本发明专利技术提供一种电力网络流量异常检测方法及装置,该电力网络流量异常检测方法包括:采集电力网络的数据流量包,所述数据流量包由多个字段的数据组成;基于所述数据流量包建立k‑d树,对数据流量包进行异常检测。本发明专利技术在检测时无需对电力网络流量进行具体分类,降低了检测难度,并且对各种新出现的异常具有良好的适应性;利用k‑d树进行改进后,降低了检测的时间复杂度,时间成本明显降低。
【技术实现步骤摘要】
本申请涉及电力数据网业务流量异常检测技术,特别是关于一种电力网络流量异常检测方法及装置。
技术介绍
随着智能电网的建设,电力数据网及其承载的业务系统得到迅猛发展,每天都会有大量的网络流量产生。网络流量中会出现一些异常流量,异常流量混杂在正常流量中,对网络造成极大的损害,会使网络服务质量急剧下降,这对于可靠性要求极高的电力数据网来说是非常严重的问题。因此,检测异常流量是电力数据网运行维护工作的重要方面。下面介绍几种相关流量异常检测方案;方案1:论文《基于小波分解的群落流量异常检测》(电子测量与仪器学报,2010,pp.24(4):365-370.)针对大规模网络海量数据处理和异常检测率较低的问题,将群落概念引入异常检测领域,提出一种小波三层分解和偏离值结合的检测方法。方案2:论文《基于活跃熵的网络异常流量检测方法》(通信学报,2013,pp.34(z2):51-57.)基于熵理论的网络流量分析方法,利用流量空间上信息单元存在的长相关特性,对熵理论进行改进,提出了信息熵、条件熵、活跃熵等多种方法进行流量异常检测。方案3:专利号CN201210560973.1提出了一种基于网络流量分析的异常检测方法。主要步骤包括:(1)首先进行数据预处理:获取主机上网流量,然后根据初始特征集和预先设定的时间窗口长度对主机上网流量进行数据预处理,提取主机上网流量在各个时间间隔内的初始特征值,形成样本集。(2)然后进行特征选择。(3)最后进行异常检测:使用选择出的特征子集和贝叶斯分类算法对未知样本进行分类,如果分类结果为异常,则进行提示。方案4:专利号CN201010224404.0提出了一种快速网络流量异常检测方法,技术方案利用描述网络流量分形特点的Hurst指数来判断异常的发生,主要步骤包括:通过采样最新的流量数据,并利用这些数据迭代求解Hurst指数,通过Hurst指数的变化,建立异常判断阈值,直接进行流量异常检测,实时检测网络流量异常。方案5:专利号CN201510513055.7提出一种动态基线和固定阈值相结合的网络流量异常检测方法。主要步骤包括:接收报文;记录所述报文的数量;根据当前报文数量与预设历史时段前的历史报文数量之间的差值,计算出所述报文当前的单位时间数量;根据所述单位时间数量,结合动态基线和固定阈值,判断网络流量是否发生异常。专利技术人在实现本专利技术过程中,发现上述现有技术至少存在如下问题:上述方案1的异常检测方法虽然以群落概念优化了检测目标,但是在具体检测阶段,依然使用的较为简单固定的滑动偏离值作为阈值,难以适应异常流量特征的复杂性和多变性,该方法有较高的漏检率和误检率。上述方案2的异常检测方法对所有流量统一化处理,没有考虑不同时段的流量分布状态,对高峰时段和低峰时段的判定没有做区别化处理,很难同时满足两者,缺乏自适应性。基于熵的方法对分布状态变化较大的流量检测效果较差。上述方案3的异常检测方法利用了数据挖掘的思想对网络流量进行异常检测,但是选取的贝叶斯分类算法需要先验概率的支撑,对未知异常无法研究其先验概率所以此方法不适用;贝叶斯模型假设各属性之间互相独立,但实际运用中很难做到,导致最终性能与理论存在差距;并且及时在理想情况下贝叶斯模型也存在一定的分类决策错误率。上述方案4的异常检测方法利用网络流量普遍存在着的自相似性和长相关性,使用Hurst指数进行流量异常检测,其阈值判定相对简单,达到了快速的目的,但同时也牺牲了准确率,难以运用于电力数据网。上述方案5的异常检测方法将动态基线和固定阈值相结合,提升了自适应性,但是只对报文的数量进行分析,忽视了许多关键信息,难以发现更深层次的异常,无法满足电力数据网对可靠性的要求。因此,亟待一种网络流量异常检测方法,以解决现有技术中存在的问题,减少流量异常对网络造成的损害,以及网络服务质量的下降。
技术实现思路
本申请实施例提供一种电力网络流量异常检测方法及装置,以降低检测难度及检测时间,并适应新出现的各种流量异常。为了实现上述目的,本专利技术实施例提供了一种电力网络流量异常检测方法,该电力网络流量异常检测方法包括:采集电力网络的数据流量包,所述数据流量包由多个字段的数据组成;基于所述数据流量包建立k-d树,对数据流量包进行异常检测。一实施例中,在基于所述数据流量包建立k-d树之前,该电力网络流量异常检测方法还包括:从所述数据流量包中选取与所述数据流量包的流量大小相关的至少一个字段的数据,作为可用数据;基于所述数据流量包建立k-d树,对数据流量包进行异常检测,包括:基于至少包括所述可用数据的数据流量包建立k-d树,对所述数据流量包进行异常检测。一实施例中,采集电力网络的数据流量包,包括:通过探针从路由器或交换机采集所述数据流量包,并存储所述数据流量包。一实施例中,基于选取可用数据后的所述数据流量包建立k-d树,对数据流量包进行异常检测,包括:以每个数据流量包为一个对象,建立k-d树,计算每一所述对象的局部异常因子;将每一对象的所述局部异常因子与预设值进行比较,检测该对象对应的数据流量包是否异常。一实施例中,计算每一所述对象的局部异常因子,包括:计算每个对象的k-距离;根据每个对象的k-距离计算对应的k-距离邻域;计算每个对象与其k-距离邻域内的对象的可达距离;根据每个对象与其k-距离邻域内的对象的可达距离计算对应的局部可达密度;根据每个对象的局部可达密度计算对应的局部异常因子。一实施例中,对于一对象p,该对象p的k-距离邻域为与该对象p的距离不超过该对象的k-距离的对象的集合,该对象p的k-距离邻域Nk-dis(p)为:Nk-dis(p)={q|d(p,q)≤k-dis(p)本文档来自技高网...
【技术保护点】
一种电力网络流量异常检测方法,其特征在于,包括:采集电力网络的数据流量包,所述数据流量包由多个字段的数据组成;基于所述数据流量包建立k‑d树,对数据流量包进行异常检测。
【技术特征摘要】
1.一种电力网络流量异常检测方法,其特征在于,包括:采集电力网络的数据流量包,所述数据流量包由多个字段的数据组成;基于所述数据流量包建立k-d树,对数据流量包进行异常检测。2.根据权利要求1所述的电力网络流量异常检测方法,其特征在于,在基于所述数据流量包建立k-d树之前,还包括:从所述数据流量包中选取与所述数据流量包的流量大小相关的至少一个字段的数据,作为可用数据;基于所述数据流量包建立k-d树,对数据流量包进行异常检测,包括:基于至少包括所述可用数据的数据流量包建立k-d树,对所述数据流量包进行异常检测。3.根据权利要求1所述的电力网络流量异常检测方法,其特征在于,所述采集电力网络的数据流量包,包括:通过探针从路由器或交换机采集所述数据流量包,并存储所述数据流量包。4.根据权利要求1或2所述的电力网络流量异常检测方法,其特征在于,基于所述数据流量包建立k-d树,对...
【专利技术属性】
技术研发人员:邢宁哲,纪雨彤,赵庆凯,张宁池,刘识,王宇,段寒硕,闫中平,马跃,彭柏,聂正璞,李信,申昉,叶青,田宇,常海娇,徐鑫,
申请(专利权)人:国网冀北电力有限公司信息通信分公司,国家电网公司,国网北京市电力公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。