[发明专利]基于多维熵序列分类的智能变电站通信网络异常检测方法

说明书

技术领域

本发明涉及一种网络异常检测方法，具体涉及一种基于多维熵序列分类的智能变电站通 信网络异常检测方法。

背景技术

二次设备网络化是智能变电站的重要特点之一，通信网络的健康状况将直接影响整个智 能变电站的安全稳定运行状况。通信网络管理中最为关键的一环在于实时、准确地对网络运 行情况进行分析和监测，发现其中存在的安全隐患，以便及时制定相应的策略对网络潜在问 题进行响应。智能变电站中多采用网络报文记录与分析装置对通信网络进行实现监控，但现 有装置在功能设置上多偏重于对各类报文的实时监听和采集记录，缺乏对网络整体运行状况 的分析和判断方法，既不能在网络流量发生变化时及时感知异常状况并发出预警，也无法通 过采集数据信息展示网络流量行为特点，为调整网络规划、优化网络资源配置、保证网络高 效运行提供依据。

发明内容

本发明针对智能变电站通信网络异常检测分析手段不足的现状，提供一种基于多维熵序 列分类的智能变电站通信网络异常检测方法，该方法利用统计学的思想，通过熵值计算度量 网络流量数据在取值空间上的分布，通过分布变化对比的情况来判断网络中是否存在异常， 不仅提高了网络异常检测的精度和效率，而且可及时提醒工作人员对通信网络潜在的变化趋 势做出判断和干预，提高了变电站通信网络的管理能力和应急响应能力，保证通信网络正常 运行的安全性和稳定性。

本发明的目的是采用下述技术方案实现的：

一种基于多维熵序列分类的智能变电站通信网络异常检测方法，其改进之处在于，所述 方法包括下述步骤：

网络流量数据采样，根据采样内容按照统计原则构造多维熵检测向量，并对多维熵检测 向量按时间窗口进行熵值估算；

确定基于信息熵搜集项集模式和基于信息熵的边值权重；

根据所述项集模式和边值权重，以项集模式为点，边值权重为边构建基于熵值估算的时 间序列图；

按频繁程度将项集模式分为正常流量项集模式和异常流量项集模式，并标记异常流量项 集模式；

检测出现异常流量项集模式频繁程度的异常状态变化趋势；

根据异常状态变化趋势所检测的结果判断当前网络的运行状态，评估网络的健康状况。

其中，所述多维熵检测向量包括源IP维向量、目的IP维向量、源端口维向量、目的端 口维向量和IP包长度维向量。

其中，所述项集模式指的是基于信息熵的不同取值等级组合构成不同的模式；在信息熵 估算的基础上搜集检测向量的项集模式，并计算项集模式之间的边值权重；所述边值权重反 映一条边上两个项集模式信息熵值在两个端点信息熵取值时间点上的相似度。

其中，根据时间序列图计算每个项集模式出现的频繁程度，并按照频繁程度大小将项集 模式划分为正常流量项集模式和异常流量项集模式；项集模式的频繁程度越小，说明所述项 集模式出现时网络出现异常行为的可能性越大。

其中，检测异常状态变化趋势的检测方法包括：

i.利用异常流量的项集模式构造一组在正常状态下期望为负值而当出现异常状况后期望 变为正值的随机序列；

ii.计算在当前时间窗口中所述随机序列的期望值，如期望值正常，则转入下一窗口；如 期望值不正常，计算当前时间窗口相对前一窗口的异常向量；

iii.对于异常向量的各个维度计算熵值时间序列图的均值和方差，如果所述维度熵值与异 常向量均值的偏差大于异常向量方差，则认为此维度为异常显现维度；

iv.剔除不相关维度，利用所有异常显现维度的熵差值构建新的异常向量，并计算在当前 时间窗口中异常显现维度在时刻的熵差值；

v.计算异常显现维度在该时刻对窗口可能出现的异常的肯定程度，判断异常变化趋势是 否有所积累；

vi、判断异常状态变化趋势的积累值是否超越设定阈值，如超越，则判断智能变电站通 信网络异常；否则智能变电站通信网络正常。

本发明提供的技术方案具有的优异效果是：