本發明公開了一種基于機器學習的電網網絡安全事件分析方法，包括：S01：輸入數據集，所述數據集包括歷史網絡安全事件和對應處置方法；S02：將數據集劃分為訓練集和驗證集，并將歷史網絡安全事件名稱轉化為詞向量形式，建立特征集合；S03：將訓練集中的特征集合和處置方法分批導入至參數不同的神經網絡中進行訓練得到若干種訓練后的神經網絡；S04：將驗證集的特征集合輸入至各訓練后的神經網絡中輸出處置方法，與驗證集中原處置方法進行對比，統計得到準確率；S05：根據準確率調整并篩選訓練后的神經網絡，從中得到最終模型；S06：將實時網絡安全事件名稱轉化為詞向量形式并建立特征集合后輸入最終模型，得到處置方法。本發明能夠智能判斷處置方法。

技術領域

本發明主要涉及電力網絡安全技術領域，更具體地，涉及一種基于機器學習的電網網絡安全事件分析方法。

背景技術

隨著電網的持續發展，越來越多的安全系統在電網中被使用。傳統的安全產品只能對網絡中的攻擊進行告警，但并不具備自動化處置的功能。無法在攻擊產生后進行一些有效的處理，事后處理也均都是手工處置，這種方式讓安全事件的響應速度遠低于基準。

現有技術中，目前常用機器學習相關技術進行異常檢測等任務。如授權公告號CN106790008B的發明公開了一種用于在企業網絡中檢測異常主機的機器學習系統。所述機器學習系統包括數據收集子系統、數據處理子系統、三階段機器學習子系統和標記報警子系統，所述四個子系統順次銜接，所述數據收集子系統收集企業網絡中各類安全信息后，傳遞給所述數據處理子系統，所述數據處理子系統對數據進行標準化和特征提取處理后，將特征向量傳遞給所述三階段機器學習子系統，所述三階段機器學習子系統對安全信息進行逐級求精的甄別和篩選，將異常主機的信息傳遞給所述標記報警子系統，所述標記報警子系統對異常主機進行標記，對達到報警要求的異常主機和安全事件進行報警。所述機器學習系統能夠解決現有技術存在的報警量大、虛警率高的問題。

但現有技術中通常缺少機器學習的反饋機制或反饋機制優化較差，導致判斷的準確率不及預期。

發明內容

針對現有技術缺少反饋機制或反饋機制較差的問題，本發明提供了一種基于機器學習的電網網絡安全事件分析方法，在訓練過程中通過橫向對比并調整的方式，獲得準確率相對最優的模型，從而提高整體分析的準確率。

以下是本發明的技術方案。

一種基于機器學習的電網網絡安全事件分析方法，包括以下步驟：

S01：輸入數據集，所述數據集包括歷史網絡安全事件和對應處置方法；

S02：將數據集劃分為訓練集和驗證集，并將歷史網絡安全事件名稱轉化為詞向量形式，建立特征集合；

S03：將訓練集中的特征集合和處置方法分批導入至參數不同的神經網絡中進行訓練得到若干種訓練后的神經網絡；

S04：將驗證集的特征集合輸入至各訓練后的神經網絡中輸出處置方法，與驗證集中原處置方法進行對比，統計得到準確率；

S05：根據準確率調整并篩選訓練后的神經網絡，從中得到最終模型；

S06：將實時網絡安全事件名稱轉化為詞向量形式并建立特征集合后輸入最終模型，得到處置方法。

本發明利用了神經網絡學習中參數設置不同會直接影響訓練結果的原理，將多個不同參數的神經網絡進行橫向對比，從而進行調整，得到最優的最終模型。

作為優選，所述準確率的統計過程包括：如果對比結果一致則正確計數加一，如果不一致則錯誤計數加一，準確率＝正確計數/正確計數與錯誤計數之和。

作為優選，所述神經網絡為BP神經網絡，訓練過程包括：設置BP神經網絡的輸入層節點數、隱含層節點數、輸出層節點數、訓練迭代次數以及學習率，將訓練集中的特征集合作為輸入，處置方法作為輸出，導入至BP神經網絡進行訓練，其中每批次訓練時設置不同的隱含層節點數。由于隱含層節點數的設置對于準確率的影響較大，且無法一次性獲得最優解，因此先分批設置后待后續調整。