一种基于支持向量机集成学习的电力工控系统主机异常检测方法与流程

1.本发明涉及网络安全与机器学习领域，一种基于支持向量机集成学习的电力工控系统主机异常检测方法。


背景技术：

2.主机异常检测对于维护电力工控系统安全稳定运行有着非常重要的作用，传统电力工控主机异常检测系统通过对比分析电力工控系统正常/异常状态进行检测，如基于人工规则判定的电力工控系统主机异常检测方法，该方法依赖人工经验，存在异常事件覆盖不全面，时效性较差等问题；如基于d-s证据理论的电力工控系统主机异常检测方法，该方法基于贝叶斯理论，存在异常事件检测精度不足等问题。近年来，随着以机器学习为代表的人工智能技术的快速发展，机器学习技术以应用于电力工控系统的主机异常检测方面。基于机器学习的电力工控系统主机异常检测方法利用历史数据自适应构建模型以检测电力工控系统中存在的安全问题，如基于支持向量机、神经网络等有监督学习算法的工控系统主机异常检测方法，通过分析工控系统的运行状态的历史数据，提取工控系统的运行状态，训练工控系统主机异常检测模型，最终实现工控系统主机异常检测。
3.虽然基于机器学习的主机异常检测方法已经广泛应用并且取得一定进展，但仍然存在一定问题：一方面，传统主机异常检测方法往往采取单一类型的主机安全事件进行检测，如网络流量、系统状态、系统内核行为等，然而单一类型的主机安全事件难以准确覆盖网络攻击活动特点，导致电力工控系统主机异常检测准确性不足；另一方面，传统主机异常检测方法往往采取单一模型进行异常，如支持向量机、神经网络等，然而单一模型受数据样本、拟合性能等因素的影响，存在过拟合等问题，导致在构建电力工控系统主机异常检测模型时准确性不足。因此，本发明针对上述问题，发明一种基于支持向量机集成学习的电力工控系统主机异常检测方法，进一步提升电力工控系统主机异常检测的准确性。


技术实现要素：

4.本发明旨在解决电力工控系统主机异常检测准确性不足的问题。
5.为此，本发明提出了一种基于支持向量机集成学习的电力工控系统主机异常检测方法，主要包括两部分内容：
6.(1)网络流量特征和系统状态特征提取与融合方法；
7.(2)基于支持向量机集成学习的主机异常检测模型。
8.具体内容如下：
9.采用方法(1)分析主机网络流量以及系统状态监测日志，提取正常/异常时的主机网络流量特征和系统状态特征，并将两者特征向量化表示并融合，形成统一的融合特征向量；同时采用方法(2)将训练数据进行分组，采用支持向量机算法，利用不同分组的训练数据分别构建异常检测子模型，并基于adaboost集成学习方法对异常检测子模型进行加权合
并；结合方法(1)和方法(2)，进一步增加电力工控系统主机异常检测的准确性。具体算法如下：
10.(1)网络流量特征和系统状态特征提取与融合方法
11.根据网络流量日志，提取网络流量特征，包括网络连接数、域名稀有程度、域名访问最大频繁程度、域名访问最小时间间隔、是否执行脚本、是否存在文件操作、是否存在登录操作、登录失败次数等。网络连接数n
connect
表示单位时间内(1小时)连接主机的网络连接数量；域名稀有程度表示单位时间内平均每个域名连接主机的数量，其中n
address
表示连接主机的网络域名数量；域名访问最大频繁程度freq
max-connect
表示连接主机的同一网络域名访问主机的最大频次；域名访问最小时间间隔period
min-connect
表示表示同一网络域名连续访问主机的最小时间间隔；是否执行脚本do
exe
、是否存在文件操作do
file
、是否存在登录操作do
login
、登录失败次数do
login-error
分别表示单位时间内网络连接是否执行相关操作。
12.根据系统状态日志，提取系统状态特征，包括cpu利用率、内存利用率、系统进程数、业务失败次数、业务操作执行稀有程度、业务操作执行频繁程度、业务操作最小时间间隔等。cpu利用率state
cpu
表示单位时间内cpu的平均利用率；内存利用率state
memory
表示单位时间内内存的利用率；系统进程数n
process
表示单位时间内系统进程数量；业务失败次数n
operation-fail
表示单位时间内业务执行失败的次数；业务操作执行稀有程度表示单位时间内平均每种业务进程执行数量；业务操作执行频繁程度freq
max-process
表示单位时间内同一业务进程执行的最大次数；业务操作最小时间间隔period
min-process
表示单位时间内同一业务操作连续执行的最小时间间隔。
13.提取上述特征，形成一维特征向量作为以下支持向量机集成学习算法的输入vector
feature
＝{n
connect
,....,do
exe
,do
file
,....,state
cpu
,state
memory
,....,peroid
min-process
}，用于机器学习训练以自适应构建主机异常检测模型。
14.(2)基于支持向量机集成学习的主机异常检测模型
15.本发明将训练数据进行随机分组x＝{x1,x2,....,xn}，对每一分组的训练数据，基于上述网络流量特征和系统状态特征按照时间分片提取特征向量feature(x)＝{feature(x1),feature(x2),....,feature(xn)}，采用支持向量机算法利用分组的训练数据分别初始化若干主机异常检测子模型，其输出为一组0/1标签向量，分别表示正常/异常，svm(feature(x))＝{svm(feature(x1)),....,svm(feature(xn))}，支持向量机核函数采用线性核。
16.由于单一的子模型拟合性能有限，为了进一步逼近模型的最优解，本发明采用adaboost集成学习方法对若干异常检测子模型的输出结果采用加权平均进行集成，以提升主机异常检测模型的检测性能。令w＝{w1,w2,....,wn}为每个svm子模型的权重，adaboost方法基于数据标签进行有监督训练，自适应计算出一组最优权重，并计算svm子模型的加权平均和作为置信度，进行正常/异常判别：
附图说明
17.图1为本发明技术路线图
具体实施方式
18.结合附图1技术路线图，本发明步骤如下：
19.第一步：数据预处理
20.分析网络流量日志和系统状态日志，根据日志中的时间戳，按照固定时间段(每小时)对日志进行分片，形成日志片段，并对正常/异常时的日志片段进行标记；
21.第二步：特征提取
22.分析正常/异常时的网络流量日志片段和系统状态日志片段，对正常/异常时的每一个日志片段分别提取网络流量特征和系统状态特征，其中网络流量特征包括：网络连接数、域名稀有程度、域名访问最大频繁程度、域名访问最小时间间隔、是否执行脚本、是否存在文件操作、是否存在登录操作、登录失败次数等，系统状态特征包括：cpu利用率、内存利用率、系统进程数、业务失败次数、业务操作执行稀有程度、业务操作执行频繁程度、业务操作最小时间间隔等；
23.第三步：模型训练
24.正常/异常时的网络流量特征和系统状态特征作为训练数据并进行分组，采用支持向量机算法，利用不同分组的训练数据分别构建正常/异常分类子模型，并基于已训练好的正常/异常分类子模型，采用adaboost集成学习方法进行重训练，对异常检测子模型进行加权合并，形成新的异常检测集成模型；
25.第四步：异常检测
26.从测试环境提取日志数据中的网络流量特征和系统状态特征，根据已构建好的异常检测集成模型进行测试，反馈正常/异常的置信度。