[发明专利]基于孤立森林的配电终端DTU入侵检测方法及系统有效
| 申请号: | 202111458266.7 | 申请日: | 2021-12-01 |
| 公开(公告)号: | CN114143095B | 公开(公告)日: | 2023-06-02 |
| 发明(设计)人: | 徐伟斌;赖奎;武建平;潘松波;胡泰;杨玺;张伟堂;麦远超;吴力科 | 申请(专利权)人: | 广东电网有限责任公司江门供电局;广东电网有限责任公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L67/12;G06N20/00 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 李秋梅 |
| 地址: | 529000 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 孤立 森林 配电 终端 dtu 入侵 检测 方法 系统 | ||
1.一种基于孤立森林的配电终端DTU入侵检测方法,其特征在于,包括以下步骤:
基于配电终端网关搜索套接字对象,从而获得配电终端数据;
对所述配电终端数据预处理,建立原始特征库,基于潜在狄立克雷分配技术对所述原始特征库进行降维处理,在所述原始特征库中筛选出预设数量的特征构成最佳特征集;具体包括:
通过下式1计算配电终端DTU向配电终端网关数据上传的平均上传速率Vupload:
式1中,T为一个DTU数字脉冲信号的全宽码,N为一个数字脉冲信号所设置的有效离散值总个数,n表示数据包的总数,i表示第i个数据包;
通过下式2计算配电终端DTU与配电终端网关的连接时间tconnect:
tconnect=tclose-topen 式2
式2中,tclose表示断开连接时的时刻,topen表示开始连接时的时刻;
通过下式3计算配电终端DTU的平均数据接收量Hreceive:
Hreceive=Vupload×tconnect 式3
式3中,Vupload表示平均上传速率,tconnect表示配电终端DTU与配电终端网关的连接时间;
将平均上传速率Vupload、连接时间tconnect和平均数据接收量Hreceive作为原始数据集;
利用潜在狄立克雷分配技术通过下式4和5分别计算原始数据集的类间散度矩阵Sb和类内散度矩阵Sw:
式4、5中,μj为第j个原始数据的均值向量,j=1,2...k,μ为所有原始数据的均值向量,Nj为第j个原始数据的数量,x为原始数据列向量,T为矩阵的转置,k为原始数据的总数,Xj为第j个原始数据集;
通过下式6构建优化函数为,
式6中,J(w)表示优化函数,投影矩阵W;
对优化函数求偏导,令偏导数等于0,得到式7为,
(wTSww)Sbw=(wTSbw)Sww 式7
将式7代入式6得到式8为,
Sbw=λSωw
式8中λ为优化函数,通过对式8进行数学运算得到式9为,
将式9中进行特征值分解,选择最大特征值对应的预设维度个特征向量组成投影矩阵w,从而对原始数据集进行降维;
在降维后的原始数据集中筛选出预设数量的特征构成最佳特征集;
基于孤立森林的改进算法对所述最佳特征集进行训练,直到训练迭代收敛,从而得到隔离树以构建入侵异常检测器,通过所述入侵异常检测器对进入配电终端DTU的数据进行入侵检测;
所述基于孤立森林的改进算法对所述最佳特征集进行训练,直到训练迭代收敛,从而得到隔离树以构建入侵异常检测器,通过所述入侵异常检测器对进入配电终端DTU的数据进行入侵检测的步骤具体包括:
将所述最佳特征集放入单棵树的根节点,通过多次抽取,构建出多棵子森林异常检测树;
在每棵子森林异常检测树中,随机选取一个特征,在选取的一个特征的所有值范围内的最大值和最小值之间随机选取一个值作为切割点ω,基于切割点ω生成超平面,对所述最佳特征集进行二叉划分,从而将所述最佳特征集中小于切割点ω的特征放入当前子森林异常检测树的左边,将所述最佳特征集中大于切割点ω的特征放入当前子森林异常检测树的右边,从而建立当前子森林异常检测树对应的特征数据集为:
式10、11中,i表示层数,j表示孤立树中前一层从右到左第j个特征数据,r和l分别表示右边和左边,j*表示第i+1层从右到左的第j*个节点,θ(i+1)j*l表示左节点第i+1层的从左到右的第j个数据,θij表示某层所包含的数据集;
重复上一步骤,不断生成新的节点,直到满足终止条件为止,输出多个子森林异常检测树构成异常检测基森林,所述终止条件为特征数据不可再分和/或子森林异常检测树的高度已达到预设的限定高度;
以队列方式依次向预设的可流动堆输入特征数据,通过异常检测基森林判断输入至所述预设的可流动堆的特征数据是否异常,从而得到异常特征数据;
若所述预设的可流动堆中数据存储空间已满,则将最先进入所述预设的可流动堆中的特征数据进行清除,并使新进入所述预设的可流动堆的特征数据排在队列最后,根据异常特征数据通过下式12计算此时的所述预设的可流动堆的特征异常指数α:
m为当前预设的可流动堆中异常特征数据的个数;mall为当前预设的可流动堆中的所有数据个数;
将特征异常指数α与预定的特征异常阈值α0进行比较,若特征异常指数α超过预定的特征异常阈值α0时,则对异常检测基森林对应的最佳特征集进行更新,得到更新后的最佳特征集;
根据式13和式14分别计算可流动堆中的子森林异常检测树的特征异常指数和异常检测基森林的特征异常指数,分别记作α(i)和αall,
式13中,n(i)为可流动堆中的子森林异常检测树检测出的异常特征数据个数,nall为可流动堆中的数据总个数;
式14中,n(all)为可流动堆中的异常检测基森林检测出的异常特征数据个数;
基于更新后的最佳特征集和所述最佳特征集进行比较,通过下式15计算特征数据集异常率ri:
式15中,α(i)为可流动堆中的子森林异常检测树的特征异常指数,αall为可流动堆中的异常检测基森林的特征异常指数;
将子森林异常检测树的特征数据集异常率从小到大进行排序,去除异常率较大的异常检测孤立树,取前n个更新的子森林异常检测树补充到异常检测基森林中,从而得到相应的隔离树以构建入侵异常检测器,通过所述入侵异常检测器对进入配电终端DTU的数据进行异常检测。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广东电网有限责任公司江门供电局;广东电网有限责任公司,未经广东电网有限责任公司江门供电局;广东电网有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111458266.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种变电站端子箱清洁装置
- 下一篇:高出品率低耗能水平铸造工艺
