【技術實現步驟摘要】
本專利技術涉及電網運行的攻擊識別,尤其涉及一種基于日志數據的網絡攻擊識別方法、裝置、終端設備和存儲介質。
技術介紹
1、智能電網系統將先進信息技術與傳統電網基礎設施進行有機融合,能夠及時預測、發現故障,但通信技術的引入使得電網系統面臨網絡攻擊的風險。在電網的運行中常存在以下幾種類型的網絡攻擊:probe攻擊、dos攻擊以及r2l攻擊,而這些網絡攻擊類型均可能對電網的穩定運行構成威脅,因此需要及時、準確地檢測和應對。
2、但是傳統的方法主要依賴人工對電網系統的事件日志進行篩選和判斷,比如需要人工逐條查看日志,依據經驗識別出正常訪問事件和異常訪問事件,從而確定出是否存在網絡攻擊。而電網系統的事件日志數量龐大,則現有技術的查閱和識別方式效率低下,且容易存在遺漏和錯看的問題,會導致電網系統整體的可靠性下降。
技術實現思路
1、本專利技術實施例提供了一種基于日志數據的網絡攻擊識別方法、裝置、終端設備和存儲介質,利用預設的日志分類模型進行正常訪問或異常訪問的分類,實現自動化的方式來處理日志數據,提高了處理效率,能有效解決現有技術中由于依賴人工對電網系統的事件日志進行篩選和判斷,導致識別方式效率低下,且容易存在遺漏和錯看的問題。
2、本專利技術一實施例提供了一種基于日志數據的網絡攻擊識別方法,包括:
3、獲取電網系統在一時間段內所對應的日志數據;
4、將所述日志數據中的非結構化事件日志轉換為結構化文本,繼而將所述結構化文本輸入到預設的日志分類模型中
5、在判定所述分類結果為正常訪問時,生成用于表征未發生網絡攻擊的第一提示信息;
6、在判定所述分類結果為異常訪問時,生成用于表征已發生網絡攻擊的第二提示信息;
7、其中,所述預設的日志分類模型的訓練,包括:
8、以若干個日志數據對應的結構化文本樣本以及每一結構化文本樣本對應的實際分類結果為輸入,以各個結構化文本樣本的預測分類結果為輸出,對待訓練的日志分類模型進行迭代訓練,直至模型收斂,生成預設的日志分類模型。
9、優選地,所述將所述日志數據中的非結構化事件日志轉換為結構化文本,包括:
10、對于日志數據中每個非結構化事件日志,基于空格分隔符將非結構化事件日志的數據進行切分,生成包含有多個元素的第一集合;其中,所述元素用于表征日志數據中獨立的信息片段;
11、對于每個非結構化事件日志所對應的每一第一集合,將包含有若干預設變量的正則表達式集合與所述第一集合中各個元素進行匹配,繼而將正則表達式集合中的變量替換所述第一集合中與變量匹配成功的元素,生成第二集合;
12、基于各個第二集合的長度,將長度相同的第二集合進行一次歸類,生成若干個具有不同長度的日志組;
13、將未完成一次歸類的第二集合標記為第三集合,將每個第三集合的元素起始位置與各個日志組中集合的元素起始位置進行比對,繼而將與一日志組的元素起始位置相同的第三集合進行二次歸類到對應的日志組中;
14、將未完成二次歸類的第三集合標記為第四集合,逐一遍歷每一第四集合,計算出第四集合與各個日志組的集合之間的曼哈頓距離,判斷最大的曼哈頓距離是否大于預設距離閾值,若是則將所述第四集合進行三次歸類到最大曼哈頓距離所對應的日志組中,若否則將所述第四集合單獨劃分為一個新的日志組,直至第四集合遍歷完畢時,生成若干個更新后的日志組;其中,每個更新后的日志組對應一日志模板;
15、對于每一更新后的日志組,將更新后的日志組中各個集合所對應的元素或變量,填充至對應的日志模板中,生成所對應的填充數據;
16、基于每一更新后的日志組所對應的填充數據,生成所述日志數據所對應的結構化文本。
17、優選地,所述將所述結構化文本輸入到預設的日志分類模型中,以使所述日志分類模型捕捉結構化文本中的上下文信息以及計算結構化文本中各個詞語之間的相關程度,包括:
18、將所述結構化文本轉換為用于映射各個信息片段與預設詞匯表之間的關系的整數序列、用于區分不同句子的位置的id序列以及用于區分信息片段是否有效的注意力掩碼序列;其中,所述預設詞匯表包括多個預設詞向量,不同的預設詞向量對應不同的序號;所述句子包括若個信息片段;
19、將所述整數序列、id序列以及注意力掩碼序列同時輸入到預設的日志分類模型中,以使所述日志分類模型根據所述整數序列以及id序列中各個信息片段所對應的預設以及各個信息片段在文本中的位置,生成結構化文本所對應的上下文信息;繼而所述日志分類模型根據注意力掩碼序列對結構化文本中各個預設詞向量進行有效性識別,基于結構化文本所對應的上下文信息以及各個預設詞向量的有效性計算出各個詞語之間的相關程度。
20、優選地,所述將所述結構化文本轉換為用于映射各個信息片段與預設詞匯表之間的關系的整數序列、用于區分不同句子的位置的id序列以及用于區分信息片段是否有效的注意力掩碼序列,包括:
21、將所述結構化文本中每個元素或每個變量作為一個信息片段,在所述信息片段的首端以及尾端分別添加第一標識和第二標識;其中,所述第一標識和第二標識不同;
22、根據第一標識和第二標識,將各個信息片段與預設詞匯表中的預設詞向量進行分別映射,基于預設詞匯表中各個預設詞向量的序號對每個信息片段賦值對應的順序號;
23、將各個信息片段對應的順序號進行順序拼接,生成所述結構化文本對應的用于映射各個信息片段與預設詞匯表之間關系的整數序列;
24、將所述結構化文本中每個句子進行順序編碼,繼而將各個句子對應的編碼進行拼接,生成用于區分不同句子的位置的id序列;
25、對所述整數序列以及所述id序列分別進行填充預設數值,直至所述整數序列以及id序列的長度均等于預設長度值;其中,所述預設長度值為:從日志數據中提取且由整數組成的序列所對應的長度;
26、將所述整數序列中各個信息片段所對應的位置賦值為1,將所述整數序列中各個預設數值所對應的位置賦值為0,生成用于區分信息片段是否有效的注意力掩碼序列;其中,位置的賦值為1時所對應的片段為有效片段,位置的賦值為0時所對應的片段為無效片段。
27、優選地,所述第二提示信息,還包括:在發生網絡攻擊時所述網絡攻擊對應的攻擊類型;
28、所述在判定所述分類結果為異常訪問時,生成用于表征已發生網絡攻擊的第二提示信息,包括:
29、在判定所述分類結果為異常訪問時,將所述日志數據中每個非結構化事件日志進行轉換成對應的詞向量集合,生成最終的詞向量集合列表;其中,所述詞向量集合列表包含有若干個詞向量集合,每一詞向量集合包含有若干目標詞向量,每一目標詞向量與非結構化本文檔來自技高網...
【技術保護點】
1.一種基于日志數據的網絡攻擊識別方法,其特征在于,包括:
2.如權利要求1所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述將所述日志數據中的非結構化事件日志轉換為結構化文本,包括:
3.如權利要求2所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述將所述結構化文本輸入到預設的日志分類模型中,以使所述日志分類模型捕捉結構化文本中的上下文信息以及計算結構化文本中各個詞語之間的相關程度,包括:
4.如權利要求3所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述將所述結構化文本轉換為用于映射各個信息片段與預設詞匯表之間的關系的整數序列、用于區分不同句子的位置的ID序列以及用于區分信息片段是否有效的注意力掩碼序列,包括:
5.如權利要求4所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述第二提示信息,還包括:在發生網絡攻擊時所述網絡攻擊對應的攻擊類型;
6.如權利要求5所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述將所述日志數據中每個非結構化事件日志進行轉換成對應的詞向量集合,生成最
7.如權利要求6所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述攻擊分類模型,包括:輸入層、GRU層、CNN層以及全連接層;
8.一種基于日志數據的網絡攻擊識別裝置,其特征在于,包括:日志數據獲取模塊、分類結果生成模塊以及提示模塊;
9.一種終端設備,其特征在于,包括處理器、存儲器以及存儲在所述存儲器中且被配置為由所述處理器執行的計算機程序,所述處理器執行所述計算機程序時實現如權利要求1至7中任意一項所述的一種基于日志數據的網絡攻擊識別方法。
10.一種存儲介質,其特征在于,所述存儲介質包括存儲的計算機程序,其中,在所述計算機程序運行時控制所述存儲介質所在設備執行如權利要求1至7中任意一項所述的一種基于日志數據的網絡攻擊識別方法。
...【技術特征摘要】
1.一種基于日志數據的網絡攻擊識別方法,其特征在于,包括:
2.如權利要求1所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述將所述日志數據中的非結構化事件日志轉換為結構化文本,包括:
3.如權利要求2所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述將所述結構化文本輸入到預設的日志分類模型中,以使所述日志分類模型捕捉結構化文本中的上下文信息以及計算結構化文本中各個詞語之間的相關程度,包括:
4.如權利要求3所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述將所述結構化文本轉換為用于映射各個信息片段與預設詞匯表之間的關系的整數序列、用于區分不同句子的位置的id序列以及用于區分信息片段是否有效的注意力掩碼序列,包括:
5.如權利要求4所述的一種基于日志數據的網絡攻擊識別方法,其特征在于,所述第二提示信息,還包括:在發生網絡攻擊時所述網絡攻擊對應的攻擊類型;
6.如權利...
【專利技術屬性】
技術研發人員:古振威,鄧曉智,盧建剛,吳勤勤,楊云帆,趙瑞鋒,馬騰騰,潘垚鑫,湯懌,蘇鵬程,崔哲,
申請(專利權)人:廣東電網有限責任公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。