随着电力配变网络基础设施规模的不断扩大,各类安全二次设备、边缘终端节点和业务系统产生的信息通信流量数据在格式、协议、语义特征层面存在显著差异。主要存在现有缓解框架缺乏多源异构网络异常流量检测数据归一化处理算法,网络攻击...随着电力配变网络基础设施规模的不断扩大,各类安全二次设备、边缘终端节点和业务系统产生的信息通信流量数据在格式、协议、语义特征层面存在显著差异。主要存在现有缓解框架缺乏多源异构网络异常流量检测数据归一化处理算法,网络攻击行为分析依赖人工特征提取的规则引擎,以及难以确定有效的网络攻击缓解措施等痛点。针对以上痛点,提出了一种基于归一化处理和TrafficLLM的网络攻击缓解框架(Network Attack Mitigation Framework Based on Normalized Processing and TrafficLLM,NAMF-NPTLLM)。该框架涵盖数据解析、归一化处理、模型微调和生成攻击缓解方案4个核心阶段。首先,在特征选择阶段,通过构建集成学习模型,融合多类基学习器的特征评估结果,精准提取对分类结果影响较大的关键特征。其次,将选取的关键特征通过归一化处理,生成统一的自然语言token序列形式表达,为该网络攻击缓解框架的流量异常分析TrafficLLM模型提供标准化输入。然后,对TrafficLLM模型进行微调,使该模型能够理解提示词模板指令并学习攻击行为的流量模式。最后,通过微调后的大模型进行推理,生成攻击缓解指令,使得该框架能够根据攻击行为特征动态调整网络攻击缓解策略。通过在CIC-DDoS2019数据集上进行实验验证,与传统方法相比,该框架将网络攻击行为分类的准确率达到99.80%,提高了1.3%。实验结果表明,该框架对于缓解海量多源异构电力网络终端流量攻击,具有更好的准确性和有效性。展开更多
文摘随着电力配变网络基础设施规模的不断扩大,各类安全二次设备、边缘终端节点和业务系统产生的信息通信流量数据在格式、协议、语义特征层面存在显著差异。主要存在现有缓解框架缺乏多源异构网络异常流量检测数据归一化处理算法,网络攻击行为分析依赖人工特征提取的规则引擎,以及难以确定有效的网络攻击缓解措施等痛点。针对以上痛点,提出了一种基于归一化处理和TrafficLLM的网络攻击缓解框架(Network Attack Mitigation Framework Based on Normalized Processing and TrafficLLM,NAMF-NPTLLM)。该框架涵盖数据解析、归一化处理、模型微调和生成攻击缓解方案4个核心阶段。首先,在特征选择阶段,通过构建集成学习模型,融合多类基学习器的特征评估结果,精准提取对分类结果影响较大的关键特征。其次,将选取的关键特征通过归一化处理,生成统一的自然语言token序列形式表达,为该网络攻击缓解框架的流量异常分析TrafficLLM模型提供标准化输入。然后,对TrafficLLM模型进行微调,使该模型能够理解提示词模板指令并学习攻击行为的流量模式。最后,通过微调后的大模型进行推理,生成攻击缓解指令,使得该框架能够根据攻击行为特征动态调整网络攻击缓解策略。通过在CIC-DDoS2019数据集上进行实验验证,与传统方法相比,该框架将网络攻击行为分类的准确率达到99.80%,提高了1.3%。实验结果表明,该框架对于缓解海量多源异构电力网络终端流量攻击,具有更好的准确性和有效性。
