CN111199361A

CN111199361A - 基于模糊推理理论的电力信息系统健康评估方法及系统

Info

Publication number: CN111199361A
Application number: CN202010030010.5A
Authority: CN
Inventors: 吴树霖; 张江龙; 徐海青; 陈是同; 董媛媛; 吴小华; 吴立刚; 浦正国; 张彬彬; 秦浩; 李环; 胡心颖; 郭庆; 梁翀
Original assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Fujian Electric Power Co Ltd; Anhui Jiyuan Software Co Ltd; Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Fujian Electric Power Co Ltd; Anhui Jiyuan Software Co Ltd; Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Priority date: 2020-01-13
Filing date: 2020-01-13
Publication date: 2020-05-26
Also published as: WO2021143268A1

Abstract

本发明公开一种基于模糊推理的电力信息系统健康评估方法及系统，采集电力信息系统运行过程产生的日志，且针对日志数据进行预处理；采用模糊推理理论进行日志信息筛选和多源日志融合，将异构的不同设备产生的日志信息进行分析和处理；采集电力信息系统的漏洞日志信息、运行日志信息进行重要度评估，获取高风险的安全事件；基于日志事件挖掘技术，进行结构化日志和非结构化日志数据的转换；通过构建递阶层次结构，确定递接层次的元素箭的隶属关系，并针对每一层的单准则排序进行一致性检查，制定系统健康评估指标值，进行电力信息系统的健康评估。

Description

基于模糊推理理论的电力信息系统健康评估方法及系统

技术领域

本发明涉及电力系统管理技术领域，具体涉及一种基于模糊推理理论的电力信息系统健康评估方法及系统。

背景技术

近年来随着国家电网公司信息化建设的不断深入，各主营专业通过建设并完善其自身专业系统，基本实现了以信息系统为支撑的线上办公作业，大大提升了生产管理效率，业内信息系统的建设数量越来越多，同时对系统的运行安全性要求也越来越高，这就给信息系统运行维护及管理工作提出了巨大挑战，然而电力企业内部信息系统运维及管理工作自身却恰恰缺少合适的系统做支撑，出现了信息专业信息化水平支撑不足的尴尬局面。

对于电力企业服务的信息系统开发、维护厂商以及运维厂商的管理，电力信息系统的运维管理仍需分割资源进行处理，因而大大增加了电力信息系统的负荷，电力信息系统作为电力行业的核心，对于其健康运行的监管十分有必要，现有的电力信息系统的运行状态需要运维人员进行对应的监管，增加人工压力，且监管过程中受到人工限制，统计效率低，易出现错误评估。

基于上述原因，电力信息系统的健康评估工作急需自动化手段、工具的支持。

发明内容

为解决上述现有技术的中的不足，本发明的目的在于克服现有不足，提供一种基于模糊推理理论的电力信息系统健康评估方法及系统，便于工作量核定及满意度评估，减轻运维人员大量的人工统计工作，提高工作效率。

本发明公开了一种基于模糊推理理论的电力信息系统健康评估方法，包括：

A、日志数据采集和预处理：

以评估需求为导向，采集电力信息系统运行过程产生的异构日志数据，且针对异构日志数据进行数据清理、数据归并和数据映射，转换为统一格式的日志信息；

B、日志数据融合

采用模糊推理理论进行日志数据筛选和多源日志融合，将异构的不同设备产生的日志信息进行分析和处理，针对不同日志数据的不同属性进行筛选和过滤，集成综合数据信息；

C、日志数据分析

采集电力信息系统的漏洞日志信息、运行日志信息针对所述系统的安全事件进行重要度评估，获取高风险的安全事件；通过对多源的安全事件进行因果关联分析，获取安全事件的攻击行为的关联信息，进行电力信息系统安全隐患因素的识别；

D、日志数据挖掘

基于日志事件挖掘技术，进行结构化日志和非结构化日志数据的转换；根据日志数据挖掘和日志事件摘要分析技术对日志事件依赖关系进行深入挖掘，且同时在宏观角度进行进程把控；

E、构建电力信息系统健康评估模型

通过构建递阶层次结构，进行决策问题层次化，确定递接层次的元素箭的隶属关系，并针对每一层的单准则排序进行一致性检查，制定系统健康评估指标值，并基于健康度的求解进行指标值一一对应，进行电力信息系统的健康评估。

作为上述方案的进一步优化，所述基于模糊推理理论的多源日志融合具体包括如下步骤：

基于日志信息的属性作为样本的刻画指标，构建原始数据矩阵，设日志样本为s个，属性指标为t个，则原始矩阵为：

计算任意属性指标的均值

以及标准差λ_j：

针对原始矩阵进行归并处理，获取样本空间在t个属性指标的模糊集合：

基于模糊集合r′_ιJ获取论域R的模糊相似矩阵：

Q＝(q_ij)_s×t (5)

q_ij＝1-d(x_i,x_j) (6)

其中，式(6)的d(x_i,x_j)为欧几里得距离，具体计算公式为：

权重因素h的确定：通过一致矩阵法，将所有因素分为两两进行相互比较，设样本包含t个属性f₁，f₂，f₃，…，f_n，，通过融合规则，进行两两比对：

通过式(7)获取因素权重集合为H(e₁，e₂，e₃，…，e_n)；

针对所有因素均衡兼顾的模型Z进行日志融合：

Z＝Q×H (9)

作为上述方案的进一步优化，所述日志数据分析即采用多粒度日志分析处理，将非结构化日志数据转换为结构化日志数据。

作为上述方案的进一步优化，所述日志数据分析还通过择优选取日志事件的内容，基于事件发生频率变化进行电力信息系统日志事件摘要的分析，分别针对全局与局部采用不同模型进行日志事件摘要的描述。

作为上述方案的进一步优化，所述日志数据挖掘采用基于时滞的序列模式进行设计，具体包括如下步骤：

检索事件类型集合，目标导向携带时滞的序列模式挖掘事件，且所述事件类型集合产生于相同时滞区间；

计算带时滞的序列模式挖掘数列的时滞区间的范围数值；

构建有序表格的结构处理序列。

作为上述方案的进一步优化，所述电力信息系统健康评估模型基于层次化分析进行构建，具体包括如下步骤：

构建电力信息系统的递阶层次结构，对应目标层设置为电力信息系统的健康度评估；准则层包括日志数据的挖掘以及日志事件的摘要分析；方案层对应为电力信息系统的健康度评估结果，即日志事件类型集合发生的时滞区间；

构建比较判断矩阵，进行各层级的元素箭的隶属关系确定；

基于任意的单独准则及其支配的因素构建的比较判断矩阵，进行该比较判断矩阵的各因素的相对排序权重的计算，且进行一致性检验；

获取各个度量项目的测量结果，进行对应的权重计算，获取对应的健康度；

构建系统健康度评估指标，基于电力信息系统的健康值计算结果，检测健康度的落定空间进行电力信息系统的指标评估。

作为上述方案的进一步优化，若所述电力信息系统的基于健康度求解计算的数值在80-100(包括80)之间，则所述电力信息系统处于正常状态，运行正常，不需要修改维护。

作为上述方案的进一步优化，若所述电力信息系统的基于健康度求解计算的数值在60-80(包括60)之间，则所述电力信息系统处于可靠性下降状态，运行正常。

作为上述方案的进一步优化，若所述电力信息系统的基于健康度求解计算的数值不超过60，则所述电力信息系统处于异常状态，需要修改维护。

本本发明公开了一种基于模糊推理的电力信息系统健康评估系统，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如上任一所述的一种基于模糊推理的电力信息系统健康评估方法。

1.本发明的一种基于模糊推理理论的电力信息系统健康评估方法及系统，采集电力信息系统运行过程产生的日志，且针对日志数据进行预处理；采用模糊推理理论进行日志信息筛选和多源日志融合，将异构的不同设备产生的日志信息进行分析和处理；采集电力信息系统的漏洞日志信息、运行日志信息进行重要度评估，获取高风险的安全事件；基于日志事件挖掘技术，进行结构化日志和非结构化日志数据的转换；通过构建递阶层次结构，确定递接层次的元素箭的隶属关系，并针对每一层的单准则排序进行一致性检查，制定系统健康评估指标值，进行电力信息系统的健康评估，通过基于模糊推理理论的多源异构日志融合以及日志事件摘要分析等大数据日志分析处理技术，制定系统健康动态评估指标，便于运维人员对于电力信息系统的健康状况把控。

2.本发明的一种基于模糊推理理论的电力信息系统健康评估方法及系统，通过进行日志数据分析以及日志信息挖掘，且进行机器学习，便于对于电力信息系统海量、多源的运行数据进行综合分析，增加日志文件之间的关联度，便于系统在进行日志文件的定位和分析的同时针对性进行健康评估。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1为本发明的流程示意图；

图2为本发明的基于相似度匹配的单词匹配示例图；

图3为本发明的两个事件时序关系示意图；

图4为本发明的两个事件时序关系的时滞区间过小示意图；

图5为本发明的两个事件时序关系的时滞区间过大示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1-5所示，本发明实施例公开了一种基于模糊推理理论的电力信息系统健康评估方法，包括：

A、日志数据采集和预处理：

S100,以评估需求为导向，采集电力信息系统运行过程产生的异构日志数据，且针对异构日志数据进行数据清理、数据归并和数据映射，转换为统一格式的日志信息；

特别指出的是，本发明实施例涉及的日志文件包括系统日志、应用日志、安全日志以及网络日志，其主要通过ftp服务器采集，基于agent进行电力信息系统的多源设备的状态监听，且设置ftp服务器作为日志处理中介管理；

更具体的，基于电力信息系统的多源设备设置底层存储路径，所述设备的进程收集对应设备的系统日志存储至底层存储路径，基于ftp服务器进行多源设备的系统日志、应用日志、安全日志以及网络日志汇总；

B、日志数据融合

S200,采用模糊推理理论进行日志数据筛选和多源日志融合，将异构的不同设备产生的日志信息进行分析和处理，针对不同日志数据的不同属性进行筛选和过滤，集成综合数据信息；

具体的，基于模糊推理理论的多源日志融合具体包括如下步骤：

计算任意属性指标的均值

以及标准差λ_j：

基于模糊集合r′_lj获取论域R的模糊相似矩阵：

Q＝(q_ij)_s×t (5)

q_ij＝1-d(x_i,x_j) (6)

其中，式(6)的d(x_i,x_j)为欧几里得距离，具体计算公式为：

通过式(7)获取因素权重集合为H(e₁，e₂，e₃，…，e_n)；

针对所有因素均衡兼顾的模型Z进行日志融合：

Z＝Q×H (9)

本发明实施例针对原始日志信息数据进行预处理后，对于报警事件进行模糊聚类操作；

C、日志数据分析

S300,采集电力信息系统的漏洞日志信息、运行日志信息针对所述系统的安全事件进行重要度评估，获取高风险的安全事件；通过对多源的安全事件进行因果关联分析，获取安全事件的攻击行为的关联信息，进行电力信息系统安全隐患因素的识别；

具体的，日志数据分析即采用多粒度日志分析处理，将非结构化日志数据转换为结构化日志数据；通过择优选取日志事件的内容，基于事件发生频率变化进行电力信息系统日志事件摘要的分析，分别针对全局与局部采用不同模型进行日志事件摘要的描述；

本发明实施例基于StringMatch方法进行日志事件提取，通过基于匹配的相似度计算函数，计算不同的日志文本的单词适合匹配度，进行检测的两条日志信息的相似度评测，具体如图2所示；

图2给出了一个基于相似度的单词匹配的实施例，根据匹配结果可得，“null0”、“null1”与“null3”的字段不匹配，“192.11.22.33”、“192.11.22.55”、“192.11.22.43”的字段不匹配，“00000023\0”、“00000512\0”、“00000014\0”的字段相互不匹配，以及“44444”与“33333”不匹配；如果一组日志文本经过相似度匹配后属于同一个事件类型，那么它们由同一段代码生成的，未匹配的单词即为代码中的变量部分；

具体的，基于IPLoM聚类方法进行日志数据的分层，针对分好的日志层中抽取不同的日志文本来进行聚类，具体包括如下步骤：

基于日志信息数据的单词的个数进行分类；

针对日志文件的包含的单词的位置进行划分；

基于日志文件的多对多的关系进行划分；

分别基于上述划分方式进行描述性词汇的挖掘；

通过对于单词的个数进行分类，增强对相同事件类型的日志文本可能具有相同的单词个数的情况的容错性，再通过单词出现的频率，针对选取的单词的出现频率进行单词的位置划分，优化日志文件的事件类型的选取；在获取频繁单词的出现位置，获取其相互的对应联系，获取多对多关系的频繁词对，且将词对中的两个词分到不同的分组中；通过划分的分组进行任意分组的事件类型提取，即快速通过日志文件的每个位置的单词确定是日志事件的组成部分或者为变量；

如果某个位置的单词全部相同，则这个单词就是日志事件的一部分；

如果某个位置的单词并非全部相同，则这个单词就是日志事件的变量部分；

本发明实施例还通过LogSig方法选取一类事件类型中最具有特色和代表性的短语结构，进行标记，通过对于出现的标记，快速进行日志文本分类；

通过将所有的日志文本聚类成簇，在每个簇中找出一个日志标记，使得簇内的所有日志文本尽可能和这个日志标记进行匹配；

区别于最长公共子序列问题的是，日志标记不需要被簇内每条日志文本都包含，而是计算一个匹配度度量，使得匹配度尽可能的大；

D、日志数据挖掘

S400,基于日志事件挖掘技术，进行结构化日志和非结构化日志数据的转换；根据日志数据挖掘和日志事件摘要分析技术对日志事件依赖关系进行深入挖掘，且同时在宏观角度进行进程把控；

具体的，所述日志数据挖掘采用基于时滞的序列模式进行设计，具体包括如下步骤：

检索事件类型集合，目标导向携带时滞的序列模式挖掘事件，且所述日志事件类型集合发生于相同时滞区间；

具体的，设置日志事件按照时滞区间划分为不同的多个可以重叠的区间，若日志事件A与日志事件B出现在某个区间的频率很高，则将事件A和事件B是频繁出现的事件类型；

计算带时滞的序列模式挖掘数列的时滞区间的范围数值；

具体的，针对于日志事件A和日志事件B，若A仅仅与紧跟其后的第一个B有依赖关系，则判断A与任意的跟随其后的B都有依赖关系；

更具体的，如图3所示，有依赖关系的日志事件A和B的时滞是5分钟或者6分钟，但是对于任意两个相邻的A事件，它们的时滞是4分钟，所有的A都与跟随其后的第二个B具有依赖性，而不是跟随其后的第一个出现的B；

因此其之间的依赖性是交叉的，对于任意两个类型，时间戳的个数都是O(n)，可能成为时滞的数目有O(n2)个，总的时滞的数目有O(n4)个；

图4是一个时滞区间过小的例子，不考虑时滞区间，事件A和事件B具有一定的关联性；

当时滞区间设置过小的时候，任何一个时滞区间都不能同时包含一个事件A和一个事件B，此时在时滞区间内挖掘序列模式，事件A和事件B之间的关联性丢失；

图5是一个时滞区间过大的例子，除事件A和事件B，还有一些不相干的事件；

当时滞区间过大，包含事件A、B的时滞区间内包含至少一个其他类型事件，所以按照之前的方法，任意两个事件都会被认为是相关联的，即寻找合适的时滞区间的关键问题转化为判断一个时滞区间是否是合理；

基于上述的步骤和方法设计，可以在没有训练数据的情况下，实现将非结构的日志数据转化为结构化，便于后续的进一步处理；

构建有序表格的结构处理序列；

E、构建电力信息系统健康评估模型

S500,通过构建递阶层次结构，进行决策问题层次化，确定递接层次的元素箭的隶属关系，并针对每一层的单准则排序进行一致性检查，制定系统健康评估指标值，并基于健康度的求解进行指标值一一对应，进行电力信息系统的健康评估；

具体的，所述电力信息系统健康评估模型基于层次化分析进行构建，具体包括如下步骤：

构建比较判断矩阵，进行各层级的元素箭的隶属关系确定；

设上一层次元素C为准则，则对应的下一层次的关系为C₁，C₂，C₃，…，C_n，即按照其对于准则C相对重要性赋予C₁，C₂，C₃，…，C_n相应的权重；

具体的，由于每个准则都支配下一层的多个因素，对于每一个准则及它所支配的因素都可以得到一个比较判断矩阵，根据比较判断矩阵求出各因素C₁，C₂，C₃，…，C_n准则C的相对排序权重D₁，D₂，D₃，…，D_n，此过程为单准则的排序；特别指出的是，每一层次做单准则排序时，均需要做一致性检验；

构建系统健康度评估指标，基于电力信息系统的健康值计算结果，检测健康度的落定空间进行电力信息系统的指标评估；

具体的，若所述电力信息系统的基于健康度求解计算的数值在80-100(包括80)之间，则所述电力信息系统处于正常状态，运行正常，不需要修改维护；

若所述电力信息系统的基于健康度求解计算的数值在60-80(包括60)之间，则所述电力信息系统处于可靠性下降状态，运行正常；

若所述电力信息系统的基于健康度求解计算的数值不超过60，则所述电力信息系统处于异常状态，需要修改维护。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。