[发明专利]一种基于聚类分析的低压配电设备误告警识别方法

权利要求书

1.一种基于聚类分析的低压配电设备误告警识别方法，其特征在于：包括以下步骤，

将低压配电设备的误告警处理模块部署在网络中；

使用网络中入侵检测系统事先获得的原始告警事件信息作为输入；

所述误告警处理模块对所述原始告警事件集中的告警事件进行聚类分析处理，根据误告警判定策略并删减掉误告警产生的无效告警事件；

筛选出真实告警事件后采取相应的安全措施；

所述误告警处理模块设置模糊隶属度模型，包括以下步骤：

构建考虑类簇规模不均衡度量的模糊隶属度模型；

采用模糊K-means的聚类算法考虑模糊隶属度以控制数据样本在聚类中心更新过程中的贡献程度；

定义样本的x_j模糊隶属度量如下式：

其中距离d_ij(d_zj)表示聚类中心v_i(v_z)和样本x_j之间的距离、所述模糊隶属度的值取决于样本x_j和所有聚类中心之间的相对距离和模糊器m的选择；

对于存在类簇规模不均衡分布的样本x_j，采用如下的公式对类簇规模的不均衡程度进行度量：

其中|C_i|表示落入第i个类簇样本个数、C_z表示数据样本x_j目前所在的交叉类簇，将式(2)融入式(1)中得到模糊隶属度的模型如下：

基于模型，当有交叉区域的数据样本x_j时，不再考虑样本x_j到所有类簇的距离度量，则通过仅仅考虑x_j到所属交叉类簇的距离度量；

包括以下误告警识别的算法处理步骤：

利用基于模糊k-means聚类构建的模糊隶属度模型进行聚类操作；

对原始告警事件样本集进行聚类，生成告警分类树；

对每个聚类后的子类别，统计分析其先验误告警概率p、告警事件个数N以及对原始告警事件进行处理后的期望损失E；

求解期望损失差方程，得到判定阈值p^*；

生成判定策略为，当p＜p^*时，事件为真实告警事件，当p＞p^*时，事件为误告警事件；

根据判定策略的结果进行误告警处理。

2.如权利要求1所述的基于聚类分析的低压配电设备误告警识别方法，其特征在于：所述聚类包括以下步骤，

在原始告警事件数据集C中随机选择k个对象，作为一个簇的中心；

计算所有告警事件到各个簇类中心的隶属度，并根据求得的所述隶属度将每个告警事件划分到与之最近的簇类中；

模糊隶属度模型迭代地改善簇内误差，即将每个簇内所有告警事件信息的均值作为新的类簇中心，并重新分配所有对象到最近的簇类中；

上述过程一直迭代到簇类内误差小于给定值或不再变化为止。

3.如权利要求2所述的基于聚类分析的低压配电设备误告警识别方法，其特征在于：所述聚类的结构包括，

原始告警信息数据集C，进行模糊K-means聚类后的子类分为k类，记为：类簇1、类簇2、…、类簇k，其中每个类别分别占总的告警的比例为r_1、r_2、…、r_k。