一种电力信息网络安全态势评估方法与系统与流程

1.本发明涉及电力信息网络安全领域，尤其涉及一种电力信息网络安全态势评估方法与系统。


背景技术：

2.随着我国电网向智能化、网络化、自动化发展，电力信息网络间的信息交互愈发频繁深入。电力信息网络是电力生产和管理正常运行的基础，其安全性会直接影响电力系统的正常安全运行。同时大量智能量测装置和远程控制设备都面临受攻击风险，现有电力信息安全态势评估方法主只考虑单一网络入侵，不适合多种类型的混合攻击，容易陷入局部最优，且效率较低，研究存在一定的局限性：(1)基于信息的网络安全态势感知提取技术只考虑单一网络入侵，不适合多种类型的混合攻击；(2)基于攻击意图识别的网络安全态势评估方法，在对攻击事件进行因果分析后，根据每个攻击阶段进行态势评估，识别出攻击意图，但其准确性不是很高；(3)基于图数据库的分层多域网络安全态势感知数据存储方法，将网络划分为不同的域，可以更有效地收集和处理感知数据，但是运行约束条件众多且复杂。因此，电力信息网络安全需要达到更高的标准，电力信息网络安全态势评估愈发显得重要。


技术实现要素：

3.本发明所要解决的技术问题是针对现有技术的不足，提供一种电力信息网络安全态势评估方法与系统。
4.本发明解决上述技术问题的技术方案如下：
5.一种电力信息网络安全态势评估方法，包括以下步骤：
6.s1，拟合复杂电力网络安全态势评估中的感知数据与安全态势之间的隐函数关系，进而计算出网络安全态势评估值，从而建立基于神经网络的复杂网络安全态势评估模型；
7.s2，采用人工蜂群搜索(abc)算法优化神经网络的权值和偏置值，获得最优的权值和偏置值，使abcnn模型评估结果更准确；
8.s3，引入以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程，判断是否达到混沌迭代次数，如果不符则重新更新混沌变量；
9.其中，所述基于神经网络的复杂网络安全态势评估模型，根据神经网络的待优化的权值参数作为蜜源的位置，神经网络输出的评估值与真实安全态势评估值的差值平方作为蜜源的适应度函数。
10.本发明的有益效果是：通过引入混沌序列改进人工蜂群算法，来提高蜂群的多样性，增加了蜂群的全局搜索能力。并利用改进的蜂群算法优化神经网络的各权值参数对网络安全态势进行评估预测。
11.在上述技术方案的基础上，本发明还可以做如下改进。
12.进一步地，所述s1具体包括：
13.s11，网络安全态势指标输入，态势指标数据归一化后构成向量(x1x2，
…
，xn)作为神经网络的输入层，以消除不同物理单位量纲的影响；
14.s12，态势指标到态势评估的隐含层，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值；
15.s13，网络安全态势评估值输出，将安全态势由安全到危险划分为五个等级，并用实数区间进行定量描述。
16.进一步地，所述s11具体包括：
17.(1)协议包分布。设电力信息网络中tcp包总量为ntcp，udp包总量为nudp，icmp包总量为nicmp，则tcp包分布为：
[0018][0019]
udp包分布为：
[0020][0021]
icmp包分布为：
[0022][0023]
(2)流量变化率。设t时刻网络流入数据量为nt，t δt时刻网络数据字节总量为nt δt，则流量变化率为
[0024][0025]
(3)攻击频率归一化，
[0026][0027]
其中f为单位时间内发生攻击的次数。
[0028]
(4)攻击源数量归一化，
[0029][0030]
其中n为攻击源的数目。
[0031]
进一步地，所述s12具体包括：
[0032]
(1)设输入层的态势指标为(x1，x2，
…
，xn)，输入层第i个态势指标到到隐含层1中第j个神经元的连接权重为w(1)ij；
[0033]
(2)隐含层1中第j个神经元输出h(1)j到隐含层2中第k个神经元的连接权重为w(2)jk；
[0034]
(3)隐含层2中第k个神经元输出h(2)k到输出层的连接权重为w(3)k，输出的态势
评估值为y；
[0035]
(4)式1中的“ 1”为神经网络的偏置值，设为xn 1＝1，h(1)n1 1＝1，h(2)n2 1＝1。则初始化各个流体粒子的位置、速度，流体的密度、运动方向，以及常压。
[0036][0037][0038][0039]
采用上述进一步方案的有益效果是：可以得出，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值。
[0040]
进一步地，所述s2具体包括：
[0041]
(1)随机初始化n个雇佣蜂位置，即为神经网络权值，并计算相应的适应度函数值；
[0042]
(2)雇佣蜂对蜜源附近邻域搜索，若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；
[0043]
(3)旁观蜂以一定概率pi选择要跟随的雇佣蜂，并进行邻域搜索。若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；其中；
[0044]
(4)若某蜜源的适应函数值多次循环后仍保持不变，则相应的雇佣蜂转变为侦查蜂，重新随机搜索；
[0045]
(5)迭代截止时返回最优蜜源位置与最优目标函数值；否则，跳转到步骤(2)。
[0046]
采用上述进一步方案的有益效果是：由于初始化过程的随机性会很大程度影响全局最优解的精度和收敛，因此具有长周期和良好均匀性的随机序列会提升算法的性能。
[0047]
进一步地，所述混沌迭代次数调优模型进行求解获得最优混沌序列具体包括：
[0048]
(1)设置混沌最大迭代次数；
[0049]
(2)随机初始化混沌变量λ
0，j
∈(0，1)；
[0050]
(3)更新λ
i 1，j
＝μ
×
λ
i，j
(1-λ
i，j
)；
[0051]
(4)若达到最大迭代次数，则输出混沌随机值；否则，跳转到(3)；
[0052]
(5)x
i，j
＝x
min，j
λ
i，j
(x
max，j-x
min，j
)，其中x
min，j
和x
max，j
分别是输入态势指标的上界和下界。
[0053]
采用上述进一步方案的有益效果是：在引入了以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程。混沌系统由于其简单确定性动力系统的随机性取决于其初始条件和参数的灵敏度，逐渐被认为是有效的初始化机制，能够提高种群的多样性。
[0054]
本发明解决上述技术问题的另一种技术方案如下：
[0055]
一种电力信息网络安全态势评估的系统，其特征在于，包括：基于神经网络的复杂网络安全态势评估模型建立模块、改进人工蜂群算法的复杂网络安全态势评估模块和混沌迭代次数调优模块；
[0056]
所述基于神经网络的复杂网络安全态势评估模型建立模块用于拟合复杂电力网络安全态势评估中的感知数据与安全态势之间的隐函数关系，进而计算出网络安全态势评
估值，从而建立基于神经网络的复杂网络安全态势评估模型；
[0057]
所述改进人工蜂群算法的复杂网络安全态势评估模块用于采用人工蜂群搜索(abc)算法优化神经网络的权值和偏置值，获得最优的权值和偏置值，使abcnn模型评估结果更准确；
[0058]
所述混沌迭代次数调优模块用于引入以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程，判断是否达到混沌迭代次数，如果不符则重新更新混沌变量。
[0059]
其中，所述基于神经网络的复杂网络安全态势评估模型，根据神经网络的待优化的权值参数作为蜜源的位置，神经网络输出的评估值与真实安全态势评估值的差值平方作为蜜源的适应度函数。
[0060]
本发明的有益效果是：通过引入混沌序列改进人工蜂群算法，来提高蜂群的多样性，增加了蜂群的全局搜索能力。并利用改进的蜂群算法优化神经网络的各权值参数对网络安全态势进行评估预测。
[0061]
在上述技术方案的基础上，本发明还可以做如下改进。
[0062]
进一步地，所述基于神经网络的复杂网络安全态势评估模型建立模块包括网络安全态势指标输入模块、态势指标到态势评估的隐含层模块、网络安全态势评估值输出模块。其步骤具体包括：
[0063]
所述网络安全态势指标输入模块，用于态势指标数据归一化后构成向量(x1，x2，
…
，xn)作为神经网络的输入层，以消除不同物理单位量纲的影响，具体步骤如下：
[0064]
(1)协议包分布。设电力信息网络中tcp包总量为ntcp，udp包总量为nudp，icmp包总量为nicmp，则tcp包分布为：
[0065][0066]
udp包分布为：
[0067][0068]
icmp包分布为：
[0069][0070]
(5)流量变化率。设t时刻网络流入数据量为nt，t δt时刻网络数据字节总量为nt δt，则流量变化率为
[0071][0072]
(6)攻击频率归一化，
[0073][0074]
其中f为单位时间内发生攻击的次数。
[0075]
(7)攻击源数量归一化，
[0076][0077]
其中n为攻击源的数目。
[0078]
所述态势指标到态势评估的隐含层模块，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值，具体步骤如下：
[0079]
(1)设输入层的态势指标为(x1，x2，
…
，xn)，输入层第i个态势指标到到隐含层1中第j个神经元的连接权重为w(1)ij；
[0080]
(2)隐含层1中第j个神经元输出h(1)j到隐含层2中第k个神经元的连接权重为w(2)jk；
[0081]
(3)隐含层2中第k个神经元输出h(2)k到输出层的连接权重为w(3)k，输出的态势评估值为y；
[0082]
(4)式1中的“ 1”为神经网络的偏置值，设为xn 1＝1，h(1)n1 1＝1，h(2)n2 1＝1。则初始化各个流体粒子的位置、速度，流体的密度、运动方向，以及常压。
[0083][0084][0085][0086]
所述网络安全态势评估值输出模块用于根据安全态势评估值借鉴国家互联网中心对网络安全态势的划分标准，依托网络安全形势特点，将安全态势由安全到危险划分为五个等级，并用实数区间进行定量描述。
[0087]
采用上述进一步方案的有益效果是：可以得出，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值。
[0088]
进一步地，所述改进人工蜂群算法的复杂网络安全态势评估模块用于获得最优的权值和偏置值，其步骤具体包括：
[0089]
(1)随机初始化n个雇佣蜂位置，即为神经网络权值，并计算相应的适应度函数值；
[0090]
(2)雇佣蜂对蜜源附近邻域搜索，若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；
[0091]
(3)旁观蜂以一定概率pi选择要跟随的雇佣蜂，并进行邻域搜索。若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；其中；
[0092]
(4)若某蜜源的适应函数值多次循环后仍保持不变，则相应的雇佣蜂转变为侦查蜂，重新随机搜索。
[0093]
(5)迭代截止时返回最优蜜源位置与最优目标函数值；否则，跳转到步骤(2)。
[0094]
采用上述进一步方案的有益效果是：由于初始化过程的随机性会很大程度影响全局最优解的精度和收敛，因此具有长周期和良好均匀性的随机序列会提升算法的性能。
[0095]
进一步地，所述混沌迭代次数调优模块具体引入了以不规则性，遍历性和随机性
为特征的混沌序列，以执行整个群体的初始化过程，其步骤具体包括：
[0096]
(1)设置混沌最大迭代次数；
[0097]
(2)随机初始化混沌变量λ
0，j
∈(0，1)；
[0098]
(3)更新λ
i 1，j
＝μ
×
λ
i，j
(1-λ
i，j
)；
[0099]
(4)若达到最大迭代次数，则输出混沌随机值；否则，跳转到(3)；
[0100]
(5)x
i，j
＝x
min，j
λ
t，j
(x
max，j-x
min，j
)，其中x
min，j
和x
max，j
分别是输入态势指标的上界和下界。
[0101]
采用上述进一步方案的有益效果是：在引入了以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程。混沌系统由于其简单确定性动力系统的随机性取决于其初始条件和参数的灵敏度，逐渐被认为是有效的初始化机制，能够提高种群的多样性。
[0102]
本发明附加的方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明实践了解到。
附图说明
[0103]
图1为本发明的实施例提供的电力信息网络安全态势评估方法的流程示意图；
[0104]
图2为本发明的其他实施例提供的基于神经网络的复杂网络安全评估模型图；
[0105]
图3为本发明的实施例提供的基于人工蜂群算法的网络安全态势流程图；
[0106]
图4为本发明的实施例提供的网络安全态势评估仿真实验拓扑图；
[0107]
图5为本发明的实施例提供的各服务器涉及到的攻击漏洞图；
[0108]
图6为本发明的实施例提供的网络安全态势评估指标图；
[0109]
图7为本发明的实施例提供的给出了人工蜂群(abc)优化神经网络(abcnn)与传统神经网络(bpnn)以及遗传算法优化神经网络(gann)的对比迭代曲线图；
[0110]
图8为本发明的实施例提供的abcnn与bpnn和gann的统计结果对比图；
[0111]
图9为本发明的实施例提供的网络安全态势预测结果比较图；
[0112]
图10为本发明的实施例提供的电力信息网络安全态势评估的系统的结构图。
具体实施方式
[0113]
以下结合附图对本发明的原理和特征进行描述，所举实施例只用于解释本发明，并非用于限定本发明的范围。
[0114]
网络安全态势评估的一般步骤如下：首先，建立网络安全态势评估模型的指标体系，然后建立不同的模型计算网络安全态势的评估值，从而实现网络安全态势评估模型的构建。神经网络具有强大的非线性映射能力，能够有效拟合复杂电力网络安全态势评估中的感知数据与安全态势之间的隐函数关系，进而计算出网络安全态势评估值，能够有效反映出网络安全态势评估的情况。
[0115]
基于神经网络的网络安全态势评估模型如图1所示。为本发明实施例提供的一种电力信息网络安全态势评估方法，该方法包括：
[0116]
s1，拟合复杂电力网络安全态势评估中的感知数据与安全态势之间的隐函数关系，进而计算出网络安全态势评估值，从而建立基于神经网络的复杂网络安全态势评估模
型；
[0117]
如图2所示，基于神经网络的安全态势模型主要包含三部分：以网络安全态势指标为输入的输入层，态势指标到态势评估的隐含层，以及以态势评估值为输出的输出层。
[0118]
(1)网络安全态势指标输入。电力信息网络安全态势指标主要由snort日志的报警信息等提供。主要指标包括一定时间窗内tcp、udp各类数据包的分布以及包字节数比重，流入流出流量变化率，攻击频率，攻击源数量等。这些态势指标数据归一化后构成向量(x1，x2，
…
，xn)作为神经网络的输入层，以消除不同物理单位量纲的影响。根据一般的网络安全态势指标选取原则，以及复杂电力信息网络安全特点，选取10个电力信息网络安全态势指标，构成指标体系。包括{tcp包分布，tcp包字节数分布，udp包分布，udp包字节数分布，icmp包分布，icmp包字节数分布，流入流量变化率，流出流量变化率，攻击频率，攻击源数量}。
[0119]
(2)态势指标到态势评估的隐含层。神经网络中隐含层的层数及每层的神经元个数决定了神经网络的映射能力。一般来说，神经网络的层数越深，从输入层到输出层的映射能力越强，但同时会导致训练参数的增加，降低神经网络的训练速度。神经网络的学习过程本质上是一个找到能够匹配输入输出的最佳连接权重参数的优化过程。但传统的反向传播神经网络训练算法，训练时间较长，且容易陷入局部最优，不利于及时发现网络安全态势中的风险。因此，论文采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值。
[0120]
(3)网络安全态势评估值输出。安全态势评估值借鉴国家互联网中心对网络安全态势的划分标准，根据网络安全形势特点，将安全态势由安全到危险划分为五个等级，并用实数区间进行定量描述。
[0121]
因此，可以得出，神经网络具有强大的非线性映射能力，能够有效拟合复杂电力网络安全态势评估中的感知数据与安全态势之间的隐函数关系，进而计算出网络安全态势评估值，能够有效反映出网络安全态势评估的情况；
[0122]
s2，采用人工蜂群搜索(abc)算法优化神经网络的权值和偏置值，获得最优的权值和偏置值，使abcnn模型评估结果更准确；
[0123]
在某实施例中，abc算法是最近几年提出的一种非常强大的群智能优化算法，为神经网络权值的优化构造了一种新的解决方案。人工蜂群算法模仿自然界中蜜蜂的群体觅食行为，蜂群中包括雇佣蜂(eb)，旁观蜂(ob)和侦察蜂(sb)三种。雇佣蜂的任务是采集当前位置的蜜源，然后以不同形式的舞蹈与旁观蜂分享蜜源(花蜜数量，距离等)信息。旁观蜂的数量与雇佣蜂相同，根据雇佣蜂的舞蹈择优选择蜜源(适应度函数值)。而离开蜜源的雇佣蜂转化为侦查蜂，通过随机游走搜索新的潜在蜜源。abc算法与pso算法、遗传算法进行的benchmark函数测试比较结果表明，abc算法收敛速度要比pso和ga算法更快，更有可能获得全局最优值。
[0124]
在某实施例中，在abcnn模型中，神经网络的待优化的权值参数作为蜜源的位置，神经网络输出的评估值与真实安全态势评估值的差值平方作为蜜源的适应度函数。即
[0125][0126]
其中，fitness为蜜源的适应度函数值，y为神经网络输出的评估值，d为真实安全
态势评估值。
[0127]
人工蜂群算法的步骤如下：
[0128]
(1)随机初始化n个雇佣蜂位置，即为神经网络权值，并计算相应的适应度函数值；
[0129]
(2)雇佣蜂对蜜源附近邻域搜索，若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；
[0130]
(3)旁观蜂以一定概率pi选择要跟随的雇佣蜂，并进行邻域搜索。若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；其中；
[0131]
(4)若某蜜源的适应函数值多次循环后仍保持不变，则相应的雇佣蜂转变为侦查蜂，重新随机搜索；
[0132]
(5)迭代截止时返回最优蜜源位置与最优目标函数值；否则，跳转到步骤(2)。
[0133]
s3，引入以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程，判断是否达到混沌迭代次数，如果不符则重新更新混沌变量；
[0134]
由于初始化过程的随机性会很大程度影响全局最优解的精度和收敛，因此具有长周期和良好均匀性的随机序列会提升算法的性能。而混沌系统由于其简单确定性动力系统的随机性取决于其初始条件和参数的灵敏度，逐渐被认为是有效的初始化机制，能够提高种群的多样性。因此，论文引入了以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程。基于混沌序列的蜂群初始化步骤如下：
[0135]
(1)设置混沌最大迭代次数；
[0136]
(2)随机初始化混沌变量λ
0，j
∈(0，1)；
[0137]
(3)更新λ
i 1，j
＝μ
×
λ
i，j
(1-λ
i，j
)；
[0138]
(4)若达到最大迭代次数，则输出混沌随机值；否则，跳转到(3)；
[0139]
(5)x
i，j
＝x
min，j
λ
t，j
(x
max，j-x
min，j
)，其中x
min，j
和x
max，j
分别是输入态势指标的上界和下界。
[0140]
图3给出了基于人工蜂群算法的网络安全态势评估模型。
[0141]
step1首先随机初始化混沌变量，更新混沌变量；
[0142]
step2判断是否达到混沌迭代次数，若达到输出混沌序列，获得雇佣蜂位置，若未达到，则继续更新混沌变量；
[0143]
step3输入安全态势指标构造神经网络模型，计算安全态势评估值误差，即适应度函数值；
[0144]
step4分别进行雇佣蜂搜索、旁观蜂搜索和侦查蜂搜索，并判断达到蜂群迭代次数，若满足，则输出最优神经网络安全评估模型。
[0145]
优选地，在上述任意实施例中，s1具体包括：
[0146]
s11，网络安全态势指标输入，态势指标数据归一化后构成向量(x1，x2，
…
，xn)作为神经网络的输入层，以消除不同物理单位量纲的影响；
[0147]
s12，态势指标到态势评估的隐含层，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值；
[0148]
s13，网络安全态势评估值输出，将安全态势由安全到危险划分为五个等级，并用实数区间进行定量描述。
[0149]
优选地，在上述任意实施例中，s11具体包括：
[0150]
(1)协议包分布。设电力信息网络中tcp包总量为ntcp，udp包总量为nudp，icmp包总量为nicmp，则tcp包分布为：
[0151][0152]
udp包分布为：
[0153][0154]
icmp包分布为：
[0155][0156]
(2)流量变化率。设t时刻网络流入数据量为nt，t δt时刻网络数据字节总量为nt δt，则流量变化率为
[0157][0158]
(3)攻击频率归一化，
[0159][0160]
其中f为单位时间内发生攻击的次数。
[0161]
(4)攻击源数量归一化，
[0162][0163]
其中n为攻击源的数目。
[0164]
优选地，在上述任意实施例中，s12具体包括：
[0165]
(1)设输入层的态势指标为(x1，x2，
…
，xn)，输入层第i个态势指标到到隐含层1中第j个神经元的连接权重为w(1)ij；
[0166]
(2)隐含层1中第j个神经元输出h(1)j到隐含层2中第k个神经元的连接权重为w(2)jk；
[0167]
(3)隐含层2中第k个神经元输出h(2)k到输出层的连接权重为w(3)k，输出的态势评估值为y；
[0168]
(4)式1中的“ 1”为神经网络的偏置值，设为xn 1＝1，h(1)n1 1＝1，h(2)n2 1＝1。则初始化各个流体粒子的位置、速度，流体的密度、运动方向，以及常压。
[0169][0170][0171]
[0172]
通过采用上述进一步方案的有益效果是：可以得出，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值。
[0173]
在本发明提供的其他实施例中，如图4所示。根据本方案的电力信息网络安全态势评估方法，构建了电力信息网络安全态势评估的实验环境，包括2台路由器、3台防火墙、2台交换机、2台snort入侵检测系统、2台电力数据库服务器、1台电力系统网站服务器、1台电力系统文件服务器以及4台pc电脑。各服务器通过出口路由对互联网上的用户和攻击者开放。
[0174]
同时，abcnn网络安全态势评估模型通过matlabr2014b编译实现。实验平台在intel xeon 2.4ghz e5-2665 cpu、16g内存、操作系统为windows7的计算机上搭建。abc算法中蜂群种群规模为30，迭代上限为50，混沌迭代上限为50。神经网络输入层节点数根据输入指标数设计为8，双隐层神经元个数也均为8，输出层节点数为1，激活函数采用常用的sigmoid函数。
[0175]
实验中的漏洞采用通用漏洞评分系统(common vulnerability scoring system，cvvs)进行评分，并将漏洞评分进行了[0，1]归一化处理，作为网络安全态势的评估结果。安全等级分为安全[0，0.2)，轻度危险[0.2，0.4)，一般危险[0.4，0.75)，中度危险[0.75，0.9)以及高度危险[0.9，1.0]。实验中收集了150组数据，其中120组数据作为训练样本，30组数据作为测试样本。
[0176]
实验一：模拟互联网上的攻击者利用漏洞对各服务器的联合攻击过程。各服务器涉及到的攻击漏洞见图5。漏洞攻击将直接影响各服务器的功能使用，且会造成信息泄露，会对电力信息网络造成重大威胁。通过分析数据包的变化情况可发现这些攻击，因此论文选取tcp、udp、icmp数据包的分布以及包字节数比重，流入流出流量变化率作为网络安全态势评估中的输入指标，详见图6。这些安全态势指标在仿真攻击过程中，由入侵检测系统收集并存入sqlserver数据库中。
[0177]
实验二：在性能上与传统评估方法的比较，图7给出了人工蜂群(abc)优化神经网络(abcnn)与传统神经网络(bpnn)以及遗传算法优化神经网络(gann)的对比迭代曲线图。由于群智能算法具有随机性，因此实验取30次运行的平均结果。从图7中可以看出，abcnn的适应度迭代曲线要优于gann和bpnn的收敛曲线，获得了更小的误差值，具有更快的收敛速度。
[0178]
为了给出更加量化的结果，图8给出了abcnn与bpnn和gann运行30次的平均值、方差以及最好值的结果对比。可以看到，无论是平均值、方差还是最好值，abcnn都取得了优于bpnn和gann的结果。说明相较于对比算法，abcnn获得的结果精度更高，鲁棒性更强。
[0179]
图9给出了三种算法abcnn、bpnn和gann对剩余30组网络安全态势数据进行预测输出的比较结果。可以看出，对于bpnn来说，除了样本20和25之外，abcnn的输出结果均要更接近实际安全态势值；而对于gann来说，除了样本2之外，abcnn的输出结果均要优于gann的输出结果。
[0180]
为了进一步量化各种比较算法的输出结果与实际安全态势值之间的误差，采用平均相对误差m进行计算：
[0181][0182]
其中yi为算法得出的安全态势预测输出值，di为网络安全实际态势值，n为测试样本个数。
[0183]
根据公式可以得到abcnn、bpnn和gann对网络安全态势预测值的平均相对误差分别为4.55％、10.31％和7.72％。基于abcnn的网络安全态势评估方法的平均相对误差比bpnn和gann分别低5.76和3.17个百分点，因此基于abcnn的网络安全态势评估方法的预测准确度更高，能够更加精准的反映网络安全的态势情况。
[0184]
综上，基于人工蜂群优化的神经网络安全态势评估方法，在收敛速度、训练和预测精度、鲁棒性上均要优于传统的基于bpnn和gann的评估方法。
[0185]
在本发明提供的其他实施例中，给出了一种电力信息网络安全态势评估的系统，如图10所示，该系统包括：基于神经网络的复杂网络安全态势评估模型建立模块11、改进人工蜂群算法的复杂网络安全态势评估模块12和混沌迭代次数调优模块13；
[0186]
基于神经网络的复杂网络安全态势评估模型建立模块11用于拟合复杂电力网络安全态势评估中的感知数据与安全态势之间的隐函数关系，进而计算出网络安全态势评估值，从而建立基于神经网络的复杂网络安全态势评估模型；
[0187]
改进人工蜂群算法的复杂网络安全态势评估模块12用于采用人工蜂群搜索(abc)算法优化神经网络的权值和偏置值，获得最优的权值和偏置值，使abcnn模型评估结果更准确；
[0188]
混沌迭代次数调优模块13用于引入以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程，判断是否达到混沌迭代次数，如果不符则重新更新混沌变量。
[0189]
其中，所述基于神经网络的复杂网络安全态势评估模型，根据神经网络的待优化的权值参数作为蜜源的位置，神经网络输出的评估值与真实安全态势评估值的差值平方作为蜜源的适应度函数。
[0190]
优选地，在上述任意实施例中，基于神经网络的复杂网络安全态势评估模型建立模块11包括网络安全态势指标输入模块、态势指标到态势评估的隐含层模块、网络安全态势评估值输出模块。
[0191]
网络安全态势指标输入模块，用于态势指标数据归一化后构成向量(x1，x2，
…
，xn)作为神经网络的输入层，以消除不同物理单位量纲的影响，具体步骤如下：
[0192]
(1)协议包分布。设电力信息网络中tcp包总量为ntcp，udp包总量为nudp，icmp包总量为nicmp，则tcp包分布为：
[0193][0194]
udp包分布为：
[0195][0196]
icmp包分布为：
[0197][0198]
(2)流量变化率。设t时刻网络流入数据量为nt，t δt时刻网络数据字节总量为nt δt，则流量变化率为
[0199][0200]
(3)攻击频率归一化，
[0201][0202]
其中f为单位时间内发生攻击的次数。
[0203]
(4)攻击源数量归一化，
[0204][0205]
其中n为攻击源的数目。
[0206]
态势指标到态势评估的隐含层模块，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值，具体步骤如下：
[0207]
(1)设输入层的态势指标为(x1，x2，
…
，xn)，输入层第i个态势指标到到隐含层1中第j个神经元的连接权重为w(1)ij；
[0208]
(2)隐含层1中第j个神经元输出h(1)j到隐含层2中第k个神经元的连接权重为w(2)jk；
[0209]
(3)隐含层2中第k个神经元输出h(2)k到输出层的连接权重为w(3)k，输出的态势评估值为y；
[0210]
(4)式1中的“ 1”为神经网络的偏置值，设为xn 1＝1，h(1)n1 1＝1，h(2)n2 1＝1。则初始化各个流体粒子的位置、速度，流体的密度、运动方向，以及常压。
[0211][0212][0213][0214]
网络安全态势评估值输出模块用于根据安全态势评估值借鉴国家互联网中心对网络安全态势的划分标准，依托网络安全形势特点，将安全态势由安全到危险划分为五个等级，并用实数区间进行定量描述。
[0215]
采用上述进一步方案的有益效果是：可以得出，采用双隐含层的网络结构，并通过人工蜂群算法训练神经网络的权值。既提高了神经网络的表征能力，又能够有效减少神经网络的训练时间，及时为网络安全态势提供实时评估值。
[0216]
优选地，在上述任意实施例中，支改进人工蜂群算法的复杂网络安全态势评估模块12用于获得最优的权值和偏置值，其步骤具体包括：
[0217]
(1)随机初始化n个雇佣蜂位置，即为神经网络权值，并计算相应的适应度函数值；
[0218]
(2)雇佣蜂对蜜源附近邻域搜索，若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；
[0219]
(3)旁观蜂以一定概率pi选择要跟随的雇佣蜂，并进行邻域搜索。若邻域蜜源比原位置蜜源更好，则用邻域替代原位置；否则，保持原位置不变；其中；
[0220]
(4)若某蜜源的适应函数值多次循环后仍保持不变，则相应的雇佣蜂转变为侦查蜂，重新随机搜索。
[0221]
(5)迭代截止时返回最优蜜源位置与最优目标函数值；否则，跳转到步骤(2)。
[0222]
采用上述进一步方案的有益效果是：由于初始化过程的随机性会很大程度影响全局最优解的精度和收敛，因此具有长周期和良好均匀性的随机序列会提升算法的性能。
[0223]
优选地，在上述任意实施例中，混沌迭代次数调优模块13具体引入了以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程，其步骤具体包括：
[0224]
(1)设置混沌最大迭代次数；
[0225]
(2)随机初始化混沌变量λ
0，j
∈(0，1)；
[0226]
(3)更新λ
i 1，j
＝μ
×
λ
i，j
(1-λ
i，j
)；
[0227]
(4)若达到最大迭代次数，则输出混沌随机值；否则，跳转到(3)；
[0228]
(5)x
i，j
＝x
min，j
λ
t，j
(x
max，j-x
min，j
)，其中x
min，j
和x
max，j
分别是输入态势指标的上界和下界。
[0229]
采用上述进一步方案的有益效果是：在引入了以不规则性，遍历性和随机性为特征的混沌序列，以执行整个群体的初始化过程。混沌系统由于其简单确定性动力系统的随机性取决于其初始条件和参数的灵敏度，逐渐被认为是有效的初始化机制，能够提高种群的多样性。
[0230]
以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。