【技术实现步骤摘要】
一种基于自学习的电力网络探针流量异常的检测方法
[0001]本专利技术涉及智能电网检测领域,尤其涉及一种基于自学习的电力网络探针流量异常的检测方法。
技术介绍
[0002]在智能电网的建设过程中,为了构建能够实时检测到网络中异常流量的监测平台,电网公司在网、省、地各级单位采取就近原则部署流量探针进行流量采集,把网络设备链路IP原始流量镜像到流量探针,流量探针进而将解析后的流量元数据通过UDP的方式送至监测平台进行分析处理。在流量探针的部署实施过程中,需要对路由器(或交换机)的多个端口做镜像,可能存在配置配漏、配错、配置不生效等问题,导致流量镜像不全,影响威胁分析。
[0003]监测平台在运行过程中,全网部署的多个探针分布在各个单位,各单位的配置变更、镜像线异常、光模块异常等,都可能导致流量镜像不全,极端情况下,网络安全策略变更或网络通道异常问题,可能导致某个探针所有元数据都无法上送。全网探针之多,已无法通过日常人工巡检的方式来保证全网流量镜像配置的完整性。在这种情况下,需要一种自动检测模型,定期检测各个探针流量镜像的...
【技术保护点】
【技术特征摘要】
1.一种基于自学习的电力网络探针流量异常的检测方法,其特征在于,包括以下步骤:S1:按照网段所在区域的差异性将各网段划分为不同的类型;S2:分别设定不同类型的网段对应的时间窗口和信息熵差值阈值;S3:采集流量探针送出的元数据,以预设时间间隔为界限,根据元数据五元组将预设时间间隔内同一网段产生的元数据聚合为该网段对应的网段通信流;S4:分别计算不同网段通信流对应的时间窗口内网段通信IP数量与所占比例的信息熵差值,并根据信息熵差值与对应的信息熵差值阈值的大小关系初步标记网段通信流是否异常,然后通过人工检查的方式对初步标记的网段通信流状态进行纠正,最后构建基于异常网段通信流的网络流量数据集并对纠正后的网段通信流数据进行特征提取,将提取出的数据作为网络流量数据集中的特征;S5:将网络流量数据集中特征的分类变量转换为数值型的表达;S6:针对网络流量数据集中的特征以及对应的分类标签,根据特征间的线性相关性以及特征与分类标签之间的非线性相关性保留最终特征并丢弃其他特征;S7:对特征选择后的网络流量数据集进行欠采样处理;S8:对欠采样后的网络流量数据集进行标准化处理;S9:将标准化处理后的网络流量数据集分割为训练集和测试集,将训练集在梯度提升树模型上进行训练后,将测试集在训练好的梯度提升树模型上进行测试,根据测试结果确定各网段通信流是否异常。2.根据权利要求1所述的基于自学习的电力网络探针流量异常的检测方法,其特征在于,步骤S2具体包括:根据每种类型的网段对应的活动规律并结合历史数据选择每种类型网段对应的时间窗口和信息熵差值阈值。3.根据权利要求1所述的基于自学习的电力网络探针流量异常的检测方法,其特征在于,步骤S4中通过人工检查的方式对初步标记的网段通信流状态进行纠正具体包括:针对初步标记为异常的网段通信流对应的网段,根据该网段所属类型所表现的异常的规律,人工检查网段通信流中是否存在符合规律的异常,是则保留该网段的网段通信流的状态为异常,否则将该网段的网段通信流状态修改为正常。4.根据权利要求1所述的基于自学习的电力网络探针流量异常的检测方法,其特征在于,步骤S4中计算对应时间窗口内网段通信IP数量与所占比例的信息熵差值包括以下步骤:A1:将当前网段通信流对应的时间窗口作为原时间窗口,从预设时间间隔内选取原时间窗口的起始时间,统计原时间窗口内的每个时间节点中当前网段通信流对应的网段内产生通信的IP数量,根据统计结果得到原时间窗口内的网段通信IP数量序列并计算得到原时间窗口内序列的信息熵;A2:...
【专利技术属性】
技术研发人员:胡飞飞,张思拓,洪丹轲,黄昱,吴柳,林旭斌,蔡文斌,
申请(专利权)人:中国南方电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。