[发明专利]一种山区微电网网络攻击检测方法及装置

权利要求书

1.一种山区微电网网络攻击检测方法，其特征在于，包括：

获取山区微电网网络行为日志数据库中采集的第一数据集；

对所述第一数据集进行动态增量聚类分析，得到攻击模式数据集合，包括：

采用马氏距离法对所述第一数据集中的数据进行相似度分析，包括：

采用马氏距离函数对所述第一数据集对应的矩阵A进行计算，得到模糊等价关系矩阵M，，表示样本和样本间的相似系数，样本和是矩阵A中的数据；

根据设定的聚类划分准则，选择预设的阀值对矩阵M进行划分，完成对所述第一数据集的分类，包括：

当≥时，将对应的划为一类；其中，最优值的选取公式为：

式中：i≥2，表示从高到低排列的聚类次数；r₀表示最优r值；和分别为第i次和第i-1次聚类的元素个数；和分别为第i次和第i-1次聚类的阀值；若存在，r_j表示第j个选择的预设的阈值，j=1,2...，n，表示选择的预设的阈值中的最大值，则第i次聚类的置信水平为最佳阀值；

去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据，得到第二数据集；

采用山区微电网的攻击知识库与所述第二数据集进行比对，对所述第二数据集打上对应的标签，所述标签包括数据集的攻击类型和攻击特点。

2.根据权利要求1所述的山区微电网网络攻击检测方法，其特征在于，在所述对所述第一数据集进行动态增量聚类分析，得到攻击模式数据集合，之前还包括：

对所述第一数据集中的数据进行标准化处理。

3.根据权利要求2所述的山区微电网网络攻击检测方法，其特征在于，所述对所述第一数据集中的数据进行标准化处理，包括：

将所述第一数据集中的数据进行数据清洗、数据规约和数据集成，将所述第一数据集转化成具有统一格式的数据。

4.根据权利要求1所述的山区微电网网络攻击检测方法，其特征在于，所述去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据，得到第二数据集，包括：

若所述攻击模式数据集合中存在重叠数据，则将有重叠数据的数据集合并成一个数据集；

若所述攻击模式数据集合中不存在重叠数据，则去除数据集中归类错误的数据以及无效数据；

得到第二数据集。

5.一种山区微电网网络攻击检测装置，其特征在于，包括：

获取单元，用于获取山区微电网网络行为日志数据库中采集的第一数据集；

聚类分析单元，用于对所述第一数据集进行动态增量聚类分析，得到攻击模式数据集合；具体包括：

相似度分析单元，用于采用马氏距离法对所述第一数据集中的数据进行相似度分析，包括：

采用马氏距离函数对所述第一数据集对应的矩阵A进行计算，得到模糊等价关系矩阵M，，表示样本和样本间的相似系数，样本和是矩阵A中的数据；

动态聚类分析单元，用于根据设定的聚类划分准则，选择预设的阀值对矩阵M进行划分，完成对所述第一数据集的分类，包括：

当≥时，将对应的划为一类；其中，最优值的选取公式为：

式中：i≥2，表示从高到低排列的聚类次数；r₀表示最优r值；和分别为第i次和第i-1次聚类的元素个数；和分别为第i次和第i-1次聚类的阀值；若存在，r_j表示第j个选择的预设的阈值，j=1,2...，n，表示选择的预设的阈值中的最大值，则第i次聚类的置信水平为最佳阀值；

数据去除单元，用于去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据，得到第二数据集；

标注单元，用于采用山区微电网的攻击知识库与所述第二数据集进行比对，对所述第二数据集打上对应的标签，所述标签包括数据集的攻击类型和攻击特点。

6.根据权利要求5所述的山区微电网网络攻击检测装置，其特征在于，还包括标准化单元，用于对所述第一数据集中的数据进行标准化处理。

7.根据权利要求6所述的山区微电网网络攻击检测装置，其特征在于，所述标准化单元具体用于将所述第一数据集中的数据进行数据清洗、数据规约和数据集成，将所述第一数据集转化成具有统一格式的数据。