[发明专利]基于GBDT算法的攻击识别方法及光伏并网接口装置

权利要求书

1.一种基于GBDT算法的攻击识别方法，其特征在于：包括如下步骤：

步骤一、获取光伏并网接口装置的信息数据流；

步骤二、对信息数据流进行预处理；

步骤三、将进行预处理后的信息数据流采用GBDT模型进行分类，输出分类结果，所述分类包括正常类以及恶意攻击类；

步骤四、当分类结果中存在攻击类时，则根据攻击类中数据的归类发出相应的报警提示以及生成日志记录进行保存同时还对信息数据流进行拦截；当分类结果均为正常类时，则对信息数据流进行转发。

2.根据权利要求1所述的基于GBDT算法的攻击识别方法，其特征在于：所述步骤四还包括将分类结果、报警提示和/或日志记录发送至上层。

3.根据权利要求1所述的基于GBDT算法的攻击识别方法，其特征在于：所述预处理包括特征提取、数值化以及归一化处理。

4.根据权利要求1所述的基于GBDT算法的攻击识别方法，其特征在于：所述步骤三将进行预处理后的信息数据流采用GBDT模型进行检测前，先对GBDT模型进行分类训练，得到已训练好的GBDT分类模型，模型训练包括如下步骤：

一、建立样本集，所述样本集包括正样本以及负样本，所以正样本为正常的信息数据流，负样本为受到恶意攻击的信息数据流，所述恶意攻击包括Dos攻击，未授权访问攻击、接口端非正常探测、木马病毒攻击，运行状态、气象等消息伪造或篡改等攻击类型的数据流；

二、输入给定的训练集T＝{(x₁,y₁)，(x₂,y₂)，…，(x_n,y_n)}；迭代次数M；一个可微的损失函数y_k＝{0，1}，表示样本x是否属于第k类，1代表是，0代表否；p_k(x)表示样本x属于第k类的概率；x_i(i＝1，2，…，n)为输入样本，y_i(i＝1，2，…，n)为输入样本x_i对应的输出值，也即分类标签(表明该样本是正常或何种攻击类型的标签)；f_k(x)为弱学习器，k＝1,2,...,K，K表示共有分类的类别的总数：正常类，Dos攻击，未授权访问攻击，接口端非正常探测，木马病毒攻击，消息篡改攻击；

(1)根据样本集(含正负样本)中设定的标签值y_i，对弱学习器模型进行初始化：f_k(x)＝0，k＝1,2,...,K(K为分类数，K＝6)；

(2)设置迭代次数m＝1,2，…，M：

(2.1)计算样本点属于每个类别的概率：

其中，exp(f_k(x))表示对f_k(x)求指数；K为分类数目；

(2.2)对于每一个分类类型k＝1,2,...,K：

(2.2.1)计算残差：

r_ki＝y_ki-P_k(x_i)，

其中，i＝1，2，…，n为样本数；y_ki为第i个样本对应的第k类取值；P_k(x_i)为样本x_i属于k类的概率；

(2.2.2)以概率伪残差{(x₁,r_k1)，……，(x_n,r_kn)}重新训练拟合一个分类树；

(2.2.3)计算乘子：

其中，K为类别数；c_mkj为m次迭代、第k类生成的树的叶子节点乘子；R_mkj为m次迭代、第k类生成的树的叶子节点区域；j＝1,2，…，J为叶子节点数；m＝1,2，…，M为迭代次数；x_i(i＝1，2，…，n)为输入样本；r_ki为第i个样本第k类伪残差；

(2.2.4)通过以下计算公式更新学习器：

其中，f_k,m(x)为样本x的m次迭代、第k类得到的学习器；f_k,m-1(x)为样本x的m-1次迭代、第k类得到的学习器；I为叶子特征的集合；R_mkj为m次迭代、第k类生成的树的叶子节点区域，j＝1,2，…，J为叶子节点数；

(3)输出强分类器F_Mk(x)：

其中，F_Mk(x)为样本x的M次迭代、第k类得到的强分类器；c_mkj为m次迭代、第k类生成的树的叶子节点乘子；R_mkj为m次迭代、第k类生成的树的叶子节点区域，j＝1,2，…，J为叶子节点数；m＝1,2，…，M为迭代次数；I为叶子特征的集合；

最后得到的F_Mk(x)用来得到第k类的相应的概率P_Mk(x)：

将概率转换为类别：

其中为最终的输出类别，c(k,k')表示当真实值为k'时，预测为第k类时的联合代价，即概率最大的类别即为预测的类别，最终得到已训练好的GBDT模型。