(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111458266.7 (22)申请日 2021.12.01 (71)申请人 广东电网有限责任公司江门供电局 地址 529000 广东省江门市蓬江区建 设二 路152号 申请人 广东电网有限责任公司 (72)发明人 徐伟斌　赖奎　武建平　潘松波　 胡泰　杨玺　张伟堂　麦远超　 吴力科　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 李秋梅 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01)G06N 20/00(2019.01) (54)发明名称 基于孤立森 林的配电终端DTU入侵检测方法 及系统 (57)摘要 本发明涉及电网安全技术领域， 公开了一种 基于孤立森 林的配电终端DTU入侵检测方法及系 统， 其通过配电终端网关搜索套接字对象获得配 电终端数据， 并对配电终端数据预处理， 建立原 始特征库， 基于潜在狄立克雷分配技术对原始特 征库进行降维处理， 在原始特征库中筛选出预设 数量的特征构成最佳特征集； 基于孤立森林的改 进算法对最佳特征集进行训练， 得到隔离树以构 建入侵异常检测器， 通过入侵异常检测器对进入 配电终端DTU的数据进行入侵检测。 从而提高了 配电终端 入侵检测处理效率和检测准确性。 权利要求书4页 说明书10页 附图1页 CN 114143095 A 2022.03.04 CN 114143095 A 1.一种基于孤立森林的配电终端DT U入侵检测方法， 其特 征在于， 包括以下步骤： 基于配电终端网关搜索套接 字对象， 从而获得配电终端数据； 对所述配电终端数据预处理， 建立原始特征库， 基于潜在狄立克雷分配技术对所述原 始特征库进行降维处 理， 在所述原 始特征库中筛 选出预设数量的特 征构成最佳 特征集； 基于孤立森林的改进算法对所述最佳特征集进行训练， 直到训练迭代收敛， 从而得到 隔离树以构建入侵异常检测 器， 通过所述入侵异常检测器对进入配电终端DTU的数据进行 入侵检测。 2.根据权利要求1所述的基于孤立森林的配电终端DTU入侵检测方法， 其特征在于， 所 述对所述配电终端数据预处理， 建立原始特征库， 基于潜在狄立克雷分配技术对所述原始 特征库进 行降维处理， 在所述原始特征库中筛选出预设数量的特征构成最佳特征集的步骤 具体包括： 通过下式1计算配电终端DTU向配电终端网关数据上传的平均上传速率Vupload： 式1中， T为一个DTU数字脉冲信号的全宽码， N为一个数字脉冲信号所设置的有效离散 值总个数， n表示数据包的总数， i表示第i个数据包； 通过下式2计算配电终端DT U与配电终端网关的连接时间tconnect： tconnect＝tclose‑topen                 式2 式2中， tclose表示断开连接时的时刻， topen表示开始连接时的时刻； 通过下式3计算配电终端DT U的平均数据接收量Hreceive： Hreceive＝Vupload×tconnect                式3 式3中， Vupload表示平均上传速率， tconnect表示配电终端DT U与配电终端网关的连接时间； 将平均上传速率Vupload、 连接时间tconnect和平均数据接收量Hreceive作为原始数据集； 利用潜在狄立克雷分配技术通过下式4和5分别计算原始数据集的类内散度矩阵Sb和类 内散度矩阵Sw： 式4、 5中， μj(j＝1,2…k)为第j个原始数据的均值向量， μ为所有原始数据的均值向量， Nj为第j个原始数据的数量， x为原始数据列向量， T为矩阵的转置， k为原始数据的总数， Xj为 第j个原始数据集； 通过下式6构建优化 函数为， 式6中， J(w)表示优化 函数， 投影矩阵W； 对优化函数求偏导， 令偏导数等于 0， 得到式7为，权　利　要　求　书 1/4 页 2 CN 114143095 A 2(wTSww)Sbw＝(wTSbw)Sww               式7 将式7代入式6得到式8为， Sbw＝ λSωw 式8中λ为优化 函数， 通过对式8进行 数学运算得到式9为， 将式9中 进行特征值分解， 选择最大特征值对应的预设维度个特征向量组成投影 矩阵w， 从而对原 始数据集进行降维； 在降维后的原 始数据集中筛 选出预设数量的特 征构成最佳 特征集。 3.根据权利要求1所述的基于孤立森林的配电终端DTU入侵检测方法， 其特征在于， 所 述基于孤立森林的改进算法对所述最佳特征集进行训练， 直到训练迭代收敛， 从而得到隔 离树以构建入侵异常检测器， 通过所述入侵异常检测器对进入配电终端DTU的数据进行入 侵检测的步骤具体包括： 将所述最佳特征集放入单棵树的根节点， 通过多次抽取， 构建出多棵子森林异常检测 树； 在每棵子森林异常检测树中， 随机选取一个特征， 在选取的一个特征的所有值范围内 的最大值和最小值之间随机选取一个值作为切割点ω， 基于切割点ω生成超平面， 对所述 最佳特征集进 行二叉划分， 从而将所述最佳特征集中小于切割点ω的特征放入当前子森林 异常检测树的左边， 将所述最佳特征集中大于切割点ω的特征放入当前子森林异常检测树 的右边， 从而建立当前子森林异常检测树对应的特 征数据集为： 式10、 11中， i表示层 数， j表示孤立树中前一层从右到左第j个特征数据， r和l分别表示 右边和左 边， j*表示第i+1层从右到左的第j*个节点， ， 表示左节点第i+1层的从左到 右的第j个数据， θij表示某层所包 含的数据集； 重复上一步骤， 不断生成新的节点， 直到满足终止条件为止， 输出多个子森林异常检测 树构成异常检测基森林， 所述终止条件为特征数据不可再分和/或子森林异常检测 树的高 度已达到预设的限定高度； 以队列方式依次向预设的可流动 堆输入特征数据， 通过异常检测基森林判断输入至所 述预设的可流动堆的特 征数据是否异常， 从而得到异常特 征数据； 若所述预设的可流动堆中数据存储空间已满， 则将最先进入所述预设的可流动 堆中的 特征数据进行清除， 并使新进入所述预设的可流动堆的特征数据排在队列最后， 根据异常 特征数据通过 下式12计算此时的所述预设的可流动堆的特 征异常指数α： m为当前预设的可流动堆中异常特征数据的个数； mall为当前预设的可流动堆中的所有 数据个数； 将特征异常指数α与预定的特征异常阈值α0进行比较， 若特征异常指数α超过预定的特权　利　要　求　书 2/4 页 3 CN 114143095 A 3