[发明专利]基于单类支持向量机OCSVM的流量异常检测方法

权利要求书

1.基于单类支持向量机OCSVM的流量异常检测方法，其特征在于，包括1)数据采集阶段、2)数据降维预处理阶段及3)OCSVM算法运行阶段。

2.根据权利要求1所述的基于单类支持向量机OCSVM的流量异常检测方法，其特征在于，数据采集阶段在电网运行时对网络数据包进行捕获，从电网实时网络流量中采集到的流量数据绝大部分为正常数据，少部分为异常数据；现场采集的流量数据数据量大、维度高，因此需要经过一系列的预处理后，采用OCSVM算法进行机器学习。

3.根据权利要求1所述的基于单类支持向量机OCSVM的流量异常检测方法，其特征在于，数据降维预处理阶段指数据降维；数据降维是对数据维度进行降维处理；采用主成分分析方法对系统数据进行特征提取、降维度。

4.根据权利要求3所述的基于单类支持向量机OCSVM的流量异常检测方法，其特征在于，对电网网络流量特征数据进行反复权衡比较，选取能够代表电网流量的特征属性代表原始数据包信息；选取下列13项特征属性代表原数据包的信息，它们是源地址、目的地址、IP包总长度、IP包头长度、TCP包头长度、源端口号、目的端口号、流量大小、协议标识符、长度、业务标识符、功能码以及数据长度；

根据所选择的特征，将这些特征按顺序从数据包中提取出来并存储成矩阵形式，用主成分分析方法PCA进行特征提取，进行降维处理，去除噪声数据和冗余特征项。

5.根据权利要求4所述的基于单类支持向量机OCSVM的流量异常检测方法，其特征在于，主成分分析方法PCA具体过程如下：

步骤1：设定n个特征变量，这里n＝13；

步骤2：输入提取数据帧号N，计算第N帧各特征数据地址；

步骤3：提取不同的特征变量对应的数据值；

步骤4：判断是否提取n个特征变量，若是，将提取的特征变量输出，存储为矩阵形式，记为X0，否则继续提取数据，直到将所有数据包中的特征值都提取出来为止；

步骤5：计算标准化化后的工业数据集X0的协方差矩阵P＝(1/n)X0X0T，并计算协方差矩阵的特征值以及对应的特征向量；

步骤6：按照特征值大小顺序将特征值对应的特征向量排列成向量形式，根据公式计算累计方差贡献率，选取前m，个特征向量组成变换矩阵C，mn，确定降维后工业数据集，记为X1＝CX0，将原始工业数据集从n维降到m维。

6.根据权利要求1所述的基于单类支持向量机OCSVM的流量异常检测方法，其特征在于，OCSVM算法运行阶段具体为：在经过数据预处理后，得到具有相同维数的流量数据样本，即OCSVM算法可处理的矩阵形式X＝(x1，x2…xi…xl)，将矩阵输入OCSVM算法运算实现实时网络流量异常的识别；在X矩阵中，xi＝(xi1，xi2，…，xim)表示第i个现场数据，每一维代表该数据的一项属性；

当样本维数为两维时，直线即可进行样本划分，当样本维数为三维时，截面即可进行样本划分，当样本维数高于3维时，需要在高维空间进行样本划分，利用OCSVM算法将样本的特征在高维空间进行映射和划分。

7.根据权利要求6所述的基于单类支持向量机OCSVM的流量异常检测方法，其特征在于，在OCSVM流量流量异常检测中；在OCSVM训练中，采用OCSVM算法对电网流量数据进行训练；在训练时假设坐标原点为异样样本，在特征空间中构建一个最优的划分面区分正常和异常数据，得到分类决策函数。