[发明专利]基于非监督学习的电力二次系统网络流量异常检测方法

说明书

本发明公开了一种基于非监督学习的电力二次系统网络流量异常检测方法，包括如下步骤：S1，采集二次系统中设备的日志信息，并进行预处理，得到历史训练数据；S2，采用历史训练数据对SOM网进行训练，并通过交叉检验获取最终检测模型；S3，实时采集二次系统中设备的日志信息得到输入向量，将输入向量输入最终检测模型，根据输入向量的状态值得到当前网络流量的状态值。该方法可以及时有效地发现网络流量异常，提高网络异常的处理效率，有效减少网络异常带来的损失。

技术领域

本发明涉及一种网络流量检测方法，尤其涉及一种基于非监督学习的电力二次系统网络流量异常检测方法；属于电力通信安全技术领域。

背景技术

电力二次系统是指由各级电力监控系统和调度数据网络(SPDnet)以及各级管理信息系统和电力数据通信网络(SPTnet)构成的系统。电力二次系统是电力系统安全的重要组成部分，与电网调度和控制系统的安全运行紧密关联。电力二次系统内存在大量的安全设备、业务系统，其组成的网络规模庞大、结构复杂，伴随着大量的数据通信业务。因此实时监测电力二次系统内的网络流量并及时发现何时何处存在流量异常，对系统的安全稳定运行至关重要。

目前，流量异常检测的传统做法是绘制流量曲线(或基线)，通过算法对比历史正常流量曲线与监测曲线的差异,从而进行流量异常检测的判断。近年来随机器学习和数据挖掘等方法的快速发展，大量研究者对相关技术在网络流量检测领域的应用进行了探索。

在姜红红、张涛、赵新建等人发表的《基于大数据的电力信息网络流量异常检测机制》(《电信科学》，2017，33(3)：134-141)中，公开了一种基于大数据的流量异常检测机制，该机制引入基于密度的局部异常因子学习方法(LOF)和基于距离的支持向量域数据描述(SVDD)学习方法对电力信息网流量数据进行异常检测。在吴柳、张思拓、雷通、蔡耀广共同发表的《一种面向电力系统数据网络的流量检测模型》(《信息通信》，2013(7)：45-46)中，提出基于动态基线理念，利用SNMP、NetFlow、DPI等工具，建立了面向电力系统的网络流量检测模型并从不同维度对网络流量进行了分析。在庄政茂、陈兴蜀、邵国林、叶晓鸣共同发表的《一种时间相关性的异常流量检测模型》(《山东大学学报》：理学版，2017，52(3)：68-73)中，提出一种基于分布率、聚类偏差和密集度结合的聚类算法构建时间相关性流量异常检测模型，实验证明该模型可协助网络管理员及时发现异常，但需要大量历史数据支撑，并不适用于波动较大的网络环境。

上述文献均在电力系统数据网络流量异常检测技术研究中取得一定研究成果，但对其异常原因并未进行探讨。为了及时发现网络流量异常并定位异常原因，将基于自组织映射(SOM)的无监督机器学习方法应用于电力二次系统的流量异常检测和流量异常原因分析中，非常必要。

发明内容

针对现有技术的不足，本发明所要解决的技术问题在于提供一种基于非监督学习的电力二次系统网络流量异常检测方法。

为实现上述发明目的，本发明采用下述的技术方案：

一种基于非监督学习的电力二次系统网络流量异常检测方法，包括如下步骤：

S1，采集二次系统中设备的日志信息，并进行预处理，得到历史训练数据；

S2，采用历史训练数据对SOM网进行训练，并通过交叉检验获取最终检测模型；

S3，实时采集二次系统中设备的日志信息得到输入向量，将输入向量输入最终检测模型，根据输入向量的状态值得到当前网络流量的状态值。

其中较优的，在步骤S1中，对采集的日志信息进行预处理，包括如下步骤：

S11，根据日志信息的特点，从二次系统中设备的日志信息中过滤出特定日志类型标识的数据记录日志；