[发明专利]电力监控系统时间序列异常检测方法、系统、设备及存储介质

说明书

本发明涉及一种电力监控系统时间序列异常检测方法、系统、设备及存储介质，该方法包括以下步骤：步骤S1、获取待检测设备运行的日志数据；步骤S2、采用预训练的基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征，输出整段序列的特征中心点c；步骤S3、基于当前时间序列的特征中心点c，采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测；其中，所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练所得的特征空间。与现有技术相比，本发明具有检测精度高的优点。

技术领域

本发明涉及电力监控技术领域，尤其是涉及一种电力监控系统时间序列异常检测方法、系统、设备及存储介质。

背景技术

电力监控系统是用于监视和控制电力生产及供应过程的系统，主要由一系列基于计算机及网络技术的业务系统、智能设备，以及通信网络组成。而网络安全管理平台与网络安全监测装置则部署在电网中，对电力监控系统中的对象(如服务器、交换机、数据库)进行数据采集，并进行分析处理，实现对其控制与管理。其中，被监控对象采用自身感知技术，产生所需网络安全事件并提供给网络安全监测装置；而网络安全管理平台则对上报的事件信息进行高级分析处理，并对各网络安全监测装置统筹管理。在这之中，电力监控系统的正常运行是至关重要的，因此在网络安全管理平台或网络安全监测装置处需要一个强大的异常检测系统，实现对其中异常行为的精准检测。

近年来，机器学习，尤其是深度学习技术快速发展，被广泛应用到异常检测系统中，取得了较好的检测效果。这其中，多维时间序列异常检测的方法具有一定优势。而对于多维时间序列异常检测的任务，由于异常数据往往难以获得，所以研究者常常使用无监督学习的方法进行。这些方法大致可以分为两类：基于重构的方法和基于预测的方法。在前者中，正常数据经过重构处理，会得到与输入数据相似的结果；而对于异常数据，由于模型不知道该如何对其进行重构，会得到与输入数据相差甚远的结果，以此来判断是否出现异常。在后者中，模型可以根据一段时间的数据准确预测出下一时刻的值；而异常数据往往不符合历史趋势，因此会出现较大的预测误差。

但是对于电力监控系统，检测指标包含多个维度，不同维度之间具有较强的异构性，以服务器的指标为例：服务器的监控指标共41个，其中CPU占用率、USB使用数等属于连续值；光驱使用状态、监听端口和协议等属于离散值等。这些异构数据，导致重构方法无法适用。而基于预测的方法由于对噪声的干扰很灵敏，常常不能在实际环境中取得很好的效果。如果使用传统的规则匹配的方法，虽然有一定的效果，但需要大量的专家知识来事先制定规则，还不能动态地、智能地对新出现的情况进行判断，无法适应工作场景中种类繁多的未知异常。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供了一种适用于多维异构时间序列的、检测精度高的电力监控系统时间序列异常检测方法、系统、设备及存储介质。

本发明的目的可以通过以下技术方案来实现：

根据本发明的第一方面，提供了一种电力监控系统时间序列异常检测方法，该方法包括以下步骤：

步骤S1、获取待检测设备运行的日志数据；

步骤S2、采用预训练的基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征，输出整段序列的特征中心点c；

步骤S3、基于当前时间序列的特征中心点c，采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测；其中，所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练所得的特征空间。

优选地，所述步骤S1中还包括对日志数据进行格式化预处理，具体为：将采集到的待检测设备运行日志数据提取成为一组向量，包括向量s表示日志键，代表这一条日志所描述的事件类型，向量vn和vc表示日志值，代表这一条日志中包含的事件取值，其中，vn表示连续日志值，vc表示离散日志值，离散值使用独热码one-hot方法来处理。