流量异常检测方法、电子设备及计算机程序产品技术

本申请实施例中提供了一种流量异常检测方法、电子设备及计算机程序产品。本方法在session发生时间段内，按照预设周期获取数字化变电站网络的流量数据；每当获得流量数据后，确定该流量数据对应的检测指标值，并通过预先训练的流量异常检测模型，检测该流量数据是否异常。本方法通过session获取待检测的流量数据，通过流量异常检测模型对待检测的流量数据进行检查，使得本方案同时适用于时间跨度小的小数据量检测，以及，时间跨度大的大数据量检测，扩展了本方案的适用场景。

Traffic anomaly detection method, electronic equipment and computer program product

A flow anomaly detection method, an electronic device and a computer program product are provided in the embodiment of the present application. This method obtains the flow data of digital substation network according to the preset period during the session, determines the corresponding detection index value of the flow data after obtaining the flow data, and detects whether the flow data is abnormal through the pre-trained flow anomaly detection model. This method obtains the traffic data to be detected through session, and checks the traffic data to be detected through the traffic anomaly detection model. This scheme can be used for small data detection with small time span and large data detection with large time span, which extends the applicable scene of this scheme.

【技术实现步骤摘要】
流量异常检测方法、电子设备及计算机程序产品
本申请涉及数字化变电站网络中的信息安全领域，尤其涉及一种流量异常检测方法、电子设备及计算机程序产品。
技术介绍
电力系统是国民经济和人民生活的重要基础设施，其数字化变电站网络和应用系统的安全是电力系统安全运行及对社会可靠供电的保证，直接关系到我国各行各业的发展、社会的安定和人民的生活水平。因此，电力系统的流量异常检测方案受到越来越多的关注。目前，根据样本点与局部领域样本点分隔程度的局部异常来进行异常检测。该方法的数字化变电站网络流量异常检测机制如图1所示，在LOF(LocalOutlierFactor，局部异常因子)算法的k距离和k近邻的基础上，提出了m距离和m近邻的概念，并基于m距离和m近邻对异常点进行检测。上述方法对时间跨度小的小数据量检测效果明显，但对时间跨度大的大数据量检测时，效果不佳。
技术实现思路
本申请实施例中提供了一种适用于时间跨度小的小数据量以及时间跨度大的大数据量的流量异常检测方法、电子设备及计算机程序产品。根据本申请实施例的第一个方面，提供了一种流量异常检测方法，包括：在第一对象session发生时间段内，按照预设周期获取本文档来自技高网...

【技术保护点】
1.一种流量异常检测方法，其特征在于，包括：在第一对象session发生时间段内，按照预设周期获取数字化变电站网络的第一流量数据；每当获得第一流量数据后，确定该第一流量数据对应的第一检测指标值，并通过预先训练的流量异常检测模型，检测该第一流量数据是否异常。

【技术特征摘要】
1.一种流量异常检测方法，其特征在于，包括：在第一对象session发生时间段内，按照预设周期获取数字化变电站网络的第一流量数据；每当获得第一流量数据后，确定该第一流量数据对应的第一检测指标值，并通过预先训练的流量异常检测模型，检测该第一流量数据是否异常。2.根据权利要求1所述的方法，其特征在于，所述方法，还包括：持续监测所述数字化变电站网络中面向通用对象的变电站事件GOOSE报文的第一发送时间间隔△T；所述第一session发生时间段的起始时间为：首次由T0变化为小于所述T0的第一△T的起始时间，所述T0为GOOSE报文的稳态间隔；所述第一session发生时间段的终止时间为：在由T0变化为小于所述T0之后，首次由小于所述T0恢复至所述T0的第一△T的起始时间。3.根据权利要求2所述的方法，其特征在于，第一流量数据包括第一制造报文规范MMS报文数据、第一采样值SV报文数据和第一GOOSE报文数据；所述确定该第一流量数据对应的第一检测指标值，包括：根据所述数字化变电站网络的拓扑结构以及该第一流量数据，确定所述数字化变电站网络中各设备间的第一MMS报文、第一SV报文和第一GOOSE报文交互情况；根据所述第一MMS报文、第一SV报文和第一GOOSE报文交互情况确定第一特征值；根据第一特征值确定对应的第一检测指标值；所述第一特征值为：所述第一session的持续时间、该第一流量数据中MMS报文数量mmsNum1、该第一流量数据中MMS报文大小mmsSize1、该第一流量数据中MMS报文时间mmsTime1、该第一流量数据中SV报文数量svNum1、该第一流量数据中SV报文大小svSize1、该第一流量数据中SV报文时间svTime1、该第一流量数据中GOOSE报文数量gooseNum1、该第一流量数据中GOOSE报文大小gooseSize1、该第一流量数据中GOOSE报文时间gooseTime1；第一检测指标值为第一均值μ1和第一标准差σ1；所述4.根据权利要求1、2或3所述的方法，其特征在于，所述预设周期为1分钟。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：获取多个第二session发生时间段内所述数字化变电站网络的第二流量数据；根据所述第二流量数据确定各第二session的第二检测指标值；通过孤立森林模型对各第二检测指标值进行训练，得到流量异常检测模型。6.根据权利要求5所述的方法，其特征在于，所述获取多个第二session发生时间段内所述数字化变电站网络的第二流量数据，包括；获取所述数字化变电站网络的历史流量数据；在所述历史流量数据中，监测GOOSE报文的第二△T；每当监测到所述第二△T由T0变化为小于所述T0时，确定一个第二session发生，且该第二session发生时间段的起始时间为：在第二△T等于T0之后，首次由T0变化为小于所述...

【专利技术属性】
技术研发人员：王文君，宋秋霞，葛胜利，路国正，
申请(专利权)人：上海观安信息技术股份有限公司，
类型：发明
国别省市：上海,31