一种基于D-S证据理论的电力通信网网络异常检测方法技术

本发明专利技术涉及电力通信网络领域，更具体地，涉及一种基于D‑S证据理论的电力通信网网络异常检测方法，该方法首先从电力通信网络中获取的数据中抽取关键性特征，然后基于K‑means聚类方法实现对D_S证据理论中识别框架中BBA的确定，而后利用专家经验或者专家系统对识别框架进行决定，最后使用Dempster组合规则进行融合以及决策。采用本发明专利技术的方法，能够有效提高电力通信网络中对网络异常及其类型感知准确性，同时可以根据实时数据实时融合实现网络异常实时检测。

An anomaly detection method of power communication network based on D-S evidence theory

【技术实现步骤摘要】
一种基于D-S证据理论的电力通信网网络异常检测方法
本专利技术涉及电力通信网络领域，更具体地，涉及一种基于D-S证据理论的电力通信网网络异常检测方法。
技术介绍
随着智能电网研究与实践的推进，传统意义上的电网正逐步与信息通信系统、监测控制系统相互融合，电力通信网安全和电网运行安全紧密相连，电力通信网安全为电网安全的重中之重。电力通信网络系统具有复杂性、动态性等特点，具有一定的脆弱性，而拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷，来自内外部的安全风险给网络安全工作带来了极大的压力与挑战，因此需要电力通信网网络异常检测技术，准确的识别出网络安全的异常事件以及如何实时确定网络是否处于异常状态，便于工作人员及时处理异常问题。现有的网络异常检测方法中，有一种方法是在D-S证据理论的基础上，可以综和多个特征对网络流量进行判定，并引入了自适应机制以保障检测的准确性。但该方案缺陷是未能结合主机数据特征进行判定，可能对于判定准确度有影响。
技术实现思路
本专利技术为克服上述现有技术中对于网络异常检测准确度低的问题，提供一种基于D-S证据理论的电力通信网网络异常检测方法，能够有效提高电力通信网络中对网络异常及其类型的感知的准确性，同时可以根据实时数据实时融合实现网络异常实时检测。为解决上述技术问题，本专利技术采用的技术方案是：一种基于D-S证据理论的电力通信网网络异常检测方法，包括以下步骤：步骤一：从电力通信网络中采集到的网络连接状况数据中选取影响网络异常的特征，进行数据预处理；步骤二：基于K-means聚类方法(K-均值算法)实现对D_S证据理论中识别框架中BBA(基本概率分配，识别框架中每一种可能的概率分配)的确定；步骤三：利用专家系统对识别框架进行决定；步骤四：使用Dempster(D_S证据理论)组合规则进行融合以及决策。优选的，在所述步骤一中，从电力通信网络中收集的网络关键信息的原始记录中，挑选固定时间长度的网络关键信息数据；并对挑选出的关键信息数据进行清洗，去除含有缺失值的数据记录。优选的，所述关键信息数据包括三个信息，分别为流量信息、运行信息和网络防护设备的报警信息。所述流量信息包括各个网络节点流量流入大小和网络流量流出大小；所述运行信息包括各主机上运行的服务的总数、主机上运行的各项服务的平均访问量和访问频率；所述网络防护设备的报警信息包括报警标识符、攻击频率、源地址、目的地址，源端口和目的端口。电网正常运行状态流量稳定(除特定时节外)，如出现流量大小波动异常，可通过流量信息大小判断是否出现DDOS攻击等，正常状态主机服务总数稳定，如出现波动，可用于检测主机是否被注入后门或恶意程序，通过采集报警信息可以用于判断攻击类型以及攻击来源，为异常检测提供数据支撑。优选的，在所述步骤二中，聚类区间以及聚类特征相似度的计算流程为：S1:基于K-means算法，聚类特征区间基本模型为[c，r]，c为聚类中心，r为聚类半径；S2：聚类特征相似度为：设F1：[c1，r1]，F2：[c2，r2]为D_S证据理论识别框架中的两个焦元，它们之间的距离为：其中，c1为第一个聚类中心；c2为第二个聚类中心；r1为第一个聚类中心的聚类半径；r2为第二个聚类中心的聚类半径；S3：两个聚类特征区间模型相似度为其中，λ>0为支持系数；D(F1，F2)为两个焦元的距离。优选的，在所述步骤二中，BBA的生成步骤如下：S2.1：建立样本数据属性值的聚类区间模型。S2.2：计算待判断数据属性值与模型区间的距离。S2.3：计算待识别数据属性值与样本数据属性值之间的相似度。S2.4：对相似度进行归一化，生成BBA。优选的，在所述步骤三中，根据专家系统建立识别框架；所述识别框架表示为Z＝{a1，a2，…，an}，其中Z为识别框架，n为框架中对象个数，a为事件类型；框架中任意两个对象均相互排斥。优选的，在所述步骤四中，Dempster组合规则定义为：其中，A为识别框架中的焦元；B为识别框架中的命题；m1和m2分别是同一框架下来自2个不同信源的基本信度赋值组合；K为冲突系数，反映了证据冲突的程度；最后根据融合后得到的概率数值可以进行网络异常判断以及相关类型的判定。与现有技术相比，有益效果是：1.本专利技术使用基于K-means聚类方法实现对D-S证据理论中识别框架中BBA的确定。可以有效减少专家经验打分来确定BBA造成的主观程度较强以及证据高度冲突。2.本专利技术全面考虑网络的传输数据，从中抽取影响网络异常的特征属性，能更好的体现网络的运行状态。3.本专利技术充分考虑了电力通信网络的实时性，使用Dempster组合规则进行融合以及决策，利用先前数据库中大量运行数据构造聚类区间模型以及识别框架，可以将实时运行数据进行实时数据融合，加快实时网络异常的判断。附图说明图1是本专利技术的一种基于D-S证据理论的电力通信网网络异常检测方法的流程示意图；图2是本专利技术的一种基于D-S证据理论的电力通信网网络异常检测方法的电力通信分层图。具体实施方式附图仅用于示例性说明，不能理解为对本专利的限制。下面通过具体实施例，并结合附图，对本专利技术的技术方案作进一步的具体描述：实施例1如图1-2所示为一种基于D-S证据理论的电力通信网网络异常检测方法的实施例，包括如下步骤：步骤一：设经过已有的知识库或者专家经验建立的识别框架为Z＝{a1，a2，…，an}其中，Z为识别框架，ai(1≤i≤n)表示事件类型，其中框架中任意两个对象均相互排斥，n为框架中对象个数；该电力通信网系统中选取指标有如下几个：流量信息：各个网络节点流量流入大小NETWORK_IN(NI)，网络流量流出大NETWORK_OUT(NO)；运行信息包括：各主机上运行的服务的总数SERVICE_NUM(SN)，主机上运行的各项服务的平均访问量VISIT_NUM(VN)、访问频率VISIT_FREQ(VR)；网络防护设备的报警信息包括：攻击频率ATTACK_FREQ(AF)；步骤二：样本指标数据的BBA生成。测试数据选取：对于识别框架中每个对象(事件)选取20组对应数据(来源于该电力通信网系统以及相关数据库中)每组数据包括上述指标：{NI，NO，SN，VN，VR，AF}，指标NI数据可表示为NI1，NI2，…，NI20，其他类似。生成聚类特征区间模型：如下表所示：表1：特征区间模型表焦元NINOSNVNVRAFa1[c11，r11][c12，r12][c13，r13][c14，r14][c15本文档来自技高网...

【技术保护点】
1.一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，包括以下步骤：/n步骤一：从电力通信网络中采集到的网络连接状况数据中选取影响网络异常的特征，进行数据预处理；/n步骤二：基于K-means聚类方法实现对D_S证据理论中识别框架中基本概率分配的确定；/n步骤三：利用专家系统对识别框架进行决定；/n步骤四：使用D-S证据理论组合规则进行融合以及决策。/n

【技术特征摘要】
1.一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，包括以下步骤：
步骤一：从电力通信网络中采集到的网络连接状况数据中选取影响网络异常的特征，进行数据预处理；
步骤二：基于K-means聚类方法实现对D_S证据理论中识别框架中基本概率分配的确定；
步骤三：利用专家系统对识别框架进行决定；
步骤四：使用D-S证据理论组合规则进行融合以及决策。


2.根据权利要求1所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，在所述步骤一中，从电力通信网络中收集的网络关键信息的原始记录中，挑选固定时间长度的网络关键信息数据；并对挑选出的关键信息数据进行清洗，去除含有缺失值的数据记录。


3.根据权利要求2所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述关键信息数据包括三个信息，分别为流量信息、运行信息和网络防护设备的报警信息。


4.根据权利要求3所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述流量信息包括各个网络节点流量流入大小和网络流量流出大小。


5.根据权利要求3所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述运行信息包括各主机上运行的服务的总数、主机上运行的各项服务的平均访问量和访问频率。


6.根据权利要求3所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，所述网络防护设备的报警信息包括报警标识符、攻击频率、源地址、目的地址，源端口和目的端口。


7.根据权利要求2所述的一种基于D-S证据理论的电力通信网网络异常检测方法，其特征在于，在所述步骤二中，聚类区间以及聚类特征相似度的计算流程为：
S1:基于K-mean...

【专利技术属性】
技术研发人员：莫穗江，高国华，李瑞德，王锋，张欣欣，温志坤，黄定威，杨玺，张欣，汤铭华，梁英杰，廖振朝，陈嘉俊，李伟雄，童捷，张天乙，
申请(专利权)人：广东电网有限责任公司，广东电网有限责任公司江门供电局，
类型：发明
国别省市：广东;44