[发明专利]基于随机森林算法攻击识别方法及储能协调控制装置

权利要求书

1.一种基于随机森林算法攻击识别方法，其特征在于：包括如下步骤：

步骤一、获取储能协调控制装置的所有数据流，所述数据流为是否受到攻击的特征数据流或影响因子，所述数据流包括电网数据，包括公共连接点的电压、电流、频率、功率因数、谐波、三相电压不平衡度、电压波动和闪变、暂时过电压和瞬态过电压，PCS的上传数据输出有功功率及无功功率、电池的SOC、最大可充功率、最大可放功率、额定功率、工作状态；

步骤二、采用随机森林模型对数据流进行实时检测，输出检测分类结果并根据检测分类结果判断数据流中是否存在攻击行为，是则进入步骤三，否则进入步骤四；所述检测分类结果包括正常数据流和/或问题数据流；正常数据流中包括至少一种电网数据；问题数据流中包括至少一种存在攻击行为的电网数据；

步骤三、当检测分类结果中数据流存在攻击行为时，对正常数据流进行转发；对问题数据流进行攻击分类并拦截，同时发出攻击报警以及生成日志记录后结束；所述攻击报警包括显示攻击行为的类型；；

步骤四、当检测分类结果中数据流不存在攻击行为时，对正常的数据流进行转发。

2.根据权利要求1所述的基于随机森林算法攻击识别方法，其特征在于：所述步骤三中对问题数据流进行分类具体为：当问题数据流中的电网数据存在某一类攻击行为时，将该电网数据归入相应的分类中，所述分类包括：Dos攻击、DDos攻击、未授权访问攻击、接口端非正常探测、木马攻击、电气量和气象等数据伪造和篡改攻击类型。

3.根据权利要求1所述的基于随机森林算法攻击识别方法，其特征在于：所述步骤二中随机森林模型采用以下方法获得：

一、将数据流作为训练样本，建立N个训练样本集以及M个特征，所述N为训练样本集的个数，M为特征的数目，构建至少一棵树对训练样本集进行训练；

二、确定特征值

通过判断m个特征在单棵树中的重要程度以及计算m个特征在所有树中的重要程度，然后对m个特征的重要程度进行排序，去除重要程度低的部分特征，得到新的特征集；

三、对随机森林模型进行更新迭代，在随机森林模型中找出最优的随机森林模型作为最终的随机森林模型。

4.根据权利要求3所述的基于随机森林散发攻击识别方法，其特征在于：所述确定特征值包括：

(1)通过随机改变某一特征的属性值来判断该特征在这棵树中是否起到了作用或该特征在这棵树中无效；所述属性值为特征的属性，

(2)比较改变前和改变后的测试集误差率，将测试集误差率的差距作为该特征在该树中的重要程度，通过对一棵树中的m个特征计算一次，以获得m个特征在该树中的重要程度；

误差率采用下式获得：

其中，i指特征的编号，TP：正确预测到的正例的数量，TN：正确预测到的负例的数量，FP：把负例预测成正例的数量，FN：把正例预测成负例的数量；所述正例为是，负例为不是；

(3)计算各特征在森林中的重要程度，则取这个特征值在多棵树中的重要程度的均值作为该特征在森林中的重要程度；

其中，MDA表示平均精确率减少----Mean decrease accuracy；A_i中A表示特征，i表示该特征的编号：nsum表示特征A_i在森林中出现的次数，OOBerrt_a表示第t棵树中A_i属性值改变之后的袋外误差率，OOBerrt_b表示第t棵树中正常A_i值的袋外误差率；

所述袋外误差率采用下式获得：

其中，i指特征的编号，TP：正确预测到的正例的数量，TN：正确预测到的负例的数量，FP：把负例预测成正例的数量，FN：把正例预测成负例的数量。

(4)在得到所有特征在森林中的重要程度后，将所有的特征按照重要程度进行排序，去除森林中重要程度低的部分特征，得到新的特征集，从而完成一次迭代。