[发明专利]基于单类支持向量机OCSVM的流量异常检测方法

说明书

本发明提供了一种基于单类支持向量机OCSVM的流量异常检测方法，包括1）数据采集阶段、2）数据降维预处理阶段及3）OCSVM算法运行阶段。应用本技术方案可通过机器学习的方法对数据进行二分类，并且只需要一类样本就可以训练检测模型，对噪声样本数据具有鲁棒性，很好满足了工控系统的数据不平衡特点。

技术领域

本发明涉及信息安全测试技术领域，特别是一种基于单类支持向量机 OCSVM的流量异常检测方法。

背景技术

与传统TCP/IP网络不同，工业控制系统通信网络具有“状态有限”和“行为有限”的特点。状态有限是指工业控制系统通信具有规律性和稳定性的特点，即规则的通信流；行为有限是指工业控制系统具有较固定的行为特征和可预测的行为模式，因此，工业控制系统的实时网络流量异常特征识别技术本质上是一个二分类问题，即对正常的工业数据和异常的工业数据进行二分类。但目前的数据检测通常需要多类样本，检测便捷度低。

发明内容

有鉴于此，本发明的目的在于提供一种基于单类支持向量机OCSVM的流量异常检测方法，通过机器学习的方法对数据进行二分类，并且只需要一类样本就可以训练检测模型，对噪声样本数据具有鲁棒性，很好满足了工控系统的数据不平衡特点。

为实现上述目的，本发明采用如下技术方案：基于单类支持向量机 OCSVM的流量异常检测方法，包括1)数据采集阶段、2)数据降维预处理阶段及3)OCSVM算法运行阶段。

在一较佳的实施例中，数据采集阶段在电网运行时对网络数据包进行捕获，从电网实时网络流量中采集到的流量数据绝大部分为正常数据，少部分为异常数据；现场采集的流量数据数据量大、维度高，因此需要经过一系列的预处理后，采用OCSVM算法进行机器学习。

在一较佳的实施例中，数据降维预处理阶段指数据降维；数据降维是对数据维度进行降维处理；采用主成分分析方法对系统数据进行特征提取、降维度。

在一较佳的实施例中，对电网网络流量特征数据进行反复权衡比较，选取能够代表电网流量的特征属性代表原始数据包信息；选取下列13项特征属性代表原数据包的信息，它们是源地址、目的地址、IP包总长度、IP 包头长度、TCP包头长度、源端口号、目的端口号、流量大小、协议标识符、长度、业务标识符、功能码以及数据长度；

根据所选择的特征，将这些特征按顺序从数据包中提取出来并存储成矩阵形式，用主成分分析方法PCA进行特征提取，进行降维处理，去除噪声数据和冗余特征项。

在一较佳的实施例中，主成分分析方法PCA具体过程如下：

步骤1：设定n个特征变量，这里n＝13；

步骤2：输入提取数据帧号N，计算第N帧各特征数据地址；

步骤3：提取不同的特征变量对应的数据值；

步骤4：判断是否提取n个特征变量，若是，将提取的特征变量输出，存储为矩阵形式，记为X0，否则继续提取数据，直到将所有数据包中的特征值都提取出来为止；

步骤5：计算标准化化后的工业数据集X0的协方差矩阵P＝(1/n)X0X0T，并计算协方差矩阵的特征值以及对应的特征向量；

步骤6：按照特征值大小顺序将特征值对应的特征向量排列成向量形式，根据公式计算累计方差贡献率，选取前m，个特征向量组成变换矩阵C，mn，确定降维后工业数据集，记为X1＝CX0，将原始工业数据集从n维降到m维。

在一较佳的实施例中，OCSVM算法运行阶段具体为：在经过数据预处理后，得到具有相同维数的流量数据样本，即OCSVM算法可处理的矩阵形式X ＝(x1，x2…xi…xl)，将矩阵输入OCSVM算法运算实现实时网络流量异常的识别；在X矩阵中，xi＝(xi1，xi2，…，xim)表示第i个现场数据，每一维代表该数据的一项属性；