基于多维熵序列分类的智能变电站通信网络异常检测方法技术

本明提供一种基于多维熵序列分类的智能变电站通信网络异常检测方法，包括：网络流量数据采样，根据采样内容按照统计原则构造多维熵检测向量，并对多维熵检测向量按时间窗口进行熵值估算；确定基于信息熵搜集项集模式和基于信息熵的边值权重；根据所述项集模式和边值权重，构建基于熵值估算的时间序列图；按频繁程度将项集模式分为正常流量项集模式和异常流量项集模式，并标记异常流量项集模式；检测出现异常流量项集模式频繁程度的异常状态变化趋势；根据异常状态变化趋势所检测的结果判断当前网络的运行状态，评估网络的健康状况。本发明专利技术有效提高检测效率和检测精度，提高了智能变电站通信网络异常检测的完整性和准确性。

Anomaly detection method for intelligent substation communication network based on multi dimensional entropy sequence classification

This invention provides a method of anomaly detection, intelligent substation communication network based on multidimensional entropy sequence classification including: network traffic data sampling, according to the content of the sample according to the statistical principles of constructing multidimensional entropy detection vector, and the multidimensional entropy detection vector entropy according to time window estimation; determine the information entropy and information entropy model to collect itemsets edge based on the value of weight based on; according to the set mode and boundary value weight, construct a time series graph entropy estimation based on frequent itemsets; according to the degree of the model is divided into normal flow and abnormal flow pattern set set mode, and mark the abnormal traffic itemset; detection abnormal trend anomaly items frequent pattern level; the current running status of network judgment based on abnormal state trend detection results, evaluation of network health. The invention can effectively improve the detection efficiency and the detection accuracy, and improve the integrity and accuracy of the anomaly detection of the intelligent substation communication network.

【技术实现步骤摘要】

本专利技术涉及一种网络异常检测方法，具体涉及一种基于多维熵序列分类的智能变电站通信网络异常检测方法。
技术介绍
二次设备网络化是智能变电站的重要特点之一，通信网络的健康状况将直接影响整个智能变电站的安全稳定运行状况。通信网络管理中最为关键的一环在于实时、准确地对网络运行情况进行分析和监测，发现其中存在的安全隐患，以便及时制定相应的策略对网络潜在问题进行响应。智能变电站中多采用网络报文记录与分析装置对通信网络进行实现监控，但现有装置在功能设置上多偏重于对各类报文的实时监听和采集记录，缺乏对网络整体运行状况的分析和判断方法，既不能在网络流量发生变化时及时感知异常状况并发出预警，也无法通过采集数据信息展示网络流量行为特点，为调整网络规划、优化网络资源配置、保证网络高效运行提供依据。
技术实现思路
本专利技术针对智能变电站通信网络异常检测分析手段不足的现状，提供一种基于多维熵序列分类的智能变电站通信网络异常检测方法，该方法利用统计学的思想，通过熵值计算度量网络流量数据在取值空间上的分布，通过分布变化对比的情况来判断网络中是否存在异常，不仅提高了网络异常检测的精度和效率，而且可及时提醒工作人员对通信网络潜在的变化趋势做出判断和干预，提高了变电站通信网络的管理能力和应急响应能力，保证通信网络正常运行的安全性和稳定性。本专利技术的目的是采用下述技术方案实现的：一种基于多维熵序列分类的智能变电站通信网络异常检测方法，其改进之处在于，所述方法包括下述步骤：网络流量数据采样，根据采样内容按照统计原则构造多维熵检测向量，并对多维熵检测向量按时间窗口进行熵值估算；确定基于信息熵搜集项集模式和基于信息熵的边值权重；根据所述项集模式和边值权重，以项集模式为点，边值权重为边构建基于熵值估算的时间序列图；按频繁程度将项集模式分为正常流量项集模式和异常流量项集模式，并标记异常流量项集模式；检测出现异常流量项集模式频繁程度的异常状态变化趋势；根据异常状态变化趋势所检测的结果判断当前网络的运行状态，评估网络的健康状况。其中，所述多维熵检测向量包括源IP维向量、目的IP维向量、源端口维向量、目的端口维向量和IP包长度维向量。其中，所述项集模式指的是基于信息熵的不同取值等级组合构成不同的模式；在信息熵估算的基础上搜集检测向量的项集模式，并计算项集模式之间的边值权重；所述边值权重反映一条边上两个项集模式信息熵值在两个端点信息熵取值时间点上的相似度。其中，根据时间序列图计算每个项集模式出现的频繁程度，并按照频繁程度大小将项集模式划分为正常流量项集模式和异常流量项集模式；项集模式的频繁程度越小，说明所述项集模式出现时网络出现异常行为的可能性越大。其中，检测异常状态变化趋势的检测方法包括：i.利用异常流量的项集模式构造一组在正常状态下期望为负值而当出现异常状况后期望变为正值的随机序列；ii.计算在当前时间窗口中所述随机序列的期望值，如期望值正常，则转入下一窗口；如期望值不正常，计算当前时间窗口相对前一窗口的异常向量；iii.对于异常向量的各个维度计算熵值时间序列图的均值和方差，如果所述维度熵值与异常向量均值的偏差大于异常向量方差，则认为此维度为异常显现维度；iv.剔除不相关维度，利用所有异常显现维度的熵差值构建新的异常向量，并计算在当前时间窗口中异常显现维度在时刻的熵差值；v.计算异常显现维度在该时刻对窗口可能出现的异常的肯定程度，判断异常变化趋势是否有所积累；vi、判断异常状态变化趋势的积累值是否超越设定阈值，如超越，则判断智能变电站通信网络异常；否则智能变电站通信网络正常。本专利技术提供的技术方案具有的优异效果是：本专利技术提供一种基于熵序列分类的智能变电站通信网络异常检测方法，利用多维熵序列之间存在的相关性分析，检测多时间窗口检测向量之间的变化趋势，从而判断通信网络整体运行状况。本专利技术采用多维熵值分类的检测方法，充分利用网络采样数据上高效熵值计算算法以及各维度熵值之间的相关性，有效提高检测效率和检测精度，为准确识别网络异常行为的相关流量提供了一种检测方式，提高了智能变电站通信网络异常检测的完整性和准确性。附图说明图1是本专利技术提供的网络异常检测系统流程框图；图2是本专利技术提供的网络异常变化趋势判断流程图。具体实施方式下面结合附图对本专利技术的具体实施方式作进一步的详细说明。以下描述和附图充分地示出本专利技术的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的组件和功能是可选的，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本专利技术的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本专利技术的这些实施方案可以被单独地或总地用术语“专利技术”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的专利技术，不是要自动地限制该应用的范围为任何单个专利技术或发明构思利用基于熵序列分类的智能变电站通信网络异常检测方法(下简称“检测方法”)实现网络异常检测的流程框图如图1所示。检测方法通过构造多维熵检测向量并分析向量之间的关联关系，得到通信网络的流量特征分布；按照时间序列分析的方法对所得到的网络流量特征分布进行趋势分析，判断现有通信网络的运行状态并定位网络异常故障。检测方法如图1所示，具体步骤如下：1.对网络流量数据进行采样，按照统计原则根据采样内容构造多维熵检测向量，并对检测向量按时间窗口根据采样内容进行信息熵估算；多维熵检测向量包括源IP维向量、目的IP维向量、源端口维向量、目的端口维向量和IP包长度维向量。2.基于信息熵的不同取值等级组合构成不同的模式，称为项集模式。在信息熵估算的基础上搜集检测向量可能的项集模式，并计算项集模式之间的边的权值，边的权值反映该边两个项集模式信息熵值在两个端点信息熵取值时间点上变化的相似度；3.依据步骤2所述，以项集模式为点，边的权值为边构造基于熵值估算的时间序列图(下简称“时间序列图”)；4.根据时间序列图计算每个项集模式所出现的频繁程度，并按照频繁程度大小将项集模式划分为正常模式和异常模式。频繁程度越小，说明该项集模式出现时网络出现异常行为的可能性越大；5.将标记成为异常模式的项集模式再次排列，对其异常状态的变化趋势进行再次检测，判断其变化趋势是否会真正引起网络异本文档来自技高网...

【技术保护点】
一种基于多维熵序列分类的智能变电站通信网络异常检测方法，其特征在于，所述方法包括下述步骤：网络流量数据采样，根据采样内容按照统计原则构造多维熵检测向量，并对多维熵检测向量按时间窗口进行熵值估算；确定基于信息熵搜集项集模式和基于信息熵的边值权重；根据所述项集模式和边值权重，以项集模式为点，边值权重为边构建基于熵值估算的时间序列图；按频繁程度将项集模式分为正常流量项集模式和异常流量项集模式，并标记异常流量项集模式；检测出现异常流量项集模式频繁程度的异常状态变化趋势；根据异常状态变化趋势所检测的结果判断当前网络的运行状态，评估网络的健康状况。

【技术特征摘要】
1.一种基于多维熵序列分类的智能变电站通信网络异常检测方法，其特征在于，所述方
法包括下述步骤：
网络流量数据采样，根据采样内容按照统计原则构造多维熵检测向量，并对多维熵检测
向量按时间窗口进行熵值估算；
确定基于信息熵搜集项集模式和基于信息熵的边值权重；
根据所述项集模式和边值权重，以项集模式为点，边值权重为边构建基于熵值估算的时
间序列图；
按频繁程度将项集模式分为正常流量项集模式和异常流量项集模式，并标记异常流量项
集模式；
检测出现异常流量项集模式频繁程度的异常状态变化趋势；
根据异常状态变化趋势所检测的结果判断当前网络的运行状态，评估网络的健康状况。
2.如权利要求1所述的智能变电站通信网络异常检测方法，其特征在于，所述多维熵检
测向量包括源IP维向量、目的IP维向量、源端口维向量、目的端口维向量和IP包长度维向
量。
3.如权利要求1所述的智能变电站通信网络异常检测方法，其特征在于，所述项集模式
指的是基于信息熵的不同取值等级组合构成不同的模式；在信息熵估算的基础上搜集检测向
量的项集模式，并计算项集模式之间的边值权重；所述边值权重反映一条边上两个项集模式
信息熵值在两个端点信息熵取值时间点上的相似度。
4.如权利要求1所述的智能变电站...

【专利技术属性】
技术研发人员：陈翔宇，曹楠，侯鹏，王冬青，申仲涛，李冰，刘润花，马晓光，唐志军，林国栋，翟博龙，陈锦山，
申请(专利权)人：国家电网公司，南京南瑞集团公司，国网福建省电力有限公司，国网福建省电力有限公司电力科学研究院，
类型：发明
国别省市：北京;11