一种变电站入侵数据降维及检测方法与流程

本发明涉及一种变电站入侵数据降维及检测方法，属于网络安全领域。

背景技术：

1、智能变电站作为智能电网的重要节点，依靠高速稳定的网络通信，对站内海量信息进行标准化处理，实现站内外的数据共享和互操作。网络通信是变电站智能化的基础，为确保智能变电站的稳定运行，必须要解决数据安全的问题。其中，入侵数据检测是保护数据安全的重要防线，其性能的优劣直接影响变电站的数据安全等级。当有恶意入侵行为时，会威胁着变电站信息系统安全，如导致保护和开关装置的错误动作，引发连锁事故，其影响不容忽视。

2、入侵数据检测实质上是一个模式识别问题，即在网络环境中，根据网络数据的特征属性，将网络数据分为正常或异常类型。传统的监督学习检测算法需要大量的训练样本以便获得良好的泛化能力，但是标注的测量数据很难获得，并且一些入侵攻击难以标注，因此这一检测方法的准确度较低。基于聚类技术的入侵检测算法克服了监督学习中对样本数据标注的要求，同时能检测入侵行为，但实际中网络入侵数据具有数据量大、维数高的特点，聚类算法容易受噪声数据的影响，运行速度慢且无法有效识别异常信息。

3、因此需要一种能在少量标注样本条件下，有效识别变电站入侵数据的检测方法。

4、专利cn108881196a《基于深度生成模型的半监督入侵检测方法》公开了一种基于深度生成模型的半监督入侵检测方法，包括：一、数据预处理，将数据集中的符号属性转化为数值属性，后对全部数值属性进行归一化处理；二、利用生成模型中的变分自编码技术将有标签和无标签数据的高维特征表示转换成新特征空间低维表示，对低维特征向量加一个约束使之服从高斯正太分布，得到隐变量z，用隐变量z结合有标签样本训练分类器；三、有标签样本数据重构，用隐变量z结合标签类别信息共同生成新的有标签样本；四、无标签样本重构，用隐变量z预测无标签样本所属每一个类别的概率，然后结合隐变量z 生成新的无标签样本；五、用新生成的有标签和无标签样本计算模型的重构误差，结合分类误差训练优化模型参数直至收敛。该专利仍需要较多的有标签样本，人工标注成本较高。

技术实现思路

1、为了克服现有技术中存在的问题，本发明设计了一种变电站入侵数据降维及检测方法，利用第一样本数据集训练检测模型，得到超参数集；利用强化学习算法进一步优化超参数集从而优化检测模型超参数；再利用第二样本数据集训练编码器，则编码器可检测输入的变电站数据是否正常数据，具有较高鲁棒性与检测精度，且在训练过程中仅需要少量的有标签样本(即第二样本数据集)，人工标注数据成本低。

2、为了实现上述目的，本发明采用如下技术方案：

3、一种变电站入侵数据降维及检测方法，包括如下步骤：

4、s1、构建检测模型，所述检测模型包括编码器和解码器；

5、s2、训练所述检测模型，具体如下：

6、获取包括若干个无标签样本的第一样本数据集和包括若干个有标签样本的第二样本数据集；

7、利用第一样本数据集，以重构误差最小为目标迭代训练检测模型，保存重构误差最小时检测模型中各超参数的值，得到若干个超参数集；

8、基于所述若干个超参数集，通过强化学习算法得到检测模型中的各超参数的值；

9、根据第二样本数据集，迭代训练编码器；

10、s3、获取待检数据；将待检数据输入编码器，得到该待检数据是否为异常数据的检测结果。

11、进一步的，所述通过强化学习算法得到检测模型中的各超参数的值，具体为：

12、a1、构建智能体；

13、a2、智能体基于超参数集，与环境交互生成一组随机数据st；根据随机数据st与该超参数集的接近程度，判断随机数据st是否为有效数据并计算奖励值；根据奖励值调整下一组随机数据st+1的生成方向；更新该超参数集和q值；

14、a3、重复步骤a2，直至智能体完成训练，取最优q值对应的超参数集为检测模型中的超参数。

15、进一步的，根据第二样本数据集，以最小化交叉熵为监督成本迭代训练编码器。

16、进一步的，所述步骤s3具体为：

17、根据最小化交叉熵预设有阈值；编码器计算待检数据的交叉熵，若计算得到的交叉熵大于阈值，则判断该待检数据为入侵数据；否则，判断该待检数据为正常数据。

18、进一步的，第一样本数据集还包括若干个有标签样本。

19、与现有技术相比本发明有以下特点和有益效果：

20、1、本发明利用编码器和解码器对变电站数据进行降维，提高检测效率；

21、2、本发明利用第一样本数据集训练检测模型，得到超参数集；利用dqn 算法进一步优化超参数集从而优化检测模型超参数；再利用第二样本数据集训练编码器，则编码器可检测输入的变电站数据是否正常数据，具有较高鲁棒性与检测精度，且在训练过程中仅需要少量的有标签样本(即第二样本数据集)，人工标注数据成本低。

22、3、本发明通过智能体不断与环境进行交互,通过试错的方式生成不同的训练样本(即随机数据)，从而优化超参数集，降低检测模型对有标签样本的需求。

23、4、本发明使用有标签样本作为第一样本数据集，进一步提高检测模型以及agent的学习效率。

技术特征：

1.一种变电站入侵数据降维及检测方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的一种变电站入侵数据降维及检测方法，其特征在于，所述通过强化学习算法得到检测模型中的各超参数的值，具体为：

3.根据权利要求1所述的一种变电站入侵数据降维及检测方法，其特征在于，根据第二样本数据集，以最小化交叉熵为监督成本迭代训练编码器。

4.根据权利要求3所述的一种变电站入侵数据降维及检测方法，其特征在于，所述步骤s3具体为：

5.根据权利要求1所述的一种变电站入侵数据降维及检测方法，其特征在于，第一样本数据集还包括若干个有标签样本。

技术总结
本发明涉及一种变电站入侵数据降维及检测方法，包括以下步骤：S1、构建检测模型，所述检测模型包括编码器和解码器；S2、训练所述检测模型，具体如下：获取包括若干个无标签样本的第一样本数据集和包括若干个有标签样本的第二样本数据集；利用第一样本数据集，以重构误差最小为目标迭代训练检测模型，保存重构误差最小时检测模型中各超参数的值，得到若干个超参数集；基于所述若干个超参数集，通过强化学习算法得到检测模型中的各超参数的值；根据第二样本数据集，迭代训练编码器；S3、获取待检数据；将待检数据输入编码器，得到该待检数据是否为异常数据的检测结果。

技术研发人员：陆珺,张晟煜,陈凯,关华明,蓝喜文,游宗明,张超武,傅军,王丽颖,黄盛康,陈雅仙,郑巧红
受保护的技术使用者：国网福建省电力有限公司上杭县供电公司
技术研发日：
技术公布日：2024/1/13