为分析与预警模块，用于利用通信行为分析模型对新的网络流量数据进行实时分析，以识别异常通信行为，并在检测到异常通信行为时，触发实时预警。

14、第三方面，本发明还提供一种计算机设备，包括：一个或多个处理器；存储器；以及一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，并且被配置为由所述一个或多个处理器执行，所述程序被处理器执行时实现如上所述的基于网络流量数据的通信行为深度分析与预警方法的步骤。

15、第四方面，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的基于网络流量数据的通信行为深度分析与预警方法的步骤。

16、有益效果：(1)本发明提出了一种基于网络流量数据的通信行为深度分析与实时预警方法及装置，针对已有通过基于lstm进行网络流量数据异常分析、以及结合lstm和自编码器的lstm-ae网络流量异常检测，但是其精度受到训练数据中噪声的限制，导致了模型难以区分正常、异常、和噪声数据能力不强，进而导致检测精度不高的问题。该方法和装置能够实时捕获和分析网络流量数据，利用深度学习算法对通信行为进行深度学习和训练，建立通信行为分析模型对新的网络流量数据进行实时分析，以识别异常通信行为，并触发实时预警。同时还支持多种预警信息发布渠道，方便管理员或相关安全人员及时了解和应对网络安全事件。

17、(2)本发明一方面通过特征选择从而更精准捕捉时间序列特征数据，有效去除噪声数据，提高处理的效率；另一方面通过对优化后的lstm和降噪自编码器dae结合，充分利用dae使得模型具备鲁棒表达的能力和lstm在时序数据处理方面的优势，有效提高异常通信行为的检测的准确性，通过通信异常检测预警及时发现和应对网络攻击和恶意行为，保护组织和个人免受损失。

技术特征：

1.一种基于网络流量数据的通信行为深度分析与预警方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的方法，其特征在于，实时采集网络流量数据，构建电网流量数据集，具体方法包括：

3.根据权利要求1所述的方法，其特征在于，基于预处理后的电网流量数据，通过多层神经网络和特征选择算法，提取出最具代表性的通信行为数据特征，称为最优特征数据子集，具体方法包括：

4.根据权利要求3所述的方法，其特征在于，每个特征和攻击类型的f值计算方法如下：

5.根据权利要求1所述的方法，其特征在于，所述lstm-dae深度学习优化模型包括：

6.根据权利要求5所述的方法，其特征在于，所述lstm层包含h个隐藏单元，lstm隐藏单元包括输入门it、输出门ot和遗忘门ft，同时通过单元状态ct进行连接，表示为：

7.根据权利要求1所述的方法，其特征在于，利用通信行为分析模型对新的网络流量数据进行实时分析，以识别异常通信行为，并在检测到异常通信行为时，触发实时预警，具体方法包括：

8.一种基于网络流量数据的通信行为深度分析与预警装置，其特征在于，包括：

9.一种计算机设备，其特征在于，包括：一个或多个处理器；存储器；以及

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的一种基于网络流量数据的通信行为深度分析与预警方法的步骤。

技术总结
本发明公开了一种基于网络流量数据的通信行为深度分析与预警方法及装置，方法包括：实时采集网络流量数据，构建电网流量数据集；对电网流量数据集进行预处理；基于预处理后的电网流量数据，通过多层神经网络和特征选择算法，提取出最具代表性的通信行为特征数据，称为最优特征数据子集；建立LSTM‑DAE深度学习优化模型对最优特征数据子集进行深度学习和训练，建立通信行为分析模型；利用通信行为分析模型对新的网络流量数据进行实时分析，以识别异常通信行为，并在检测到异常通信行为时，触发实时预警。本发明对于未见过的流量数据的具有泛化能力，可有效提高行为异常检测预警精度和效率。

技术研发人员：沈伍强,周纯,钱正浩,崔磊,龙震岳,裴求根,李如雄,唐亮亮,何明东,梁哲恒,王业超,卢妤,周泽元,沈桂泉,姚潮生,张金波,吴漾,胡啟镝,张小陆,朱昌会,伍江瑶,许明杰,金戈
受保护的技术使用者：广东电网有限责任公司
技术研发日：
技术公布日：2024/12/30