CN116170200A - 电力监控***时间序列异常检测方法、***、设备及存储介质 - Google Patents

电力监控***时间序列异常检测方法、***、设备及存储介质 Download PDF

Info

Publication number
CN116170200A
CN116170200A CN202310127049.2A CN202310127049A CN116170200A CN 116170200 A CN116170200 A CN 116170200A CN 202310127049 A CN202310127049 A CN 202310127049A CN 116170200 A CN116170200 A CN 116170200A
Authority
CN
China
Prior art keywords
event
log
gate
sequence
short
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310127049.2A
Other languages
English (en)
Inventor
肖飞
蔚睿
王治华
周劼英
汪明
金明辉
王之梁
杨家海
韩东岐
夏树涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
State Grid Shanghai Electric Power Co Ltd
Original Assignee
Tsinghua University
State Grid Shanghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University, State Grid Shanghai Electric Power Co Ltd filed Critical Tsinghua University
Priority to CN202310127049.2A priority Critical patent/CN116170200A/zh
Publication of CN116170200A publication Critical patent/CN116170200A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/50Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明涉及一种电力监控***时间序列异常检测方法、***、设备及存储介质,该方法包括以下步骤:步骤S1、获取待检测设备运行的日志数据;步骤S2、采用预训练的基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征,输出整段序列的特征中心点c;步骤S3、基于当前时间序列的特征中心点c,采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测;其中,所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练所得的特征空间。与现有技术相比,本发明具有检测精度高的优点。

Description

电力监控***时间序列异常检测方法、***、设备及存储介质
技术领域
本发明涉及电力监控技术领域,尤其是涉及一种电力监控***时间序列异常检测方法、***、设备及存储介质。
背景技术
电力监控***是用于监视和控制电力生产及供应过程的***,主要由一系列基于计算机及网络技术的业务***、智能设备,以及通信网络组成。而网络安全管理平台与网络安全监测装置则部署在电网中,对电力监控***中的对象(如服务器、交换机、数据库)进行数据采集,并进行分析处理,实现对其控制与管理。其中,被监控对象采用自身感知技术,产生所需网络安全事件并提供给网络安全监测装置;而网络安全管理平台则对上报的事件信息进行高级分析处理,并对各网络安全监测装置统筹管理。在这之中,电力监控***的正常运行是至关重要的,因此在网络安全管理平台或网络安全监测装置处需要一个强大的异常检测***,实现对其中异常行为的精准检测。
近年来,机器学习,尤其是深度学习技术快速发展,被广泛应用到异常检测***中,取得了较好的检测效果。这其中,多维时间序列异常检测的方法具有一定优势。而对于多维时间序列异常检测的任务,由于异常数据往往难以获得,所以研究者常常使用无监督学习的方法进行。这些方法大致可以分为两类:基于重构的方法和基于预测的方法。在前者中,正常数据经过重构处理,会得到与输入数据相似的结果;而对于异常数据,由于模型不知道该如何对其进行重构,会得到与输入数据相差甚远的结果,以此来判断是否出现异常。在后者中,模型可以根据一段时间的数据准确预测出下一时刻的值;而异常数据往往不符合历史趋势,因此会出现较大的预测误差。
但是对于电力监控***,检测指标包含多个维度,不同维度之间具有较强的异构性,以服务器的指标为例:服务器的监控指标共41个,其中CPU占用率、USB使用数等属于连续值;光驱使用状态、监听端口和协议等属于离散值等。这些异构数据,导致重构方法无法适用。而基于预测的方法由于对噪声的干扰很灵敏,常常不能在实际环境中取得很好的效果。如果使用传统的规则匹配的方法,虽然有一定的效果,但需要大量的专家知识来事先制定规则,还不能动态地、智能地对新出现的情况进行判断,无法适应工作场景中种类繁多的未知异常。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供了一种适用于多维异构时间序列的、检测精度高的电力监控***时间序列异常检测方法、***、设备及存储介质。
本发明的目的可以通过以下技术方案来实现:
根据本发明的第一方面,提供了一种电力监控***时间序列异常检测方法,该方法包括以下步骤:
步骤S1、获取待检测设备运行的日志数据;
步骤S2、采用预训练的基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征,输出整段序列的特征中心点c;
步骤S3、基于当前时间序列的特征中心点c,采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测;其中,所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练所得的特征空间。
优选地,所述步骤S1中还包括对日志数据进行格式化预处理,具体为:将采集到的待检测设备运行日志数据提取成为一组向量,包括向量s表示日志键,代表这一条日志所描述的事件类型,向量vn和vc表示日志值,代表这一条日志中包含的事件取值,其中,vn表示连续日志值,vc表示离散日志值,离散值使用独热码one-hot方法来处理。
优选地,所述步骤S2中的基于事件门的长短期记忆神经网络LSTM的预训练过程具体为:
1)采集正常设备运行的日志数据并进行预处理;
2)将预处理后的整段序列输入至基于事件门的长短期记忆神经网络LSTM进行特征提取后,输出整段序列的特征中心点c,作为异常检测器中超球体的球心;
3)将提取出的向量序列切割成为等长的序列片段,每个片段表示一段时间跨度内设备的行为变化;
4)将每个序列片段输入到基于事件门的长短期记忆神经网络LSTM中,进行训练;如果当前序列在特征空间对应的点与特征中心点c的距离小于设定阈值r,则当前序列的梯度不进行回传,网络参数不更新;
5)训练完毕后构造出半径为r,球心为c的超球体,作为异常检测器进行异常检测所需的特征空间。
优选地,所述步骤S3具体为:若映射点在之前构造的超球体中,则表示该序列片段中的行为特征与正常行为一致;反之,则表示出现异常行为。
优选地,所述步骤S2中基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征具体为:在长短期记忆神经网络LSTM引入事件门,根据当前输入信息所属的事件,选择性地激活对应的神经元进行时间序列特征提取。
优选地,所述基于事件门的长短期记忆神经网络LSTM中的每个神经元采用的控制单元包括事件门、输入门、遗忘门和输出门,数学表达式分别为:
事件门:
es=σ(Wemtanh(Wmss+bm)+be) (1)
输入门:
Figure BDA0004082443250000031
遗忘门:
Figure BDA0004082443250000032
输出门:
Figure BDA0004082443250000033
/>
Figure BDA0004082443250000034
Figure BDA0004082443250000035
Figure BDA0004082443250000036
式中,es为当前事件对应的事件门取值,s为事件类型;it为输入门,决定了当前时刻的输入数据Xt影响到神经元状态的程度;ft为遗忘门,决定了神经元在上一时刻的状态ct-1保留到当前时刻的程度;ot为输出门,决定神经元当前时刻的状态影响到当前的输出值ot的程度;σ和tanh分别表示sigmoid函数和tanh函数,W和b均为可学习参数;
Figure BDA0004082443250000041
表示哈达玛积,属于长短期记忆神经网络LSTM中的peephole结构;
事件门根据当前输入信息所属的事件,选择性地激活对应的神经元。
优选地,所述基于事件门的长短期记忆神经网络LSTM的输入数据的数学表达式为:
x=s+k×(Wc×vc+tanh(Wn×vn))
式中,s为事件类型,vc为离散日志值,vn为连续日志值,k为超参数,Wc和Wn为可学习参数。
根据本发明的第二方面,提供了一种电力监控***时间序列异常检测***,该***包括:
日志数据采集模块,用于获取待检测设备运行的日志数据;
特征提取模块,用于采用预训练的基于事件门的长短期记忆神经长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征,输出整段序列的特征中心点c;
异常检测模块,用于基于当前时间序列的特征中心点c,采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测;其中,所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经长短期记忆神经网络LSTM进行预训练所得的特征空间。
优选地,所述日志数据采集模块中还设置有日志数据预处理子模块,用于对日志数据进行格式化预处理,包括将采集到的待检测设备运行日志数据提取成为一组向量,包括向量s表示日志键,代表这一条日志所描述的事件类型,向量vn和vc表示日志值,代表这一条日志中包含的事件取值,其中,vn表示连续日志值,vc表示离散日志值,离散值使用独热码one-hot方法来处理。
优选地,所述特征提取模块中还设置有特征空间提取子模块,用于采用正常设备运行的日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练,得到用于异常检测器进行异常检测所需的特征空间。
根据本发明的第三方面,提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现任一项所述的方法。
根据本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现任一项所述的方法。
与现有技术相比,本发明具有以下优点:
1)当前常用的机器学习异常检测方法无法处理电力监控***中的异构时间序列数据,使用传统的规则匹配检测方法过于呆板,容易产生大量的漏报和误报;本发明使用改进的深度学习方法,在能够应对当前场景的同时,还能取得很好的检测效果。
2)本发明在擅长处理时间序列的LSTM模型中引入了事件门的结构,将多维时间序列中的不同维度有机地结合起来,综合考虑各维度之间隐含的关系,提取出其中的特征;同时将多维异构数据映射到同一个维度中,用以检测时间序列中是否包含异常;与NIPS16中的phased LSTM、AAAI18中的HE-LSTM不同,phased LSTM在传统LSTM中引入了相位门,用以提取序列中的周期性信息;HE-LSTM在phased LSTM基础上,同时加入了相位门和事件门,用来同时处理周期性信息和不同事件的信息;本发明则根据电力监控***中数据的特点,没有使用相位门,仅使用事件门来对不同事件做出不同的处理,提取出其中的关键信息。另外,HE-LSTM使用有监督学习的方法,本申请采用的无监督学习。
3)与仅能检测出单个指标异常,同时强烈依赖于专家的经验知识的传统规则匹配检测方式不同,本发明采用的基于事件门的长短期记忆神经网络LSTM模型具有较强的异常检测能力,不仅可以检测出单项指标的突变,也具有较强的多维检测能力。
附图说明
图1为本发明的方法流程图;
图2为本发明的方法架构示意图;
图3为基于事件门的长短期记忆神经网络LSTM单个神经元结构图;
图4为实验结果图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
实施例
如图1所示,本实施例给出了一种电力监控***时间序列异常检测方法,支持对多维异构数据的时间序列异常检测,该方法包括以下步骤:
步骤S1、获取待检测设备运行的日志数据并进行格式化数据预处理,具体为:
将采集到的待检测设备运行日志数据提取成为一组向量,包括向量s表示日志键,代表这一条日志所描述的事件类型,向量vn和vc表示日志值,代表这一条日志中包含的事件取值,其中,vn表示连续日志值,vc表示离散日志值,离散值使用独热码one-hot方法来处理。
步骤S2、采用预训练的基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征,输出整段序列的特征中心点c;
步骤S3、基于当前时间序列的特征中心点c,采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测;其中,所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练所得的特征空间。
若映射点在之前构造的超球体中,则表示该序列片段中的行为特征与正常行为一致;反之,则表示出现异常行为,具体为:异常检测器由一个单分类器训练而成,在基于事件门的长短期记忆神经网络LSTM提取出时间序列特征后,一条序列被映射成了特征空间中的一个点;将正常序列数据在特征空间中的映射点形成一个超球体,根据其映射点与超球体中心的距离来衡量其中是否含有异常行为,从而实现时间序列异常检测。
接下来,结合附图1~4对本发明的方法进行详细介绍。
本实施例结合基于长短期记忆人工神经网络LSTM和支持向量数据描述SVDD的方法,能够实现多维异构时间序列数据的异常检测。
本发明的概览图如图2所示。下面将介绍模型的设计和工作流程。
本发明中的模型要能够处理多维度异构时间序列信息,需要满足如下需求:首先,多个维度的时间序列数据之间存在相关性,只有将不同维度之间的信息有机地结合起来,才能够取得良好的异常检测效果;第二,由于不同维度的数据之间在数据大小、类型上都存在很大的差异,具有很强的异构性,因此模型要能够有效地处理异构数据,特别地,尤其是要能够同时处理连续值和离散值。
为满足上述要求,本发明主要包含三个部分:日志预处理,基于事件门的长短期记忆神经网络LSTM,以及异常检测器。其中,预处理部分用来将半格式化的日志文件转变为格式化的向量;基于事件门的长短期记忆神经网络LSTM用来提取时间序列数据中的特征,同时能够很好地满足前述的两个需求;异常检测器则根据特征空间中的距离量度来判断当前序列是否出现异常。
本发明在擅长处理时间序列的LSTM模型中引入了事件门的结构,将多维时间序列中的不同维度有机地结合起来,综合考虑各维度之间隐含的关系,提取出其中的特征;同时将多维异构数据映射到同一个维度中,用以检测时间序列中是否包含异常。
与NIPS16中的phased LSTM、AAAI18中的HE-LSTM不同,phased LSTM在传统LSTM中引入了相位门,用以提取序列中的周期性信息;而HE-LSTM在phased LSTM基础上,同时加入了相位门和事件门,用来同时处理周期性信息和不同事件的信息;本模型则根据电力监控***中数据的特点,没有使用相位门,仅使用事件门来对不同事件做出不同的处理,提取出其中的关键信息。另外,HE-LSTM使用有监督学习的方法,本发明使用的是无监督学习。
日志预处理:
电力监控***收集到的数据中包含多种指标,将每一项指标称为一种事件。日志预处理部分,可以把日志数据提取成为一组向量。向量s表示日志键,即这一条日志所描述的事件类型;向量vn和vc表示日志值,即这一条日志中包含的事件的取值。其中,vn表示连续值,vc表示离散值,离散值使用独热码one-hot方法来处理。
基于事件门的长短期记忆神经网络LSTM,如图3所示:
基于事件门的长短期记忆神经网络LSTM是模型的核心部分,它在常规的LSTM神经网络模型中引入了事件门作为控制单元。常规LSTM模型是由循环神经网络(RNN)改进而来,通过引入遗忘门、输入门、输出门作为控制单元,可以在一定程度上解决长序列遗忘问题。
Figure BDA0004082443250000071
Figure BDA0004082443250000072
Figure BDA0004082443250000073
/>
Figure BDA0004082443250000081
Figure BDA0004082443250000082
长短期记忆神经网络LSTM中的每个神经元都通过上述三个门来控制,其中,遗忘门ft决定了该神经元在上一时刻的状态ct-1能多大程度保留到当前时刻;输入门it决定了当前时刻的输入数据Xt能多大程度上影响到该神经元状态;输出门ot则决定了神经元当前时刻的状态能多大程度上影响到当前的输出值ot。其中,σ和tanh分别表示sigmoid函数和tanh函数,一系列W和b均为可学习参数;而类似于
Figure BDA0004082443250000083
则表示哈达玛积,属于LSTM中的peephole结构。通过上述三个控制单元,LSTM模型能够“长期地记住重要信息,忘记不重要信息”,在一定程度上能够解决长序列遗忘的问题。
本发明输入数据x需要同时考虑事件类型s和取值vn、vc,x=s+k×(Wc×vc+tanh(Wn×vn)),其中,k为超参数,Wc和Wn为可学习参数。
在此基础上,引入了另一个控制单元,事件门,可以根据当前输入信息所属的事件,选择性地激活某些神经元。公式(6)中根据当前事件得到事件门的取值,前述的公式(3)(5)替换为公式(7)-(10)。
es=σ(Wemtanh(Wmss+bm)+be)#(6)
Figure BDA0004082443250000084
Figure BDA0004082443250000085
Figure BDA0004082443250000086
Figure BDA0004082443250000087
在常规LSTM模型中,不同神经元对不同信息的灵敏度不同;类似地,在本发明中,对于某个神经元,它会对部分事件灵敏,对部分事件迟钝。而不同事件中所蕴含的信息重要性一般有所差别,通过这种方式就可以对事件做出区分,从而避免重要信息被海量的次要信息淹没。当包含不同事件类型的长序列输入到模型中时,两条重要事件之间可能会包含大量的次要事件,这时部分神经元就会忽略次要事件,这也在一定程度上解决了长序列遗忘的问题,能够提取出异构时间序列中的重要特征。
异常检测器:
异常检测器由一个单分类器训练而成。在基于事件门的长短期记忆神经网络LSTM提取出序列特征后,一条序列被映射成了特征空间中的一个点。因此,只要让正常序列数据在特征空间中的映射点形成一个超球体,就可以根据其映射点与超球体中心的距离来衡量其中是否含有异常行为,从而实现时间序列异常检测。
下面介绍模型具体的工作流程。模型的运行分为两个阶段:训练阶段和检测阶段。
在训练阶段,输入一台正常工作的设备的运行日志。首先进行日志预处理。接着将处理后的整段序列输入模型,经过基于事件门的长短期记忆神经网络LSTM的特征提取后,输出特征空间中的一个点c,作为整段序列的特征中心点,也就是异常检测器得到的超球体的球心。然后将日志提取出的向量序列切割成为等长的序列片段,每个片段表示一段时间跨度内,设备的行为变化。将每个序列片段输入到模型中,进行训练。在训练过程中设置一个阈值r,如果当前序列在特征空间对应的点与c点的距离小于这个阈值,则当前序列的梯度不进行回传,网络参数不更新。这样,就可以构造出半径为r,球心为c的超球体。
在检测阶段,输入该设备新的运行日志。在预处理后,同样将序列切割为同样长度的片段,经过网络映射到特征空间。若映射点在之前构造的超球体中,则表示该序列片段中的行为特征与正常行为一致;反之,则表示出现异常行为。
接下来,给出一种电力监控***时间序列异常检测***,该***包括:
日志数据采集模块,用于获取待检测设备运行的日志数据;
特征提取模块,用于采用预训练的基于事件门的长短期记忆神经长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征,输出整段序列的特征中心点c;
异常检测模块,用于基于当前时间序列的特征中心点c,采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测;其中,所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经长短期记忆神经网络LSTM进行预训练所得的特征空间。
其中,日志数据采集模块中还设置有日志数据预处理子模块,用于对日志数据进行格式化预处理。
特征提取模块中还设置有特征空间提取子模块,用于采用正常设备运行的日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练,得到用于异常检测器进行异常检测所需的特征空间。
本发明电子设备包括中央处理单元(CPU),其可以根据存储在只读存储器(ROM)中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)中的计算机程序指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
设备中的多个部件连接至I/O接口,包括:输入单元,例如键盘、鼠标等;输出单元,例如各种类型的显示器、扬声器等;存储单元,例如磁盘、光盘等;以及通信单元,例如网卡、调制解调器、无线通信收发机等。通信单元允许设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元执行上文所描述的各个方法和处理,例如方法S1~S3。例如,在一些实施例中,方法S1~S3可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述的方法S1~S3的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法S1~S3。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (12)

1.一种电力监控***时间序列异常检测方法,其特征在于,该方法包括以下步骤:
步骤S1、获取待检测设备运行的日志数据;
步骤S2、采用预训练的基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征,输出整段序列的特征中心点c;
步骤S3、基于当前时间序列的特征中心点c,采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测;其中,所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练所得的特征空间。
2.根据权利要求1所述的一种电力监控***时间序列异常检测方法,其特征在于,所述步骤S1中还包括对日志数据进行格式化预处理,具体为:将采集到的待检测设备运行日志数据提取成为一组向量,包括向量s表示日志键,代表这一条日志所描述的事件类型,向量vn和vc表示日志值,代表这一条日志中包含的事件取值,其中,vn表示连续日志值,vc表示离散日志值,离散值使用独热码one-hot方法来处理。
3.根据权利要求2所述的一种电力监控***时间序列异常检测方法,其特征在于,所述步骤S2中的基于事件门的长短期记忆神经网络LSTM的预训练过程具体为:
1)采集正常设备运行的日志数据并进行预处理;
2)将预处理后的整段序列输入至基于事件门的长短期记忆神经网络LSTM进行特征提取后,输出整段序列的特征中心点c,作为异常检测器中超球体的球心;
3)将提取出的向量序列切割成为等长的序列片段,每个片段表示一段时间跨度内设备的行为变化;
4)将每个序列片段输入到基于事件门的长短期记忆神经网络LSTM中,进行训练;如果当前序列在特征空间对应的点与特征中心点c的距离小于设定阈值r,则当前序列的梯度不进行回传,网络参数不更新,否则对当前序列的梯度进行回传,并更新网络参数;
5)训练完毕后构造出半径为r,球心为c的超球体,作为异常检测器进行异常检测所需的特征空间。
4.根据权利要求2所述的一种电力监控***时间序列异常检测方法,其特征在于,所述步骤S3具体为:若映射点在之前构造的超球体中,则表示该序列片段中的行为特征与正常行为一致;反之,则表示出现异常行为。
5.根据权利要求1所述的一种电力监控***时间序列异常检测方法,其特征在于,所述步骤S2中基于事件门的长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征具体为:在长短期记忆神经网络LSTM引入事件门,根据当前输入信息所属的事件,选择性地激活对应的神经元进行时间序列特征提取。
6.根据权利要求5所述的一种电力监控***时间序列异常检测方法,其特征在于,所述基于事件门的长短期记忆神经网络LSTM中的每个神经元采用的控制单元包括事件门、输入门、遗忘门和输出门,数学表达式分别为:
事件门:
es=σ(Wemtanh(Wmss+bm)+be) (1)
输入门:
Figure FDA0004082443230000021
/>
遗忘门:
Figure FDA0004082443230000022
输出门:
Figure FDA0004082443230000023
Figure FDA0004082443230000024
Figure FDA0004082443230000025
Figure FDA0004082443230000026
式中,es为当前事件对应的事件门取值,s为事件类型;it为输入门,决定了当前时刻的输入数据Xt影响到神经元状态的程度;ft为遗忘门,决定了神经元在上一时刻的状态ct-1保留到当前时刻的程度;ot为输出门,决定神经元当前时刻的状态影响到当前的输出值ot的程度;σ和tanh分别表示sigmoid函数和tanh函数,W和b均为可学习参数;°表示哈达玛积,属于长短期记忆神经网络LSTM中的peephole结构;
事件门根据当前输入信息所属的事件,选择性地激活对应的神经元。
7.根据权利要求6所述的一种电力监控***时间序列异常检测方法,其特征在于,所述基于事件门的长短期记忆神经网络LSTM的输入数据的数学表达式为:
x=s+k×(Wc×vc+tanh(Wn×vn))
式中,s为事件类型,vc为离散日志值,vn为连续日志值,k为超参数,Wc和Wn为可学习参数。
8.一种电力监控***时间序列异常检测***,其特征在于,该***包括:
日志数据采集模块,用于获取待检测设备运行的日志数据;
特征提取模块,用于采用预训练的基于事件门的长短期记忆神经长短期记忆神经网络LSTM提取预处理后日志数据的时间序列特征,输出整段序列的特征中心点c;
异常检测模块,用于基于当前时间序列的特征中心点c,采用异常检测器根据特征空间中的距离量度对当前时间序列进行异常检测;其中,所述特征空间为采用正常设备的运行日志数据对基于事件门的长短期记忆神经长短期记忆神经网络LSTM进行预训练所得的特征空间。
9.根据权利要求8所述的一种电力监控***时间序列异常检测***,其特征在于,所述日志数据采集模块中还设置有日志数据预处理子模块,用于对日志数据进行格式化预处理,包括将采集到的待检测设备运行日志数据提取成为一组向量,包括向量s表示日志键,代表这一条日志所描述的事件类型,向量vn和vc表示日志值,代表这一条日志中包含的事件取值,其中,vn表示连续日志值,vc表示离散日志值,离散值使用独热码one-hot方法来处理。
10.根据权利要求8所述的一种电力监控***时间序列异常检测***,其特征在于,所述特征提取模块中还设置有特征空间提取子模块,用于采用正常设备运行的日志数据对基于事件门的长短期记忆神经网络LSTM进行预训练,得到用于异常检测器进行异常检测所需的特征空间。
11.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~7中任一项所述的方法。
CN202310127049.2A 2023-02-16 2023-02-16 电力监控***时间序列异常检测方法、***、设备及存储介质 Pending CN116170200A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310127049.2A CN116170200A (zh) 2023-02-16 2023-02-16 电力监控***时间序列异常检测方法、***、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310127049.2A CN116170200A (zh) 2023-02-16 2023-02-16 电力监控***时间序列异常检测方法、***、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116170200A true CN116170200A (zh) 2023-05-26

Family

ID=86414380

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310127049.2A Pending CN116170200A (zh) 2023-02-16 2023-02-16 电力监控***时间序列异常检测方法、***、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116170200A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118114955A (zh) * 2024-04-29 2024-05-31 深圳市中科云科技开发有限公司 虚拟电厂的电力调度方法及相关设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118114955A (zh) * 2024-04-29 2024-05-31 深圳市中科云科技开发有限公司 虚拟电厂的电力调度方法及相关设备

Similar Documents

Publication Publication Date Title
El-Midany et al. A proposed framework for control chart pattern recognition in multivariate process using artificial neural networks
CN113887616B (zh) 一种epg连接数的实时异常检测方法
CN113255848B (zh) 基于大数据学习的水轮机空化声信号辨识方法
CN105675038B (zh) 一种仪表的故障预测装置
CN113298297B (zh) 一种基于孤立森林与wgan网络的风电输出功率预测方法
CN112414694B (zh) 基于多元状态估计技术的设备多级异常状态识别方法及装置
CN113569903A (zh) 数控机床刀具磨损预测方法、***、设备、介质、终端
Son et al. Deep learning-based anomaly detection to classify inaccurate data and damaged condition of a cable-stayed bridge
CN113988210A (zh) 结构监测传感网失真数据修复方法、装置及存储介质
CN116170200A (zh) 电力监控***时间序列异常检测方法、***、设备及存储介质
CN113438114A (zh) 互联网***的运行状态监控方法、装置、设备及存储介质
Tang et al. Prediction of bearing performance degradation with bottleneck feature based on LSTM network
CN117076869B (zh) 旋转机械时频域融合故障诊断方法及***
CN117592870A (zh) 基于水环境监测信息的综合分析***
CN117933531A (zh) 一种分布式光伏发电功率预测***及方法
CN116383645A (zh) 一种基于异常检测的***健康度智能监测评估方法
Chen et al. Machine learning-based anomaly detection of ganglia monitoring data in HEP Data Center
Zhang et al. Similarity analysis of industrial alarm floods based on word embedding and move-split-merge distance
CN114298413A (zh) 一种水电机组振摆趋势预测方法
Chen et al. Self-attention mechanism based dynamic fault diagnosis and classification for chemical processes
Liu et al. Prediction of hydraulic pumps remaining useful life based on LSTM and Transform with dual self-attention
CN117647725B (zh) Pcba的老化测试方法及***
CN116861204B (zh) 基于数字孪生的智能制造设备数据管理***
Li et al. An asynchronous gated recurrent network for estimating critical transition of bearing deterioration
CN117851953B (zh) 用水异常检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination