CN111832647A - 异常流量检测系统及方法 - Google Patents

Abstract

本发明提供了一种异常流量检测系统及方法，包括：流量特征分析与选取模块：根据泛在电力物联网流量特点对流量特征进行筛选，并使用KPCA算法对流量特征进行降维；流量基准模型构建模块：对降维后的流量特征进行提取，基于RBM模型和SOM聚类算法构建受限玻尔兹曼机模型并进行训练，完成基准模型的构建；流量基准模型训练模块：根据对比散度算法对训练后的基准模型进行异常度划分，划分为正常基准模型与异常基准模型；异常流量检测模块：提取待检测流量特征并进行计算，根据基准模型的输出与原输入特征数据的相似度进行异常流量检测。本发明可以完成流量数据的自动类别标注，且具有较高的网络流量异常检测准确率。

Description

异常流量检测系统及方法

技术领域

本发明涉及网络入侵检测技术领域，具体地，涉及一种异常流量检测系统及方法。尤其地，涉及一种基于受限玻尔兹曼机模型和SOM聚类算法的异常流量检测系统。

背景技术

网络流量异常检测是泛在电力物联网系统的一项重要技术防护手段，其主要实现方法是使用基于基准模型的网络流量异常检测技术。具体是根据历史流量的特征来建立不同类别的基准模型，通过实时流量与各个基准模型的匹配来判断是否发生异常。而机器学习模型凭借其优异的泛化性和鲁棒性，逐渐成为基准模型的首选方案。但现阶段的机器学习模型主要基于支持向量机、K-means聚类、决策树等算法进行搭建，存在着诸如需求大量手工标注数据、参数设置经验化、运行效率低等问题，而在泛在电力物联网系统中，很难收集大量手工标注的数据，且实时性是一项重要指标，必须保证高运行效率。而玻尔兹曼机凭借其强大的无监督特征学习能力，可以极大程度解决上述问题，大幅提升网络流量异常检测的速度和精度。在我们的研究初期，已使用多受限玻尔兹曼机模型结合层次聚类的思想构建了异常流量检测模型，取得了一定的成效。但是由于原模型层次聚类在类别数量设置上存在着主观性和经验性，导致模型泛化能力差，对数据集有着较大的要求；且由于用于模型构建的流量特征由人工进行选择且未经降维，冗余特征带来了额外的计算消耗，对实时性产生了一定的影响。因此，本发明从特征处理、聚类算法、判别距离等角度对原模型进行改进，进一步提高准确率和实时性。

受限玻尔兹曼机(Restricted Boltzmann Machine,RBM)是一种基于统计力学和能量模型的神经网络模型，RBM可以看作为一种双层的无向全联通模型，由可见层与隐含层以及两层之间的权值矩阵组成，每层含有若干个神经元，可见层和隐含层内的神经元之间相互无连接，而层间的神经元相互之间是全连接的。

当可见层神经元的取值确定时，可以通过条件概率得到隐含层神经元的概率分布情况，相反通过隐含层神经元的取值也可以得到可见层神经元的分布情况，那么通过参数的不断调整让RBM网络重构误差尽量小，使得最终通过隐含层神经元的取值得到可见层神经元的分布，该分布接近于原来可见层神经元取值的分布，从而在分布角度使得重构后的数据能够拟合原来数据，这样就可以达到特征提取、分布刻画的目的。

自组织映射网络(Self-Origanizing Maps,SOM)是一种基于神经网络的聚类算法。SOM通过竞争，协作和适应三个学习过程实现降维和无监督聚类。SOM具有不需要预先设定聚类的数量、数据降维、可视化好等优点，但也由于区域更新的机制存在着关联性数据的分布刻画不明显等缺点。但考虑到RBM具有拟合任意的离散分布的特点，正好可以弥补SOM聚类的上述局限性。因此借助SOM聚类的思想且利用 RBM进行样本数据自动标注并构建基于多RBM的基准模型是可行的。

KPCA(Kernel Principal Component Analysis)即核主成分分析法，是一种基于核函数的保留全局特征的非线性数据降维方法，是对常用的线性映射降维方法PCA 方法的非线性扩展。KPCA算法旨在定义非线性映射核函数，将原始复杂非线性特征映射到高维特征空间，使其在高位空间内线性可分，进而使用PCA算法对其进行降维。考虑到泛在电力物联网系统中网络流量庞大的数据量，使用原始流量特征进行分类识别一方面会增加计算损耗，另一方面会引入不必要的冗余特征，降低检测准确率。而流量数据的复杂性使得常用的PCA等线性降维方法无法很好的划分数据。因此使用KPCA算法对流量特征进行降维对于泛在电力物联网系统异常流量检测是极其重要的一环。

马氏距离是一种有效地计算样本集间相似度的判决方法。与传统欧氏距离判别不同，马氏距离考虑的是样本集间的协方差距离，排除变量之间的相关性的干扰，且距离结果独立于测量尺度，即是测度无关的距离，对于泛在电力物联网系统中网络流量庞大且复杂的参数有着更好的判决结果。

专利文献CN108200005A(申请号：201710828411.3)公开了一种基于非监督学习的电力二次系统网络流量异常检测方法，包括如下步骤：S1，采集二次系统中设备的日志信息，并进行预处理，得到历史训练数据；S2，采用历史训练数据对SOM 网进行训练，并通过交叉检验获取最终检测模型；S3，实时采集二次系统中设备的日志信息得到输入向量，将输入向量输入最终检测模型，根据输入向量的状态值得到当前网络流量的状态值。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种异常流量检测系统及方法。

根据本发明提供的异常流量检测系统，包括：

流量特征分析与选取模块：根据泛在电力物联网流量特点对流量特征进行筛选，并使用KPCA算法对流量特征进行降维；

流量基准模型构建模块：对降维后的流量特征进行提取，基于RBM模型和SOM聚类算法构建受限玻尔兹曼机模型并进行训练，完成基准模型的构建；

流量基准模型训练模块：根据对比散度算法对训练后的基准模型进行异常度划分，划分为正常基准模型与异常基准模型；

异常流量检测模块：提取待检测流量特征并进行计算，根据基准模型的输出与原输入特征数据的相似度进行异常流量检测。

优选的，所述流量特征分析与选取模块包括：针对泛在电力物联网中网络数据的周期性和时序性的特点，从15个流量数据字段特征中进行筛选并使用KPCA算法进行非线性映射降维，降维后的特征将进行基准模型的搭建。

优选的，所述异常流量检测模块包括：先从待检测的流量数据提取流量特征，然后将流量特征作为输入送给基准模型，通过计算基准模型的输出与原输入特征数据的相似度，来判决当前待检测流量特征所符合的基准模型，进而确认该流量特征对应的网络流量是否属于正常流量，完成对异常流量的检测。

优选的，根据马氏距离对特征数据相似度进行判决，所述马氏距离表示特征数据的协方差距离。

根据本发明提供的异常流量检测方法，包括：

流量特征分析与选取步骤：根据泛在电力物联网流量特点对流量特征进行筛选，并使用KPCA算法对流量特征进行降维；

流量基准模型构建步骤：对降维后的流量特征进行提取，基于RBM模型和SOM聚类算法构建受限玻尔兹曼机模型并进行训练，完成基准模型的构建；

流量基准模型训练步骤：根据对比散度算法对训练后的基准模型进行异常度划分，划分为正常基准模型与异常基准模型；

异常流量检测步骤：提取待检测流量特征并进行计算，根据基准模型的输出与原输入特征数据的相似度进行异常流量检测。

优选的，所述流量特征分析与选取步骤包括：针对泛在电力物联网中网络数据的周期性和时序性的特点，从15个流量数据字段特征中进行筛选并使用KPCA算法进行非线性映射降维，降维后的特征将进行基准模型的搭建。

优选的，所述异常流量检测步骤包括：先从待检测的流量数据提取流量特征，然后将流量特征作为输入送给基准模型，通过计算基准模型的输出与原输入特征数据的相似度，来判决当前待检测流量特征所符合的基准模型，进而确认该流量特征对应的网络流量是否属于正常流量，完成对异常流量的检测。

优选的，根据马氏距离对特征数据相似度进行判决，所述马氏距离表示特征数据的协方差距离。

优选的，所述对比散度算法包括以下步骤：

步骤1：输入训练样本x₀，隐藏层单元个数m，可见层单元个数n，学习速率α和最大训练周期T；

步骤2：初始化可见层单元的状态向量为v₁＝x₀，隐藏层单元的状态向量为h₁＝0，连接权重矩阵W＝0，可见层的偏置向量a＝0，隐藏层的偏置向量b＝0，训练次数t＝0；

步骤3：遍历所有隐藏层单元，更新条件概率分布P(h_1j＝1|v₁)；

更新公式为：forj＝1:m，P(h_1j＝1|v₁)＝sigmoid(b_j+sum_i(v_1i＊W_ij))；

j表示用以计数，任意一个隐藏层单元；h_1j表示第j个隐藏层单元的状态；b_j表示第j个隐藏层单元的偏置；v_1i表示第i个可见层单元的状态值；w_ij表示隐藏层权重矩阵第j个位置的权重；

步骤4：遍历所有可见层单元，更新条件概率分布P(v_2i＝1|h₁)；

更新公式为：fori＝1:n，P(v_2i＝1|h₁)＝sigmoid(a_i+sum_j(W_ij＊h_1j)；

步骤5：遍历所有隐藏层单元，更新条件概率分布P(h_2j＝1|v₂)；

更新公式为：forj＝1:m，P(h_2j＝1|v₂)＝sigmoid(b_j+sum_j(v_2i＊W_ij))；

步骤6：更新连接权重矩阵：W＝W+α＊(P(h₁＝1|v₁)＊v₁-P(h₂＝ 1|v₂)＊v₂)；

步骤7：更新可见层的偏置向量：a＝a+α＊(v₁-v₂)；

步骤8：更新隐藏层的偏置向量：b＝b+α＊(P(h₁＝1|v₁)-P(h₂＝1|v₂))；

步骤9：训练次数t＝t+1，若t<T，返回步骤2；否则，结束训练，输出W、a、b。

优选的，所述SOM聚类算法包括以下步骤：

步骤11：参数初始化，在预设范围内赋予权值向量

随机数并进行归一化处理，得到

始化初始优胜邻域N_j ^＊(0)和学习率α，m为竞争层神经元数目；

步骤12：输入模式向量并进行归一化处理，得到X^P(p＝1,2,…n)，n为输入层神经元数目，x^p表示原始输入模式向量经归一化后的对应的模式向量；p用以计数，任意一个原始输入模式向量；

步骤13：寻找获胜节点，计算w_j和X^P的点积，从中找出最大点积对应的获胜节点j^＊；

步骤14：定义优胜领域N_j ^＊(t)，以j^＊为中心确定t时刻的权值调整域，初始优胜邻域N_j ^＊(0)较大，训练过程中N_j ^＊(t)随训练时间收缩；

步骤15：调整权值，对优胜邻域N_j ^＊(t)内的所有节点调整权值，公式为：

w_ij(t+1)＝w_ij(t)+α(t,N)[x_i ^P-w_ij(t)]

其中，i＝1,2,…n,j∈N_j ^＊(t)；w_ij(t)表示神经元i在j时刻的权值；α(t,N)表示训练时间和邻域内第i个神经元与获胜神经元j^＊之间的拓扑距离N的学习率函数；

步骤16：结束判定，当学习率α(t)≤α_min时，结束训练；反之，返回步骤12继续训练。

与现有技术相比，本发明具有如下的有益效果：

1、本发明围绕实际泛在电力物联网流量所具有的周期性和时序性等特点，进行了相关的特征分析经过筛选提取了有效特征，大大减小了参数复杂度；

2、本发明针对网络流量异常检测的基准模型构建问题，引入受限玻尔兹曼机网络来学习片段流量报文数据的特征，同时结合SOM聚类的思想构建自学习的多RBM 基准模型，同时考虑到电力工控网络流量异常检测实时性的特点，给出一种基于改进多RBM和SOM聚类的网络流量异常检测方法，本方法可以实现未标注流量数据类别的自动标注，并且与其他电力工控网络流量异常检测方法相比，本具有较高的异常流量检测准确率；

3、奔赴马使用SOM聚类方法对流量数据进行自动类别划分，解决了传统手工标记方式的泛化性差、鲁棒性差等问题。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为全局优化方法流程示意图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

实施例1：

根据本发明提供的异常流量检测系统，包括：

流量特征分析与选取模块：根据泛在电力物联网流量特点对流量特征进行筛选，并使用KPCA算法对流量特征进行降维；

流量基准模型构建模块：对降维后的流量特征进行提取，基于RBM模型和SOM聚类算法构建受限玻尔兹曼机模型并进行训练，完成基准模型的构建；

流量基准模型训练模块：根据对比散度算法对训练后的基准模型进行异常度划分，划分为正常基准模型与异常基准模型；

异常流量检测模块：提取待检测流量特征并进行计算，根据基准模型的输出与原输入特征数据的相似度进行异常流量检测。

优选的，所述流量特征分析与选取模块包括：针对泛在电力物联网中网络数据的周期性和时序性的特点，从15个流量数据字段特征中进行筛选并使用KPCA算法进行非线性映射降维，降维后的特征将进行基准模型的搭建。

优选的，所述异常流量检测模块包括：先从待检测的流量数据提取流量特征，然后将流量特征作为输入送给基准模型，通过计算基准模型的输出与原输入特征数据的相似度，来判决当前待检测流量特征所符合的基准模型，进而确认该流量特征对应的网络流量是否属于正常流量，完成对异常流量的检测。

优选的，根据马氏距离对特征数据相似度进行判决，所述马氏距离表示特征数据的协方差距离。

实施例2：

如图1所示，本实施例具体包括以下步骤：流量特征分析与选取、流量基准模型构建、流量基准模型训练以及异常流量检测。

首先，流量特征分析与选取时针对泛在电力物联网系统中数据响应时间短、网络数据具有明显的周期性和时序性、IP地址较为固定、报文数据长度较短且长度在某个范围内、传输数据的频率较高、特定网络协议等特点，从网络实际特性角度出发初步选取源 IP地址、目的IP地址、源端口、目的端口、流量响应时间、功能信息字段等特征作为待选流量特征。

所述流量数据的业务类型包括但不限于：心跳类型、事件上报类型、服务器控制类型。流量数据在采集完成后首先经过了传输设备的初始划分，划分后的流量数据分为下面几个类型：分析报文、告警事件、全部事件以及原始报文。

所述的报文遵循Q/GDW1376.1规范，属于专属协议下的流量报文。

所述的泛在电力物联网流量的周期性是指流量数据对应的时间序列随着时间变化而表现出来的变化规律。

为了进一步提高检测效率，同时也为了剔除冗余特征，使用KPCA对选取的流量特征进行降维。特征降维过程包含以下步骤：

步骤1、使用径向基核函数将原始的d维流量特征数据集映射到更高维的k维特征空间：

φ:R^d→R^k(k>>d)，计算核矩阵K；

所述的径向基核函数为：

步骤2、对映射数据进行中心化处理：

所述的l_N是系数为1/N的N×N阶单位矩阵。

步骤3、计算聚集后的核矩阵的协方差矩阵：

步骤4、使用特征方程计算特征向量V和特征值λ：λV＝CV；

步骤5、将特征值λ按照降序排列，选择前k个特征值所对应的原始特征作为有效流量特征，进行后续基准模型的构建。

流量基准模型构建过程包含以下步骤：

步骤1、输入数据集D，隐藏层节点个数H_num，学习效率

迭代次数k，合并时间段T_a，划分时间段T_b；

步骤2、初始化基准模型的参数，设定各参数的值。

所述的参数包括：可见层神经元个数V_num，层间权重矩阵W，可见层神经元偏置向量a，隐含层神经元偏置向量b，RBM重构误差e_error，RBM模型相似度阈值e_rbm，模型异常度阈值e_a，单模型数据量阈值L，模型数据抛弃比β；

步骤3、设数据集D内数据为集合

将数据进行归一化处理,计算特征的均值μ_i和方差σ_i，以及归一化后的特征v_i；

所述的归一化处理具体计算如下：

步骤4、按照合并时间段T_a进行流量数据合并，合并后V内每个维度的数据v_i为：

步骤5、将合并后数据设定为训练数据，按照划分时间段T_b进行时间段划分，训练数据被划分为各个时间簇；

步骤6、随机初始化层间权重矩阵W，可见层神经元偏置向量及隐含层神经元偏置向量；

步骤7、选取单个时间簇输入到步骤7模型中，使用对比散度算法训练数据，确保RBM重构误差e_i-error<e_error；

步骤8、选取下一个单位时间簇数据，采用马氏距离相似度计算该数据簇v_j与各个模型的重构后的数据v_j ^＊之间的相似度e_j-rbm；

所述的马氏距离相似度计算公式为：

其中S为数据簇的协方差矩阵。

步骤9、将e_j-rbm与RBM模型相似度阈值e_rbm进行比较，如果e_j-rbm>e_rbm，则进入步骤10，否则进入步骤11；

步骤10、选择最大的相似度max(e_j-rbm)对应的RBM模型t，则将该数据簇加入模型 t中，并采用RBM训练算法更新模型t参数，然后进入步骤12；

步骤11、随机初始化一个RBM模型，选取该数据簇到该RBM模型中，采用RBM训练算法训练该数据；

步骤12、计算每个模型i内的数据个数L_j，如果L_j>L，则随机抛弃该模型内数据，抛弃数据与总数据的占比为β；

步骤13、重复步骤8到步骤12，直到所有的数据训练完毕；

步骤14、计算模型之间的相似度，将相似度低于e_rbm的模型两两合并；

步骤15、计算各个模型的异常度

其中模型i内数据个数为N_i-num，总的数据量为N_num；

步骤16、将各个模型的异常度e_i-a与异常度阈值e_a进行比较：若e_i-a>e_a，则对应的模型为异常基准模型；若e_i-a<e_a，则对应的模型为正常基准模型；

步骤17、输出正常基准模型集、异常基准模型集以及对应的模型参数。

异常检测步骤则先从待检测的流量数据提取上述6个有效流量特征，然后将流量特征输入至基准模型，通过计算基准模型的输出与原输入特征数据的马氏距离相似度，来判决当前待检测特征所符合的基准模型，进而确认该特征对应的网络流量是否属于正常流量。

异常流量检测过程包含以下步骤：

步骤1、输入实时流量X，合并时间段T_a，划分时间段T_b，正常基准模型集R_norm，异常基准模型集R_anor，可见层神经元个数V_num；

步骤2、初始化基准模型的参数，设定各参数的值；

所述的参数主要是异常度检测阈值e_b；

步骤3、提取待检测流量数据的有效流量特征：源IP地址、目的IP地址、源端口、目的端口、流量响应时间及功能等信息字段并使用KPCA对特征数据进行降维，选取有效流量特征；

步骤4、设流量特征数据为集合

将数据进行归一化处理,计算特征的均值μ_i和方差σ_i，以及归一化后的特征x_i；

所述的归一化处理具体计算如下：

步骤5、将该报文作为时间段内最后一个数据，选取合并时间段T_a的数据作为单个数据段；

步骤6、计算该数据段(各个维度特征x_i)与正常基准模型(重构后各个维度特征x_i ^＊) 的马氏距离相似度(重构误差)e_i-b；

所述的重构误差计算公式为：

步骤7、将最大的相似度max(e_i-b)与异常度检测阈值e_b进行比较：如果 max(e_i-b)>e_b，那么该流量报文属于正常流量；如果max(e_i-b)<e_b，那么该流量报文属于正常流量；

步骤8、输出该流量报文类别。

为证明本实施例的有效性，选取53742条流量报文提取源IP地址、目的IP地址、源端口、目的端口、流量响应时间、功能信息字段这六个有效流量特征，对三种异常检测算法进行对比实验，针对典型异常检测评价指标对实验结果进行评价。

所述的三种算法分别是：半监督K-means算法(算法1)、动态半监督K-means+OCSVM算法(算法2)本实施例的原模型：基于多RBM的异常检测方法M-RBM-AD(算法3)及基于改进多RBM和SOM聚类的异常流量检测方法(算法4)。其中：算法4为本发明的算法。

所述的半监督K-means算法使用数据D中覆盖了所有样本类别中的少量标记样本来确定簇数以及初始的簇中心，然后按照数据之间距离进行聚类。

所述的动态半监督K-means+OCSVM算法在半监督K-means算法的基础上，加入了支持向量机(SVM)，以便进一步提高检测准确率。

所述的典型异常检测评价指标包括：

实验中RBM网络的可见层的神经元个数为96；合并时间段T_a分别设定为5分钟、 10分钟、15分钟；划分时间段T_b分别设定为1小时、0.5小时、1.5小时；学习速率α设置为0.03，RBM模型迭代次数k为1000次，RBM重构误差设置为0.03；隐含层节点个数H_num分别设置为3、11、15、27；RBM模型相似度阈值e_rbm分别设置为0.02、0.03、 0.05。

RBM模型异常度为：该RBM模型的数据簇在所有数据簇的占比为i％，则对应的异常度为1-i％。实验中模型异常度阈值e_a为1％，异常度检测阈值e_b为5％。

实验中单模型数据量阈值L为200，模型数据抛弃比为20％，通过随机容量的浮动保证模型在大量数据情况下的性能。

首先测试本实施例在不同参数设定下的检测效果：

不同划分时间段T_b下本实施例的检测效果如表1所示，T_b分别设定为1小时、0.5 小时、1.5小时。

表1不同划分时间段T_b下本实施例的检测效果

从表1可以看出，在设定不同的时间簇的聚类时间段T_b下，本实施例方法均可以收敛，特别当T_b＝1hour时，自动标记出了17个模型，方法的准确性也是最高；但是当划分时间段小于1hour或者大于1hour时，产生了大量的误报数据，同时准确率有所下降，这是由于泛在电力物联网中一次数据的传输在一定的时间范围内，该范围对于本实施例方法的准确率有着比较大的影响。

不同隐藏层节点下本实施例的检测效果如表2所示，隐含层节点个数H_num分别设置为3、11、15、27。

表2不同隐藏层节点下本实施例的检测效果

从表2可以看出，在其他实验参数相同的条件下，当隐含层节点个数H_num＝11时方法的准确率最高，其中应该注意当隐含层节点个数过低时，本实施例方法无法收敛。而当隐含层节点个数远远大于11时，方法准确率有了比较大的降低。这种情况是由于 RBM网络中隐含层节点负责数据未知情况的分布刻画，当隐含层节点数量较少时，无法很好描述数据的分布情况；而当节点数量过多时，则会造成过拟合。

不同RBM模型相似度阈值e_rbm下本实施例的检测效果如表3所示，e_rbm分别设置为0.02、0.03、0.05。

表3不同RBM模型相似度阈值e_rbm下本实施例的检测效果

从表3可以看出，当RBM模型相似度阈值e_rbm设置为0.02与0.03时，本实施例方法的检测效果类似，但是当e_rbm＝0.05时，方法误报率较高，准确率存在较大幅度的降低。

不同合并时间段T_a下本实施例的检测效果如表4所示，T_a分别设定为5分钟、10 分钟、15分钟。

表4不同合并时间段T_a下本实施例的检测效果

从表4可以看出，当合并时间段T_a为10min时方法的效果最好，而当T_a比较大时候准确率降低，部分异常无法识别出来，这是由于单次的合并时间段过大，而使得异常数据分布混合在正常的数据中。

最佳参数设置下本实施例方法与其他泛在电力物联网流量异常检测方法的对比试验结果如表5所示。

表5各异常检测方法检测性能对比

从表5的结果可以看出，跟已有泛在电力物联网流量异常检测方法相比，本文提出的基于改进多RBM模型和SOM聚类的异常流量检测方法可以实现无标记样本类别的自动标注，且异常流量检测准确率相对较高，但对比K-means+OCSVM方法，本实施例方法准确率稍低，这是由于K-means+OCSVM方法中加入了两次纠正，事先需要已知数据的类别，而本实施例方法不需要预先手工标注数据类别，因此异常流量检测准确率相对较低；而在未知异常检测中，与其他泛在电力物联网网络流量异常检测方法相比，本实施例方法具有较高的异常流量检测准确率，可以实现对于未知异常流量的检测。而且相较于本实施例方法的原始模型M-RBM-AD方法，本实施例方法对于已知异常检测率和未知异常检测率都有着一定的提升，这是由于KPCA降维消除了冗余特征，且SOM聚类方法根据特征属性进行了无监督自动类别划分，而马氏距离判决又进一步的消除了特征测度之间的影响，使得本实施例方法在已知异常检测和未知异常检测上的效果有了进一步的提升，而KPCA降维和SOM聚类的隐性降维也进一步确保了异常流量检测的实时性。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以，本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件，而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构；也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种异常流量检测系统，其特征在于，包括：

流量特征分析与选取模块：根据泛在电力物联网流量特点对流量特征进行筛选，并使用KPCA算法对流量特征进行降维；

流量基准模型构建模块：对降维后的流量特征进行提取，基于RBM模型和SOM聚类算法构建受限玻尔兹曼机模型并进行训练，完成基准模型的构建；

流量基准模型训练模块：根据对比散度算法对训练后的基准模型进行异常度划分，划分为正常基准模型与异常基准模型；

异常流量检测模块：提取待检测流量特征并进行计算，根据基准模型的输出与原输入特征数据的相似度进行异常流量检测。

2.根据权利要求1所述的异常流量检测系统，其特征在于，所述流量特征分析与选取模块包括：针对泛在电力物联网中网络数据的周期性和时序性的特点，从15个流量数据字段特征中进行筛选并使用KPCA算法进行非线性映射降维，降维后的特征将进行基准模型的搭建。

3.根据权利要求1所述的异常流量检测系统，其特征在于，所述异常流量检测模块包括：先从待检测的流量数据提取流量特征，然后将流量特征作为输入送给基准模型，通过计算基准模型的输出与原输入特征数据的相似度，来判决当前待检测流量特征所符合的基准模型，进而确认该流量特征对应的网络流量是否属于正常流量，完成对异常流量的检测。

4.根据权利要求3所述的异常流量检测系统，其特征在于，根据马氏距离对特征数据相似度进行判决，所述马氏距离表示特征数据的协方差距离。

5.一种异常流量检测方法，其特征在于，采用权利要求1-4中任一种或任多种所述的异常流量检测系统，包括：

流量特征分析与选取步骤：根据泛在电力物联网流量特点对流量特征进行筛选，并使用KPCA算法对流量特征进行降维；

流量基准模型构建步骤：对降维后的流量特征进行提取，基于RBM模型和SOM聚类算法构建受限玻尔兹曼机模型并进行训练，完成基准模型的构建；

流量基准模型训练步骤：根据对比散度算法对训练后的基准模型进行异常度划分，划分为正常基准模型与异常基准模型；

异常流量检测步骤：提取待检测流量特征并进行计算，根据基准模型的输出与原输入特征数据的相似度进行异常流量检测。

6.根据权利要求5所述的异常流量检测方法，其特征在于，所述流量特征分析与选取步骤包括：针对泛在电力物联网中网络数据的周期性和时序性的特点，从15个流量数据字段特征中进行筛选并使用KPCA算法进行非线性映射降维，降维后的特征将进行基准模型的搭建。

7.根据权利要求5所述的异常流量检测方法，其特征在于，所述异常流量检测步骤包括：先从待检测的流量数据提取流量特征，然后将流量特征作为输入送给基准模型，通过计算基准模型的输出与原输入特征数据的相似度，来判决当前待检测流量特征所符合的基准模型，进而确认该流量特征对应的网络流量是否属于正常流量，完成对异常流量的检测。

8.根据权利要求7所述的异常流量检测方法，其特征在于，根据马氏距离对特征数据相似度进行判决，所述马氏距离表示特征数据的协方差距离。

9.根据权利要求5所述的异常流量检测方法，其特征在于，所述对比散度算法包括以下步骤：

步骤1：输入训练样本x₀，隐藏层单元个数m，可见层单元个数n，学习速率α和最大训练周期T；

步骤2：初始化可见层单元的状态向量为v₁＝x₀，隐藏层单元的状态向量为h₁＝0，连接权重矩阵W＝0，可见层的偏置向量a＝0，隐藏层的偏置向量b＝0，训练次数t＝0；

步骤3：遍历所有隐藏层单元，更新条件概率分布P(h_1j＝1|v₁)；

更新公式为：for j＝1:m，P(h_1j＝1|v₁)＝sigmoid(b_j+sum_i(v_1i＊W_ij))；

j表示用以计数，任意一个隐藏层单元；h_1j表示第j个隐藏层单元的状态；b_j表示第j个隐藏层单元的偏置；v_1i表示第i个可见层单元的状态值；w_ij表示隐藏层权重矩阵第j个位置的权重；

步骤4：遍历所有可见层单元，更新条件概率分布P(v_2i＝1|h₁)；

更新公式为：for i＝1:n，P(v_2i＝1|h₁)＝sigmoid(a_i+sum_j(W_ij＊h_1j)；

步骤5：遍历所有隐藏层单元，更新条件概率分布P(h_2j＝1|v₂)；

更新公式为：for j＝1:m，P(h_2j＝1|v₂)＝sigmoid(b_j+sum_j(v_2i＊W_ij))；

步骤6：更新连接权重矩阵：W＝W+α＊(P(h₁＝1|v₁)＊v₁-P(h₂＝1|v₂)＊v₂)；

步骤7：更新可见层的偏置向量：a＝a+α＊(v₁-v₂)；

步骤8：更新隐藏层的偏置向量：b＝b+α＊(P(h₁＝1|v₁)-P(h₂＝1|v₂))；

步骤9：训练次数t＝t+1，若t<T，返回步骤2；否则，结束训练，输出W、a、b。

10.根据权利要求5所述的异常流量检测方法，其特征在于，所述SOM聚类算法包括以下步骤：

步骤11：参数初始化，在预设范围内赋予权值向量

随机数并进行归一化处理，得到

初始化初始优胜邻域N_j ^＊(0)和学习率α，m为竞争层神经元数目；

步骤12：输入模式向量并进行归一化处理，得到X^P(p＝1,2,…n)，n为输入层神经元数目，x^p表示原始输入模式向量经归一化后的对应的模式向量；p用以计数，任意一个原始输入模式向量；

步骤13：寻找获胜节点，计算w_j和X^P的点积，从中找出最大点积对应的获胜节点j^＊；

步骤14：定义优胜领域N_j ^＊(t)，以j^＊为中心确定t时刻的权值调整域，初始优胜邻域N_j ^＊(0)较大，训练过程中N_j ^＊(t)随训练时间收缩；

步骤15：调整权值，对优胜邻域N_j ^＊(t)内的所有节点调整权值，公式为：

w_ij(t+1)＝w_ij(t)+α(t,N)[x_i ^P-w_ij(t)]

其中，i＝1,2,…n,j∈N_j ^＊(t)；w_ij(t)表示神经元i在j时刻的权值；α(t,N)表示训练时间和邻域内第i个神经元与获胜神经元j^＊之间的拓扑距离N的学习率函数；

步骤16：结束判定，当学习率α(t)≤α_min时，结束训练；反之，返回步骤12继续训练。

Images