[发明专利]一种电力网络事件和入侵的检测方法

权利要求书

1.一种基于电力网络事件和入侵的检测方法，其特征在于，包括如下步骤：

(S1)利用广域监测系统WAMS对电力网络进行实时监测，并提取有效数据；

(S2)将所提取的有效数据进行预处理，并使用特征选择算法提取部分特征；

(S3)根据所提取的部分特征利用K-means算法进行聚类，得到一级簇；

(S4)根据得到的一级簇利用GC-Forest分类器进行分类；

(S5)根据分类结果利用信息熵计算一级簇的信息熵值；

(S6)将得到一级簇的信息熵值与预设的阈值进行对比，并根据对比结果判断是否发生未知电力网络事件和入侵，若未发生，则结束对电力网络事件和入侵的检测，反之，则进入步骤(S7)；

(S7)根据K-means算法对所述一级簇进行聚类，得到二级簇；

(S8)将所述二级簇进行标记，并对广域监测系统进行更新，进而返回步骤(S4)。

2.根据权利要求1所述的电力网络事件和入侵的检测方法，其特征在于，所述(S2)中的使用特征选择算法提取部分特征，其具体为将部分标记数据T₁＝{ψ₁,ψ₂...ψ_n}以及部分未标记数据T₂＝{Φ₁,Φ₂...Φ_m}合并为数据集T，其中，n为部分标记数据的总个数，m为部分未标记数据的总个数。

3.根据权利要求1所述的电力网络事件和入侵的检测方法，其特征在于，所述(S3)包括如下步骤：

(a1)将数据集T聚类成不同的K个簇{C₁,C₂...C_K}，其中，C为簇，K为簇的总个数；

(a2)根据不同的K个簇给每个簇赋予不同的中心，并将每个数据点赋给距离类最近的中心；

(a3)将每个簇所关联的中心点移动到平均值的位置，并更新中心点；

(a4)重复步骤(a1)到(a3)，直至中心点不再变化，从而完成聚类，得到一级簇。

4.根据权利要求3所述的电力网络事件和入侵的检测方法，其特征在于，所述(a2)中距离的计算公式为：

其中，d(x,y)为样本x与聚类中心y的欧氏距离，x_i为某样本的第i个特征值，y_i为某聚类中心的第i个特征值，K为簇的总个数。

5.根据权利要求1所述的电力网络事件和入侵的检测方法，其特征在于，所述(S4)的具体步骤如下：

(b1)将一级簇中每个检测单元的数据通过滑动窗口进行多粒度扫描，得到特征向量；

(b2)将得到的特征向量作为级联森林的第一级输入数据，并对级联森林中所有树木的每个类别进行平均估算，得到级联森林的估计值；

(b3)将级联森林的估计值进行平均估算，并选择最大值的类别判断当前级别是否足够，若是则完成电力网络事件和入侵的分类，反之则进入步骤(b4)；

(b4)将森林的估计值与一级簇中每个检测单元的数据连接到新的特征向量中，并作为级联森林的下一级输入，再返回步骤(b2)。

6.根据权利要求1所述的电力网络事件和入侵的检测方法，其特征在于，所述(S5)中一级簇的信息熵值的计算公式如下：

其中，Info(D)为一级簇的信息熵值，D表示K-means聚类层产生的某个一级簇，p_i为簇中随机变量x分别属于各个类的概率，i＝1,2...m，m为GC-forest模块预测特征向量中元素的数目，即已知的事件或攻击数。

7.根据权利要求1所述的电力网络事件和入侵的检测方法，其特征在于，所述(S6)中预设的阈值为1.8。