(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111498284.8 (22)申请日 2021.12.09 (71)申请人 广东电力通信科技有限公司 地址 510080 广东省广州市越秀区东 风东 路836号1座3201- 3206室 (72)发明人 骆宇平　高如超　潘亮　陈业钊　 刘皓杨　 (74)专利代理 机构 南京禹为知识产权代理事务 所(特殊普通 合伙) 32272 专利代理师 沈鑫 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种配电通信网络安全态势感知与异常入 侵检测方法 (57)摘要 本发明公开了一种配电通信网络安全态势 感知与异常入侵检测方法， 包括， 对网络关键节 点中的原始网络行为数据进行数据预处理， 并整 合为标准化训练数据集； 基于随机森林算法， 从 标准化训练数据集中提取影响网络异常状态的 关键特征指标； 根据标准化训练数据集构建特征 层森林， 并结合所述关键特征指标训练特征层森 林， 计算连接权重； 根据连接权值建立网络异常 检测模型， 识别网络攻击类型； 本发明加快了宽 度森林学习算法建模的训练速度， 降低学习任务 的复杂度； 同时降低了模型复杂度， 加快了学习 收敛速度， 提高了 检测准确度。 权利要求书2页 说明书8页 附图1页 CN 114448657 A 2022.05.06 CN 114448657 A 1.一种配电通信网络安全态 势感知与异常入侵检测方法， 其特 征在于： 包括， 对网络关键节点中的原始网络行为数据进行数据预处理， 并整合为标准化训练数据 集； 基于随机森林算法， 从标准 化训练数据集中提取影响网络异常状态的关键特 征指标； 根据标准化训练数据集构建特征层森林， 并结合所述关键特征指标训练所述特征层森 林， 计算连接 权重； 根据所述连接 权值建立网络异常检测模型， 识别网络攻击类型。 2.如权利要求1所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在于： 原始网络行为数据包括， 原始网络行为数据的每条数据包含5方面属性： 网络连接基本特征、 网络连接内容特 征、 网络主机相关信息、 网络流 量特征和网络防护特 征； 其中， 所述网络连接基本特征为： 连接时长DU RATION， 连接协议类型PROTOCOL_TYPE， 连 接状态FLAG； 所述网络连接内容特征为： 登陆状态LOG_IN， 今日登录次数NUM_LOGIN， 今日操作次数 NUM_OPERATION， 今日受到威胁 状态的次数NUM_COMPROMISED； 所述网络主机相关信息为： 主机标识HOST_ID， 主机数量HOST_NUM， 各主机的安全防护 等级SECURE_LEVEL； 所述网络流量特征为： 连接服务数SERVICE_NUM， 连接服务类型SERVICE_TYPE， 连接相 同服务的次数SAM E_SERVIC E_NUM， 连接不同服 务的次数DIF F_SERVIC E_NUM； 所述网络防护特 征为： 攻击标识类型AT TACK_NUM、 源地址SIP、 目的地址DIP。 3.如权利要求2所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在于： 数据预处 理包括数据清洗、 数据转 化、 数据归一 化； 通过对网络关键节点中的原始网络行为数据进行数据预处理， 生成网络行为特征向量 X∈RN×M； 其中， R表示该 特征向量的维度标识， N表示样本容 量， M表示输入特 征个数。 4.如权利要求3所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在于： 标准化训练数据集包括， 按照攻击标识类型ATTACK_TYPE对特征字段进行分类标注， 正常记录标注为1， DoS攻击 记录标注 为2， Probe攻击记录标注 为3， R2L攻击记录标注为4， U2R攻击记录标注 为5， 以符号 Y表示； 将所述网络行为特 征向量X∈RN×M和攻击标识Y∈RN×K组合为标准化训练数据集D： D＝{(xi,yi),i＝1,2,...,N} 其中， K表示所属类别个数， xi为第i个样本的网络行为特征向量， yi为第i个样本的攻击 标识类别。 5.如权利要求3或4所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在 于： 关键特 征指标包括， 根据重要性度量得分{Scorej}j＝1,...,M对标准化训练数据集 的M个特征进行排序， 并设 置参数r∈[0,1]作为特 征选择的比率， 选择 出Q＝rM个最重要特 征作为关键特 征指标。 6.如权利要求5所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在于：权　利　要　求　书 1/2 页 2 CN 114448657 A 2特征层森林包括， 特征层森林由n组森林组成， 每组包含一个随机森林和一个完全随机森林； 假设每个随 机森林由T棵决策树组成， 设置T＝5 0。 7.如权利要求6所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在于： 训练所述特 征层森林包括， 初步训练特 征层森林， 得到n组目标类别的预测概 率Zn： Zn＝{Zi}i＝1,....,n 基于关键特 征指标， 设置参数r＝0.45， 将标准 化训练数据集压缩为： X'∈RN×Q 再次训练特征层森林， 获得n组增强层森林， 将初步训练特征层森林得到的Zn与X'结合 作为增强层森林的输入， 表示 为： [Zn|X']∈RN×(2nK+Q) 其中， Zi∈RN×2K， Zn∈RN×2nK； Zi表示特征层森林输出 的第i个预测概率， X'∈RN×Q为压缩 后的标准 化训练数据。 8.如权利要求7所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在于： 计算连接 权重包括， 通过训练所述增强层森林， 获得新的预测概 率Hm： Hm＝{Hi}i＝1,...,m 其中， Hi∈RN×2K,Hm∈RN×2mK， Hi表示增强层森林输出的第i个预测概 率； 将Zn与Hm进行组合作为输出层的输入A， 表示 为： A＝[Zn|Hm]∈RN×(2nK+2mK) 通过对输入A求伪逆， 计算连接 权重 其中， λ是正则化 参数。 结合岭回归获得的连接 权重 的最优解 其中， T为 转置符。 9.如权利要求8所述的配电通信网络安全态势感知与异常入侵检测方法， 其特征在于： 包括， 网络异常检测模型的输出O为： 权　利　要　求　书 2/2 页 3 CN 114448657 A 3