[发明专利]一种电力信息网络中流量识别模型的动态更新方法

权利要求书

1.一种电力信息网络中流量识别模型的动态更新方法，其特征在于：所述方法包括以下步骤：

步骤1：获得流量识别模型；

步骤2：动态更新流量识别模型；

所述步骤1中，采用Bayes算法进行训练，以获得流量识别模型；

所述步骤1具体包括以下步骤：

步骤1-1：电力信息网络中流量按类别分为正常流量和异常流量，用p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，分别对p(y＝+1)和p(y＝-1)进行估算，有：

其中，表示正常流量样本的先验概率分布p(y＝+1)的估计值；表示异常流量样本的先验概率分布p(y＝-1)的估计值；|(x_i,y_i)∈D∩y_i＝+1|表示正常流量样本个数；|D|表示流量样本个数；x_i表示流量样本，y_i表示流量样本所属类别，y_i取值+1代表正常流量，y_i取值-1代表异常流量；

步骤1-2：采用多变量高斯分布模型进行拟合，得到正常流量样本的均值、正常流量样本的协方差、异常流量样本的均值和异常流量样本的协方差；分别表示为：

其中，表示正常流量样本的均值，表示正常流量样本，表示正常流量样本的协方差，m表示正常流量样本个数；表示异常流量样本的均值，表示异常流量样本，表示异常流量样本的协方差，n表示流量样本个数，T表示矩阵转置；

步骤1-3：采用Bayes定理，通过流量样本的先验概率分布和类条件概率分布求出后验概率分布得到流量样本的后验概率分布，有：

其中，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布，P(x/y＝+1)表示正常流量的类条件概率分布，P(x/y＝-1)表示异常流量的类条件概率分布，p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，P(x)表示流量样本概率分布。

2.根据权利要求1所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：所述步骤2中，在对流量识别模型进行动态更新前，先进行流量样本识别。

3.根据权利要求2所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：流量样本识别包括：

(1)根据IANA组织的端口分配信息，结合对应网络应用的文档说明判断出端口使用情况，之后基于端口分配信息进行流量样本过滤，基于公众熟知的注册端口进行通讯的连接请求予以放行；

(2)采用流量识别模型对经过过滤后的流量样本进行识别，若被判断为异常流量样本，阻止其对应的网络连接行为，并提交相应的预警信息；若被判断为正常流量样本，放行其对应的网络连接行为，同时保留相关流量样本的分类信息。

4.根据权利要求2所述的电力信息网络中流量识别模型的动态更新方法，其特征在于：对流量识别模型进行动态更新包括：

(1)采用流量样本信息熵衡量流量样本的有用性，流量样本有用性用下式表示，有：

U_i(x)＝-∑p(y＝+1/x)log p(y＝+1/x)

U_j(x)＝-∑p(y＝-1/x)log p(y＝-1/x)

其中，U_i(x)表示正常流量样本有用性，U_j(x)表示异常流量有用性，P(y＝+1/x)表示正 常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布；

流量样本有用性的临界值设置为0.65，即当U_i(x)或U_j(x)大于0.65时，需保存流量样本后验概率分布进行流量识别模型的更新学习；

(2)将流量样本后验概率分布迁移到流量识别模型中，利用下式估计当前先验知识，有：

其中，表示k步正常流量样本的先验概率分布p(y＝+1)的估计值，表示k步异常流量样本的先验概率分布p(y＝-1)的估计值，p_k-1(y＝+1)表示k-1步正常流量样本的先验概率分布，p_k-1(y＝-1)表示k-1步异常流量样本的先验概率分布，p(y＝+1/x)表示正常流量样本的后验概率分布，p(y＝-1/x)表示当前异常流量样本的后验概率分布，α表示权重，取值为0.5。