一种低压电力线载波通信网络安全防御方法及系统与流程

1.本发明涉及网络安全防御的技术领域，尤其涉及一种低压电力线载波通信网络安全防御方法及系统。


背景技术：

2.电力线载波通信网络系统面临的攻击一般有蠕虫攻击、分布式拒绝服务(ddos)和传统电力业务信息网络攻击，攻击者可通过仿冒合法作业终端，违规接入网络。
3.目前一般采用被动防御体系和机器学习算法进行攻击防御，然而被动防御体系的攻击检测原理简单，存在正常访问被阻断发生的可能，同时影响用户的正常浏览体验。虽然基于机器学习算法的防御攻击检测通常具有较高的模型可解释度和分类精确度，但伴随着系统复杂度的提高，训练时间变得漫长。


技术实现要素：

4.本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。
5.鉴于上述现有存在的问题，提出了本发明。
6.因此，本发明提供了一种低压电力线载波通信网络安全防御方法，能够提升低压电力线载波通信网络的安全防御性能，满足实时性要求。
7.为解决上述技术问题，本发明提供如下技术方案：包括，利用网络数据采集单元采集网络中的软硬件数据；通过大数据分析处理单元对所述网络中的软硬件数据进行智能分析；若所述网络中的软硬件数据存有木马病毒，则将其发送给安全防御单元，通过所述安全防御单元清除并跟踪所述木马病毒。
8.作为本发明所述的低压电力线载波通信网络安全防御方法的一种优选方案，其中：还包括，当完成所述木马病毒清除后，通过防御效果评估单元对清除效果进行评估，进而获取低压电力线载波通信网络中的杀毒信息。
9.作为本发明所述的低压电力线载波通信网络安全防御方法的一种优选方案，其中：所述智能分析包括，预处理网络中的软硬件数据；基于自回归模型和病毒基因特征建立检测模型e(x)；将所述网络中的软硬件数据输入至所述检测模型e(x)中，以对所述网络中的软硬件数据进行分析。
10.作为本发明所述的低压电力线载波通信网络安全防御方法的一种优选方案，其中：建立所述检测模型包括，将随机误差时间序列中的非平稳误差时间序列进行d阶差分运算，转化为平稳误差时间序列；计算平稳误差时间序列的其自相关系数和偏自相关系数，进而获得阶层p和阶数q；结合阶层p和阶数q获得所述检测模型e(x)：
11.e(x)＝αp (1-β1x-β2x2‑…‑
β
t
xd)q
12.其中，α为所述平稳误差时间序列，{β
t
}病毒基因特征序列，x为输入。
13.作为本发明所述的低压电力线载波通信网络安全防御方法的一种优选方案，其中：预处理网络中的软硬件数据包括，删除网络中的软硬件数据中的无关数据、重复数据，并处理缺失值；标准化处理后的数据；将转化后的数据进行降维处理。
14.作为本发明所述的低压电力线载波通信网络安全防御方法的一种优选方案，其中：所述防御效果评估单元包括服务器和规则模块；所述规则模块内置有clamav引擎和h3c防火墙acl安全规则，当数据输入时，通过所述规则模块进行清除效果评估，并定时将评估日志发送至所述服务器；当清除效果低于设定阈值，所述服务器则命令安全防御单元再次清除所述木马病毒。
15.作为本发明所述的低压电力线载波通信网络安全防御系统的一种优选方案，其中：包括，网络数据采集单元，用于采集网络中的软硬件数据；大数据分析处理单元，与所述网络数据采集单元相连接，通过大数据分析处理单元对所述网络中的软硬件数据进行智能分析；若所述网络中的软硬件数据存有木马病毒，则将其发送给安全防御单元，通过所述安全防御单元清除并跟踪所述木马病毒。
16.作为本发明所述的低压电力线载波通信网络安全防御系统的一种优选方案，其中：还包括防御效果评估单元；所述防御效果评估单元与所述安全防御单元相连接，当完成所述木马病毒清除后，通过所述防御效果评估单元对清除效果进行评估，进而获取低压电力线载波通信网络中的杀毒信息。
17.作为本发明所述的低压电力线载波通信网络安全防御系统的一种优选方案，其中：所述防御效果评估单元包括服务器和规则模块；所述规则模块内置有clamav引擎和h3c防火墙acl安全规则，当数据输入时，通过所述规则模块进行清除效果评估，并定时将评估日志发送至所述服务器。
18.本发明的有益效果：本发明通过深度分析软硬件数据，同时对防御效果进行评估之后，还可以跟踪大数据分析的准确度，一旦准确度降低就可以及时进行学习，从而提高网络安全防御性能。
附图说明
19.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：
20.图1为本发明第三个实施例所述的低压电力线载波通信网络安全防御系统的结构示意图。
具体实施方式
21.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。
22.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以
采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
23.其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。
24.本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。
25.同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
26.本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
27.实施例1
28.本实施例提供了一种低压电力线载波通信网络安全防御方法，包括：
29.s1：利用网络数据采集单元100采集网络中的软硬件数据。
30.目前，人们已经进入到“互联网 ”时代，网络部署的软硬件资源非常多，访问的用户频次数以亿计，网络数据采集单元100通过深度包过滤可以快速地采集网络中的软硬件数据。
31.s2：通过大数据分析处理单元200对网络中的软硬件数据进行智能分析。
32.(1)预处理网络中的软硬件数据；
33.①
删除网络中的软硬件数据中的无关数据、重复数据，并处理缺失值；
34.通过相关系数判断数据之间的相关性，如果两个属性之间的相关性较大(取大于0.65)，则从这两个属性中剔除一个属性，利用剩下的属性替代相关性大的两个原始属性，进而实现无关数据、重复数据的删除，降低数据冗余；相关系数r如下式：
[0035][0036]
其中，n是数据属性个数，a、b分别是数据属性a和b的值，分别是a和b的均值，σa、σb分别a和b的标准差，-1≤r
a,b
≤ 1，值越接近0，则a和b相关性越小；如果等于0，则说明a和b是独立的。
[0037]
进一步的，处理缺失值包括删除记录和数据插补，其中插补方法采用最近临插补法，即在记录中找见与缺失样本最接近样本的属性值进行插补。
[0038]
②
标准化处理后的数据；
[0039]
利用向量归一化策略对处理后的数据进行标准化转化，向量归一化策略是一种基
于数据最大值对数据进行转化标准化方法，其转化公式为：
[0040][0041]
其中，y为转化后的数据，x为需要转化的数据，h、l分别为数据的行向量和列向量。
[0042]
③
将转化后的数据进行降维处理。
[0043]
(2)基于自回归模型和病毒基因特征建立检测模型e(x)；
[0044]
①
将随机误差时间序列中的非平稳误差时间序列进行d阶差分运算，转化为平稳误差时间序列；
[0045]
通过python提供的库函数来进行adf单位根检验来确定需要差分的次数，即确定d的取值。
[0046]
对差分1次后的序列进行平稳性检验，若是非平稳的，则继续差分，直到d次后检验为平稳序列。
[0047]
②
计算平稳误差时间序列的其自相关系数(acf)和偏自相关系数(pacf)，进而获得阶层p和阶数q；
[0048]
结合阶层p和阶数q获得检测模型e(x)：
[0049]
e(x)＝αp (1-β1x-β2x2‑…‑
β
t
xd)q
[0050]
其中，α为平稳误差时间序列，{β
t
}病毒基因特征序列，x为输入。
[0051]
(3)将网络中的软硬件数据输入至检测模型e(x)中，以对网络中的软硬件数据进行分析。
[0052]
利用检测模型e(x)可以学习很多的病毒基因片段或特征，检测模型e(x)可以将预处理后的数据与学习到的病毒基因片段或特征进行对比，以便能够发现这些数据信息中是否潜藏着木马或病毒，发现之后及时将其发送给安全防御单元300。
[0053]
s3：若网络中的软硬件数据存有木马病毒，则将其发送给安全防御单元300，通过安全防御单元300清除并跟踪木马病毒。
[0054]
防御效果评估单元400包括服务器401和规则模块402；
[0055]
规则模块402内置有clamav引擎和h3c防火墙acl安全规则，当数据输入时，通过规则模块402进行清除效果评估，并定时将评估日志发送至服务器401；
[0056]
当清除效果低于设定阈值，服务器401则命令安全防御单元300再次清除木马病毒。
[0057]
当完成木马病毒清除后，通过防御效果评估单元400对清除效果进行评估，进而获取低压电力线载波通信网络中的杀毒信息，将这些网络病毒消灭，避免网络中的病毒或木马复发，从而提高网络安全防御性能。
[0058]
实施例2
[0059]
为了对本方法中采用的技术效果加以验证说明，本实施例选择传统的技术方案和采用本方法进行对比测试，以科学论证的手段对比试验结果，以验证本方法所具有的真实效果。
[0060]
为了验证本方法检测木马病毒的有效性，本实施例从信息安全厂商symantec的木马库中下载木马程序，共收集到1000个样本；其中，合法程序500个，木马病毒500个，仿真环境的操作系统为windows 10，采用c 编程实现本方法；对比模型为bp神经网络、贝叶斯算
法；评价标准采用检测正确率和漏报率，每种算法运行10次，取最优结果作为最终木马检测结果，木马病毒检测结果如表1所示；其中，检测正确率和漏报率分别定义如下：
[0061][0062][0063]
其中，r为检测正确率，l为漏报率，q为检测出的木马病毒，f为木马病毒总数。
[0064]
表1：木马病毒检测结果对比。
[0065] 检测正确率漏报率bp神经网络90.7％9.3％贝叶斯算法88.5％11.5％本方法99.8％0.2％
[0066]
实验结果表明，本方法有效地提高了木马病毒的检测正确率。
[0067]
实施例3
[0068]
参照图1，为本发明的第三个实施例，该实施例不同于第一个实施例的是，提供了一种低压电力线载波通信网络安全防御系统，包括，
[0069]
网络数据采集单元100，用于采集网络中的软硬件数据；
[0070]
大数据分析处理单元200，与网络数据采集单元100相连接，通过大数据分析处理单元200对网络中的软硬件数据进行智能分析；若网络中的软硬件数据存有木马病毒，则将其发送给安全防御单元300，通过安全防御单元300清除并跟踪木马病毒。
[0071]
防御效果评估单元400，防御效果评估单元400与安全防御单元300相连接，当完成木马病毒清除后，通过防御效果评估单元400对清除效果进行评估，进而获取低压电力线载波通信网络中的杀毒信息；具体的，防御效果评估单元400包括服务器401和规则模块402；规则模块402内置有clamav引擎和h3c防火墙acl安全规则，当数据输入时，通过规则模块402进行清除效果评估，并定时将评估日志发送至服务器401。
[0072]
应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。
[0073]
此外，可按任何合适的顺序来执行本文描述的过程的操作，除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
[0074]
进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包
括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现，无论是可移动的还是集成至计算平台，如硬盘、光学读取和/或写入存储介质、ram、rom等，使得其可由可编程计算机读取，当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外，机器可读代码，或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时，本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时，本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能，从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中，转换的数据表示物理和有形的对象，包括显示器上产生的物理和有形对象的特定视觉描绘。
[0075]
如在本技术所使用的，术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体，该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如，组件可以是，但不限于是：在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例，在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中，并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外，这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如，来自一个组件的数据，该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号，以本地和/或远程过程的方式进行通信。
[0076]
应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。