一种基于D-S证据理论的电力通信网网络异常检测方法与流程

本发明涉及电力通信网络领域，更具体地，涉及一种基于d-s证据理论的电力通信网网络异常检测方法。
背景技术：
：随着智能电网研究与实践的推进，传统意义上的电网正逐步与信息通信系统、监测控制系统相互融合，电力通信网安全和电网运行安全紧密相连，电力通信网安全为电网安全的重中之重。电力通信网络系统具有复杂性、动态性等特点，具有一定的脆弱性，而拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷，来自内外部的安全风险给网络安全工作带来了极大的压力与挑战，因此需要电力通信网网络异常检测技术，准确的识别出网络安全的异常事件以及如何实时确定网络是否处于异常状态，便于工作人员及时处理异常问题。现有的网络异常检测方法中，有一种方法是在d-s证据理论的基础上，可以综和多个特征对网络流量进行判定，并引入了自适应机制以保障检测的准确性。但该方案缺陷是未能结合主机数据特征进行判定，可能对于判定准确度有影响。技术实现要素：本发明为克服上述现有技术中对于网络异常检测准确度低的问题，提供一种基于d-s证据理论的电力通信网网络异常检测方法，能够有效提高电力通信网络中对网络异常及其类型的感知的准确性，同时可以根据实时数据实时融合实现网络异常实时检测。为解决上述技术问题，本发明采用的技术方案是：一种基于d-s证据理论的电力通信网网络异常检测方法，包括以下步骤：步骤一：从电力通信网络中采集到的网络连接状况数据中选取影响网络异常的特征，进行数据预处理；步骤二：基于k-means聚类方法(k-均值算法)实现对d_s证据理论中识别框架中bba(基本概率分配，识别框架中每一种可能的概率分配)的确定；步骤三：利用专家系统对识别框架进行决定；步骤四：使用dempster(d_s证据理论)组合规则进行融合以及决策。优选的，在所述步骤一中，从电力通信网络中收集的网络关键信息的原始记录中，挑选固定时间长度的网络关键信息数据；并对挑选出的关键信息数据进行清洗，去除含有缺失值的数据记录。优选的，所述关键信息数据包括三个信息，分别为流量信息、运行信息和网络防护设备的报警信息。所述流量信息包括各个网络节点流量流入大小和网络流量流出大小；所述运行信息包括各主机上运行的服务的总数、主机上运行的各项服务的平均访问量和访问频率；所述网络防护设备的报警信息包括报警标识符、攻击频率、源地址、目的地址，源端口和目的端口。电网正常运行状态流量稳定(除特定时节外)，如出现流量大小波动异常，可通过流量信息大小判断是否出现ddos攻击等，正常状态主机服务总数稳定，如出现波动，可用于检测主机是否被注入后门或恶意程序，通过采集报警信息可以用于判断攻击类型以及攻击来源，为异常检测提供数据支撑。优选的，在所述步骤二中，聚类区间以及聚类特征相似度的计算流程为：s1:基于k-means算法，聚类特征区间基本模型为[c，r]，c为聚类中心，r为聚类半径；s2：聚类特征相似度为：设f1：[c1，r1]，f2：[c2，r2]为d_s证据理论识别框架中的两个焦元，它们之间的距离为：其中，c1为第一个聚类中心；c2为第二个聚类中心；r1为第一个聚类中心的聚类半径；r2为第二个聚类中心的聚类半径；s3：两个聚类特征区间模型相似度为其中，λ>0为支持系数；d(f1，f2)为两个焦元的距离。优选的，在所述步骤二中，bba的生成步骤如下：s2.1：建立样本数据属性值的聚类区间模型。s2.2：计算待判断数据属性值与模型区间的距离。s2.3：计算待识别数据属性值与样本数据属性值之间的相似度。s2.4：对相似度进行归一化，生成bba。优选的，在所述步骤三中，根据专家系统建立识别框架；所述识别框架表示为z＝{a1，a2，…，an}，其中z为识别框架，n为框架中对象个数，a为事件类型；框架中任意两个对象均相互排斥。优选的，在所述步骤四中，dempster组合规则定义为：其中，a为识别框架中的焦元；b为识别框架中的命题；m1和m2分别是同一框架下来自2个不同信源的基本信度赋值组合；k为冲突系数，反映了证据冲突的程度；最后根据融合后得到的概率数值可以进行网络异常判断以及相关类型的判定。与现有技术相比，有益效果是：1.本发明使用基于k-means聚类方法实现对d-s证据理论中识别框架中bba的确定。可以有效减少专家经验打分来确定bba造成的主观程度较强以及证据高度冲突。2.本发明全面考虑网络的传输数据，从中抽取影响网络异常的特征属性，能更好的体现网络的运行状态。3.本发明充分考虑了电力通信网络的实时性，使用dempster组合规则进行融合以及决策，利用先前数据库中大量运行数据构造聚类区间模型以及识别框架，可以将实时运行数据进行实时数据融合，加快实时网络异常的判断。附图说明图1是本发明的一种基于d-s证据理论的电力通信网网络异常检测方法的流程示意图；图2是本发明的一种基于d-s证据理论的电力通信网网络异常检测方法的电力通信分层图。具体实施方式附图仅用于示例性说明，不能理解为对本专利的限制。下面通过具体实施例，并结合附图，对本发明的技术方案作进一步的具体描述：实施例1如图1-2所示为一种基于d-s证据理论的电力通信网网络异常检测方法的实施例，包括如下步骤：步骤一：设经过已有的知识库或者专家经验建立的识别框架为z＝{a1，a2，…，an}其中，z为识别框架，ai(1≤i≤n)表示事件类型，其中框架中任意两个对象均相互排斥，n为框架中对象个数；该电力通信网系统中选取指标有如下几个：流量信息：各个网络节点流量流入大小network_in(ni)，网络流量流出大network_out(no)；运行信息包括：各主机上运行的服务的总数service_num(sn)，主机上运行的各项服务的平均访问量visit_num(vn)、访问频率visit_freq(vr)；网络防护设备的报警信息包括：攻击频率attack_freq(af)；步骤二：样本指标数据的bba生成。测试数据选取：对于识别框架中每个对象(事件)选取20组对应数据(来源于该电力通信网系统以及相关数据库中)每组数据包括上述指标：{ni，no，sn，vn，vr，af}，指标ni数据可表示为ni1，ni2，…，ni20，其他类似。生成聚类特征区间模型：如下表所示：表1：特征区间模型表焦元ninosnvnvrafa1[c11，r11][c12，r12][c13，r13][c14，r14][c15，r15][c16，r16]a2[c21，r21][c22，r22][c23，r23][c24，r24][c25，r25][c26，r26]…………………an[cn1，rn1][cn2，rn2][cn3，rn3][cn4，rn4][cn5，rn5][cn6，rn6]上表中生成过程为直接对20组数据进行操作，如[c11，r11]生成过程如下：求待测数据与特征模型区间的距离并求出相似度：选取测试数据c{nit，not，snt，vnt，vrt，aft}，求解其与表1的距离，并求出相似度，然后进行归一化处理获得bba的值，具体可用如下表表示：表2：测试数据与区间模型相似度焦元ninosnvnvrafa1s11s12s13s14s15s16a2s21s22s23s24s255s26…………………ansn1sn2sn3sn4sn5sn6上表中生成过程为直接对表1数据进行操作(其中可以把测试数据的聚类半径取0，相似度系数取1)，如s11生成过程如下：进行归一化获取bba数据如下表：表3：bba分配焦元ninosnvnvrafa1p11p12p13p14p15p16a2p21p22p23p24p255p26…………………anpn1pn2pn3pn4pn5pn6上表中生成过程为直接对表2数据进行操作归一化措施为(如p11)：进行d-s数据融合以及决策分析：首先求出冲突因子k，再求出框架对象的融合概率如下。根据步骤4中k的公式有：根据步骤4中的融合公式(这里以p(a1)为例)有：通过上述步骤求得了各个识别框架中融合后事件的概率p(a1)，p(a2)，…，p(an)，进而进行判断事件类型以及后续相关决策。本实施例的有益效果：1.本发明使用基于k-means聚类方法实现对d-s证据理论中识别框架中bba的确定。可以有效减少专家经验打分来确定bba造成的主观程度较强以及证据高度冲突。2.本发明全面考虑网络的传输数据，从中抽取影响网络异常的特征属性，能更好的体现网络的运行状态。3.本发明充分考虑了电力通信网络的实时性，使用dempster组合规则进行融合以及决策，利用先前数据库中大量运行数据构造聚类区间模型以及识别框架，可以将实时运行数据进行实时数据融合，加快实时网络异常的判断。显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。当前第1页12