一种电力CPS恶性数据链识别方法与流程

一种电力cps恶性数据链识别方法
技术领域
1.本发明涉及电网信息物理融合系统(cps)攻击识别领域，是一种电力cps恶性数据链识别方法。


背景技术：

2.随着电网信息化智能化进程推进，攻击者对于信息系统的攻击难度要远小于直接对物理系统进行攻击，信息系统是通过分析数据的方式感知物理系统的运行状态与安全态势，由于电网cps故障的产生与扩散并不是单一数据或者设备出现问题而产生的，而是由攻击者发动一系列相互关联的攻击手段引起的。为了更好的挖掘恶性数据链，需要一种考虑时间关系的关联规则算法，而传统的关联规则算法并没有考虑被挖掘对象的时间特征，得出的频繁项集也不具备时序性，因此经过电网cps数据中的恶性数据集必然具有内在关联性，从数据结构的角度分析，恶性数据的关联性类似于一种链表，所以考虑如何采用关联规则算法从具有时间相关关系的恶性数据集中挖掘出恶性数据链具有重要意义。
3.现有的电力cps恶性数据链识别方法通过统计、聚类等方法对等异常数据进行提取，模型一般不具有通用性，研究存在一定的局限性：(1)其方法通常是经过大量计算，具有很高的时间复杂度，对于不同场景要重建模型或者重新设置参数，在时间方面也不敏感；(2)电网cps数据具有数据量大，属性繁多等大数据特点，常规的聚类等方法无法适应电网数据的大数据特征，并且电网运行具有明显的时间特性；(3)电力cps恶性数据应对的另是在电力高级应用软件中及时、有效地检测辨识出恶性数据，对其进行删除或修正，消除后续影响，传统不良数据检测辨识方法多是采用基于量测残差的异常来进行判断。


技术实现要素：

4.目前传统电网安全监测大多针对数据阈值采用统计方法进行数据异常检测，不能有效提取电网中恶性数据，也不能分析出恶性数据之间所具有的相关关系。
5.本发明在定义恶性数据链的基础上提出一种电力cps恶性数据链识别方法，能够帮助电网安全工作人员了解攻击者攻击过程，提升电网防御水平，为建立电网主动防御系统打下基础。本发明从三个方面对电网信息物理融合系统恶性数据链进行识别。
6.本发明的目的是由以下技术方案来实现的：一种电力cps恶性数据链识别方法，其特征是，它包括以下步骤：
7.步骤1)恶性数据检测阶段。采用基于重复神经网络的方法按照时间序列从电网大数据中过滤掉正常数据集，减少恶性数据提取所需数据处理量。
8.(1.1)cps数据关键属性抽取。通过数据格式转换、数据属性拆分、数据属性合并、数据关键属性重建等操作将分散数据统一成算法或者模型所需要的待处理数据；
9.(1.2)cps数据最值归一化处理；
10.(1.3)定义rnn模型，提取数据时考虑原始数据来自于信息物理融合系统，将原始数据集按照信息系统与物理系统设备分为信息系统数据与物理系统数据。
11.步骤2)采用自回归模型与自组织神经网络算法建立转移概率矩阵，对连续小概率转移恶性数据进行提取。
12.(2.1)ar-som模型，时间序列的动态与过程本质密切相关，表征模式的时间序列的预期行为的表征将允许检测原始过程的恶性攻击行为；
13.(2.2)建立转移概率矩阵，它是由som模型中任意两个神经元之间的转移概率组成的，转移概率又是具有ar模型特征的输入数据映射到som模型神经元的任意两单概率的条件概率；
14.(2.3)建立自回归模型与自组织神经网络算法建立转移概率矩阵模型，不只是单一设备的时间序列，而是多个具有相关关系的电网cps设备组成的时间序列矩阵。
15.步骤3)根据隐藏在恶性数据集中恶性数据间的相关性，提出一种基于时标频繁模式树的电网恶性数据链识别算法，解决了电网恶性数据链的识别问题。
16.(3.1)创建tfp-tree，需对数据库扫描两次，第一次扫描用于统计各项支持度，第二次扫描用于对事务的排序并创建项头表；
17.(3.2)挖掘tfp-tree，即是频繁项集的提取过程，也是恶性数据链的识别过程，当以带时标的恶性数据集建立tfp-tree时，挖掘其频繁项集代表将某一时间段内将具有相关关系的恶性数据识别出来，组成具有时序关系的恶性数据链；
18.(3.3)基于时标频繁模式树的电网恶性数据链识别算法，在此恶性数据频繁项集中识别出恶性数据链，将相邻时刻频繁项集内存在的相同项集称为此相邻项集的公共项集，找出连续时间内电网恶性数据的公共项集，则为恶性数据链。
19.本发明的一种电力cps恶性数据链识别方法满足了目前传统电网安全监测大多针对数据阈值采用统计方法进行数据异常检测，不能有效提取电网中恶性数据，也不能分析出恶性数据之间所具有的相关关系的问题。在定义恶性数据链的基础上提出一种恶性数据链识别方法，能够帮助电网安全工作人员了解攻击者攻击过程，提升电网防御水平，为建立电网主动防御系统打下基础。
附图说明
20.图1为一种电力cps恶性数据链识别方法流程图；
21.图2为rnn神经网络连接图；
22.图3为重复神经网络算法流程图；
23.图4为转移概率矩阵模型图；
24.图5为tfp-tree图；
25.图6为改进的挖掘fp-tree的流程图；
26.图7为神经元之间的转移概率图；
27.图8为各个设备转移概率序列图；
28.图9为tfp-tree算法和fup算法在时间效率上的比较图。
具体实施方式
29.下面结合附图对本发明的一种电力cps恶性数据链识别方法作详细描述。
30.一种电力cps恶性数据链识别方法，包括如下步骤：
31.1)恶性数据检测阶段。采用基于重复神经网络的方法按照时间序列从电网大数据中过滤掉正常数据集，减少恶性数据提取所需数据处理量，如图1所示。
32.(1.1)cps数据关键属性抽取。通过数据格式转换、数据属性拆分、数据属性合并、数据关键属性重建等操作将分散数据统一成算法或者模型所需要的待处理数据。
33.针对电网cps数据的大数据特性，建立电网大数据分析处理模型，并搭建框架，采用开源hadoop软件生态集中的hdfs作为文件存储的底层协议，使用hive作为大数据仓库管理电网异构数据，格式变换数据简单预处理等操作采用mapreduce模型；
34.电网cps中数据的产生来自于物理系统与信息系统采集终端设备，考虑电网cps在运行过程中存在时效性，因此中将设备状态等价为数据状态，因此在电网cps中假设物理设备集pe(physical equipment)＝(pe1，pe2，pe3…
pem)其中m代表某区域物理设备数量，信息系统设备集ce(cycle equipment)＝(ce1，ce2，ce3…
cew)其中w代表信息设备，时间域集合t＝(t1，t2，t3…
t
p
)。
35.(1.2)cps数据最值归一化处理。
36.对原始数据的线性变换，使结果值映射到[0，1]或某个自定的区间内之间。转换函数如下：
[0037][0038]
其中max为样本数据的最大值，min为样本数据的最小值。这种归一化方法比较适用在数值比较集中的情况。但如果max和min不稳定，很容易使得归一化结果不稳定，使得后续使用效果也不稳定，实际使用中可以用经验常量值来替代max和min。而且当有新数据加入时，可能导致max和min的变化，需要重新定义。
[0039]
(1.3)建立基于rnn过滤数据集模型，提取数据时考虑原始数据来自于信息物理融合系统，将原始数据集按照信息系统与物理系统设备分为信息系统数据与物理系统数据。
[0040]
如图2所示，这里的rnn有三个隐藏层，输入层和输出层的节点个数都是v其中v＝(v1，v2，v3…
vn)n代表每层节点个数，第一个隐藏层和第三个隐藏层的节点个数少于输入层，第二个隐藏层的节点个数是最少的。在神经网络传输的时候，中间使用了tanh()函数和sigmoid()函数。该模型训练一个从输入层到输出层的恒等函数(identity mapping)，传输的时候从输入层开始压缩数据，然后到了第二个隐藏层的时候开始解压数据。训练的目标就是使得整体的输出误差足够小。
[0041]
为了训练该模型选择两个激活函数，用于隐藏层第2、4层输出和第3层的输出，这里θ作为单位输入加权和，定义为：
[0042][0043]
其中k代表rnn算法层数，i代表改成神经元个数，z
ki
是第k层第j个单元的输出，lk是第k层神经元的总数。第2、4层隐藏层的激活函数为：
[0044]
sk(θ)＝tanh(αkθ)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)
[0045]
其中αk是调整参数，在本课题中取1作为调整参数取值。
[0046]
第3层隐藏层的激活函数为：
[0047][0048]
其中激活函数为阶梯函数，n决定激活函数层数，α3控制从该层到下层的学习速率，本课题将α3设置为一个较大的值α3＝100。
[0049]
第5层输出层选择两个激活函数，分别为线性函数
[0050][0051]
rnn模型的自适应学习率在每次迭代中训练神经网络层1，神经网络中的权重使用下列公式更新。
[0052][0053]
每一层α
l 1
的迭代率定义为：
[0054][0055]
其中，第l次的迭代误差e
l
被定义为：
[0056][0057]
式中，m是训练集中样本记录的数量，n是数字特征属性数量，x
ij
是输入值也是目标输出值，是rnn模型的第l次迭代的输出值，参数初始学习率α0，最大学习率α
max
，学习率放大因子βe，学习率缩减因子βr为可调参数。
[0058]
本发明定义异常因子ofi作为判断是否存在恶性数据的依据，ofi的阈值通过存在恶性数据的检测结果与实际告警数据匹配程度确定。将ofi和阈值e定义为：
[0059][0060]
e＝min{ofi}0＜i＜m
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(10)
[0061]
式中ofi代表第i个数据记录的异常因子，将一定存在恶性数据样本集m中的各个样本的异常因子的最小值作为阈值e，若实验样本中ofi大于阈值则说明第i个数据记录存在恶性数据。
[0062]
具体算法描述如下，算法流程图如图3：
[0063]
输入：初始权重系数，初始模型结构，初始学习率等超参数，误差阈值，训练数据。
[0064]
输出：模型权重系数，某时刻恶性数据集。
[0065]
step 1：采用非线性归一化(nln)方法处理原始数据，并按3∶2的比例将原始数据集分为训练数据集与实验数据集两类。
[0066]
step 2：初始化模型结构与超参数，包括隐含层节点个数，初始权重初始学习率α，学习率放大因子βe与学习率缩减因子βr。
[0067]
step 3：将步骤1中的训练数据输入rnn模型中，分别选用公式(3)，公式(4)和公式(5)作为第2、4层，第3层和第5层隐含层激活函数。开始迭代训练模型。
[0068]
step 4：判断迭代误差e
l
是否收敛，若收敛则模型训练完成输出权重系数矩阵，若
不收敛则重复步骤3。
[0069]
step 5：对训练好的模型输入实验数据，将异常因子ofi与阈值比较，若大于则该时刻的数据样本存在恶性数据，并将其存入恶性数据集u中，否则为正常数据。
[0070]
2)采用自回归模型与自组织神经网络算法建立转移概率矩阵，对连续小概率转移恶性数据进行提取。
[0071]
(2.1)ar-som模型，时间序列的动态与过程本质密切相关，表征模式的时间序列的预期行为的表征将允许检测原始过程的恶性攻击行为。
[0072]
ar模型具有良好的时间特性并且模型具有平稳特性，能用来拟合电网系统中物理系统与信息系统设备产生数据的时序特征。在电网系统中，信息物理系统是由实际物理设备诠释的，而实际物理设备与信息设备被采集的数据信息可以直接反应物理与信息设备的状态，其数据变化属于平稳状态变化，故可以使用ar模型拟合，其拟合公式如下：
[0073][0074]
其中，xt代表某一个设备状态数据在t时刻的值，et满足正态分布，et服从n(μe，λ2)，，a为需要训练的权重系数。xt服从的正态分布中，，其中μ和σ分别由1推出下式为：
[0075]
μ＝μe/(1-α)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(12)
[0076][0077]
由于，xt属于电网系统设备的在某一时刻的属性状态值，因此受设备固有物理条件限制存在一个阈值区间(a，b)，这个阈值可以初步衡量电网设备数据是否是不良数据，可以将训练出的a矩阵小于某一限制矩阵，这样就可以作为检测电网设备数据，但是以攻击者对电网cps的了解完全可以通过分析当前系统网络拓扑和设备状态，做出在检测阈值区间内的恶性数据，因此单纯靠ar模型很难辨识出电网cps中的恶性数据。一般情况下由阈值与输入数据满足的关系如下：
[0078][0079]
恶性数据向量xt作为输入，som神经元序列c＝{}作为输出节点，训练方法是与输入向量具有最小欧几里得距离的神经元胜出，公式为：
[0080][0081]
som更新优胜神经元的权重值以及优胜神经元cj的邻域内的节点，更新方法如下所示：
[0082]ci
(t 1)＝ci(t) γ(t)[x
t-ci(t)]if i∈nj(t)
ꢀꢀꢀꢀꢀꢀꢀꢀ
(16)
[0083][0084]
式中γ(t)是时间的单调递减函数，其值在0和1之间。神经元cj的邻域nj(t)被定义为其中节点的欧几里得距离小于或等于特定值来自cj的半径。随着t的增加学习率r逐渐减小，显然模型浮动范围越来越小，因此得出的权重系数逐渐趋于该类别的聚类中心。
[0085]
som执行的转换是输入空间的非均匀量化。由于以恶性数据检测集作为原始数据是以时间序列作为输入次序的一维数据，因此神经元分布也在线性空间上。设{c1，c2，...，cn}为权重表示由训练过程产生的模式的神经元集合，并且令xt表示输入数据的序列。另外，ct定义如下：
[0086][0087]
式中ct代表输入数据的神经元序列。ix(t)代表当前序列xt的最优输出神经元的位置。
[0088]
(2.2)建立转移概率矩阵，它是由som模型中任意两个神经元之间的转移概率组成的，转移概率又是具有ar模型特征的输入数据映射到som模型神经元的任意两单概率的条件概率。
[0089]
单概率计算：在得出训练好的som模型后，建立转移概率矩阵需要知道由xt对应的各个神经元节点的概率，由于输入数据集符合公式给出的随机过程xt，则输出神经元集合ct也具有与xt相同的随机过程特征，因此xt与其对应的ct应该具有相同的概率分布：
[0090]
p[c
t
＝c
l
]＝p[i(x
t
)＝i]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(19)
[0091]
变量i(xt)的概率质量函数由下式给出
[0092][0093]
式中|| ||表示欧几里得几何距离，在一维的条件下可以用绝对值代替，因此上述公式等价于：
[0094][0095]
由于ci应该是距离最近的输出神经元，所以可以化为：
[0096]
p[|x
t-c
l
|＜|x
t-c
l-1
|∧|x
t-c
l
|＜|x
t-c
l 1
|]
ꢀꢀꢀꢀꢀꢀꢀꢀ
(22)
[0097]
式中a＝(ci ci 1)/2和b＝(ci ci-1)/2是模式ci-1，ci和ci 1之间的平均点。则i＞1和i＜n.因此p[i(xt)＝i]＝p[b＜xt＜a]＝fx(a)-fx(b)，其中fx是变量xt的概率分布函数。如果xt分布为正态分布，那么先前的概率可以表示为分布函数的形式。
[0098][0099]
转移概率矩阵：由于ar过程平稳，且som模型中输出神经元与输入序列具有相同特征，所以som神经元相互转移概率可以用ct的二阶概率分布表示：
[0100]
p[c
t
＝c
l1
，c
t k
＝c
l2
]＝p[x
t
∈(b1，a1)，x
t k
∈(b2，a2)]
ꢀꢀꢀꢀꢀꢀꢀ
(24)
[0101]
式中ci 1，ci 2∈{c1，...。。。，cn}和i1＝(a1，b1)，i2＝(a2，b2)为区间。已知xt具有正态分布，因此二阶概率由下式给出
[0102][0103]
式中ρ(k)是ar过程的自相关函数，即ρ(k)＝αk。因此，
[0104][0105]
(2.3)建立自回归模型与自组织神经网络算法建立转移概率矩阵模型，不只是单一设备的时间序列，而是多个具有相关关系的电网cps设备组成的时间序列矩阵。
[0106]
由于恶性数据集不只是单一设备的时间序列，而是多个具有相关关系的电网cps设备组成的时间序列矩阵，所以要对每一个设备产生的数据进行转移概率矩阵的建立，具体算法描述如下，流程如图4所示：
[0107]
输入：初始权重系数，初始模型结构，初始学习率等超参数，训练数据。
[0108]
输出：模型权重系数，某时刻恶性数据集。
[0109]
step 1：从电网cps量测系统得到的原始数据净归一化得到训练数据集；
[0110]
step 2：构建ar与som模型，并初始化模型参数，并利用训练数据对模型进行训练；
[0111]
step 3：利用训练好的权重系数矩阵，计算该设备id对som模型输出神经元的单概率；
[0112]
step 4：利用第三步中的但概率与ar模型拟合系数计算som模型输出神经元之间的转移概率矩阵；
[0113]
step 5：判断设备id是否为空，如果不为空则返回执行第一步；
[0114]
step 6：从得到的恶性数据检测集中选择各个设备id的含有恶行数据并且具有时间序列特征数据代入需教练好的ar-som模型得出对应设备的转移状态序列；
[0115]
step 7：判断当各设备数据的转移概率序列都不存在0值时，数据为正常数据。当各设备数据的转移概率序列存在少数离散0值时，数据为噪声数据，无法组成恶行数据链，当连续设备数据的转移概率序列存在一段0值，则判断该段数据为恶行数据。
[0116]
3)提出一种基于时标频繁模式树的电网恶性数据链识别算法，解决了电网恶性数据链的识别问题。
[0117]
(3.1)创建tfp-tree，需对数据库扫描两次，第一次扫描用于统计各项支持度，第二次扫描用于对事务的排序并创建项头表。
[0118]
tfp-tree结构的建立需要对数据库扫描两次，第一次扫描用于统计各项支持度，对于小于支持度阈值的项从事务中删除，第二次扫描用于对事务的排序并创建项头表，此时为体现时间序列特征为每一个事务中的项增添时标，由于在恶性数据集中事务代表每一时刻该电网区域的所有产生恶性数据的设备集合，所以可以将事务本身用时标来表示，则事务的时标就与该事务内的项所拥有的时标一致，在得到具有时标的排序数据集后，结合创建的项头表，用于构建tfp-tree结构。
[0119]
由于项集中加入时标，所以tfp-tree树结构与fp-tree树结构不同，在原有结构基础上加入时标参数，如下表所示
[0120]
表1 tfp-tree结构
[0121][0122]
从表1可以看到，为了使挖掘频繁项集的树形结构具有时间特征，加入时标属性time_mark，存储节点中的项是来自于那个时刻，每一个事务不会拥有重复项，所以time_
mark中元素个数就是该节点的支持度计数。每一个节点time_mark[]中的元素个数均大于或者等于其子节点的time_mark[]元素个数。
[0123]
根据tfp-tree结构与项头表创建tfp-tree与创建fp-tree过程类似，同样需要扫描两次数据库，第一次扫描建立项头表，表中存储各项的支持度计数和对应项的在tfp-tree中的头指针，第二次扫描建立tfp-tree，根据排序后的数据集与项头表创建树结构，排序数据集的插入与fp-tree不同，由于排序数据集具有时标属性，所以在每次插入一条数据集时都在对应节点的time_mark属性中加入该数据集所对应时标，这样就可以保证在树形结构创建的过程中不破坏数据的时序属性，其中为了说明问题假设的排序数据集如下表所示。
[0124]
表2时序图
[0125][0126]
(注：表中时间不连续是因为考虑到电网cps恶性数据不是时刻产生的，项不连续是因为支持度小于阈值故删除)
[0127]
由项头表和带时标的排序数据集，可以采用以下步骤创建tfp-tree：
[0128]
step 1：扫描数据库中的恶性数据集，得到每个项的计数与支持度，本文以绝对支持度衡量阈值并取阈值为1，在事务中删除小于阈值的项，根据支持度从大到小得到排序数据集，并向排序数据集加入时标使其具有时序特征。
[0129]
step 2：创建为空集的父节点null，按照排序数据集中的项集顺序更新树中节点，项头表存放tfp-tree结构中对应项的头指针，每条数据集进入树结构时从null节点开始添加。若存在则在该节点的time_mark数组中加入此项时标，并将count加1。若不存在则以该节点为父节点向下创建叶子节点并将叶子节点的time_mark数组中加入此项时标，count加1。直到该条数据集添加完成，当循环至排序数据集为空时，tfp-tree创建完成。
[0130]
由表1排序数据集和上述创建规则得到的tfp-tree如图5所示。
[0131]
(3.2)挖掘tfp-tree，即是频繁项集的提取过程，也是恶性数据链的识别过程，当以带时标的恶性数据集建立tfp-tree时，挖掘其频繁项集代表将某一时间段内将具有相关关系的恶性数据识别出来，组成具有时序关系的恶性数据链。
[0132]
tfp-tree的挖掘过程即是频繁项集的提取过程，也是恶性数据链的识别过程，当以带时标的恶性数据集建立tfp-tree时，挖掘其频繁项集代表将某一时间段内将具有相关
关系的恶性数据识别出来，组成具有时序关系的恶性数据链。下面介绍具体改进的挖掘fp-tree挖掘过程，流程图如图6所示：
[0133]
step 1：自底向上的方式遍历生成的tfp-tree的项头表，从而得到此节点的所有前缀路径，以此节点为后缀模式，得到所有包含此节点在fp-tree的路径。
[0134]
step 2：如果上步得到单条路径，前缀路径的每个元素和后缀模式合并生成频繁项集。否则，需找前缀路径中是否存在项合并中的情况。若存在，剪枝后合并：否则，转到第3步。
[0135]
step 3：以上述得到的路径中包含的所有后缀节点及根节点作为新的后缀节点，重新创建数据库，按照创建fp-tree的流程重新创建一棵新的fp-tree。
[0136]
step 4：把第3步生成的树作为第一步输入的数据源，反复迭代，直到所有的项只存在一条路径。
[0137]
(3.3)基于时标频繁模式树的电网恶性数据链识别算法，
[0138]
恶性数据集得到电网的恶性数据频繁项集只能说明，在某些时刻攻击者对电网的某些设备攻击频繁，并不能看出隐藏在其中的恶性数据链，因此要在此恶性数据频繁项集中识别出恶性数据链，将相邻时刻频繁项集内存在的相同项集称为此相邻项集的公共项集，找出连续时间内电网恶性数据的公共项集，则为恶性数据链，完成识别恶性数据链的目标需要三个步骤：
[0139]
step 1：按照时标将得到的恶性数据频繁项集展开成排序数据集。
[0140]
step 2：将展开后的排序数据集表按照时间序列抽取出相邻时刻内公共项集
[0141]
step 3：判断抽取到的公共项集是否断开，若断开则从断开时刻的下一时刻转到执行第二步，否者继续抽取公共项集至时标结束。
[0142]
算法结束后将所有按照时标抽取到的频繁项集中的恶性数据项组成的时间序列为所要求得的恶性数据链，以图5得到的频繁项集为例，展开的排序数据集如下表：
[0143]
表3公共项集表
[0144][0145][0146]
则根据表3所抽取的公共项集，按时标顺序分别为《b1，b2，b4，b5》，《c6，c8，c9，a9，a
10
》，因此所识别出的恶性数据链为《b1，b2，b4，b5》与《c6，c8，c9，a9，a
10
》。
[0147]
为验证采用本发明提供的电力cps恶性数据链识别方法能够有效解决电网恶性数
据链的识别问题，发明人分别采用本发明提供的方法进行实验验证：1)rnn模型检测；2)ar-som模型验证；3)算法tfp-tree与fp-tree在时间效率上的比较。实验数据：实验使用1台戴尔图形工作站，型号为precision t5610，服务器配置为：2xintel(r)xeon(r)cpu e5-2620 v2 cpu主频2.10ghz，内存64gb，500tb硬盘。操作系统为专业版windows7，系统类型为64位操作系统。实验所用scada数据中包含遥测，遥信，统计数据与告警数据等，每一时刻scada数据分为遥测、遥信和统计量等数据文件，每一个数据文件内存在九张不同设备类型的子表，以遥测数据为例，实验测试中，为了模型能够良好收敛，采用以下配置参数。如表4所示。
[0148]
表4 rnn模型学习率初始参数值
[0149][0150]
根据ar模型参数，计算出的某一设备的som转移概率矩阵为25*25。
[0151]
发明人计算了采用本发明提供电力cps恶性数据链识别方法，将验证数据集代入到训练好的ar-som模型中，在计算出各个设备的转移概率矩阵的基础上，得到恶性数据集，测试采用统计产生恶性数据时间并与实验所用的验证数据集中已知的恶性数据时间做对照，得到模型正确率为97.496％，大于阈值，验证模型训练有效。图7给出了神经元之间的转移概率。图8给出了各个设备转移概率序列。图9给出了tfp-tree算法和fup算法在时间效率上的比较。从图7可以看出，当应该转移困难的数据发生转移时，该数据所对应的该时间设备可能产生恶性数据。从图8可以看出，攻击者在对电网系统进行攻击时，经过x分钟之后，恶性数据量逐渐降低，攻击者达到攻击目的停止攻击行为。从图9可以看出，算法tfp-tree运行时间变化较平缓，算法fup在不同支持度下变化很大。以上证明了本发明提出方法的有效性与高效性。