[发明专利]一种基于D-S证据理论的电力通信网网络异常检测方法

权利要求书

1.一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，包括以下步骤：

步骤一：从电力通信网络中采集到的网络连接状况数据中选取影响网络异常的特征，进行数据预处理；

步骤二：基于K-means聚类方法实现对D_S证据理论中识别框架中基本概率分配的确定；

步骤三：利用专家系统对识别框架进行决定；

步骤四：使用D-S证据理论组合规则进行融合以及决策。

2.根据权利要求1所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，在所述步骤一中，从电力通信网络中收集的网络关键信息的原始记录中，挑选固定时间长度的网络关键信息数据；并对挑选出的关键信息数据进行清洗，去除含有缺失值的数据记录。

3.根据权利要求2所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述关键信息数据包括三个信息，分别为流量信息、运行信息和网络防护设备的报警信息。

4.根据权利要求3所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述流量信息包括各个网络节点流量流入大小和网络流量流出大小。

5.根据权利要求3所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述运行信息包括各主机上运行的服务的总数、主机上运行的各项服务的平均访问量和访问频率。

6.根据权利要求3所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述网络防护设备的报警信息包括报警标识符、攻击频率、源地址、目的地址，源端口和目的端口。

7.根据权利要求2所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，在所述步骤二中，聚类区间以及聚类特征相似度的计算流程为：

S1:基于K-means算法，聚类特征区间基本模型为[c，r]，c为聚类中心，r 为聚类半径；

S2：聚类特征相似度为：

设F₁：[c₁，r₁]，F₂：[c₂，r₂]为D_S证据理论识别框架中的两个焦元，它们之间的距离为：

其中，c₁为第一个聚类中心；c₂为第二个聚类中心；r₁为第一个聚类中心的聚类半径；r₂为第二个聚类中心的聚类半径；

S3：两个聚类特征区间模型相似度为

其中，λ0为支持系数；D(F₁，F₂)为两个焦元的距离。

8.根据权利要求7所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，在所述步骤二中，基本概率分配的生成步骤如下：

S2.1：建立样本数据属性值的聚类区间模型；

S2.2：计算待判断数据属性值与模型区间的距离；

S2.3：计算待识别数据属性值与样本数据属性值之间的相似度；

S2.4：对相似度进行归一化，生成基本概率分配。

9.根据权利要求8所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，在所述步骤三中，根据专家系统建立识别框架；所述识别框架表示为Z＝{a₁，a₂，…，a_n}，其中Z为识别框架，n为框架中对象个数，a表示为事件类型；框架中任意两个对象均相互排斥。

10.根据权利要求9所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，在所述步骤四中，首先将D-S证据理论组合规则定义为：

其中，A为识别框架中的焦元；B为识别框架中的命题；m₁和m₂分别是同一框架下来自2个不同信源的基本信度赋值组合；K为冲突系数，反映了证据冲突的程度；

然后根据融合后得到的概率数值可以进行网络异常判断以及相关类型的判定。