CN116488325A - 一种智能电网异常检测与分类方法、设备、可读存储介质 - Google Patents

Abstract

本发明属于电网异常检测技术领域，具体涉及一种智能电网异常检测与分类方法设备、可读存储介质；步骤1、获取合适的训练数据集，步骤2、构建异常检测与分类***(ADCS)，所述异常检测与分类***包括自编码和生成对抗网络架构，分为异常检测和异常分类两种情况下的体系结构；步骤3、训练异常检测与分类***网络，将训练数据预处理，使用滑动窗口格式化数据；步骤4、输入智能电网的测试数据集，将由正常和异常时间序列电测量组成的数据经过训练后的异常检测与分类***网络进行编码解码操作后输出得到异常检测和异常分类的结果；本发明解决现有技术中针对智能电网***的入侵检测速度不够快，精度不够高的技术问题。

Description

一种智能电网异常检测与分类方法、设备、可读存储介质

技术领域

本发明属于电网异常检测技术领域，具体涉及一种智能电网异常检测与分类方法设备、可读存储介质。

背景技术

目前工业物联网的快速发展将传统的电网带入了一种称为智能电网的新的数字范式，提供了更好地利用现有资源、普及控制和自我修复等显著好处。根据相关研究信息可知智能电网将组成最大的物联网应用。然而，智能技术的发展带来了严重的网络安全问题，原因是：必定存在不安全的遗留***，如工业控制***监控和数据采集，传输控制协议/互联网协议的脆弱性，以及智能技术引入的新攻击面。

拒绝服务、未经授权的访问和虚假数据注入构成了针对智能电网的预期攻击载体，并造成灾难性后果。第一个目标是相关***的可用性，而另一个则利用工业协议的漏洞来危害交换信息的机密性、完整性和真实性。

目前正处于大数据时代，深度学习作为一种新兴的技术，它可以通过大量数据的训练实现自主识别目标的特征，对防御快速发展的网络威胁和运行异常的及时检测有重要作用。但是深度学习依赖于大量的标记数据，之前的大部分工作都没有通过真实的智能电网环境和数据进行验证。

发明内容

本发明的目的是为了克服现有技术的不足，而提供一种智能电网异常检测与分类方法，以解决现有技术中针对智能电网***的入侵检测速度不够快，精度不够高的技术问题。

本发明的目的是这样实现的：一种智能电网异常检测与分类方法，它包括以下步骤：

步骤1、获取合适的训练数据集，包括两种情况：

第一种情况，在主终端单元的数据库中手动注入统计创建的异常样本，为多个智能电网环境创建一个由正常和异常时间序列电测量组成的数据集；

第二种情况，将入侵检测数据集与变电站环境的正常DNP3网络流相结合，生成由正常和恶意Modbus/TCP和DNP3网络流组成的数据集；

步骤2、构建异常检测与分类***(ADCS)，所述异常检测与分类***包括自编码和生成对抗网络架构，分为异常检测和异常分类两种情况下的体系结构；

步骤3、训练异常检测与分类***网络，将训练数据预处理，使用滑动窗口格式化数据，并在[0,1]的范围内规范化，然后输入异常检测与分类***网络中训练；

步骤4、输入智能电网的测试数据集，将由正常和异常时间序列电测量组成的数据经过训练后的异常检测与分类***网络进行编码解码操作后输出得到异常检测和异常分类的结果。

所述步骤2中生成对抗网络依赖于两个子神经网络，生成器G和鉴别器D，生成器G获取随机噪声数据并生成与真实数据相似的数据，鉴别器D对输入的数据样本尝试将其分类为真或假，生成对抗网络旨在推动和训练相互竞争的两个子网络，以便生成器G可以产生鉴别器D无法从真实数据中区分出来的数据，G和D之间的关系方程式如下表示：

G累积来自z空间的噪声Z，将其映射到D输入x所在的空间，P_data(x)和P_z(z)分别表示空间X和Z的概率分布；

自编码的网络结构是深度学习网络，通过将输入数据压缩和扩充到多层通道中来学习模拟输入数据；自动编码器由两个子网络组成，即编码器和解码器，编码子网络将空间X的输入数据压缩到流形F，相反，解码器子网络将流形F的数据膨胀为样本P，自动编码器体系结构的目标是帮助网络通过训练过程，产生类似于给定实际数据的样本；在训练过程之后，网络输入类似于训练数据的新数据，自动编码器体系结构的数据流水线公式如下所示。

r,p:

r:X→F,p:F→P

所述异常检测与分类***将自编码与生成对抗网络的组合联系，这种结合是通过将自动编码器体系结构封装到生成对抗网络的结构中来实现的；生成器采用解码器的形式，而鉴别器采用编码器的结构；

生成器-解码器接受噪声样本N×M的输入，其中N是样本中的噪声点的数目，而M是输入样本的数目；生成器-解码器对这些样本进行扩充，以产生模仿所需数据的样本；鉴别器-编码器将生成器-解码器的输出压缩到一个点，这是样本的有效性标签；此函数用于区分真假样本；在训练过程之后，从鉴别器-编码器子网络导出中间模型；该模型是鉴别器-编码器的一部分，用于异常检测过程；它包括输入层，直到网络输出之前的隐藏层；

对抗性损失是生成的样本与真实样本之间的差值；生成器-解码器学会产生正常样本，对抗损失越大，真实样本异常的概率就越高，下面的方程式描述了对手的损失：

AdvL(d_r,d_p)＝||d_r-d_p||

其中，AdvL(x)是生成对抗网络损失得分，d_r和d_p分别是真实样本和生成样本中潜在模型的预测。

所述异常检测与分类***体系结构只用一组正常样本进行训练，并且区分包含正常样本和异常样本的数据集中的异常值；整个网络的结构分为三个部分：输入层，生成器-解码器和鉴别器-编码器；

异常检测的输入层：输入层代表所提出的深度神经网络的输入；它采用大小为N的噪声向量，该噪声向量基于均值为μ和标准差为σ的均匀分布生成；

异常检测的生成器-解码器：生成器-解码器负责将大小为z＝10的随机噪声输入向量膨胀到大小M，其中M是特征的数量，而生成的数据模仿真实数据；它被训练来产生正常的样本；计算过程如下：

F₁＝σ(Conv(x))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝tanh(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化；

异常检测的鉴别器-编码器：鉴别器-编码器的作用是区分真实数据样本和生成的数据样本，即由生成器-解码器生成的样本；它采用代表数据实例样本的M个特征的向量；它通过多层通道将数据压缩成代表有效性层的单个点，即样本的二进制分类是真的还是假的；鉴别器-编码器与生成器-解码器一起训练，接收真实和生成的样本，每个样本都有真实标签；计算过程如下：

F₁＝Dr(σ(Conv(x)))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝Sigmoid(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化，Sigmoid表示非线性激活函数Sigmoid。

在所述异常分类情况下，用于异常分类的ADCS体系结构在用于异常检测的ADCS体系结构的基础上推导出，该情况下将异常检测和异常分类过程结合到单个深度神经网络中，产生三个基础真实点，一个用于样本的有效性，一个用于异常近似，一个描述样本的异常类别；该体系结构分为三个部分：输入层，生成器解码器和鉴别器-编码器；主要区别在于，该网络被设计为处理具有更少特征的多类数据；相比之下，用于异常检测的ADCS结构被设计为处理具有大量特征的一类和数据；

异常分类输入层：输入层接受大小为N的噪波向量输入和包含采样类的向量；随机噪声向量的元素服从正态分布，其中μ＝0，σ＝1；维度为[1×C]的标签向量是类位置为1的零向量；C表示给定数据集中存在的类的数量；样本的类别由c_p表示，c_p由以下公式导出；

c_p＝argmax(V_label)

其中，V_label是标签向量；

异常分类生成器-解码器：是用于异常检测的生成器-解码器的改进版本；在这种情况下，生成器-解码器输入输入层中解释的两个向量，并按顺序将它们连接起来，以便通过生成器-解码器的结构；计算过程如下：

F₀＝σ(Conv(x_t,x_f))

F_i＝σ(Conv(x)),i＝1,2,3

其中x_t是噪声向量，x_f是标签向量；

异常分类的鉴别器-编码器：鉴别器-编码器采用M个特征的输入向量，代表数据样本；所提出的结构不仅产生有效性近似，而且还产生引入样本的异常分类，鉴别器-编码器的输出包括两部分；第一部分是给定样本的有效性标签，用于区分样本的真伪；第二部分是一个标签向量，表示基于数据集中给定的类别对样本进行的多类分类；计算过程如下：

F_i＝σ(Conv(x)),i＝0,1,2

F_out1＝Softmax(Conv(x))

F_out2＝Sigmoid(Conv(x))

其中Softmax表示Softmax函数，F_out1是样本数据的分类结果，F_out2是样本数据的异常检测结果。

用于评估和验证所述智能电网异常检测与分类方法的四个真实智能电网评估环境分别是智能电网实验室，配电变电站，水电站和发电厂。

一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述的智能电网异常检测与分类方法。

一种计算机可读存储介质，所述计算机可读存储介质存储有执行所述的智能电网异常检测与分类方法的计算机程序。

本发明的有益效果：本发明的一种智能电网异常检测与分类方法，在使用的过程中，使用自编码网络对输入电力测量数据进行特征提取，整体采用自编码网络和生成对抗网络的结构，在模型中提出了用于异常检测的ADCS体系结构及其生成器-解码器和鉴别器-编码器结构，用于异常分类的ADCS体系结构及其生成器-解码器和鉴别器-编码器结构，深度学习模型架构实现了对智能电网的异常检测和分类，解决了异常检测问题，区分针对DNP3的五种网络攻击以及与运行数据(即时间序列电力测量)相关的潜在异常，并解决由14个类别(13个MODBUS/TCP网络攻击和正常实例)组成的具有挑战性的多类分类问题，在多种实际智能电网评估环境中的识别准确率优于现有方法。

附图说明

图1为本发明的自编码和对抗网络用于异常检测的体系结构。

图2为本发明的用于异常检测的生成器-解码器结构。

图3为本发明的异常检测的鉴别器-编码器结构。

图4为本发明的自编码和对抗网络用于异常分类的体系结构。

图5为本发明的异常分类的生成器-解码器结构。

图6为本发明的异常分类的鉴别器-编码器结构。

具体实施方式

下面结合附图对本发明做进一步的说明。

实施例1

本发明一种智能电网异常检测与分类方法，如图1所示，它包括以下步骤：

步骤1、获取合适的训练数据集，包括两种情况：

第一种情况，在主终端单元的数据库中手动注入统计创建的异常样本，为多个智能电网环境创建一个由正常和异常时间序列电测量组成的数据集；

第二种情况，将入侵检测数据集与变电站环境的正常DNP3网络流相结合，生成由正常和恶意Modbus/TCP和DNP3网络流组成的数据集；

步骤2、构建异常检测与分类***(ADCS)，所述异常检测与分类***包括自编码和生成对抗网络架构，分为异常检测和异常分类两种情况下的体系结构；

步骤3、训练异常检测与分类***网络，将训练数据预处理，使用滑动窗口格式化数据，并在[0,1]的范围内规范化，然后输入异常检测与分类***网络中训练；

步骤4、输入智能电网的测试数据集，将由正常和异常时间序列电测量组成的数据经过训练后的异常检测与分类***网络进行编码解码操作后输出得到异常检测和异常分类的结果。

所述步骤2中生成对抗网络依赖于两个子神经网络，生成器G和鉴别器D，生成器G获取随机噪声数据并生成与真实数据相似的数据，鉴别器D对输入的数据样本尝试将其分类为真或假，生成对抗网络旨在推动和训练相互竞争的两个子网络，以便生成器G可以产生鉴别器D无法从真实数据中区分出来的数据，G和D之间的关系方程式如下表示：

G累积来自z空间的噪声Z，将其映射到D输入x所在的空间，P_data(x)和P_z(z)分别表示空间X和Z的概率分布；

自编码的网络结构是深度学习网络，通过将输入数据压缩和扩充到多层通道中来学习模拟输入数据；自动编码器由两个子网络组成，即编码器和解码器，编码子网络将空间X的输入数据压缩到流形F，相反，解码器子网络将流形F的数据膨胀为样本P，自动编码器体系结构的目标是帮助网络通过训练过程，产生类似于给定实际数据的样本；在训练过程之后，网络输入类似于训练数据的新数据，自动编码器体系结构的数据流水线公式如下所示。

r,p:

r:X→F,p:F→P

所述异常检测与分类***将自编码与生成对抗网络的组合联系，这种结合是通过将自动编码器体系结构封装到生成对抗网络的结构中来实现的；生成器采用解码器的形式，而鉴别器采用编码器的结构；

生成器-解码器接受噪声样本N×M的输入，其中N是样本中的噪声点的数目，而M是输入样本的数目；生成器-解码器对这些样本进行扩充，以产生模仿所需数据的样本；鉴别器-编码器将生成器-解码器的输出压缩到一个点，这是样本的有效性标签；此函数用于区分真假样本；在训练过程之后，从鉴别器-编码器子网络导出中间模型；该模型是鉴别器-编码器的一部分，用于异常检测过程；它包括输入层，直到网络输出之前的隐藏层；

对抗性损失是生成的样本与真实样本之间的差值；生成器-解码器学会产生正常样本，对抗损失越大，真实样本异常的概率就越高，下面的方程式描述了对手的损失：

AdvL(d_r,d_p)＝||d_r-d_p||

其中，AdvL(x)是生成对抗网络损失得分，d_r和d_p分别是真实样本和生成样本中潜在模型的预测。

所述异常检测与分类***体系结构只用一组正常样本进行训练，并且区分包含正常样本和异常样本的数据集中的异常值；整个网络的结构分为三个部分：输入层，生成器-解码器和鉴别器-编码器；

异常检测的输入层：输入层代表所提出的深度神经网络的输入；它采用大小为N的噪声向量，该噪声向量基于均值为μ和标准差为σ的均匀分布生成；

异常检测的生成器-解码器：生成器-解码器负责将大小为z＝10的随机噪声输入向量膨胀到大小M，其中M是特征的数量，而生成的数据模仿真实数据；它被训练来产生正常的样本；计算过程如下：

F₁＝σ(Conv(x))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝tanh(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化；

异常检测的鉴别器-编码器：鉴别器-编码器的作用是区分真实数据样本和生成的数据样本，即由生成器-解码器生成的样本；它采用代表数据实例样本的M个特征的向量；它通过多层通道将数据压缩成代表有效性层的单个点，即样本的二进制分类是真的还是假的；鉴别器-编码器与生成器-解码器一起训练，接收真实和生成的样本，每个样本都有真实标签；计算过程如下：

F₁＝Dr(σ(Conv(x)))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝Sigmoid(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化，Sigmoid表示非线性激活函数Sigmoid。

在所述异常分类情况下，用于异常分类的ADCS体系结构在用于异常检测的ADCS体系结构的基础上推导出，该情况下将异常检测和异常分类过程结合到单个深度神经网络中，产生三个基础真实点，一个用于样本的有效性，一个用于异常近似，一个描述样本的异常类别；该体系结构分为三个部分：输入层，生成器解码器和鉴别器-编码器；主要区别在于，该网络被设计为处理具有更少特征的多类数据；相比之下，用于异常检测的ADCS结构被设计为处理具有大量特征的一类和数据；

异常分类输入层：输入层接受大小为N的噪波向量输入和包含采样类的向量；随机噪声向量的元素服从正态分布，其中μ＝0，σ＝1；维度为[1×C]的标签向量是类位置为1的零向量；C表示给定数据集中存在的类的数量；样本的类别由c_p表示，c_p由以下公式导出；

c_p＝argmax(V_label)

其中，V_label是标签向量；

异常分类生成器-解码器：是用于异常检测的生成器-解码器的改进版本；在这种情况下，生成器-解码器输入输入层中解释的两个向量，并按顺序将它们连接起来，以便通过生成器-解码器的结构；计算过程如下：

F₀＝σ(Conv(x_t,x_f))

F_i＝σ(Conv(x)),i＝1,2,3

其中x_t是噪声向量，x_f是标签向量；

异常分类的鉴别器-编码器：鉴别器-编码器采用M个特征的输入向量，代表数据样本；所提出的结构不仅产生有效性近似，而且还产生引入样本的异常分类，鉴别器-编码器的输出包括两部分；第一部分是给定样本的有效性标签，用于区分样本的真伪；第二部分是一个标签向量，表示基于数据集中给定的类别对样本进行的多类分类；计算过程如下：

F_i＝σ(Conv(x)),i＝0,1,2

F_out1＝Softmax(Conv(x))

F_out2＝Sigmoid(Conv(x))

其中Softmax表示Softmax函数，F_out1是样本数据的分类结果，F_out2是样本数据的异常检测结果。

用于评估和验证所述智能电网异常检测与分类方法的四个真实智能电网评估环境分别是智能电网实验室，配电变电站，水电站和发电厂。

一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述的智能电网异常检测与分类方法。

一种计算机可读存储介质，所述计算机可读存储介质存储有执行所述的智能电网异常检测与分类方法的计算机程序。

综上所述，本发明的一种智能电网异常检测与分类方法，在使用的过程中，使用自编码网络对输入电力测量数据进行特征提取，整体采用自编码网络和生成对抗网络的结构，在模型中提出了用于异常检测的ADCS体系结构及其生成器-解码器和鉴别器-编码器结构，用于异常分类的ADCS体系结构及其生成器-解码器和鉴别器-编码器结构，深度学习模型架构实现了对智能电网的异常检测和分类，解决了异常检测问题，区分针对DNP3的五种网络攻击以及与运行数据(即时间序列电力测量)相关的潜在异常，并解决由14个类别(13个MODBUS/TCP网络攻击和正常实例)组成的具有挑战性的多类分类问题，在多种实际智能电网评估环境中的识别准确率优于现有方法。

实施例2

本发明一种智能电网异常检测与分类方法，包括：

一、训练集和数据集的获取：

首先是构建合适的数据集。使用四个真实智能电网环境的电力数据，分别为智能电网实验室，配电变电站，水电站和发电厂。上述每个智能电网环境生成不同的操作数据，并且特点是设立了管理发电机、涡轮机和变压器等工业部件的操作的适当的区域管理单位。在第一种情况下，在主终端单元的数据库中手动注入统计创建的异常样本，从而为智能电网环境创建一个由正常和异常时间序列电测量组成的数据集。对于每个智能电网环境，该数据是不同的。在预处理步骤中，使用30个实例的滑动窗口格式化数据，并在[0,1]的范围内规范化。在第二种情况下，将入侵检测数据集与变电站环境的正常DNP3网络流相结合，生成了由正常和恶意Modbus/TCP和DNP3网络流组成的数据集。两个数据集都被标记，在第一种情况下，异常实例是已知的，而在第二种情况下，恶意IP是已知的。

二、构建一种智能电网异常检测与分类***体系结构

该结构将自编码与生成对抗网络的组合联系，通过将自动编码器体系结构封装到生成对抗网络的结构中来实现。生成器采用解码器的形式，而鉴别器采用编码器的结构。生成器-解码器接受噪声样本N×M的输入，其中N是样本中的噪声点的数目，而M是输入样本的数目。接下来，生成器-解码器对这些样本进行扩充，以产生模仿所需数据的样本。鉴别器-编码器将生成器-解码器的输出压缩到一个点，这是样本的有效性标签。此函数用于区分真假样本。在训练过程之后，从鉴别器-编码器子网络导出中间模型。该模型是鉴别器-编码器的一部分，用于异常检测过程。它包括输入层，直到网络输出之前的隐藏层。具体地说，它用于将输入维度降维到指定的潜在空间。两个样本通过中间模型：实际数据样本和生成样本。在这一点上，生成器-解码器已经学会了生成模拟正常样本的接近真实的数据。为了计算真实样本的异常分数，使用了对抗性损失函数。对抗性损失是生成的样本与真实样本之间的差值。由于生成器-解码器已经学会了产生正常样本，因此对抗损失越大，真实样本异常的概率就越高。下面的方程式描述了对手的损失：

AdvL(d_r,d_p)＝||d_r-d_p||

其中，AdvL(x)是生成对抗网络损失得分，d_r和d_p分别是真实样本和生成样本中潜在模型的预测。

用于异常检测的异常检测与分类***体系结构的方法，结构如图1所示。ADCS体系结构只用一组正常样本进行训练，并且可以区分包含正常样本和异常样本的数据集中的异常值。整个网络的结构可以分为三个部分：输入层，生成器-解码器和鉴别器-编码器。

异常检测的输入层：输入层代表所提出的DNN的输入。它采用大小为N的噪声向量，该噪声向量基于均值为μ和标准差为σ的均匀分布生成。

异常检测的生成器-解码器：生成器-解码器负责将大小为z＝10的随机噪声输入向量膨胀到大小M，其中M是特征的数量，而生成的数据模仿真实数据。它被训练来产生正常的样本。计算过程如下：

F₁＝σ(Conv(x))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝tanh(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化。

异常检测的鉴别器-编码器：鉴别器-编码器的作用是区分真实数据样本和生成的数据样本(即由生成器-解码器生成的样本)。它采用代表数据实例样本的M个特征的向量。它通过多层通道将数据压缩成代表有效性层的单个点(即样本的二进制分类是真的还是假的)。鉴别器-编码器与生成器-解码器一起训练，接收真实和生成的样本，每个样本都有真实标签。计算过程如下：

F₁＝Dr(σ(Conv(x)))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝Sigmoid(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化，Sigmoid表示非线性激活函数Sigmoid。

用于异常分类的异常检测与分类***体系结构的方法，结构如图4所示。在异常分类情况下，ADCS体系结构是在用于异常检测的体系结构的基础上进一步推导出来。该情况下将异常检测和异常分类过程结合到单个深度神经网络中。特别是，它产生了三个基础真实点，一个用于样本的有效性，一个用于异常近似和一个描述样本的异常类别。该体系结构还可以分为三个部分：输入层，生成器解码器和鉴别器-编码器。主要区别在于，该网络被设计为处理具有更少特征的多类数据。相比之下，用于异常检测的ADCS结构被设计为处理具有大量特征的一类和数据。

异常分类输入层：输入层接受大小为N的噪波向量输入和包含采样类的向量。随机噪声向量的元素服从正态分布，其中μ＝0，σ＝1。维度为[1×C]的标签向量是类位置为1的零向量。C表示给定数据集中存在的类的数量。样本的类别由c_p表示，c_p由以下公式导出。

c_p＝argmax(V_label)

其中，V_label是标签向量。

异常分类生成器-解码器：是用于异常检测的生成器-解码器的改进版本。在这种情况下，生成器-解码器输入输入层中解释的两个向量，并按顺序将它们连接起来，以便通过生成器-解码器的结构。计算过程如下：

F₀＝σ(Conv(x_t,x_f))

F_i＝σ(Conv(x)),i＝1,2,3

其中x_t是噪声向量，x_f是标签向量。

异常分类的鉴别器-编码器：鉴别器-编码器采用M个特征的输入向量，代表数据样本。由于所提出的结构不仅产生有效性近似，而且还产生引入样本的异常分类，因此，鉴别器-编码器的输出包括两部分。第一部分是给定样本的有效性标签，用于区分样本的真伪。第二部分是一个标签向量，表示基于数据集中给定的类别对样本进行的多类分类。计算过程如下：

F_i＝σ(Conv(x)),i＝0,1,2

F_out1＝Softmax(Conv(x))

F_out2＝Sigmoid(Conv(x))

其中Softmax表示Softmax函数，F_out1是样本数据的分类结果，F_out2是样本数据的异常检测结果。

三、利用数据集进行网络模型的训练：

本发明采用有监督训练的方式，首先对原始电力数据和对应的标签转化为张量后输入到模型当中进行异常检测和样本生成训练，然后将生成对抗网络得到的生成电力数据和对应的标签输入到模型当中进行异常检测和分类训练。本发明采用二进制交叉熵函数计算网络损失，将每次训练的批量大小设置为16，并设置等间隔调整学习率(StepLR)策略随着训练次数的增大相应的减小学习率来进行训练以达到更好的训练效果，其中将初始学习率设置为0.0002，衰减系数为0.98，每训练5次更新一次学习率，一共训练了500次。训练过程中使用RMSprop优化器编译。

四、使用训练好的网络模型进行预测并生成智能电网的异常检测和分类情况：

在训练结束后会得到模型的权重，接下来进入模型的预测阶段，本发明在预测时，使用训练好的异常检测与分类***网络进行预测，输入原始的电力数据，经过训练好的权重提取特征进行编码解码操作后输出便得到智能电网的异常检测结果和异常分类情况。

综述，本发明的一种智能电网异常检测与分类方法，在使用的过程中，使用自编码网络对输入电力测量数据进行特征提取，整体采用自编码网络和生成对抗网络的结构，在模型中提出了用于异常检测的ADCS体系结构及其生成器-解码器和鉴别器-编码器结构，用于异常分类的ADCS体系结构及其生成器-解码器和鉴别器-编码器结构，深度学习模型架构实现了对智能电网的异常检测和分类，解决了异常检测问题，区分针对DNP3的五种网络攻击以及与运行数据(即时间序列电力测量)相关的潜在异常，并解决由14个类别(13个MODBUS/TCP网络攻击和正常实例)组成的具有挑战性的多类分类问题，在多种实际智能电网评估环境中的识别准确率优于现有方法。

Claims (8)

1.一种智能电网异常检测与分类方法，其特征在于，它包括以下步骤：

步骤1、获取合适的训练数据集，包括两种情况：

第一种情况，在主终端单元的数据库中手动注入统计创建的异常样本，为多个智能电网环境创建一个由正常和异常时间序列电测量组成的数据集；

第二种情况，将入侵检测数据集与变电站环境的正常DNP3网络流相结合，生成由正常和恶意Modbus/TCP和DNP3网络流组成的数据集；

步骤2、构建异常检测与分类***(ADCS)，所述异常检测与分类***包括自编码和生成对抗网络架构，分为异常检测和异常分类两种情况下的体系结构；

步骤3、训练异常检测与分类***网络，将训练数据预处理，使用滑动窗口格式化数据，并在[0,1]的范围内规范化，然后输入异常检测与分类***网络中训练；

步骤4、输入智能电网的测试数据集，将由正常和异常时间序列电测量组成的数据经过训练后的异常检测与分类***网络进行编码解码操作后输出得到异常检测和异常分类的结果。

2.如权利要求1所述的一种智能电网异常检测与分类方法，其特征在于：所述步骤2中生成对抗网络依赖于两个子神经网络，生成器G和鉴别器D，生成器G获取随机噪声数据并生成与真实数据相似的数据，鉴别器D对输入的数据样本尝试将其分类为真或假，生成对抗网络旨在推动和训练相互竞争的两个子网络，以便生成器G可以产生鉴别器D无法从真实数据中区分出来的数据，G和D之间的关系方程式如下表示：

G累积来自z空间的噪声Z，将其映射到D输入x所在的空间，P_data(x)和P_z(z)分别表示空间X和Z的概率分布；

自编码的网络结构是深度学习网络，通过将输入数据压缩和扩充到多层通道中来学习模拟输入数据；自动编码器由两个子网络组成，即编码器和解码器，编码子网络将空间X的输入数据压缩到流形F，相反，解码器子网络将流形F的数据膨胀为样本P，自动编码器体系结构的目标是帮助网络通过训练过程，产生类似于给定实际数据的样本；在训练过程之后，网络输入类似于训练数据的新数据，自动编码器体系结构的数据流水线公式如下所示。

r:X→F,p:F→P。

3.如权利要求1所述的一种智能电网异常检测与分类方法，其特征在于：

所述异常检测与分类***将自编码与生成对抗网络的组合联系，这种结合是通过将自动编码器体系结构封装到生成对抗网络的结构中来实现的；生成器采用解码器的形式，而鉴别器采用编码器的结构；

生成器-解码器接受噪声样本N×M的输入，其中N是样本中的噪声点的数目，而M是输入样本的数目；生成器-解码器对这些样本进行扩充，以产生模仿所需数据的样本；鉴别器-编码器将生成器-解码器的输出压缩到一个点，这是样本的有效性标签；此函数用于区分真假样本；在训练过程之后，从鉴别器-编码器子网络导出中间模型；该模型是鉴别器-编码器的一部分，用于异常检测过程；它包括输入层，直到网络输出之前的隐藏层；

对抗性损失是生成的样本与真实样本之间的差值；生成器-解码器学会产生正常样本，对抗损失越大，真实样本异常的概率就越高，下面的方程式描述了对手的损失：

AdvL(d_r,d_p)＝||d_r-d_p||

其中，AdvL(x)是生成对抗网络损失得分，d_r和d_p分别是真实样本和生成样本中潜在模型的预测。

4.如权利要求1所述的一种智能电网异常检测与分类方法，其特征在于：

所述异常检测与分类***体系结构只用一组正常样本进行训练，并且区分包含正常样本和异常样本的数据集中的异常值；整个网络的结构分为三个部分：输入层，生成器-解码器和鉴别器-编码器；

异常检测的输入层：输入层代表所提出的深度神经网络的输入；它采用大小为N的噪声向量，该噪声向量基于均值为μ和标准差为σ的均匀分布生成；

异常检测的生成器-解码器：生成器-解码器负责将大小为z＝10的随机噪声输入向量膨胀到大小M，其中M是特征的数量，而生成的数据模仿真实数据；它被训练来产生正常的样本；计算过程如下：

F₁＝σ(Conv(x))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝tanh(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化；

异常检测的鉴别器-编码器：鉴别器-编码器的作用是区分真实数据样本和生成的数据样本，即由生成器-解码器生成的样本；它采用代表数据实例样本的M个特征的向量；它通过多层通道将数据压缩成代表有效性层的单个点，即样本的二进制分类是真的还是假的；鉴别器-编码器与生成器-解码器一起训练，接收真实和生成的样本，每个样本都有真实标签；计算过程如下：

F₁＝Dr(σ(Conv(x)))

F₂＝Dr(σ(Conv(x)))

F₃＝Conv(x)

F_out＝Sigmoid(Conv(x))

其中σ表示非线性激活函数ReLU，tanh表示非线性激活函数Tanh，Dr代表正则化，Sigmoid表示非线性激活函数Sigmoid。

5.如权利要求1所述的一种智能电网异常检测与分类方法，其特征在于：

在所述异常分类情况下，用于异常分类的ADCS体系结构在用于异常检测的ADCS体系结构的基础上推导出，该情况下将异常检测和异常分类过程结合到单个深度神经网络中，产生三个基础真实点，一个用于样本的有效性，一个用于异常近似，一个描述样本的异常类别；该体系结构分为三个部分：输入层，生成器解码器和鉴别器-编码器；主要区别在于，该网络被设计为处理具有更少特征的多类数据；相比之下，用于异常检测的ADCS结构被设计为处理具有大量特征的一类和数据；

异常分类输入层：输入层接受大小为N的噪波向量输入和包含采样类的向量；随机噪声向量的元素服从正态分布，其中μ＝0，σ＝1；维度为[1×C]的标签向量是类位置为1的零向量；C表示给定数据集中存在的类的数量；样本的类别由c_p表示，c_p由以下公式导出；

c_p＝argmax(V_label)

其中，V_label是标签向量；

异常分类生成器-解码器：是用于异常检测的生成器-解码器的改进版本；在这种情况下，生成器-解码器输入输入层中解释的两个向量，并按顺序将它们连接起来，以便通过生成器-解码器的结构；计算过程如下：

F₀＝σ(Conv(x_t,x_f))

F_i＝σ(Conv(x)),i＝1,2,3

其中x_t是噪声向量，x_f是标签向量；

异常分类的鉴别器-编码器：鉴别器-编码器采用M个特征的输入向量，代表数据样本；所提出的结构不仅产生有效性近似，而且还产生引入样本的异常分类，鉴别器-编码器的输出包括两部分；第一部分是给定样本的有效性标签，用于区分样本的真伪；第二部分是一个标签向量，表示基于数据集中给定的类别对样本进行的多类分类；计算过程如下：

F_i＝σ(Conv(x)),i＝0,1,2

F_out1＝Softmax(Conv(x))

F_out2＝Sigmoid(Conv(x))

其中Softmax表示Softmax函数，F_out1是样本数据的分类结果，F_out2是样本数据的异常检测结果。

6.如权利要求1所述的一种智能电网异常检测与分类方法，其特征在于：用于评估和验证所述智能电网异常检测与分类方法的四个真实智能电网评估环境分别是智能电网实验室，配电变电站，水电站和发电厂。

7.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的智能电网异常检测与分类方法。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1至6中任一项所述的智能电网异常检测与分类方法的计算机程序。