[发明专利]基于神经网络的智能电表异常检测方法

权利要求书

1.一种基于神经网络的智能电表异常检测方法，其特征在于，包括如下步骤：

（1）测度定义：对智能电表的流量数据进行分析，定义用于后续检测系统需要的各项测度，建立测度集合；

所述测度集合包括测度名，测度对应流量数据位置，测度计算方法；

基于网络协议选择报文数据作为测度，选择的测度为报文网络层、传输层和应用层的数据字段；

网络层字段包括头部长度，TTL字段，QoS字段，分片字段，协议字段；

传输层协议字段包括源端口和宿端口；

应用层字段包括应用层负载长度和应用层负载熵；

其中网络层字段和传输层字段为直接测度，直接从报文中获取；应用层负载长度字段为2阶测度，通过网络层报文头部中的报文长度字段减去网络层报文头部长度再减去传输层报文头部长度获取；应用层负载熵测度为2阶测度，通过统计应用层负载字节内容的分布获取；

（2）训练集建立：根据选定的测度集合，从智能电表中获取一段时间内的运行数据，并从中提取出测度集合数据，建立标准的训练集；智能电表为实验环境智能电表或可控的实际运行智能电表；从智能电表中获取正常流量数据，结合模拟的攻击数据，建立标准的训练集；

所述攻击数据的模拟方式为，在沙盒环境中执行恶意攻击，并收集其执行过程中产生的流量；

（3）检测模型建立：基于多层前馈网络和反向传播算法对训练集进行训练，建立神经网络检测模型，输入源为每个电表的测度集合数据，输出为异常或正常；

（4）实时数据采集：从智能电表到数据中心入口处实时采集智能电表的流量，从流量中计算出测度数据；

（5）实时检测：将步骤（4）获取的测度数据作为输入源发送至神经网络检测模型，根据神经网络检测模型的输出判断输入测度对应的智能电表数据属于异常或是正常。

2.根据权利要求1所述的方法，其特征在于，从智能电表中获取一段时间内的运行数据，所述一段时间的时间跨度为至少一周；采集运行数据的样本点数在10K条以上。

3.根据权利要求1所述的方法，其特征在于，所述步骤（3）中，通过分光、端口镜像或SDN控制的方法获取智能电表发往数据中心的流量。

4.根据权利要求3所述的方法，其特征在于，所述分光的方法基于物理镜像的原理，通过三棱镜将光纤中的光束一分为二，从而达到物理镜像的效果；

端口镜像是利用交换机的控制功能，将其中1个端口的所有流量报文复制一份发往另一个端口；

SDN控制是对于SDN交换机，从控制器指定流表规则，将指定对应流表规则的报文复制到指定端口。