一种电力系统网络入侵检测方法、系统及设备与流程

本发明涉及电力系统网络安全，特别是涉及一种电力系统网络入侵检测方法、系统及设备。

背景技术：

1、在当前数字化和网络化的背景下，电力系统的运营和管理日益依赖于信息技术的支持。然而，电力系统的网络化也带来了一系列的网络安全挑战，因为其关键性质和广泛性应用使其成为恶意入侵和攻击的目标。过去的研究集中在传统的边界防御和监测技术上，以保护电力系统免受外部威胁的影响。然而，这些方法在处理复杂的网络攻击手段、快速变化的威胁以及内部威胁方面存在一定的局限性。

2、传统的入侵检测系统主要依赖于特征匹配、规则检测和统计分析等方法，但这些方法容易受到攻击者的欺骗，导致高误报率和漏报率。此外，电力系统的复杂性和大规模性使得传统方法难以对大量、多样的数据进行准确分析和检测。另一方面，电力系统内部的多层次互连性和数据流动性，使得传统方法很难捕获全局的网络行为，限制了其对系统整体安全状态的把握。

3、此外，由于电力系统的特殊性质，许多通用的网络安全解决方案无法直接迁移到电力系统领域。传统的网络安全技术可能无法满足电力系统的实时性要求，并且可能对系统性能产生负面影响。因此，电力系统网络安全需要专门针对其特点和需求进行定制化的解决方案，以确保安全性和稳定性的同时，不影响系统的正常运行。

4、综上所述，电力系统网络入侵检测面临着诸多技术挑战。现有技术虽然在一定程度上弥补了电力系统网络安全方面的需求，但仍然需要创新和进步，以应对不断变化的威胁环境和日益复杂的入侵手段。

技术实现思路

1、本发明的目的是提供一种电力系统网络入侵检测方法、系统及设备，能够全面提升电力系统网络入侵检测效率和分类精度，从而有效提高电力系统网络的安全性。

2、为实现上述目的，本发明提供了如下方案：

3、一种电力系统网络入侵检测方法，包括：

4、获取电力系统网络入侵数据并进行数据归一化处理，得到归一化后的特征数据；

5、采用凝聚层次聚类算法对归一化后的特征数据进行聚类，得到聚类后的特征数据集；

6、采用边缘保留式k最近邻算法对聚类后的特征数据集进行欠采样，得到多个欠采样特征子集；

7、将多个欠采样特征子集进行拼接，得到总体欠采样特征数据集；

8、采用贪心递归消除交叉验证算法对总体欠采样特征数据集进行特征选择，得到最优特征子集；

9、将最优特征子集输入并联深度神经网络模型，输出入侵检测结果；所述并联深度神经网络模型包括全局子网络模型、加和调整模块和主神经网络模型。

10、可选地，所述获取电力系统网络入侵数据并进行数据归一化处理，得到归一化后的特征数据，具体包括：

11、对电力系统网络入侵数据的多数类样本中的高离差特征进行非线性对数变换，得到变换后的特征数据；所述高离差特征为标准差大于等于1的特征；

12、对变换后的特征数据进行标准归一化处理，得到归一化后的特征数据。

13、可选地，所述采用边缘保留式k最近邻算法对聚类后的特征数据集进行欠采样，得到多个欠采样特征子集，具体包括：

14、对聚类后的特征数据集中的每个多数类集合进行边界点计算，保留所有的边界点，并计算剩余样本数量n'；

15、从聚类后的特征数据集的所有簇中随机采样n'个样本，得到多个欠采样特征子集。

16、可选地，所述采用贪心递归消除交叉验证算法对总体欠采样特征数据集进行特征选择，得到最优特征子集，具体包括：

17、使用总体欠采样特征数据集中的全部特征构建一个xgboost模型，利用各个特征在xgboost模型分裂节点处的分裂增益对重要度进行排序，得到特征重要性列表；

18、将特征重要性列表中重要性最低的特征消除，并计算数据集交叉验证值；

19、遍历完全部特征后，保留数据集交叉验证值最大的局部最优特征子集，并删除导致交叉校验效果下降的特征子集，从而得到最优特征子集。

20、可选地，所述全局子网络模型包括全局网络和子网络；所述全局网络采用主成分分析法对全局特征进行整体描述，得到全局网络输出；所述子网络从最优特征子集中提取交叉特征信息，并将交叉特征信息与全局网络输出进行并联拼接并使用softmax函数进行统一处理，得到概率形式的多分类结果作为全局子网络模型输出。

21、可选地，所述加和调整模块将全局子网络模型输出与主神经网络模型输出进行决策融合，得到入侵检测结果。

22、一种电力系统网络入侵检测系统，包括：

23、归一化模块，用于获取电力系统网络入侵数据并进行数据归一化处理，得到归一化后的特征数据；

24、聚类模块，用于采用凝聚层次聚类算法对归一化后的特征数据进行聚类，得到聚类后的特征数据集；

25、欠采样模块，用于采用边缘保留式k最近邻算法对聚类后的特征数据集进行欠采样，得到多个欠采样特征子集；

26、拼接模块，用于将多个欠采样特征子集进行拼接，得到总体欠采样特征数据集；

27、特征选择模块，用于采用贪心递归消除交叉验证算法对总体欠采样特征数据集进行特征选择，得到最优特征子集；

28、入侵检测模块，用于将最优特征子集输入并联深度神经网络模型，输出入侵检测结果；所述并联深度神经网络模型包括全局子网络模型、加和调整模块和主神经网络模型。

29、一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述的电力系统网络入侵检测方法。

30、可选地，所述存储器为非暂态计算机可读存储介质。

31、根据本发明提供的具体实施例，本发明公开了以下技术效果：

32、本发明提供了一种电力系统网络入侵检测方法、系统及设备，该方法包括：获取电力系统网络入侵数据并进行数据归一化处理，得到归一化后的特征数据；采用凝聚层次聚类算法对归一化后的特征数据进行聚类，得到聚类后的特征数据集；采用边缘保留式k最近邻算法对聚类后的特征数据集进行欠采样，得到多个欠采样特征子集；将多个欠采样特征子集进行拼接，得到总体欠采样特征数据集；采用贪心递归消除交叉验证算法对总体欠采样特征数据集进行特征选择，得到最优特征子集；将最优特征子集输入并联深度神经网络模型，输出入侵检测结果。本发明能够全面提升电力系统网络入侵检测效率和分类精度，从而有效提高电力系统网络的安全性。

技术特征：

1.一种电力系统网络入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的电力系统网络入侵检测方法，其特征在于，所述获取电力系统网络入侵数据并进行数据归一化处理，得到归一化后的特征数据，具体包括：

3.根据权利要求1所述的电力系统网络入侵检测方法，其特征在于，所述采用边缘保留式k最近邻算法对聚类后的特征数据集进行欠采样，得到多个欠采样特征子集，具体包括：

4.根据权利要求1所述的电力系统网络入侵检测方法，其特征在于，所述采用贪心递归消除交叉验证算法对总体欠采样特征数据集进行特征选择，得到最优特征子集，具体包括：

5.根据权利要求1所述的电力系统网络入侵检测方法，其特征在于，所述全局子网络模型包括全局网络和子网络；所述全局网络采用主成分分析法对全局特征进行整体描述，得到全局网络输出；所述子网络从最优特征子集中提取交叉特征信息，并将交叉特征信息与全局网络输出进行并联拼接并使用softmax函数进行统一处理，得到概率形式的多分类结果作为全局子网络模型输出。

6.根据权利要求5所述的电力系统网络入侵检测方法，其特征在于，所述加和调整模块将全局子网络模型输出与主神经网络模型输出进行决策融合，得到入侵检测结果。

7.一种电力系统网络入侵检测系统，其特征在于，包括：

8.一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的电力系统网络入侵检测方法。

9.根据权利要求8所述的电子设备，其特征在于，所述存储器为非暂态计算机可读存储介质。

技术总结
本发明公开了一种电力系统网络入侵检测方法、系统及设备，涉及电力系统网络安全技术领域。该方法包括：获取电力系统网络入侵数据并进行数据归一化处理；采用凝聚层次聚类算法对归一化后的特征数据进行聚类，得到聚类后的特征数据集；采用边缘保留式K最近邻算法对聚类后的特征数据集进行欠采样，得到多个欠采样特征子集并进行拼接，得到总体欠采样特征数据集；采用贪心递归消除交叉验证算法对总体欠采样特征数据集进行特征选择，得到最优特征子集；将最优特征子集输入并联深度神经网络模型，输出入侵检测结果。本发明能够全面提升电力系统网络入侵检测效率和分类精度，从而有效提高电力系统网络的安全性。

技术研发人员：洪超,杨祎巍,梁志宏,董良遇,王蕊,李攀登,张宇南,关泽武,冯海瑜
受保护的技术使用者：南方电网科学研究院有限责任公司
技术研发日：
技术公布日：2024/1/15