一种电力系统安全事件异常监测方法与流程

本发明涉及电力系统网络安全管理，尤其涉及一种电力系统安全事件异常监测方法、系统及存储介质。

背景技术：

1、电力系统是一种复杂的分布式系统，其安全和稳定的运行对于社会的正常运行至关重要。近年来，随着信息技术以及物联网技术的发展，电力系统的运维和管理越来越依赖于复杂的计算机网络和大数据技术。然而，这种依赖性也为电力系统带来了新的安全威胁，主要体现在对电力系统的网络攻击、数据篡改等。电力系统的网络安全事件通常表现为一系列的异常ip流量，这些异常流量可能是由恶意攻击、系统故障或者操作失误等原因引起的。

2、现有的电力系统的信息异常检测方法对复杂的电力系统数据中提取有效的特征的准确性低，异常检测算法需要具备高效性和实时性差，电力系统的异常检测的误报率高，导致资源浪费和操作干扰。

技术实现思路

1、本发明提供了一种电力系统安全事件异常监测方法，以实现提高异常检测的精度，以及降低将正常ip地址错误标记为异常的误报率。

2、本发明提供了一种电力系统安全事件异常监测方法，包括：

3、获取从电力系统网络中采集到的网络安全数据，对所述网络安全数据进行特征提取；对提取的特征数据进行卡方拟合度检验，选取若干个特征数据生成ip样本数据；将所述ip样本数据输入到多元高斯混合模型中，计算每个所述ip样本数据的概率密度值；将所述概率密度值小于预设的阈值的ip样本数据识别为异常数据；所述多元高斯混合模型利用标签为正常的ip特征数据训练集训练而来。

4、进一步地，获取从电力系统网络中采集到的网络安全数据，对所述网络安全数据进行特征提取，具体为：

5、获取从电力系统网络中采集到的网络安全数据，所述网络安全数据包括：ip地址和对应标签；所述标签包括正常和异常；对每个所述ip地址进行特征提取，生成特征数据；所述特征的标签与其对应的ip地址的标签相同。

6、进一步地，对提取的特征数据进行卡方拟合度检验，选取若干个特征数据生成训练数据之前，还包括：

7、设置特征数据中每个特征的不同类型的观察频数，并计算每个所述观察频数的期望频数。

8、进一步地，设置特征数据中每个特征的不同类型的观察频数，具体为：

9、针对特征数据中每个特征建立列联表：

10、

11、其中，x为列联表，列联表中的第一行单元格数据x11-x1n是标签为异常的n个特征的观察频数，第二行单元格数据x21-x2n是标签为正常的n个特征的观察频数，每列单元格数据为同一个特征的不同类型的观察频数。

12、进一步地，计算每个所述观察频数的期望频数，具体为：

13、计算列联表的行边际总和列边际总和；所述行边际总和为每个行的观察频数的总和；所述列边际总和为每个列的频数的总和；

14、所述行边际总和的表达式为：

15、所述列边际总和的表达式为：

16、将所述行边际总和与所述列边际总和的乘积除以总样本数，得到每个所述观察频数的期望频数；所述总样本数为列联表中所有单元格的频数总和。

17、进一步地，对提取的特征数据进行卡方拟合度检验，选取若干个特征数据生成ip样本数据，具体为：

18、根据每个特征的观察频数和期望频数，计算对应的卡方统计量值；选取所述卡方统计量值小于卡方临界值的特征数据作为ip样本数据；

19、所述卡方统计量值的表达式为：

20、其中，x是观察频数，y是期望频数。

21、进一步地，选取若干个特征数据生成ip样本数据之后，还包括：

22、根据训练特征数据，确定每个网络安全数据的特征，并构造初始矩阵；

23、所述初始矩阵的表达式为：

24、

25、其中，c为初始矩阵，m为训练特征数据的个数，n为网络安全数据的个数；cnm为初始矩阵的第n行第m列的元素；

26、对初始矩阵进行归一化处理，得到规范化初始矩阵。

27、进一步地，对初始矩阵进行归一化处理，得到规范化初始矩阵，具体为：

28、计算初始矩阵的每一个子序列的l2范数；

29、所述l2范数的表达式为：

30、其中，||c||2为l2范数，cm为初始矩阵的第m个子序列；

31、对初始矩阵的每个列进行归一化处理，归一化的公式为：

32、其中，c为初始矩阵的子序列，x为初始矩阵的元素；

33、得到的规范化初始矩阵为：

34、

35、其中下xnm为规范化初始矩阵的第n行第m列的元素。

36、进一步地，多元高斯混合模型利用标签为正常的ip特征数据训练集训练而来，具体为：

37、对所述ip特征数据训练集中的每个样本计算后验概率；

38、根据所述后验概率，计算新均值向量、新协方差矩阵和新混合系数；将所述新均值向量、新协方差矩阵和新混合系数代入到所述后验概率中进行循环迭代计算；在每次迭代计算之后计算极大似然值；若计算的极大似然值与前一次计算的极大似然值的差值小于预设差值则停止迭代，获得迭代计算后的后验概率；根据所述迭代计算后的后验概率，将每个所述样本聚成若干ip簇。

39、进一步地，将所述ip样本数据输入到多元高斯混合模型中，计算每个所述ip样本数据的概率密度值，具体为：

40、计算每个所述ip样本数据在多元高斯混合模型中的后验概率值，获得每个所述ip样本数据每个ip簇中的概率。

41、作为优选方案，本发明利用多元高斯混合模型能够建模正常ip地址数据的分布，通过计算概率密度值来判断ip地址是否异常。相较于传统的基于规则或阈值的方法，多元高斯混合模型能够更准确地捕捉复杂的异常模式，提高异常检测的精度。其次，多元高斯混合模型能够适应不同的数据分布，因此在面对多样化的网络环境和攻击方式时，具备更好的鲁棒性。它能够自适应地学习和调整模型参数，以适应新的安全威胁和变化，进一步提高异常检测的精度。再者，多元高斯混合模型允许设置合适的概率密度阈值来判断ip地址是否异常。通过根据正常ip地址的概率密度分布进行阈值设置，可以减少误报率，即降低将正常ip地址错误标记为异常的情况。另外，多元高斯混合模型可以根据数据的特性进行高效计算，因此在实时网络流量分析和处理中具备一定的实时性能，提高数据处理的效率。该模型可以通过增加模型的混合成分来提高系统的可扩展性，以适应大规模网络流量和更复杂的异常模式。

42、本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。

43、相应地，本发明还提供一种电力系统安全事件异常监测方法系统，包括：数据收集模块、数据预处理模块、模型训练模块、异常检测模块和可视化展示模块；

44、数据收集模块用于获取从电力系统网络中采集到的网络安全数据；

45、数据预处理模块用于对获取的网络安全数据进行清洗，去除无效或缺失的数据，处理异常值和噪声数据。利用卡方检验选择相关特征，提取有用的特征并进行适当的缩放和转换，选取若干个特征数据生成ip样本数据；

46、模型训练模块用于利用标签为正常的ip特征数据训练集对多元高斯混合模型进行训练；

47、异常检测模块用于将所述ip样本数据输入到多元高斯混合模型中，计算每个所述ip样本数据的概率密度值；将所述概率密度值小于预设的阈值的ip样本数据识别为异常数据；

48、可视化展示模块用于将异常ip地址的检测结果以可视化的形式展示，帮助用户更直观地了解异常情况。绘制异常ip地址的分布图、时间序列图、地理位置图等，以便用户进行更深入的分析和决策。

49、相应地，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序；其中，所述计算机程序在运行时控制所述计算机可读存储介质所在的设备执行如本
技术实现要素：
所述的一种电力系统安全事件异常监测方法。