[发明专利]一种电力数据网流量异常检测方法、系统及电子设备

说明书

本发明提供一种电力数据网流量异常检测方法、系统及电子设备，方法包括：将电力数据网的流量特征数据输入LightGBM模型，输出电力数据网的流量特征数据对应的正常或异常结果，LightGBM模型为根据电力数据网的训练集训练而来，其中，利用贝叶斯优化算法确定模型的最佳超参组合，LightGBM模型由多个弱分类器以及每一个弱分类器对应的权重值复合而来。本发明将贝叶斯优化算法与LightGBM模型融合，利用贝叶斯优化算法确定LightGBM模型的最佳超参组合，对于LightGBM模型中的多个弱分类器进行权重的分配，提高LightGBM模型的整体分类效果，提高电力数据网中流量异常检测准确率和效率。

技术领域

本发明属于流量异常检测技术领域，尤其涉及一种电力数据网流量异常检测方法、系统及电子设备。

背景技术

随着电力通信的发展，数据网已成为电力通信的重要的业务承载平台，数据网络规模越来越大，网络结构复杂，承载业务信息越来越多。网络流量中包含了大量的信息，网络流量异常是网络空间遭受攻击的表现形式，因此如何能够迅速、准确的检测中网络流量异常，并且减少检测模型训练的人工成本开销成为网络技术发展的重要问题。

目前对于数据网络流量异常检测主要有：

第一种，采用增量k-均值聚类方法实时在线对流量异常进行分类，能够实现在线检测流量异常。

第二种，基于贝叶斯分类器分析的异常检测方法，根据不同类型的网络异常动态选择用于异常检测的特征子集，最后利用贝叶斯分类器根据特征子集对未知样本进行类别预测。动态特征选择算法可以针对不同类型的异常动态的选择出用于检测该异常的最优特征子集，有助于降低用于检测异常的流量特征维数，提高异常检测的准确率。

第三种，基于改进K-means算法的网络安全性验证，其将数据挖掘方法引入到对网络攻击特征的提取中来，首先通过创建高度可受控的靶场验证环境来监控进出系统的流量，再利用分层机制来逐层捕获进出系统的异常流量和异常行为，最后使用改进后的K-means算法对收集到的情报数据进行特征分析处理，从而能够高效的对攻击行为进行检测、准确的发现网络中潜在的未知攻击。

其中，增量k-均值聚类算法开始的k值很难估计，聚类中心的随机选择对算法结果的影响较大；模型训练计算量大，消耗成本高；

贝叶斯分类器对于测试集中的一个类别变量特征，如果在训练集中未出现过，对于未知流量特征数据的预测概率为0，即预测功能失效。

K-means算法参数维度高，需要相关人员参与到算法模型建立的各个步骤中，在数据通信网的检测算法需要随数据的变化增量训练检测模型的情境下，该算法自动化程度不高，在需要增量更新分类模型的情境下表现不好。

发明内容

为克服上述现有电力数据网流量异常检测效果准确率低的问题或者至少部分地解决上述问题，本发明实施例提供一种电力数据网流量异常检测方法、系统及电子设备。

根据本发明实施例的第一方面，提供一种电力数据网流量异常检测方法，包括：

将采集的电力数据网的流量特征数据输入LightGBM模型中，由所述LightGBM模型输出所述电力数据网的流量特征数据对应的正常或异常结果；

其中，所述LightGBM模型为根据电力数据网的训练集训练而来，所述训练集中包括流量特征数据集合和每一个流量特征数据对应的标签，所述标签为流量正常或流量异常；

其中，利用贝叶斯优化算法确定所述LightGBM模型的最佳超参组合，所述LightGBM模型由多个弱分类器以及每一个弱分类器对应的权重值复合而来。

在上述技术方案的基础上，本发明实施例还可以做如下改进。

可选的，所述利用贝叶斯优化算法确定所述LightGBM模型的最佳超参组合包括：