[发明专利]一种适用于源网荷互动工控系统的网络流量异常检测方法

说明书

本发明公开了一种适用于源网荷互动工控系统的网络流量异常检测方法，采用两层分类机制，即先通过OCSVM模型进行第一次分类，该分类器可以检测出绝大部分的正常流量，通过调整模型尽可能的检测出异常流量，然后将OCSVM判定为异常的数据(可能包括部分正常流量)通过GBDT算法进行第二次分类，第二次分类用于检测出第一次分类中误检的正常流量，并将这部分流量加入样本重新训练，提高检测的准确度。本发明在保证流量检测准确率的情况下，同时有着较快的检测效率，满足源网荷互动的工控系统的流量检测需求。

技术领域

本发明属于无线通信技术领域，特别涉及一种适用于源网荷互动工控系统的网络流量异常检测方法。

背景技术

随着全球能源互联网建设、特高压电网及分布式能源快速发展，电动汽车、可控用户等带“源”“荷”双重特征的新型负荷不断涌现，电网潮流时空分布特性日趋复杂，实现电网与电源、用户之间互动及协同控制的重要性和迫切性持续提升。

在源网荷互动背景下，工控系统广泛分布在供电公司、电厂、变电站并持续向新能源发电侧、用户侧进行延伸，安全管控存在层级多、种类多、监视控制信息交互频繁等特点，各类运行信息和控制指令在采集、传输、执行过程中存在着被窃听、篡改、中断等风险，大量分散分布的新能源发电设备、用户设备接入增加了系统安全防范的难度。如何对源网荷系统的网络流量进行实时监测并及时发现网络的异常，对系统的稳定和安全具有重要的意义。

目前，异常流量的检测方法主要是：通过训练带有标记的流量数据得到区分正常流量数据和异常流量数据的分类器，利用该分类器进行异常流量检测。

上述方法使用特定的历史流量数据进行训练，一旦历史数据过期，对实时网络的判断会出现巨大的误差。在实际应用中，检测准确率较低。同时，检测的准确率和检测的效率难以兼顾，不能直接用于源网荷互动的工控系统的网络流量异常检测。

发明内容

发明目的：针对现有技术中存在的问题，本发明提供一种采用自学习的双层检测模型，通过自学习，使检测模型可以进行自我更新，适应环境的变化，提高检测准确率和检测效率的适用于源网荷互动工控系统的网络流量异常检测方法。

技术方案：为解决上述技术问题，本发明提供适用于源网荷互动工控系统的网络流量异常检测方法，包括如下步骤：

(1)通过数据采集模块实时采集源网荷互动工控系统中的流量数据，对其中的数据特征进行统计，并将流量的特征数据输入数据处理模块进行处理；

(2)数据处理模块处理离线样本数据或在线测试数据，并将处理后的数据应用于第一分类模块；

(3)将训练处理后的样本数据1和步骤(6)中得到的自学习模块中的流量数据组成新的样本数据，并进入数据预处理模块对数据进行预处理，最后将数据预处理模块处理后的数据应用于第一训练模块；

(4)将步骤(2)中处理后的数据作为输入，并通过步骤(3)中得到的第一训练模块对数据进行训练，训练后的数据进入第一分类模块，通过第一分类模块检测流量是否正常，如果正常则输出流量正常，如果流量不正常则进入步骤(6)；

(5)将训练处理后的样本数据2进入数据处理模块对数据进行处理，最后将数据处理模块处理后的数据应用于第二训练模块；

(6)将第二训练模块中的数据进行训练，训练后的数据以及步骤(4)中得到的非正常的流量数据进入第二分类模块，通过第二分类模块检测流量是否正常，如果正常则将数据加入自学习模块并进入步骤(3)，如果流量不正常则输出流量异常并报警。

进一步的，所述步骤(3)中数据预处理模块处理后的数据应用于第一训练模块需要进行降维处理，的具体步骤如下：