[发明专利]一种电力信息网络中流量识别模型的动态更新方法

说明书

技术领域

本发明属于电力信息网络安全领域，具体涉及一种电力信息网络中流量识别模型的动态更新方法。

背景技术

随着计算机技术和网络通信技术的快速发展，电力行业业务的信息化已逐渐普及。通过分层设计、区域联网实现规模宏大的电力信息网络，为电力行业的调度，业务处理提供方便，实现电力负荷的调度使用最优化，获得较好的经济效益。由于电力系统涉及社会各行各业，所以电力信息网络安全无小事，事事均会带来较为严重的政治、经济影响。作为一种应用性较强的信息网络，同样面临着来自网络内部和外部的网络攻击问题，导致近年来各地频频出现大面积停电事件。为解决相应问题，国家出台了一系列的安全标准和使用规范，同时各研究单位针对电力信息网络各个环节设计出许多安全产品和技术方案。2009年华北电力大学王保义教授团队基于数据挖掘思想设计入侵检测算法AR_Tree，通过对所提取的电力信息网络流量样本集测试获得了较为满意的实验效果。在2011年的国际会议CSSS中，Gao Kunlun等通过对电力信息网络安全态势的宏观建模分析，获得相应的评估指标体系，利用拟合回归函数的方法求解电力信息网络流量识别模型。在此基础上，徐茹枝等利用AdaBoosting方法，基于滑动窗口机制建立回归识别预警模型。相关工作均是基于数据挖掘的思想建立识别模型，然后用识别模型对后续流量进行分类，根据分类结果采取相应的网络控制策略，实现主动预警功能。这些工作均强调了流量识别模型的构建算法，而且在构建算法设计时，均假设了电力信息网络中流量样本系列在相应输入特征空间内所呈现的概念是静态不变的。由于网络的动态性和应用形式不断发生变化，概念不变的假设前提在实际环境中难以保证，因此相应的基于数据挖掘思想的流量识别模型应该适时更新。

发明内容

为了克服上述现有技术的不足，本发明提供一种电力信息网络中流量识别模型的动态更新方法，可以保证流量识别模型能够快速跟踪流量样本中所包含的知识，准确地检测出异常流量，在此基础上实现主动预警功能，提升了电力信息网络的安全性。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种电力信息网络中流量识别模型的动态更新方法，所述方法包括以下步骤：

步骤1：获得流量识别模型；

步骤2：动态更新流量识别模型。

所述步骤1中，采用Bayes算法进行训练，以获得流量识别模型。

所述步骤1具体包括以下步骤：

步骤1-1：电力信息网络中流量按类别分为正常流量和异常流量，用p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，分别对p(y＝+1)和p(y＝-1)进行估算，有：

其中，表示正常流量样本的先验概率分布p(y＝+1)的估计值；表示异常流量样本的先验概率分布p(y＝-1)的估计值；|(x_i,y_i)∈D∩y_i＝+1|表示正常流量样本个数；|D|表示流量样本个数；x_i表示流量样本，y_i表示流量样本所属类别，y_i取值+1代表正常流量，y_i取值-1代表异常流量；

步骤1-2：采用多变量高斯分布模型进行拟合，得到正常流量样本的均值、正常流量样本的协方差、异常流量样本的均值和异常流量样本的协方差；分别表示为：

其中，表示正常流量样本的均值，表示正常流量样本，表示正常流量样本的协方差，m表示正常流量样本个数；表示异常流量样本的均值，表示异常流量样本，表示异常流量样本的协方差，n表示流量样本个数，T表示矩阵转置；

步骤1-3：采用Bayes定理，通过流量样本的先验概率分布和类条件概率分布求出后验概率分布得到流量样本的后验概率分布，有：

其中，P(y＝+1/x)表示正常流量样本的后验概率分布，P(y＝-1/x)表示异常流量样本的后验概率分布，P(x/y＝+1)表示正常流量的类条件概率分布，P(x/y＝-1)表示异常流量的类条件概率分布，p(y＝+1)表示正常流量样本的先验概率分布，p(y＝-1)表示异常流量样本的先验概率分布，P(x)表示流量样本概率分布。

所述步骤2中，在对流量识别模型进行动态更新前，先进行流量样本识别。

流量样本识别包括：