文摘

电力物联网的建设是电网企业的一个重要发展方向。虽然电力物联网是一种网络,它的密度比普通的物联网点和更复杂的设备类型,所以它有更高的要求,网络安全保护。与此同时,由于特殊的物联网信息感知和传输模式,在网络传播的信息很容易被偷、转卖,和传统的安全措施不能满足安全保护要求的新物联网设备。解决隐私泄漏和非法入侵造成的安全攻击网络,本文提出了构建一个设备电力物联网的肖像为终端设备和检测异常交通网络中基于设备的肖像。通过收集交通数据在网络环境中,各种网络流量特征提取和发现的异常流量分析和机器学习算法。通过收集交通数据在网络环境下,从物理层提取的特征,网络层,应用层消息的,设备的肖像是由一个机器学习算法。根据既定的攻击模式,相应的交通特性进行了分析,异常流量的检测是通过比较攻击流量特性和设备的肖像。实验结果表明,该方法的准确性超过90%。

1。介绍

电力物联网(物联网)应用物联网技术在智能电网业务,在发电、输电、变电、配电、和利用,因此,在每个链接,全面部署边缘信息感知、计算能力,和管理能力来执行终端设备,有效整合电力系统基础设施和通讯基础设施资源,并促进企业操作的整个过程的操作整个场景感知、信息融合和智能决策支持,提高利用效率的电网电力系统现有基础设施的所有链管理提供重要的技术支持(1,2]。的广泛应用,物联网技术在国网公司(国家电网有限公司)适应传统行业和互联网的趋势加速收敛,终端将增加几何级数相关的内容,通过传感器技术、通讯技术、计算机技术和终端访问网络;网络安全保护提出了更高的要求。同时,由于信息感知和传输方式的特殊性在物联网,物联网的传输信息很容易被偷和回放。传统安全措施不能满足安全保护要求的新物联网设备。因此,如何实现无处不在的电力物联网的安全,建立一个full-scene安全保护系统,适应无处不在的电力物联网已经成为一个迫切要解决的问题,由国家电网公司。

电力物联网体系结构由四个逻辑层次自下而上:传感、运输、平台和应用程序(3]。传感器层从智能电表收集原始数据,传感器,手持终端,相机,电脑,和其他智能设备,电网公司的所有数据的来源。网络层传输数据收集的感知层平台层安全可靠地通过网络通信技术等电力通信网络和无线专用网络。平台层商店,集群,分析数据,为应用层提供数据支持。应用程序层为用户提供数据服务(4- - - - - -7]。在感知层,电力系统的设备拥有有限的计算能力和存储。所以,传统的认证方法不合适,这将带来严重的安全问题。沟通方法和网络协议是复杂的,这使得网络安全的保护更加困难。在应用程序层,接口的安全责任不明确,和有一个管理的差距。电力物联网缺乏电力成套网络安全防护标准。然而,随着新服务的发展和安全形势的变化,大量的广泛访问终端设备和用户在无处不在的电力物联网环境中增加了网络接触表面,带来严峻挑战的保护系统的特点是边界隔离。此外,无处不在的电力物联网生下大量的新的商业模式,业务交互更加复杂,更加灵活和准确的安全策略和保护措施是迫切需要的。

因此,本文以电力物联网的终端设备为对象,提取特征基于他们所产生的交通信息交换和构造设备肖像。设备肖像的标签信息,提出了设备的整体状态通过描述一系列的个人的特点。通过设备的肖像,我们可以清晰直观地看到各种功能维度的所有设备。网络异常检测技术可以识别攻击行为非法设备根据设备的肖像和通知系统拦截和处理它。之间的信息交互网络是由网络流量,以及网络攻击的行为特征自然会反映在网络流量产生。因此,交通设备肖像构造根据设备是一种高效、实时异常检测技术。

仿真结果表明,异常行为检测的平均精度可以达到90%以上。本文的其余部分的结构如下。我们先概述工作流量异常检测的部分2。节3中,我们将介绍的主要工作计划。此外,在部分4介绍仿真结果,最后总结部分5

网络异常检测技术的前提是了解网络的异常行为的攻击。异常活动可分为三种类型:点异常,异常,和集体例外。根据攻击者的目标和活动,攻击分为以下四种类型:DoS(拒绝服务)攻击,试探性的攻击,用户根(U2R)和远程用户(R2U)。在网络异常检测技术、异常行为的表示通常分为两种:分数和二进制标记。根据(8),目前的网络异常检测技术可以分为四类:基于分类、典型的分类技术包括支持向量机、贝叶斯网络、神经网络。基于统计理论,卡方检验统计数据作为标准。典型的统计理论基础方法包括混合模型、信号处理技术、和主成分分析。

自从丹宁第一次提出了在1980年代网络入侵检测模型,学者在不同时期所提出的许多网络异常行为检测方法与自己的优势通过使用最新的技术。目前,异常行为检测方法主要有四种:基于统计分析的最基本的方法,该方法基于特征规则基于比较和匹配的数据特性和功能基础,基于数据挖掘的方法自动分析功能,和基于机器学习的最常见的方法。因为机器学习算法可以有效检测未知模式,基于机器学习的网络异常检测已成为近年来研究的重点,例如,基于集群网络异常行为检测,朴素贝叶斯决策树。

在机器学习算法有很多,他们有自己的优点和缺点。因此,学者们进一步的研究和创新的基础上,以前的研究,融合多个算法或改进他们设计一个新的模型,有效地利用各自的优点,避免缺点改善网络异常检测的影响。b . Senthilnayaki et al。9)结合遗传算法和支持向量机算法提出一个网络异常分析方法,结果表明,局部特征提取与遗传算法的检测精度高于训练支持向量机模型的所有特性。Chang et al。10)提出了一种基于射频网络异常检测方法和支持向量机来解决网络异常检测的检测率低,发现相结合的特征提取和机器学习可以提高检出率。高et al。11提出了一种自适应集成模型。通过调整比例的训练数据,设置多个决策树,并构建MultiTree算法,比较测试证明,提高了检测精度,并发现数据的质量特性是决定检测效果的一个重要因素。Naseer et al。12]研究了深度学习在网络异常检测的适用性和实现基于不同深度的异常检测模型神经网络结构,包括卷积神经网络、autoencoder,回归神经网络。Tavoli [13)提出了一种新的基于MLP神经网络的入侵检测方法的缺点,传统的异常检测方法不能检测网络中未知的异常高的速度和复杂性。实验结果表明,该方法优于其他方法减少假阳性。勇(14)提出了一种基于卷积神经网络的入侵检测算法。这个网络模型的准确性和检出率高于经典BP神经网络,支持向量机算法,深入学习算法DBN,提高了入侵检测的分类精度的认可。Zhang et al。15)提出了一个基于深度学习的入侵检测方法,它使用一个深自动编码器压缩不重要特性,提取关键特性,并构建一个模型,它使用NSL-KDD数据集进行测试,以快速、准确地识别攻击。

3所示。体系结构的设计方案

本文的总体框架主要分为两个部分,如图1:施工中断设备的肖像和网络访问异常行为的检测设备在特定攻击的场景。


图1
实现路线图网络访问行为异常检测基于设备的肖像。

把所有生成的交通终端设备为研究对象,综合考虑物理层、网络流量,和协议终端设备的行为特征,建立了终端设备的肖像。基于建立设备肖像和结合特定的攻击场景,分析和检测终端的网络访问行为是否异常。特定的实现路线如图1

3.1。设备的肖像

设备数据的基础上,利用标签,以设备作为一个单元,建立了数据模型,分析了设备数据和提取设备的每个维度的标签。标签的设备是设备肖像集构造。设备数据可以从两个方面解释:从物理的角度看,不同的设备有不同的电子元件,发射的电磁波从不同的设备也不同。这些特征包括基带载波频率偏移的稳态响应,同步信号相关值,基带I / O的抵消,信号解调信号振幅和相位误差等。这些特征的价值是独一无二的,不同的设备被视为设备的指纹。另一方面,它开始从网络层,它主要体现在设备运行期间所产生的网络流量。由于不同的功能和应用,TCP / IP协议栈的性能也不同。根据这两种类型的特征,可以从中提取有用的数据形成一个使用标签标记集。然后,基于机器学习的算法,独家肖像可以构造不同的设备来识别合法和非法用户。

肖像是指数字化和信息的标签。一系列的特性,可以表示设备在逻辑上以某种方式结合形成一个专有设备的肖像。肖像的核心工作是找到尽可能多的特性,可以代表该设备,尽可能融合多维特性,并生成一个设备通过建立一个数学模型来分析画像设备数据。

3.2。系统模型

设备画像是一种存在的多维描述设备功能。本文的肖像终端设备包含两个核心内容,如基本属性和访问行为属性,如图2。基本属性包括终端的IP, MAC地址,和机器的名字。访问行为属性的物理特性是由终端设备、网络流量特征,和协议的行为特征。


图2
画像内容的终端设备。

基本性质可以从网络流量包。物理层访问行为属性的特征包括瞬态信号指纹特征向量的个人通讯设备的特点。

物理层的特点包括星座轨迹BPSK, QPSK, OQPSK, MSK调制信号在接收端基带和时域和频域特性的时域波形。星座轨迹图本身是一种手段测量发射信号及其变化规律。发射器放大器的非线性响应,响应的过滤器,和其他线性和非线性干扰因素将反映在星座轨迹的变化轨迹地图。星座图提供了一个更全面的测量接收信号的特点。接到采样过量基带信号,接收机可以预处理信号简单。预处理主要是规范化的能量信号。预处理后接收到的信号,信号发送到我/双通道延迟设备。延迟器可以选择相同的和不同的I /延迟频道。我的选择/双通道信号延迟主要由信号调制的判断。之后,系统执行微分处理信号,稳定和清晰的星座可以在复平面轨迹图。

网络流量特性包括目标IP地址分布(数量),大小分布(均值和方差)的上游和下游,持续时间分布(均值和方差)的上游和下游流量,和网络流量。目标IP地址的分配,上游和下游流量的大小分布,上游和下游的持续时间分布可以从网络中提取交通流顺序和计算统计。统计的特点是方便快速检测。也有时间戳字段,海量存储系统(MSS)中,WScale, SYN,鳍,ACK, PSH、开始,RST TCP报头。版本号、IHL TTL、DF、服务条款、协议字段值,源端口号(运动),目的端口号(Dport)等等如表所示12

表1
TCP和IP报头字段值。
表2
应用程序层协议。

应用程序层的特征包括协议关键字段,写所有的协议向文档中出现的关键字,并反映协议文件的形式特点,没有具体分析的业务类型。服务层的特点,根据并行解析结果可以确定协议的消息。

3.3。网络访问行为异常检测的设备在特定的攻击场景

可以设置时间范围T建设设备的肖像,和时间T的特征值是当前设备的画像。基于设备的肖像,异常的网络访问行为的电力物联网终端设备可以进一步检测。具体地说,这个项目打算分析终端设备在特定攻击场景的肖像和确定异常的网络访问行为,实现快速、准确的检测伪造和恶意终端。具体过程如下:步骤1。建立攻击模式。指的是网络攻击链模型,攻击是总结的过程,建立了攻击模式。因为网络攻击链模型主要是针对网络攻击和整个电力物联网服务无处不在,有特殊攻击,如假终端,然后访问后台应用程序。因此,本项目考虑特定攻击场景,并计划建立一个常见的攻击模式的电力物联网。具体来说,除了调查和武器化的正常阶段包括在网络攻击链模型,等特殊阶段终端伪造和异常执行正常的指令将被添加到模型等特殊攻击使用伪造终端访问特定的服务,然后破坏业务系统通过正常指令。有各种类型的网络攻击,并有相应的攻击为每个级别。不实际使用所有攻击的网络异常检测模型。tcp - ip架构是今天的互联网的基础设施;许多网络攻击是针对TCP IP层,影响目标主机的正常过程。摘要SYN拒绝服务攻击,TCP端口扫描、选择和IP攻击来验证系统的检测性能,其中SYN拒绝服务攻击。三次握手过程中基于TCP连接,攻击者发送SYN请求消息到目标和目标主机收到消息后将分配资源,攻击者发送响应消息,并等待回复。攻击者不应对目标,使目标处于等待状态。通过大量的SYN请求数据包,可以耗尽目标主机的资源。TCP端口扫描:当目标主机的相应端口接收TCP连接请求,如果端口打开,TCP应答消息发送建立连接,如果端口没有打开,TCP RST消息发送到通知发件人,端口没有打开。通过向所有端口发送请求的目标反过来,检测接收到的响应可以告诉哪些端口为下一个攻击目标是开放的。 The IP address of the target host is “192.168.2.102”. The target port is traversed and selected in (65535)来解析接收到的消息。如果TCP层标志= 18,该端口是打开的;否则,它是关闭的。IP数据包分片攻击:当一个IP数据包太大,它将共享IP层。国旗MF的分片数据包告诉接收者数据包分片。目标主机将会收到这些包在缓存中等待后续的数据包并将它们合并的到来。发送大量的分片消息到目标人为地将耗尽目标主机的缓存资源。目标主机的IP地址是“192.168.2.102”,目标端口是80,源地址是任何可用的IP网段,源端口是任何港口的时间间隔。将遍历每个IP地址发送五个不同的ID,并且每个ID将发送5个IP信息与不同的偏移量。步骤2。分析的交通特征建立了攻击模式。每个攻击步骤的攻击模式,建立相应的交通特性进行了分析。流动特性分析包括物理层的特点,如通信信道的时域和频率特征。网络流量特征和网络流的顺序构造攻击流量。协议层特征构建攻击交通行为模型图。步骤3。比较和区分攻击流量特性和设备肖像基于最近邻聚类分析算法和选择。如果找到类似的交通特征,终端判断是伪造的或恶意的终端。

集群技术是一种广泛应用非监督机器学习算法,它结合了k - means算法和改进的协同过滤算法实现网络异常检测技术基于设备的形象。的过程中,将一组对象划分为不同的类,同一个类的数据应该有类似的特征,和数据特征在不同的类应该高度不同。数据集包含正常和异常数据形成不同大小的集群,以及越来越稀疏的通常被认为是不正常的。聚类完成后,观测数据之间的相似性和每个集群中心计算和集群具有高相似度是选为最近邻集合。如果异常集群和正常集群之间的相似性高于正常异常集群和集群,集群之间的相似性或正常和异常集群小于阈值,则被认为是异常。集群的详细过程如下:(1)随机选择 对象从n对象作为初始聚类中心(2)计算所有对象之间的区别和中央对象根据每个集群对象的平均值,并将元素划分为最低的集群的区别(3)每个集群与变化的平均值计算(4)重复步骤bc直到没有变化发生在每个集群(5)输出结果

的过程中选择最近的邻居,通过加权的概念相似度计算各种相似平衡因素(12),和选择的相似性度量因素主要包括特征矩阵相似和功能相似的设备肖像;那么,这部分的相似度计算公式 在哪里 用于描述不同特征的相似性之间的设备 观察和现有的设备; 用于描述图像的相似设备的观察和现有的设备;和 是用来描述相应的权重。后相似,相似度最大的结果作为最近邻。下面是计算设备的功能相似。假设有 的特性, 观察设备的特性 和现有的设备 使用和描述 反过来。设备的特性相似 之间的相似性 计算公式如下: 在哪里 用于描述特征数量相同的价值共享的设备 用于描述的不寻常的权利共同之处。所描述的设备肖像相似是皮尔森相关系数。皮尔逊相关系数值在[−1,1]的范围。皮尔逊相关系数的绝对值越高,相关性越强。皮尔森相关系数等于1时,相似度是最高的,呈正相关。皮尔森系数是−1时,相关性被认为是完全负面的。皮尔森相关系数为0时,没有关系。之间的相似性 是用皮尔逊相关系数如下: 在哪里 是用来描述设备的特征值 的平均值的多个流量设备的特点。 现有的集群,即设备的单特征值的某一设备,然后呢 设备的平均特征值肖像。

根据协同过滤算法的特点,该设备肖像相似优化防止最近邻整个物体空间中被发现。自 没有定义为负的,有吗 在哪里 用于描述特征最相似的价值。

特别是,可以检测到特定的攻击阶段根据不同的匹配结果。如果物理层指纹功能异常和网络和业务内容是正常的,它表明攻击者可能会改变核心设备进他的设备准备后续的攻击。如果物理层指纹特征是正常的,但是,网络流量特征异常,那么业务内容是正常的,表明攻击者是联系后台服务器,接收指令或更新攻击代码,等等。准备攻击。如果物理层和网络流量特征是正常的,业务层特征是不正常的,它表明攻击者正在开展业务攻击完成攻击的准备。

4所示。实验分析

4.1。仿真实验环境

Pycharm开源平台上进行了实验,这可以建立各种各样的机器学习算法,包括聚类算法的应用和协同过滤算法。建立一个推荐引擎提供的工具平台。

摘要旁路监控流量方法被用来实现网络数据流量通过旁路监控包括旁路检测、数据采集、网络分析和信息提取。特定的数据采集方案基于绕过检测:设置旁路监控数据开关,定期收集数据流量包的设备访问网络服务和内部资源,并提取相关的网络协议和商业信息终端设备。其结构框图如图3


图3
数据采集架构图。

通过在网络交换机端口镜像,绕过监控设置过滤网络数据包根据检测到相应的MAC地址,以获得有关包的设备终端。在数据通信中,由每个生成的数据包网络活动的终端设备可以被看作是两个节点之间的数据交互的过程。这个被动元件交通采集方法是不那么咄咄逼人和入侵,没有限制的设备类型,并容易操作在实践中,这也是为什么选择被动元件的流量采集。

还有另一个需要考虑的问题。终端设备将显示不同的网络行为与执行任务的变化,因此该设备所产生的网络流量的不确定性,这将影响我们的画像代的准确性。面对这个问题,我们将终端设备的整个运行过程划分为两个部分:启动阶段和服务阶段。这个过程从加电到完整的硬件和软件配置的启动阶段:服务阶段的阶段设备执行功能任务在完成各种配置。设备开始执行一项任务,其网络行为极易受网络环境的影响,如网络管理员配置网络环境变化和通信终端实体流的变化,以及这种变化需要一段时间来显示某种规则和唯一性的特点,但这一次的周期长度是不固定的。例如,接入点设备的周期性行为模型可以分析通过分析单个数据包,这是在实际操作中并不可行。我们可以使用启动阶段的特征来解决这个问题。由于其单一功能和资源有限,很多配置智能设备的物联网将固定在硬件或软件的设置,也就是说,配置在启动阶段。从电源故障过渡到正常状态的设备有一个严格的装载机,这为我们提供了一个稳定的流动窗口起始时间。推出复杂的Linux操作系统。 For example, firstly, the basic input-output system (BIOS) is checked to confirm the hardware status is normal; secondly, load the disk, and then load the master boot record (MBR) of file system's; Thirdly, read the content of the code from the MBRboot, which is the bootstrap program. The bootstrap program contains the code to load the system's kernel, start the initialization process, perform the script from different levels, etc.; Finally, the whole booting procedure is completed by the bootstrap program of the operating system loads. The startup process takes a relatively fixed time, so the time window experienced in the startup stage is relatively stable. In addition, most of the installation systems of smart devices in the Internet of things are not heavyweight systems, so the startup time is about 3 minutes or less. Therefore, we choose to obtain the traffic packets during the startup period of the device to construct the device portrait.

在袭击中模块,本文构造两个主机组成的一个系统,使一个主机攻击者,另一目标主机收到攻击。数据采集模块收集攻击数据和交通所产生的正常沟通,收集并保存网络攻击数据和正常数据,并分析包。特征提取模块负责特征提取和处理,改变网络数据从无序到TCP连接,并编写代码来计算每个连接的功能价值从这些字段。特征提取后,功能处理应使特性满足要求的机器学习算法。在本文中生成的三个攻击是所有基于Scapy图书馆。Scapy用于设置字段值的网络协议,可生成所需的数据包和网络攻击形式。

4.2。确定相似的重量值

权重 在攻击流的相似性计算和设备符合画像 根据实际数据和最小二乘拟合方法在线性规划, 调整,以获得最优的结果。以下是三种不同情况下的 , , 比较准确率和召回率。成功率的总重量的比例攻击的成功验证匹配设备。召回率是成功的数量的比例匹配的候选人将收到的实际数量匹配实验。

从表可以看出3在增加的情况下,精确率逐渐增加,是最高的0.65。通过合成的所有元素,相似性分析聚类分析需要时间。

表3
重量分析结果。
4.3。不同算法的比较

确定聚类分析的参数后,设备的肖像是由不同的机器学习算法进行比较。在实验中,所选择的机器学习算法包括逻辑回归、决策树,随机森林。的算法是最符合设备肖像和异常检测被选中。结果如表4

表4
比较不同的攻击类型和不同算法的准确性。

从表可以看出4,聚类分析算法在TCP端口扫描精度最高的91.2%,而随机森林算法精度最低的88.7%。在IP分片攻击中,聚类算法的准确率达到90.9%和80.3%的决策树。SYN拒绝服务攻击,逻辑回归算法有90.5%的准确率,和第二个最高的是聚类分析的差异只有0.2%。

结果显示在表中4以上四个算法中,设备肖像由聚类分析算法的识别准确率高设备网络中的异常,满足系统的需求。

4.4。在异常检测功能的影响

设备由画像不同的特性也不同。观察设备肖像在异常检测的影响,不同的删除功能,分别观察实验结果的差异。

数据4- - - - - -6,对应设备画像对检测结果的影响在三个攻击模式:TCP端口扫描,否认SYN攻击,和IP分片攻击。纵轴代表的是准确性,横轴代表四个算法从左到右:集群、逻辑回归、决策树,随机森林。第一个圆柱表示结果之前删除功能,第二个是删除的准确性物理层特性,第三只代表删除网络层功能,第四个是删除应用程序层特性的结果。


图4
影响设备的肖像在端口扫描。

图5
设备肖像否认SYN攻击的影响。

图6
设备肖像在IP分片攻击的影响。

从数据可以看出4- - - - - -6删除后,网络层的功能,系统的性能将显著下降,其次是物理层和最终应用程序层。从上面可以看出,网络流量异常检测的机器学习算法在很大程度上是依赖于特征值的完美选择。如果清除了一些关键特性,模型的性能会显著降低。否认的SYN攻击,四个算法的性能下降后删除几个特性,和特征最明显的影响否认SYN攻击。TCP端口扫描攻击被移除后,聚类分析和逻辑回归可以维持高检测性能,而其他算法下降。SYN拒绝服务攻击被删除后,四个算法都显示一定程度的下降,和随机森林聚类分析表现略好。未来的升级,使系统能够做出更准确的判断的网络攻击,特征提取需要提高和改善。

设备的肖像是一个描述设备的一系列特征。设备肖像来检测异常网络流量的准确性很大程度上取决于肖像的完整性,即选择的特性值的完整性和准确性。如果清除了一些关键特性,监测系统的性能将大大降低。

5。结论

在本文中,我们提出了构建设备肖像电力物联网终端设备和检测网络异常流量根据设备肖像,保护网络的安全在一定程度上的东西。实验结果表明,该方法的准确性超过90%。由于资源的限制,我们收集有限的终端设备和交通数据,无法进行大规模测试。在接下来的工作中,我们将收集更多的刷子,不断提高施工设备的肖像。

数据可用性

本文的实验数据来源和国家电网公司的实际生产经营数据,中国只能在公司的内部网络。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作是由中国国家电网公司科技项目(批准号5700 - 201958466 - 0 - 0 - 00):“端到端安全威胁分析和准确的保护物联网无处不在的力量。”