【技术实现步骤摘要】
基于机器学习的配电终端DTU入侵检测方法和系统
本专利技术属于智能电网安全领域,更为具体地讲,涉及一种基于机器学习的配电终端DTU入侵检测方法和系统。
技术介绍
配电网自动化和智能化对国家能源资源优化配置,电力系统安全稳定运行,国家战略性新兴产业发展起到了推动作用。近些年随着电力系统和通信网络结合愈发紧密,来自互联网的安全威胁更加复杂多样,配电网信息安全问题越发突出,尤其是配电终端微网控制器设备频繁遭受网络攻击,严重阻碍了电力系统的正常生产和经营。智能配电终端DTU(DistributionTerminalUnit)作为配电网中的核心装置,用于实时监测台区运行状态以保障配电系统安全可靠地运行。随着智能配电网高速发展,网络环境和网络攻击类型越来越复杂多变,目前面向配变终端的安全防御机制的脆弱性愈发凸显。对电力工控系统中的智能配电终端进行入侵检测,有助于及时发现并处理网络攻击,改变配电网系统被动防御的现状,降低用电安全风险和经济损失。目前入侵检测系统在工业控制系统环境中主要是通过分析网络数据包来检测黑客的攻击和网络病毒,...
【技术保护点】
1.一种基于机器学习的配电终端DTU入侵检测方法,其特征在于,包括以下步骤:/n步骤1:建立服务端-客户端的C/S通讯架构,创建套接字对象,收集配电终端DTU信息数据;/n步骤2:对网络信息数据进行预处理,获得原始特征集,并通过主成分分析法从原始特征集中筛选出预设数量的特征作为最终特征,获得训练样本集;/n步骤3:搭建由输入层、隐藏层、输出层三部分组成的神经网络模型作为第一分类器,其中输入层负责接收筛选后的最终特征,隐藏层用于进行特征值处理,包括各特征值的初始权值、网络目标函数和激活函数,输出层负责输出神经网络结果;/n步骤4:搭建最小二乘支持向量机模型作为第二分类器,通过...
【技术特征摘要】
1.一种基于机器学习的配电终端DTU入侵检测方法,其特征在于,包括以下步骤:
步骤1:建立服务端-客户端的C/S通讯架构,创建套接字对象,收集配电终端DTU信息数据;
步骤2:对网络信息数据进行预处理,获得原始特征集,并通过主成分分析法从原始特征集中筛选出预设数量的特征作为最终特征,获得训练样本集;
步骤3:搭建由输入层、隐藏层、输出层三部分组成的神经网络模型作为第一分类器,其中输入层负责接收筛选后的最终特征,隐藏层用于进行特征值处理,包括各特征值的初始权值、网络目标函数和激活函数,输出层负责输出神经网络结果;
步骤4:搭建最小二乘支持向量机模型作为第二分类器,通过非线性映射将筛选后的最终特征映射到高维特征空间,然后在高维特征空间中基于结构风险最小化原则构造最优决策函数,利用原空间的核函数取代高维特征空间中的点积运算,输出最小二乘支持向量机结果;
步骤5:将第一分类器和第二分类器进行集成学习,构成强分类器进化模型;在集成学习中,首先使用训练样本集通过8折交叉验证的方式对第一分类器进行训练和验证,得到第一分类器的分类误差率,进一步计算第一分类器在强分类器进化模型中的权重系数;然后更新训练样本集的权值分布,使得第一分类器中预测错误的样本权重变大,预测正确的权值变小,然后对所有权值进行归一化;使用更新权值分布后的训练样本集通过8折交叉验证的方式对第二分类器进行训练和验证,得到第二类器的分类误差率,进一步计算第二分类器在强分类器进化模型中的权重系数;最后形成训练好的强分类器进化模型;
步骤6:通过服务端-客户端的C/S通讯架构实时获取配电终端DTU信息数据,按照步骤3的筛选结果提取特征,使用训练好的强分类器进化模型对DTU特征数据进行实时入侵检测,判断配电终端DTU处于正常工作状态或处于遭受攻击的异常工作状态,若状态异常则发出警报。
2.根据权利要求1所述的一种基于机器学习的配电终端DTU入侵检测方法,其特征在于,所述的步骤1具体为:
步骤1.1:分别创建DTU与主机的套接字对象;
步骤1.2:绑定服务器地址,实现配电终端与主机通讯;
步骤1.3:主机周期性采集配电终端的DTU信息数据;
若采集到的数值特征变量存在缺省值,则使用线性差值法对特征进行补全,即式中y0和x0分别为该数据的之前一条记录特征值和对应特征的行数,y1和x1分别为该数据的之后一条记录特征值和对应特征的行数。
3.根据权利要求1所述的一种基于机器学习的配电终端DTU入侵检测方法,其特征在于,所述的步骤2具体为:
步骤2.1:计算配电终端DTU与主机的连接持续时间tlink,
tlink=tcls-tstr
其中,tcls表示断开连接时的时间戳,tstr表示开始连接时的时间戳;
步骤2.2:计算配电终端DTU的平均接收数据字节数dreceive_byte,
其中,dreceive_bit表示tlink时间内接收数据的比特位数;
步骤2.3:计算配电终端DTU的平均发送数据字节数dsend_byte,
其中,dsend_bit表示tlink时间内发送数据的比特位数;
步骤2.4:计算配电终端DTU的平均网络流量dflow,
dflow=|dsend_byte-dreceive_byte|
其中,dflow表示在tlink时间内配电终端DTU的平均网络流量;
步骤2.5:将内存占用率、CPU使用率、数据包目的地址、数据包源地址、数据包长度、功耗、温度、连续持续时间、平均接收数据字节数、平均发送数据字节数、平均网络流量作为原始特征;通过主成分分析法,对采集到的DTU特征数据原始特征样本的协方差矩阵进行特征值分解,求出特征向量,按照特征向量值的大小选择前q个主成分特征作为最终特征,获得训练样本集。
4.根据权利要求1所述的一种基于机器学习的配电终端DTU入侵检测方法,其特征在于,所述的步骤3具体为:
步骤3.1:搭建由输入层、隐藏层、输出层三部分组成的神经网络模型作为第一分类器;
步骤3.2:初始化神经网络模型的参数,其中采取随机生成初始化权重的方式,将每个神经元的权重和偏置值b0初始化为随机数;设置激活函数和损失函数;
步骤3.3:使用第一样本集对神经网络模型进行预训练,首先计算神经网络激活值,
其中,n表示迭代次数,下角标i对应于训练样本集中的第i个特征,q为训练样本集中的特征总数,表示第i个特征值在第n次迭代时的权重,bn表示神经网络偏置值;所述激活函数值的范围为(1,-1),当最终输出的神经网络结果高于阈值时,则配电终端处于安全状态,反之则异常;
步骤3.4:根据损失函数值对神经网络模型进行迭代训练,采取梯度下降法优化参数,
其中,wn+1为第n+1次迭代时的权重,wn为第n次迭代时的权重,x表示一个样本的特征数据向量,Jn(w,b)表示损失函数,即预测值与实际值的差平方,表示神经网络模型的输出值,表示通过激活函数的终端状态预测值;bn+1为第n+1次迭代时的神经网络偏置值,bn为第n次迭代时的神经...
【专利技术属性】
技术研发人员:吕志宁,邓巍,宁柏锋,刘威,罗伟峰,徐文渊,冀晓宇,蒋燕,李鹏,习伟,
申请(专利权)人:深圳供电局有限公司,浙江大学,南方电网科学研究院有限责任公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。