一种基于图神经网络的电力物联网设备异常检测方法

1.本技术涉及电力设备检测技术领域，具体涉及一种基于图神经网络的电力物联网设备异常检测方法。


背景技术：

2.随着通信技术的快速发展及应用环境的复杂化，越来越多的智能设备被集成到电力物联网中，用以感知电网状态及信息传输等，与此同时也带来更多的风险与挑战。电力物联网中的终端设备，即智能电表、智能温度传感器、智能监控、一些提供数据采集、通信服务的智能终端产品等采集到的外界数据内容随机性较大，在数据存储形式、格式等特征上存在较大差异时，造成各个节点数据之间很难取得一致，分散分布的电力物联网终端数量庞大而又广泛互联，跳出了传统边界安全的保护范畴，使得这些终端成为攻击电网的重要目标和跳板。因此如何使用准确、高效的异常检测技术保障电力物联网系统安全显得尤为重要。
3.一方面，在现实生活中，有很多数据是从非欧式空间生成的，比如城市的轨道交通网络、社交网络等等，这些数据结构在计算机中统称为图。同样的，电力物联网系统也具有图结构特征, 电力物联网中由许多智能设备组成，其中每一个智能设备可以看作图中的节点，不同智能设备之间的空间关系看作图中的边。电力物联网的图结构中蕴藏着更多、更有效的空间信息，因此研究电力物联网设备异常检测，仅仅从时间角度提取特征已经不能满足实际需求。
4.另一方面，由于电力物联网属于非线性动力系统，设备的数据存在非规范的周期性特点，不同设备之间还存在着连接性，当网络攻击者对电力物联网进行入侵时, 往往不是针对网路中单独的节点进行攻击，而是多个网络攻击者联合攻击，从而造成网络崩溃, 因此目前的单点物联网设备异常检测已满足不了现阶段对网络攻击者的防御。
5.文献号为cnki:sun:xxaq.0.2019-12-007的论文中提出了一种基于设备型号和bp神经网络的物联网异常检测模型。此模型主要按照以下步骤进行训练：1）原始流量数据经过安全网关时，安全网关的流量监视功能通过一个阻尼时间窗口来采集流量；2）随后将采集的流量传递给特征分析模块，提取相应的特征信息，构建特征矩阵；3）设备识别模型对接入网络的设备进行识别分类，判定设备类型是否属于白名单，如果否则拒绝设备接入网络；4）通过bp神经网络对接入网络的设备进行流量攻击行为的检测。但该方案存在以下缺陷：
①
构建特征矩阵过程中只提取基于时间序列的统计特征，未能够提取电力物联网设备的空间特征，导致后续异常检测准确率不高。
②
本方案中的异常检测模型主要思想是利用bp神经网络对单点物联网设备的历史数据进行拟合以分析预测未来数据，再根据设定的阈值将预测数据与真实数据进行对比来判断是否异常。但单点设备终端的异常检测，对不断更新的联合异常攻击和恶意软件无法做出快速及时的响应。
6.公开号为cn110309884a的专利文献中公开了一种基于泛在电力物联网体系的用电数据异常检测识别系统，该发明将智能学习算法引入泛在电力物联网中，对用户异常用
电数据进行智能检测。主要步骤如下：1）接收用电数据并存储，对同一用户的历史用电数据进行处理；2）从所处理的数据中提取特征，并进行降维，得到特征主成分；3）根据n个用户的特征主成分，计算局部离群因子，通过局部离群因子识别出用电数据的可疑概率；4）识别出可疑概率高于阈值的可疑用户。但该方案只对同一设备的历史用电数据进行处理，没有利用到设备之间的空间特征。


技术实现要素：

7.本发明的目的在于，提供一种基于图神经网络的电力物联网设备异常检测方法，引入koopman分析，处理数据的非线性特点，消除自然震荡模式带来的消极影响，并引入图卷积神经网络，提取电力物联网的空间特征，融合设备节点自身属性以及电力物联网拓扑结构中邻域设备节点的信息实现对电力物联网的异常检测，有效提高检测的准确率和稳定性。
8.本发明采取的技术方案是：一种基于图神经网络的电力物联网设备异常检测方法，包括如下步骤：s1：利用数据采集工具，收集电力物联网中不同设备的流量数据和业务数据；s2：对采集到的流量数据和业务数据进行koopman分析，捕获流量数据和业务数据中存在的瞬时动力学的非线性震荡，学习流量数据和业务数据的自然振荡模式和异常振荡模式，将非线性数据转化为线性数据；s3：以所述设备为节点，每个节点的流量数据和业务数据作为该节点的初始特征，设备之间的连接关系为边，构建图模型，所述图模型，其中v为节点的集合，e为边的集合；s4：以所述图模型为输入，采用图卷积神经网络层1—relu层1—图卷积神经网络层2—relu层2—图注意力网络层的结构构建图神经网络模型，通过所述图神经网络模型对所述图模型的节点数据进行更新，以图卷积神经网络对图模型进行卷积运算，提取节点之间的空间特征，并通过图注意力机制对节点之间边的权重进行约束；s5：以所述图神经网络模型的输出作为k-means聚类的输入，通过k-means聚类对所述图模型节点进行分类，将所述图模型中的节点分为中心节点和其他节点；采用欧式距离计算方法计算中心节点与其他节点之间的距离，并设定阈值；当其他节点与中心节点距离小于阈值时，说明对应的设备正常，当其他节点与中心节点距离大于阈值时，说明对应的设备异常。
9.进一步地，所述步骤s1中的流量数据包括源ip地址，目标ip地址，源mac地址、目标mac地址、通信协议、数据包长度和时间戳；所述业务数据包括用电量，电压，设备状态，用户操作记录。
10.进一步地，所述步骤s2的具体步骤为：s201：采用dmd（动态模态分解法）获取近似的koopman算子；s202：利用 koopman 算子对步骤s1中采集到的流量数据和业务数据进行线性化处理，所述koopman 算子是由非线性微分方程组成，能够捕获电力物联网非线性系统中的信息；s203：定义相空间函数g(x)，g(x)能够表达设备的所有状态，对于设备在t时刻的
数据，满足公式：其中，t表示映射函数，即当前数据到下一时刻数据的映射；s204：定义作用在相空间函数g(x)上的koopman算子u，所述koopman算子u满足公式：。
11.进一步地，所述步骤s4的具体步骤为：s401：根据设备的数量和每个设备之间的关系构建邻接矩阵a，所述邻接矩阵为n
×
n维的矩阵，其中n为设备的数量；s402：每个节点具有特征，其中i表示节点序号，i=1，2，
……
n，根据节点特征构建特征矩阵，其中n为节点数量，即设备数量，f为每个节点的特征数量；s403：通过图卷积神经网络层提取节点的有效空间特征，即将邻接矩阵a和特征矩阵相乘，实现节点与该节点的邻居节点的特征聚合；并通过图注意力网络层对不同节点之间的连接关系设置不同的权重，整合两个图卷积神经网络层提取的有效空间特征，排除冗余信息；s404：将步骤s403中得到的经过所述图注意力网络层整合后输出的节点特征作为所述图神经网络模型的输出。
12.进一步地，所述步骤s403中邻接矩阵a和特征矩阵相乘满足公式：其中，l表示网络层数，表示第l层节点的特征矩阵，当l=0时，表示初始特征矩阵，所述初始特征矩阵由步骤s1中获取的数据组成；a为邻接矩阵，f为非线性函数，具体表达式为：其中，为relu激活函数，d为度矩阵，w
l
为第l层的权重参数矩阵，，i为单位矩阵；的表达式如下所示：对于单个节点，满足公式：其中，表示节点i的第l+1层的特征向量，i为节点序号，i=1，2，
……
n；表示
节点j的第l层的特征向量；j为节点i的邻居节点；，分别为节点i和节点j的度，ni表示节点i的所有邻居节点。
13.进一步地，所述步骤s403中不同节点之间连接关系的权重满足公式：其中，表示节点j相对于节点i的重要性，即权重系数，w
l
为第l层的权重参数矩阵，表示当前节点i的特征向量，表示节点i的邻居节点j的特征向量，为单层全连接神经网络；对权重系数进行归一化处理：其中是节点j相对于节点i的归一化权重系数，softmax表示归一化函数；将代入的表达式得到：。
14.进一步地，所述步骤s404中图神经网络模型的输出为；其中表示单层全连接神经网络。
15.进一步地，所述步骤s5的具体步骤为：s501：对n个节点随机选择k个节点，作为k个中心节点，其中k＜n；每个中心节点代表一个簇的平均值或中心；s502：计算剩余n-k个节点与k个中心节点的距离，根据距离最短原则，将剩余n-k个节点与距离最近的中心节点进行归类，即将剩余n-k个节点赋予给距离最近的中心节点，然后重新计算每个中心节点的值，即每个簇的平均值；s503：重复步骤s502，直至k个中心节点的值不再发生变化。
16.进一步地，所述步骤s502中，将剩余n-k个节点赋予给距离最近的中心节点时，采用平方和误差函数作为更新函数，所述平方和误差函数的具体表达式为：其中，qi表示第i个节点，ci表示第i簇，mi表示第i簇的中心节点，表示qi与mi之间的欧氏距离。
17.本发明的有益效果在于：（1）目前针对电力物联网的异常检测所使用的数据集均为欧氏空间数据，即以excel表格形式出现的数据集，然而欧式空间数据无法作为图神经网络的输入；本发明将非欧式空间数据引入电力物联网中，即以电力物联网的网络拓扑结构为基础，构建了基于电力物联网的图结构数据，以此作为图神经网络的输入，便于进行图卷积处理；
（2）由于电力物联网数据存在非线性的特点，且在电力物联网会存在数据的瞬时突变，而这些突变，往往是正常的波动，并非异常；因此对采集的数据进行koopman分析，对电力物联网数据进行线性化处理，充分学习时间特征，捕获自然震荡模式和异常震荡模型，最大程度降低突变数据带来的误报；（3）本发明在特征提取部分引入图卷积神经网络，直接在图结构数据上进行卷积运算，提取电力物联网设备的空间特征，充分利用电力物联网设备的时间序列数据和空间拓扑关系，打破了现有技术未能有效利用电力物联网空间特征的局面；（4）聚合节点与边的特征时，引入图注意力机制，针对不同设备节点之间的联系设置不同的权重，增强设备节点之间空间关系的合理性；当前电力物联网设备中，存在着复杂多样的空间联系，但设备节点之间的空间联系并不完全统一，即存在某一节点与一些节点联系强，与其余节点联系弱的现象，在提取空间特征的过程中，通过图注意力机制进一步精准的把握各节点之间连接关系的强弱关系，对电力物联网设备节点之间的联系权重进行合理约束，增大模型对强联系设备的关注度，从而进一步增强模型对异常检测的能力。
附图说明
18.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
19.图1为本发明实施例的方法流程图；图2为本发明实施例的图模型示意图；图3为本发明实施例的节点聚合过程示意图。
具体实施方式
20.为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明并不限于下面公开的具体实施例的限制。
21.除非另作定义，此处使用的技术术语或者科学术语应当为本技术所述领域内具有一般技能的人士所理解的通常意义。本专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。同样，
ꢀ“
一个”或者“一”等类似词语也不表示数量限制，而是表示存在至少一个。
ꢀ“
连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。
ꢀ“
上”、
ꢀ“
下”、
ꢀ“
左”、
ꢀ“
右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也相应地改变。
22.如图1~图3所示，一种基于图神经网络的电力物联网设备异常检测方法，包括如下步骤：s1：利用数据采集工具，收集电力物联网中不同设备的流量数据和业务数据；流量数据包括源ip地址，目标ip地址，源mac地址、目标mac地址、通信协议、数据包长度和时间
戳；所述业务数据包括用电量，电压，设备状态，用户操作记录。
23.s2：对采集到的流量数据和业务数据进行koopman分析，捕获流量数据和业务数据中存在的瞬时动力学的非线性震荡，学习流量数据和业务数据的自然振荡模式和异常振荡模式，将非线性数据转化为线性数据，具体步骤为：s201：采用dmd（动态模态分解法）获取近似的koopman算子；s202：利用 koopman 算子对步骤s1中采集到的流量数据和业务数据进行线性化处理，所述koopman 算子是由非线性微分方程组成，能够捕获电力物联网非线性系统中的信息；s203：定义相空间函数g(x)，g(x)能够表达设备的所有状态，对于设备在t时刻的数据，满足公式（1）：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（1）其中，t表示映射函数，即当前数据到下一时刻数据的映射；s204：定义作用在相空间函数g(x)上的koopman算子u，所述koopman算子u满足公式（2）：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（2）设g(x)的初始状态为，则经过时间t后，g(x)可以用表示；令，则有。因此koopman算子的作用可以看作在映射函数t下相空间函数g(x)的变换。通过分析无穷维的koopman算子，能够体现有限维非线性系统的动力学特征，能够更好的识别自然振荡和异常振荡。
24.s3：以所述设备为节点，每个节点的流量数据和业务数据作为该节点的初始特征，设备之间的连接关系为边，构建图模型，所述图模型，其中v为节点的集合，e为边的集合。
25.s4：以所述图模型为输入，采用图卷积神经网络层1—relu层1—图卷积神经网络层2—relu层2—图注意力网络层的结构构建图神经网络模型，通过所述图神经网络模型对所述图模型的节点数据进行更新，以图卷积神经网络对图模型进行卷积运算，提取节点之间的空间特征，并通过图注意力机制对节点之间边的权重进行约束，具体步骤为： s401：根据设备的数量和每个设备之间的关系构建邻接矩阵a，所述邻接矩阵为n
×
n维的矩阵，其中n为设备的数量；所述邻接矩阵第x行第y列表示第x个节点与第y个节点的联系关系，其中0＜x≤n，0＜y≤n；当两个节点有联系时，邻接矩阵 a中对应位置的数值设置为1，两个节点之间没有联系时，邻接矩阵 a中对应位置的数值设置为0；所述邻接矩阵中对角线上的数值为0；s402：每个节点具有特征，其中i表示节点序号，i=1，2，
……
n，根据节点特征构建特征矩阵，其中n为节点数量，即设备数量，f为每个节点的特征数量；s403：通过图卷积神经网络层提取节点的有效空间特征，即将邻接矩阵a和特征矩阵相乘，实现节点与该节点的邻居节点的特征聚合；并通过图注意力网络层对不同节点之间的连接关系设置不同的权重，整合两个图卷积神经网络层提取的有效空间特征，排除冗余信息；
s404：将步骤s403中得到的经过所述图注意力网络层整合后输出的节点特征作为所述图神经网络模型的输出。
26.在本发明实施例中，所述步骤s403中邻接矩阵a和特征矩阵相乘满足公式（3）：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（3）其中，l表示网络层数，表示第l层节点的特征矩阵，当l=0时，表示初始特征矩阵，所述初始特征矩阵由步骤s1中获取的数据组成；a为邻接矩阵，f为非线性函数，具体表达式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（4）其中，为relu激活函数， d为度矩阵，所述度矩阵是对角阵，对角上的元素为各个节点的度，其余元素均为0，节点的度表示和该节点相关联的边的数量，引入度矩阵对邻接矩阵进行归一化，可有效防止特征出现较大偏差；w
l
为第l层的权重参数矩阵，所述权重参数矩阵的行数、列数与邻接矩阵a相同，矩阵中的数值由模型随机初始化得到，并通过梯度下降法对权重参数矩阵进行训练，不断学习优化；，i为单位矩阵；的表达式如下所示：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（5）对于单个节点，可通过公式（4）推导出公式（6）：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（6）其中，表示节点i的第l+1层的特征向量，i为节点序号，i=1，2，
……
n，它聚合了当前节点的所有邻居节点的特征；表示节点j的第l层的特征向量；j为节点i的邻居节点；，分别为节点i和节点j的度，ni表示节点i的所有邻居节点；通过公式（6），可实现两层图卷积神经网络层的信息叠加。
27.利用卷积神经网络层可提取节点的时空特征信息，relu层则迫使部分神经元的输出为0，减少了参数的相互依存关系，缓解了网络模型过拟合的问题。为了尽可能地利用图卷积操作提取有效的空间特征，排除冗余信息，本发明实施例还引入了图注意力机制，具体方法为：根据输入的节点特征，进行注意力系数计算，所述步骤s403中不同节点之间连接关系的权重满足公式：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（7）
其中，表示节点j相对于节点i的重要性，即权重系数，w
l
为第l层的权重参数矩阵，表示当前节点i的特征向量，表示节点i的邻居节点j的特征向量，为单层全连接神经网络；对权重系数进行归一化处理：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（8）其中是节点j相对于节点i的归一化权重系数，softmax表示归一化函数；将代入公式（6）得到公式（9）：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（9）最后定义输出函数，所述步骤s404中图神经网络模型的输出函数为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（10）其中，表示单层全连接神经网络；利用全连接层神经网络，起到激活函数的作用。
28.s5：以所述图神经网络模型的输出作为k-means聚类的输入，通过k-means聚类对所述图模型节点进行分类，将所述图模型中的节点分为中心节点和其他节点；采用欧式距离计算方法计算中心节点与其他节点之间的距离，并设定阈值；当其他节点与中心节点距离小于阈值时，说明对应的设备正常，当其他节点与中心节点距离大于阈值时，说明对应的设备异常，具体步骤为：s501：对n个节点随机选择k个节点，作为k个中心节点，其中k＜n；每个中心节点代表一个簇的平均值或中心；在本发明实施例中，k=2；s502：计算剩余n-k个节点与k个中心节点的距离，根据距离最短原则，将剩余n-k个节点与距离最近的中心节点进行归类，即将剩余n-k个节点赋予给距离最近的中心节点，然后重新计算每个中心节点的值，即每个簇的平均值；s503：重复步骤s502，直至k个中心节点的值不再发生变化。
29.所述步骤s502中，将剩余n-k个节点赋予给距离最近的中心节点时，采用平方和误差函数作为更新函数，所述平方和误差函数的具体表达式为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（11）其中，qi表示第i个节点，ci表示第i簇，mi表示第i簇的中心节点，表示qi与mi之间的欧氏距离。
30.将n-k个节点与k个中心节点的值进行比较：当距离小于设定的阈值时，说明设备正常，当距离大于阈值时，说明设备异常。当某一设备a处于异常，若另一设备b与异常设备a联系最强，那么设备b出现异常的概率将比其他设备要大；本发明实施例可通过图注意力机制将设备之间关系的影响反应在检测结果上，充分利用电力物联网设备流量的时间序列数据及其设备间的空间拓扑关系进行异常检测。
31.本实施例的图模型如图2 所示，本发明实施例共有6个节点：节点a与节点b、节点c、节点d有联系，节点b与节点a、节点c有联系，节点c与节点b、节点a、节点e、节点f有联系，节点e与节点c、节点f有联系，节点f与节点c、节点e有联系。
32.以节点a为例，节点a的节点聚合过程如图3所示：节点b通过图神经网络模型聚合来自节点a、节点c的节点信息，节点c通过图神经网络模型聚合来自节点a、节点c、节点e、节点f的信息，节点d通过图神经网络模型聚合来自节点a的信息。最终，节点a通过图神经网络模型聚合来自节点b、节点c、节点d的信息。因此，虽然节点a只与节点b、节点c、节点d有关系，但实际上节点a的聚合过程包含了节点a、节点b、节点c、节点d、节点e、节点f的信息。
33.本发明实施例将非欧式空间数据引入电力物联网中，即以电力物联网的网络拓扑结构为基础，构建了基于电力物联网的图结构数据，以此作为图神经网络的输入，便于进行图卷积处理，相比与现有技术使用欧氏空间数据作为数据处理依据，适用范围更加广泛。在特征提取部分引入图卷积神经网络，直接在图结构数据上进行卷积运算，提取电力物联网各设备的空间特征，充分利用电力物联网设备流量的时间序列数据及其设备间的空间拓扑关系，打破了现有技术未能有效利用电力物联网设备空间特征的局面。在聚合节点与边的特征时，引入图注意力机制，针对不同设备节点之间的联系设置不同的权重，增强设备节点之间空间关系的合理性。通过本发明实施例可有效捕获电力物联网设备的时间特征与设备间的空间特征，为异常流量数据的判断提供更多更可靠的数据支持，有效提高基于电力物联网的异常检测系统的准确率和稳定性。
34.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。