[发明专利]一种基于支持向量机集成学习的电力工控系统主机异常检测方法

说明书

本发明涉及一种基于支持向量机集成学习的电力工控系统主机异常检测方法。其发明内容主要包括(1)网络流量特征和系统状态特征提取与融合方法；(2)基于支持向量机集成学习的主机异常检测模型。基于上述方法，提取并融合多类型主机安全事件，构建异常检测子模型并进行集成，进一步增加主机异常检测的准确性。

技术领域

本发明涉及网络安全与机器学习领域，一种基于支持向量机集成学习的电力工控系统主机异常检测方法。

背景技术

主机异常检测对于维护电力工控系统安全稳定运行有着非常重要的作用，传统电力工控主机异常检测系统通过对比分析电力工控系统正常/异常状态进行检测，如基于人工规则判定的电力工控系统主机异常检测方法，该方法依赖人工经验，存在异常事件覆盖不全面，时效性较差等问题；如基于D-S证据理论的电力工控系统主机异常检测方法，该方法基于贝叶斯理论，存在异常事件检测精度不足等问题。近年来，随着以机器学习为代表的人工智能技术的快速发展，机器学习技术以应用于电力工控系统的主机异常检测方面。基于机器学习的电力工控系统主机异常检测方法利用历史数据自适应构建模型以检测电力工控系统中存在的安全问题，如基于支持向量机、神经网络等有监督学习算法的工控系统主机异常检测方法，通过分析工控系统的运行状态的历史数据，提取工控系统的运行状态，训练工控系统主机异常检测模型，最终实现工控系统主机异常检测。

虽然基于机器学习的主机异常检测方法已经广泛应用并且取得一定进展，但仍然存在一定问题：一方面，传统主机异常检测方法往往采取单一类型的主机安全事件进行检测，如网络流量、系统状态、系统内核行为等，然而单一类型的主机安全事件难以准确覆盖网络攻击活动特点，导致电力工控系统主机异常检测准确性不足；另一方面，传统主机异常检测方法往往采取单一模型进行异常，如支持向量机、神经网络等，然而单一模型受数据样本、拟合性能等因素的影响，存在过拟合等问题，导致在构建电力工控系统主机异常检测模型时准确性不足。因此，本发明针对上述问题，发明一种基于支持向量机集成学习的电力工控系统主机异常检测方法，进一步提升电力工控系统主机异常检测的准确性。

发明内容

本发明旨在解决电力工控系统主机异常检测准确性不足的问题。

为此，本发明提出了一种基于支持向量机集成学习的电力工控系统主机异常检测方法，主要包括两部分内容：

(1)网络流量特征和系统状态特征提取与融合方法；

(2)基于支持向量机集成学习的主机异常检测模型。

具体内容如下：

采用方法(1)分析主机网络流量以及系统状态监测日志，提取正常/异常时的主机网络流量特征和系统状态特征，并将两者特征向量化表示并融合，形成统一的融合特征向量；同时采用方法(2)将训练数据进行分组，采用支持向量机算法，利用不同分组的训练数据分别构建异常检测子模型，并基于Adaboost集成学习方法对异常检测子模型进行加权合并；结合方法(1)和方法(2)，进一步增加电力工控系统主机异常检测的准确性。具体算法如下：

(1)网络流量特征和系统状态特征提取与融合方法