本發(fā)明涉及網(wǎng)絡流量，尤其涉及一種智能電網(wǎng)dos攻擊檢測方法、系統(tǒng)、介質、設備及程序。

背景技術：

1、本部分的陳述僅僅是提供了與本發(fā)明相關的背景技術信息，不必然構成在先技術。

2、dos攻擊通過發(fā)送大量偽造請求，占用網(wǎng)絡資源，使合法用戶無法正常訪問服務。dos攻擊手段多種多樣，包括但不限于洪水攻擊、ping?of?death、syn?flood和udp?flood等。通過消耗網(wǎng)絡帶寬、占用系統(tǒng)資源甚至導致服務器崩潰，嚴重破壞電力系統(tǒng)的正常通信過程。通信中斷不僅會影響電力系統(tǒng)的實時監(jiān)控、控制指令傳遞和報警信息傳輸，還可能導致關鍵服務的中斷，進而引發(fā)一系列連鎖反應，影響電力供應的穩(wěn)定性和可靠性。在最嚴重的情況下，dos攻擊可能導致電力系統(tǒng)的部分或全部癱瘓，給社會帶來巨大的經(jīng)濟損失和安全隱患。

3、現(xiàn)有技術中僅是用一種分類模型對網(wǎng)絡流量數(shù)據(jù)的dos攻擊進行檢測，檢測精度受分類模型本身的限制，檢測精度不高。

技術實現(xiàn)思路

1、為了解決上述背景技術中存在的技術問題，本發(fā)明提供一種智能電網(wǎng)dos攻擊檢測方法、系統(tǒng)、介質、設備及程序，本發(fā)明能夠用于智能電網(wǎng)中的dos攻擊檢測，旨在快速識別攻擊行為，確保智能電網(wǎng)的安全運行。

2、為了實現(xiàn)上述目的，本發(fā)明采用如下技術方案：

3、本發(fā)明的第一個方面提供一種智能電網(wǎng)dos攻擊檢測方法。

4、一種智能電網(wǎng)dos攻擊檢測方法，包括：

5、基于獲取的網(wǎng)絡流量數(shù)據(jù)集，分別采用線性回歸算法、分類器和隨機森林算法，得到三種特征集；將同一條網(wǎng)絡流量數(shù)據(jù)對應的三種特征進行合并，構建融合特征集；

6、將融合特征集和對應的數(shù)值標簽集作為輸入，分別采用支持向量機（svm）和決策樹，得到第一輸出集和第二輸出集；將第一輸出集、第二輸出集以及對應的數(shù)值標簽集輸入分類器，得到支持向量機的權重和決策樹的權重，以構建基于支持向量機和決策樹的多級決策模型；

7、考慮多種性能指標，構建綜合多維目標函數(shù)，對多級決策模型的超參數(shù)進行優(yōu)化，得到優(yōu)化后的多級決策模型，用于網(wǎng)絡流量的dos攻擊檢測。

8、進一步地，所述綜合多維目標函數(shù)，采用以下公式表示：

9、

10、其中，表示超參數(shù)向量；表示當前數(shù)據(jù)集；表示先驗信息表示獲取函數(shù)；表示性能指標的數(shù)量；是第c個性能指標的權重，為每個性能指標分配相同的權重；表示第c個性能指標的函數(shù)。

11、進一步地，所述將第一輸出集、第二輸出集以及對應的數(shù)值標簽集輸入分類器，得到支持向量機的權重和決策樹的權重，采用以下公式表示：

12、

13、其中，表示初步分類的預測值與訓練集中的數(shù)值標簽的差值，表示支持向量機的權重；表示決策樹的權重，表示訓練集中的數(shù)值標簽集，表示訓練集中的數(shù)值標簽。

14、進一步地，所述多種性能指標包括準確度、加權精確度、加權召回率和加權f1分數(shù)。

15、進一步地，所述對多級決策模型的超參數(shù)進行優(yōu)化，方法包括：采用貝葉斯優(yōu)化方法對多級決策模型的超參數(shù)進行優(yōu)化。

16、進一步地，所述將同一條網(wǎng)絡流量數(shù)據(jù)對應的三種特征進行合并，構建融合特征集，采用以下公式表示：

17、

18、其中，表示線性回歸算法篩選出的特征集；表示分類器篩選出的特征集；表示隨機森林算法篩選出的特征集；表示最終的融合特征集。

19、進一步地，在獲取的網(wǎng)絡流量數(shù)據(jù)集之后，還包括：將網(wǎng)絡流量數(shù)據(jù)集轉換成網(wǎng)絡流量數(shù)據(jù)表，對網(wǎng)絡流量數(shù)據(jù)表進行數(shù)據(jù)清洗，去除網(wǎng)絡流量數(shù)據(jù)表中的缺失值和重復值，并處理網(wǎng)絡流量數(shù)據(jù)表中的異常值。

20、進一步地，所述數(shù)值標簽集通過對標簽集進行編碼得到。

21、本發(fā)明的第二個方面提供一種智能電網(wǎng)dos攻擊檢測系統(tǒng)。

22、一種智能電網(wǎng)dos攻擊檢測系統(tǒng)，包括：

23、特征處理模塊，其被配置為：基于獲取的網(wǎng)絡流量數(shù)據(jù)集，分別采用線性回歸算法、分類器和隨機森林算法，得到三種特征集；將同一條網(wǎng)絡流量數(shù)據(jù)對應的三種特征進行合并，構建融合特征集；

24、模型訓練模塊，其被配置為：將融合特征集和對應的數(shù)值標簽集作為輸入，分別采用支持向量機和決策樹，得到第一輸出集和第二輸出集；將第一輸出集、第二輸出集以及對應的數(shù)值標簽集輸入分類器，得到支持向量機的權重和決策樹的權重，以構建基于支持向量機和決策樹的多級決策模型；

25、模型優(yōu)化模塊，其被配置為：考慮多種性能指標，構建綜合多維目標函數(shù)，對多級決策模型的超參數(shù)進行優(yōu)化，得到優(yōu)化后的多級決策模型，用于網(wǎng)絡流量的dos攻擊檢測。

26、本發(fā)明的第三個方面提供一種計算機可讀存儲介質。

27、一種計算機可讀存儲介質，其上存儲有計算機程序，該程序被處理器執(zhí)行時實現(xiàn)如上述第一個方面所述的智能電網(wǎng)dos攻擊檢測方法中的步驟。

28、本發(fā)明的第四個方面提供一種計算機設備。

29、一種計算機設備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述處理器執(zhí)行所述程序時實現(xiàn)如上述第一個方面所述的智能電網(wǎng)dos攻擊檢測方法中的步驟。

30、本發(fā)明的第五個方面提供一種計算機程序產(chǎn)品或計算機程序。

31、一種計算機程序產(chǎn)品或計算機程序，該計算機程序產(chǎn)品或計算機程序包括計算機指令，該計算機指令存儲在計算機可讀存儲介質中。計算機設備的處理器從計算機可讀存儲介質讀取該計算機指令，處理器執(zhí)行該計算機指令，使得該計算機設備執(zhí)行如上述第一個方面所述的智能電網(wǎng)dos攻擊檢測方法中的步驟。

32、與現(xiàn)有技術相比，本發(fā)明的有益效果是：

33、本發(fā)明提出了一種智能電網(wǎng)dos攻擊檢測方法，通過基于獲取的網(wǎng)絡流量數(shù)據(jù)集，首先對數(shù)據(jù)集中的數(shù)據(jù)進行數(shù)據(jù)清洗，去除數(shù)據(jù)集中的缺失值和重復值，并處理數(shù)據(jù)集中的異常值。其次，分別采用線性回歸算法、分類器和隨機森林算法，得到三種特征集；將同一條網(wǎng)絡流量數(shù)據(jù)對應的三種特征進行合并，構建融合特征集；將融合特征集和對應的數(shù)值標簽集作為輸入，分別采用支持向量機（svm）和決策樹，得到第一輸出集和第二輸出集；將第一輸出集、第二輸出集以及對應的數(shù)值標簽集輸入分類器，得到支持向量機的權重和決策樹的權重，以構建基于支持向量機和決策樹的多級決策模型；考慮多種性能指標，構建綜合多維目標函數(shù)，對多級決策模型的超參數(shù)進行優(yōu)化，得到優(yōu)化后的多級決策模型，用于網(wǎng)絡流量的dos攻擊檢測。本發(fā)明通過持續(xù)監(jiān)測智能電網(wǎng)中的網(wǎng)絡流量，綜合應用線性回歸算法、分類器和隨機森林算法三種方法提取流量特征，基于流量特征進行分析，本發(fā)明能夠更全面且精確地識別出對模型性能有重要影響的關鍵特征；通過多級決策模型對電網(wǎng)網(wǎng)絡流量進行實時分析，能夠識別正常流量模式并檢測潛在的異常行為，進而準確識別出影響電網(wǎng)穩(wěn)定性的dos攻擊異常流量，并基于分析結果為電網(wǎng)運營商提供決策支持，包括調整資源分配和優(yōu)化電網(wǎng)運行策略，從而提升電網(wǎng)系統(tǒng)的整體性能和可靠性。

34、本發(fā)明采用多性能指標構建綜合多維目標優(yōu)化模型能夠全面評估模型性能，避免單一指標無法反映模型在不同場景中的表現(xiàn)。通過同時優(yōu)化準確度、精度、加權召回率、加權f1分數(shù)等多個指標，可以平衡不同目標之間的沖突，找到各項指標的最優(yōu)平衡，從而避免過度偏向某一目標。此外，多目標優(yōu)化有助于提升模型的魯棒性，減少過擬合，使模型在應對復雜數(shù)據(jù)集和多變環(huán)境時表現(xiàn)更加穩(wěn)定，以提高dos攻擊檢測的魯棒性。