本发明涉及信息系统网络安全态势的评价领域,具体来说是一种基于多通道架构结合稀疏自编码器和adaboost集成学习算法对电力物联网网络安全态势进行综合评价的方法。
背景技术:
:最近几年,随着电力物联网的不断发展,接入设备种类日益增多,电力物联网结构日益复杂,使电力行业信息网络的复杂性及不确定性不断增加,电力物联网的信息安全防护面临巨大挑战。因此,对系统整体网络安全态势的监管要求也将不断提高,传统的网络安全态势评估手段将无法满足复杂系统的高效而精准的评估需求。为了提升电力物联网的网络安全保障能力,准确而客观地评价电力信息网络安全态势,有效地指导信息系统安全、高效、经济地运行,一种能够综合系统各类网络安全指标并实现自动评估的电力物联网网络安全态势评估方法就显得尤为重要。在分析对象各态势指标并进行综合网络安全态势评估方面,申请号为cn201910432976.9、名称为“一种基于sae+bpnn的网络安全态势评估方法”的发明专利公开了一种网络安全态势的综合评价方法,该发明属于网络安全态势评估领域,其中的综合评估方法主要思路如下:对提取到的指标数据进行归一化处理;将归一化处理后的指标数据输入训练完成的深度自编码神经网络,以对归一化后的指标数据进行降维处理;将降维处理后的指标数据输入至训练完成的bp神经网络,以对网络安全态势进行评估。该评价方法通过将稀疏自编码器与bp神经网络相结合,解决了评估数据维度过大会导致模型构建的复杂度较高的问题,为网络安全态势评估提供了一种评估效率较高的方案。虽然上述技术方法考虑到原有bpnn方法的技术缺陷,采用了sae(稀疏自编码器)与bpnn(反向传播神经网络)相结合进行网络安全态势评估的思想,克服了模型评估数据维度过大会导致模型构建的复杂度较高的问题。但是,在具体使用的技术方法上,该专利使用的还是最传统的神经网络算法,这类方法没有考虑到指标和安全问题之间的对应关系,忽略了不同类指标的所代表的网络安全问题不同,导致产生不同类指标混合的特征,对整体特征造成干扰。对于像电力物联网这样的安全问题因素较多的企业级信息系统而言,传统的神经网络算法在整体系统网络安全态势评估方面还是存在一定局限性的;再者,传统的神经网络算法容易发生过拟合,从而导致模型精度下降。技术实现要素:本发明的目的在于解决现有方法没有考虑到指标和安全问题之间的对应关系,忽略了不同类指标的所代表的网络安全问题不同,导致产生不同类指标混合的特征,对整体特征造成干扰,从而导致现有评估方法精度差,泛化误差大的问题。为了解决上述技术问题,本发明采用以下技术方案:本发明提供了一种基于多通道sae-adaboost的电力物联网网络安全态势评估方法,包括以下步骤:步骤1:网络安全态势指标划分为多个通道t1,t2,λ,tn;步骤2:对于每一个通道,sae通过隐含层将每一个无标签训练样本k维矢量x′映射成m维的编码矢量xh,以得到高维数据的低维表示xh;步骤3:对于通道ti训练数据集其中表示经步骤2降维后的样本点,xh降维后的数据,x是指通道划分后的指标数据,yi表示样本对应的类别,取值为{-1,1},为“1”时表示此通道对应的安全事件会发生,adaboost算法从训练数据中不断改变样本的权重,串行学习到一系列的弱学习器,并将这些弱学习器线性组合为一个强学习器,使用这个强学习器对其对应的通道进行评估;步骤4:ahp综合考虑通道之间的相对重要性,融合多个通道的评估结果,得到整体网络安全态势。在上述技术方案中,步骤1包括以下步骤:对网络安全环境产生影响的网络安全问题划分为n个通道:t1,t2,λ,tn;根据各个指标和安全问题之间的对应关系,将整体态势指标划分到以上n个通道。在上述技术方案中,步骤2包括以下步骤:s2.1:对每个通道ti的指标数据进行归一化,采用最小-最大值标准法,将通道ti指标数据的大小范围缩小到[0,1]之间:其中x代表指标数据;s2.2:对通道ti指标数据进行编码:通过隐含层将每一个无标签训练样本k维矢量x′映射成m维的编码矢量xh,以得到高维数据的低维表示xh。在上述技术方案中,步骤3具体包括:步骤3.1:dm=(wm1,wm2,a,wmn)表示第m个弱分类器样本的权重,初始化样本点的权重为:d1=(w11,w12,λ,w1n),步骤3.2:对于m=1,2,λ,m,使用带有权重dm的样本训练一个弱学习器gm(x);步骤3.3:计算弱学习器gm(x)的分类误差:步骤3.4:由前向分步算法,弱分类器gm(x)的系数为:步骤3.5:更新第m+1个弱学习器样本的权重分布:dm+1=(wm+1,1,wm+1,2,λ,wm+1,n)其中,其中,其中,zm是规范化因子,主要作用是将wmi的值规范到0-1之间,使得步骤3.6:使用各个弱分类器的系数加权将所有弱分类器进行线性组合,得到最终的强分类器:在上述技术方案中,步骤4具体包括以下步骤:步骤4.1:基于通用漏洞评分系统(cvss)制定风险事件影响值评价表:指标影响程度影响值机密性(c)无(n)/低(l)/高(h)0/0.22/0.56完整性(i)无(n)/低(l)/高(h)0/0.22/0.56可用性(a)无(n)/低(l)/高(h)0/0.22/0.56步骤4.2:结合s1中表格,确定每个通道ti对应的安全事件的c、i、a值,并计算通道ti的影响值步骤4.3:结合s1中表格,从机密性、完整性、可用性三个维度,利用成对比较法构造通道的成对比较矩阵:其中aij表示通道ti相对于通道tj的重要程度;步骤4.4:计算特征根λ,并进行一致性检验:aw=λw定义一致性指标:n代表通道个数;定义一致性比率:其中ri为随机一致性指标,当一致性比率cr<0.1时,a的不一致程度在容许范围之内,有满意的一致性,通过一致性检验,用其归一化特征向量作为权向量,否则要重新构造成对比较矩阵a;步骤4.5:利用通过检验的特征根λ,计算权向量w,将所有通道加权融合得到整体网络安全态势:其中,i(t)是一个通用函数,当参数t为真时,输出为1;当参数为t为假时,输出为0,的含义是ti对应的强分类器。因为本发明采用上述技术方案,因此具备以下有益效果:1.本发明将整体指标划分多个通道,不仅充分考虑到不同类指标的所代表的网络安全问题不同,同时保证了同一通道内特征的独立性和纯净性。按照安全问题划分多个通道,在电力物联网网络安全态势急剧下降时,有利于安全问题的定位、追踪、溯源。2.针对传统神经网络算法容易发生过拟合而导致模型精度下降的问题,引入adaboost集成学习算法,对多个弱学习器线性加权,降低了泛化误差、提升了模型精度。3.基于cvss风险事件影响值评价表,使用ahp对各个通道进行融合得到整体网络安全态势,并且综合考虑了各个通道之间的相对重要性,使得评估结果更具有依据性和说服性。附图说明图1为通道划分示意图。具体实施方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。网络安全态势指标划分为多个通道:充分考虑网络安全环境通常会受多个方面影响,将可以对网络安全环境产生影响的网络安全问题划分为n个通道:t1,t2,λ,tn;根据各个指标和安全问题之间的对应关系,将整体态势指标划分到以上n个通道。sae-adaboost对多个通道分别进行评估的具体步骤如下:s1:对每个通道ti的指标数据进行归一化,采用最小-最大值标准法,将通道ti指标数据的大小范围缩小到[0,1]之间:s2:对通道ti指标数据进行编码的过程就是通过隐含层将每一个无标签训练样本k维矢量x′映射成m维的编码矢量xh,以得到高维数据的低维表示xh。具体步骤如下:(1)将归一化后的数据x′={x′1,x′2,λ,x′k}通过线性函数和sigmoid激活函数,映射到隐含层得到编码结果即:将编码结果y通过线性函数和sigmoid激活函数,映射到重构层得到解码结果x″={x″1,x″2,λ,x″k},x″的维度与原始数据x′的维度一致,即:其中,xh为编码后的数据,x′即原始数据的特征表达,x″为解码后的数据,w1、w2、b1、b2分别为输入层到隐含层、隐含层到重构层的权重及偏置。(2)当隐含层某个神经元输出的值接近1,则该单元处于“活跃”状态,相反,则处于“非活跃”状态。为了实现“稀疏”的目的,通过抑制隐含层的大多数神经元并让其处于“非活跃”的状态,aj(k)表示第j个单元的激活量,那么隐含层第i个神经元的平均激活量为:(3)使用kl散度作为pn表达式,以惩罚偏离一个接近于0的常数ρ,从而大多数神经元被抑制以实现稀疏的目的:其中,sh代表隐含层的神经元数量,为与ρ间的相对熵,相对熵度量两个分布之间的差异性。由于相对熵是凸函数,当时,kl达到最小值。为了实现稀疏性的限制,定义损失函数为:其中,n为样本的数量,入为规则化系数,x″i为第i组样本的输出值,β为稀疏性限制惩罚项的系数。上述公式由三部分组成,分别是均方差项、规则化项、惩罚项。(4)通过梯度下降算法优化代价损失函数及参数w,b:wi,bi分别表示第i个数据的权重与偏置,α表示学习率。在达到一定迭代次数时,隐含层神经元获得高维数据的学习特征,同时稀疏自编码深度神经网络已经训练好对应的权值向量w和偏置向量b,将w和b代入(1)中公式就得到了降维后的数据xh。s3:是降维后的数据xh加上标签数据y得到通道ti训练数据集其中表示经s2降维后的样本点,yi表示样本对应的类别,取值为{-1,1},为“1”时表示此通道对应的安全事件会发生。adaboost算法从训练数据中不断改变样本的权重,串行学习到一系列的弱学习器,并将这些弱学习器线性组合为一个强学习器。具体步骤如下:(1)dm=(wm1,wm2,λ,wmn)表示第m个弱分类器样本的权重,初始化样本点的权重为:(2)对于m=1,2,a,m,使用带有权重dm的样本训练一个弱学习器gm(x),这里的弱学习器可以是神经网络、决策树等,这些弱学习器的原理和训练过程不再赘述。(3)计算弱学习器gm(x)的分类误差:i(t)是一个通用函数、,当参数t为真时,输出为1;当参数为t为假时,输出为0。(4)由前向分步算法,弱分类器gm(x)的系数为:(5)更新第m+1个弱学习器样本的权重分布dm+1=(wm+1,1,wmn+1,2,λ,wm+1,n)其中,zm是规范化因子,主要作用是将wmi的值规范到0-1之间,使得(6)使用各个弱分类器的系数加权将所有弱分类器进行线性组合,得到最终的强分类器:ahp融合多个通道的评估结果得到整体网络安全态势的具体步骤如下:s1:基于通用漏洞评分系统(cvss)制定风险事件影响值评价表:指标影响程度影响值机密性(c)无(n)/低(l)/高(h)0/0.22/0.56完整性(i)无(n)/低(l)/高(h)0/0.22/0.56可用性(a)无(n)/低(l)/高(h)0/0.22/0.56s2:结合s1中表格,确定每个通道ti对应的安全事件的c、i、a值,并计算通道ti的影响值:s3:结合s1中表格,从机密性、完整性、可用性三个维度,利用成对比较法构造通道的成对比较矩阵:其中aij表示通道ti相对于通道tj的重要程度。s4:计算特征根λ,并进行一致性检验:aw=λw定义一致性指标:定义一致性比率:其中ri为随机一致性指标,一般认为一致性比率cr<0.1时,认为a的不一致程度在容许范围之内,有满意的一致性,通过一致性检验。可用其归一化特征向量作为权向量,否则要重新构造成对比较矩阵a。s5:利用通过检验的特征根λ,计算权向量w,将所有通道加权融合得到整体网络安全态势:当前第1页1 2 3
技术特征:1.一种基于多通道sae-adaboost的电力物联网网络安全态势评估方法,其特征在于:
步骤1:网络安全态势指标划分为多个通道t1,t2,λ,tn;
步骤2:对于每一个通道,sae通过隐含层将每一个无标签训练样本k维矢量x′映射成m维的编码矢量xh,以得到高维数据的低维表示xh;
步骤3:对于通道ti训练数据集其中表示经步骤2降维后的样本点,xh降维后的数据,x是指通道划分后的指标数据,yi表示样本对应的类别,取值为{-1,1},为“1”时表示此通道对应的安全事件会发生,adaboost算法从训练数据中不断改变样本的权重,串行学习到一系列的弱学习器,并将这些弱学习器线性组合为一个强学习器,使用这个强学习器对其对应的通道进行评估;
步骤4:ahp综合考虑通道之间的相对重要性,融合多个通道的评估结果,得到整体网络安全态势。
2.根据权利要求1所述的一种基于多通道sae-adaboost的电力物联网网络安全态势评估方法,其特征在于,步骤1包括以下步骤:
对网络安全环境产生影响的网络安全问题划分为n个通道:t1,t2,λ,tn;
根据各个指标和安全问题之间的对应关系,将整体态势指标划分到以上n个通道。
3.根据权利要求1所述的一种基于多通道sae-adaboost的电力物联网网络安全态势评估方法,其特征在于,步骤2包括以下步骤:
s2.1:对每个通道ti的指标数据进行归一化,采用最小-最大值标准法,将通道ti指标数据的大小范围缩小到[0,1]之间:
其中x代表指标数据;
s2.2:对通道ti指标数据进行编码:通过隐含层将每一个无标签训练样本k维矢量x′映射成m维的编码矢量xh,以得到高维数据的低维表示xh。
4.根据权利要求1所述的一种基于多通道sae-adaboost的电力物联网网络安全态势评估方法,其特征在于,步骤3具体包括:
步骤3.1:dm=(wm1,wm2,λ,wmn)表示第m个弱分类器样本的权重,初始化样本点的权重为:d1=(w11,w12,λ,w1n),
步骤3.2:对于m=1,2,λ,m,使用带有权重dm的样本训练一个弱学习器gm(x);
步骤3.3:计算弱学习器gm(x)的分类误差:
步骤3.4:由前向分步算法,弱分类器gm(x)的系数为:
步骤3.5:更新第m+1个弱学习器样本的权重分布:
dm+1=(wm+1,1,wm+1,2,λ,wm+1,n)
其中,
其中,
其中,zm是规范化因子,主要作用是将wmi的值规范到0-1之间,使得
步骤3.6:使用各个弱分类器的系数加权将所有弱分类器进行线性组合,得到最终的强分类器:
5.根据权利要求1所述的一种基于多通道sae-adaboost的电力物联网网络安全态势评估方法,其特征在于,步骤4具体包括以下步骤:
步骤4.1:基于通用漏洞评分系统(cvss)制定风险事件影响值评价表:
指标影响程度影响值
机密性(c)无(n)/低(l)/高(h)0/0.22/0.56
完整性(i)无(n)/低(l)/高(h)0/0.22/0.56
可用性(a)无(n)/低(l)/高(h)0/0.22/0.56
步骤4.2:结合s1中表格,确定每个通道ti对应的安全事件的c、i、a值,并计算通道ti的影响值
步骤4.3:结合s1中表格,从机密性、完整性、可用性三个维度,利用成对比较法构造通道的成对比较矩阵:
其中aij表示通道ti相对于通道tj的重要程度;
步骤4.4:计算特征根λ,并进行一致性检验:aw=λw
定义一致性指标:n代表通道个数;
定义一致性比率:
其中ri为随机一致性指标,当一致性比率cr<0.1时,a的不一致程度在容许范围之内,有满意的一致性,通过一致性检验,用其归一化特征向量作为权向量,否则要重新构造成对比较矩阵a;
步骤4.5:利用通过检验的特征根λ,计算权向量w,将所有通道加权融合得到整体网络安全态势:
其中,i(t)是一个通用函数,当参数t为真时,输出为1;当参数为t为假时,输出为0,的含义是ti对应的强分类器。
技术总结本发明涉及信息系统网络安全态势的评价领域,提供了一种基于多通道SAE‑AdaBoost的电力物联网网络安全态势评估方法,目的在于解决现有方法评估方法精度差,泛化误差大的问题。主要方案包括步骤1:网络安全态势指标划分为多个通道T1,T2,Λ,Tn;步骤2:对于每一个通道,SAE通过隐含层将每一个无标签训练样本k维矢量x′映射成m维的编码矢量xh,以得到高维数据的低维表示xh;步骤3:AdaBoost算法从训练数据中不断改变样本的权重,串行学习到一系列的弱学习器,并将这些弱学习器线性组合为一个强学习器,使用这个强学习器对其对应的通道进行评估;步骤4:AHP综合考虑通道之间的相对重要性,融合多个通道的评估结果,得到整体网络安全态势。
技术研发人员:刘萧;陈龙;吕磊;李静;黄昆;李嘉周;杨旭东;黄林
受保护的技术使用者:国网四川省电力公司信息通信公司
技术研发日:2020.12.08
技术公布日:2021.04.06
