基于多维熵序列分类的智能变电站通信网络异常检测方法
【技术领域】
[0001] 本发明涉及一种网络异常检测方法,具体涉及一种基于多维熵序列分类的智能变 电站通信网络异常检测方法。
【背景技术】
[0002] 二次设备网络化是智能变电站的重要特点之一,通信网络的健康状况将直接影响 整个智能变电站的安全稳定运行状况。通信网络管理中最为关键的一环在于实时、准确地 对网络运行情况进行分析和监测,发现其中存在的安全隐患,以便及时制定相应的策略对 网络潜在问题进行响应。智能变电站中多采用网络报文记录与分析装置对通信网络进行实 现监控,但现有装置在功能设置上多偏重于对各类报文的实时监听和采集记录,缺乏对网 络整体运行状况的分析和判断方法,既不能在网络流量发生变化时及时感知异常状况并发 出预警,也无法通过采集数据信息展示网络流量行为特点,为调整网络规划、优化网络资源 配置、保证网络高效运行提供依据。
【发明内容】
[0003] 本发明针对智能变电站通信网络异常检测分析手段不足的现状,提供一种基于多 维熵序列分类的智能变电站通信网络异常检测方法,该方法利用统计学的思想,通过熵值 计算度量网络流量数据在取值空间上的分布,通过分布变化对比的情况来判断网络中是否 存在异常,不仅提高了网络异常检测的精度和效率,而且可及时提醒工作人员对通信网络 潜在的变化趋势做出判断和干预,提高了变电站通信网络的管理能力和应急响应能力,保 证通信网络正常运行的安全性和稳定性。
[0004] 本发明的目的是采用下述技术方案实现的:
[0005] -种基于多维熵序列分类的智能变电站通信网络异常检测方法,其改进之处在 于,所述方法包括下述步骤:
[0006] 网络流量数据采样,根据采样内容按照统计原则构造多维熵检测向量,并对多维 熵检测向量按时间窗口进行熵值估算;
[0007] 确定基于信息熵搜集项集模式和基于信息熵的边值权重;
[0008] 根据所述项集模式和边值权重,以项集模式为点,边值权重为边构建基于熵值估 算的时间序列图;
[0009] 按频繁程度将项集模式分为正常流量项集模式和异常流量项集模式,并标记异常 流量项集模式;
[0010] 检测出现异常流量项集模式频繁程度的异常状态变化趋势;
[0011] 根据异常状态变化趋势所检测的结果判断当前网络的运行状态,评估网络的健康 状况。
[0012] 其中,所述多维熵检测向量包括源IP维向量、目的IP维向量、源端口维向量、目的 端口维向量和IP包长度维向量。
[0013] 其中,所述项集模式指的是基于信息熵的不同取值等级组合构成不同的模式;在 信息熵估算的基础上搜集检测向量的项集模式,并计算项集模式之间的边值权重;所述边 值权重反映一条边上两个项集模式信息熵值在两个端点信息熵取值时间点上的相似度。
[0014] 其中,根据时间序列图计算每个项集模式出现的频繁程度,并按照频繁程度大小 将项集模式划分为正常流量项集模式和异常流量项集模式;项集模式的频繁程度越小,说 明所述项集模式出现时网络出现异常行为的可能性越大。
[0015] 其中,检测异常状态变化趋势的检测方法包括:
[0016] i.利用异常流量的项集模式构造一组在正常状态下期望为负值而当出现异常状 况后期望变为正值的随机序列;
[0017] ii.计算在当前时间窗口中所述随机序列的期望值,如期望值正常,则转入下一窗 口;如期望值不正常,计算当前时间窗口相对前一窗口的异常向量;
[0018] iii.对于异常向量的各个维度计算熵值时间序列图的均值和方差,如果所述维度 熵值与异常向量均值的偏差大于异常向量方差,则认为此维度为异常显现维度;
[0019] iv.剔除不相关维度,利用所有异常显现维度的熵差值构建新的异常向量,并计算 在当前时间窗口中异常显现维度在时刻的熵差值;
[0020] V.计算异常显现维度在该时刻对窗口可能出现的异常的肯定程度,判断异常变化 趋势是否有所积累;
[0021] vi、判断异常状态变化趋势的积累值是否超越设定阈值,如超越,则判断智能变电 站通信网络异常;否则智能变电站通信网络正常。
[0022] 本发明提供的技术方案具有的优异效果是:
[0023] 本发明提供一种基于熵序列分类的智能变电站通信网络异常检测方法,利用多维 熵序列之间存在的相关性分析,检测多时间窗口检测向量之间的变化趋势,从而判断通信 网络整体运行状况。本发明采用多维熵值分类的检测方法,充分利用网络采样数据上高效 熵值计算算法以及各维度熵值之间的相关性,有效提高检测效率和检测精度,为准确识别 网络异常行为的相关流量提供了一种检测方式,提高了智能变电站通信网络异常检测的完 整性和准确性。
【附图说明】
[0024] 图1是本发明提供的网络异常检测系统流程框图;
[0025] 图2是本发明提供的网络异常变化趋势判断流程图。
【具体实施方式】
[0026] 下面结合附图对本发明的【具体实施方式】作进一步的详细说明。
[0027] 以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够 实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施 例仅代表可能的变化。除非明确要求,否则单独的组件和功能是可选的,并且操作的顺序可 以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本 发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同 物。在本文中,本发明的这些实施方案可以被单独地或总地用术语"发明"来表示,这仅仅 是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为 任何单个发明或发明构思利用基于熵序列分类的智能变电站通信网络异常检测方法(下 简称"检测方法")实现网络异常检测的流程框图如图1所示。检测方法通过构造多维熵检 测向量并分析向量之间的关联关系,得到通信网络的流量特征分布;按照时间序列分析的 方法对所得到的网络流量特征分布进行趋势分析,判断现有通信网络的运行状态并定位网 络异常故障。
[0028] 检测方法如图1所示,具体步骤如下:
[0029] 1.对网络流量数据进行采样,按照统计原则根据采样内容构造多维熵检测向量, 并对检测向量按时间窗口根据采样内容进行信息熵估算;多维熵检测向量包括源IP维向 量、目的IP维向量、源端口维向量、目的端口维向量和IP包长度维向量。
[0030] 2.基于信息熵的不同取值等级组合构成不同的模式,称为项集模式。在信息熵估 算的基础上搜集检测向量可能的项集模式,