技术摘要：
本发明公开了一种电力监控系统用户异常行为分析方法、存储介质和设备，采集电力监控系统中反映用户行为的数据；对采集到的反映用户行为的数据进行预处理生成待识别的用户行为数据；通过预先离线训练构建的强分类器对待识别的用户行为数据进行在线识别，识别出用户异常  全部
背景技术：
近年来随着各类网络化应用的不断拓展和深化，计算机病毒、木马、黑客攻击等恶 意网络攻击行为日益猖獗，网络安全事件进入了高发期，网络信息战和网络恐怖行动等国 家、集团性网络攻击行为对全社会的生产生活都造成严重影响。电力监控系统作为电力系 统的关键信息基础设施，已被不少国家视为“网络战”的首选攻击目标。近年来，以色列、乌 克兰等国家相继发生了电力监控系统被入侵而导致电力供应中断的事件，给当地人民群众 的生产生活造成了极大损失。 随着能源互联网的全面推进，作为电网调度控制中枢的电力监控系统的智能化、 网络化水平不断提升，同时以高级持续性网络攻击(APT)为代表的网络攻击行为新变种层 出不穷，其威胁也日益严重，给电力监控系统安全防护工作带来了严峻挑战。早期人们通常 采用端口扫描、报文特征字段匹配等方法对电力监控系统用户异常行为进行分析和检测， 随着网络攻击行为的不断变化，依靠人工对用户异常行为进行分析以获取特征的代价越来 越高昂甚至不可行。随着人工智能技术的发展，机器学习技术更多地被用于从网络数据中 自动计算异常行为模式、提取其特征、自动产生检测规则，大大降低了用户异常行为的检测 代价。根据是否需要对样本数据进行人工标记，基于机器学习的用户异常行为检测方法大 致分为：(1)基于无监督学习的方法，如聚类、SOM(自组织图)等方法，但是该类方法存在模 型可读性差导致准确性低以及训练开销过高等不足；(2)监督学习方法，如隐马尔科夫模 型、贝叶斯网络、决策树及SVM支持向量机等，在准确性、模型可读性等方面优于无监督学 习，但其训练样本需要全部进行人工标记，开销巨大；(3)半监督学习又称协同学习方法，相 比前两者，可以使用部分标记的训练样本数据，通过生成的若干成员分类器进行协作，挖掘 蕴含在无标记训练样本中的信息，从而在降低标记训练样本数据的开销前提下兼顾检测准 确性。半监督学习方法多采用支持向量机、决策树等传统机器学习方法作为核心分类模型 来构建分类器，在处理大规模数据集时模型训练会遇到性能瓶颈，识别准确率无法得到进 一步提高。 近年来，以神经网络为代表的深度学习技术发展较快，应用于大规模数据时，模型 识别准确率明显优于其他机器学习模型，但是却面临着收敛速度慢的问题。深度神经网络 模型为了提升识别准确率，需要有足够的网络深度。然而，随着网络深度的增大，梯度值在 网络中传递时会出现指数级增长或消减，从而导致有效信息被过分夸大或隐瞒，出现梯度 爆炸或梯度消失等问题，严重影响深度神经网络模型的识别精度与收敛速度，导致识别电 力监控系统用户异常行为的准确率不高。 5 CN 111598179 A 说　明　书 2/7 页
技术实现要素：
为解决现有技术中的不足，本发明提供一种电力监控系统用户异常行为分析方 法、存储介质和设备，解决了电力监控系统用户异常行为在线识别不准确的问题。 为了实现上述目标，本发明采用如下技术方案：一种电力监控系统用户异常行为 分析方法，包括步骤： 采集电力监控系统中反映用户行为的数据； 对采集到的反映用户行为的数据进行预处理生成待识别的用户行为数据； 通过预先离线训练构建的强分类器对待识别的用户行为数据进行在线识别，识别 出用户异常行为并发出告警。 进一步的，强分类器离线训练构建过程为： 1)构建多级残差全连接神经网络模型； 2)基于多级残差全连接神经网络模型进行弱分类器集群的初始化构建； 3)采用加权多数表决法将弱分类器集群线性组合成强分类器。 进一步的，所述多级残差全连接神经网络模型包括：输入层、残差全连接层、输出 层与Softmax层； 输入层用于将有标记的训练样本数据作为输入向量； 残差全连接层的层数有一个或者多个，每个残差全连接层对应一个一级残差块； 每个一级残差块内包括三个二级残差块，第三个二级残差块的输入由第一个二级残差块的 输入与第二个二级残差块的输出构成； 每个二级残差块内包括三个隐含层和一个批标准化BN层； 输出层根据残差全连接层的输出结果，分别计算训练样本数据与不同类型用户行 为的匹配值并输出； Softmax层根据输出层的计算结果，计算训练样本数据中的每一条记录分别对应 用户正常行为和用户异常行为的概率值。 进一步的，所述二级残差块内的四个层的数据处理公式如下所示： 第一隐含层： 第二隐含层： 第三隐含层： BN层：O＝BN[a[3]]   (4) 其中，x为第一隐含层的输入，w[i]为第i隐含层的权重矩阵，b[i]为第i隐含层的偏 置向量，z[i]为第i隐含层对其输入向量进行线性连接操作的结果，a[i]为第i隐含层的输出， BN[ ]表示对第三隐含层的输出进行归一化处理，O表示经过BN层进行归一化处理后的结 果； leaky_ReLU( )为激活函数： 6 CN 111598179 A 说　明　书 3/7 页 m为激活函数的变量； 所述训练样本数据与不同类型用户行为的匹配值，计算公式如下所示： P＝w[p]·a[h] b[p]   (5) 其中，a[h]为残差全连接层的输出结果，w[p]为输出层的权重矩阵，b[p]为输出层的 偏置向量，P的维度为2，其中，第一维向量P0表示训练样本数据与用户正常行为的匹配值， 第二维向量P1表示训练样本数据与用户异常行为的匹配值； 所述训练样本数据中的每一条记录分别对应用户正常行为和用户异常行为的概 率值的计算公式如下所示： 其中，Sj表示输入的训练样本数据中每一条用户行为数据对应用户正常行为和用 户异常行为的概率值，j＝0表示用户正常行为，j＝1表示用户异常行为，e为自然常数。 进一步的，所述基于多级残差全连接神经网络模型进行弱分类器集群的初始化构 建，包括： 基于识别用户行为的训练样本数据，以多级残差全连接神经网络模型为核心分类 模型，选取不同的训练样本子集、设置不同的残差全连接层层数，对该核心分类模型进行离 线训练，生成多个具有差异性的弱分类器，得到弱分类器集群。 进一步的，所述采用加权多数表决法将弱分类器集群线性组合成强分类器包括： 基于相同的测试样本数据集分别计算训练后的每一个弱分类器的分类误差率，第 k个弱分类器Gk(y)的分类误差率rk为分类错误的测试样本数据条数与测试样本数据总条数 的比值，则第k个弱分类器Gk(y)的投票表决权重ck的计算公式为： ck＝log((1-rk)/rk)/2   (7) 基于投票表决权重将多个弱分类器线性组合成一个强分类器E(y)： 其中，K表示组成强分类器的弱分类器个数，将所有弱分类器判断为用户正常行为 的概率值和判断为用户异常行为的概率值分别与投票表决权重相乘后线性累加的结果最 大值对应的用户行为类型作为识别结果输出。 进一步的，所述反映用户行为的数据至少包括流量特征、系统日志、系统告警数 据。 进一步的，所述预处理包括数据清洗、删除含有缺失值和异常值的记录。 一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指 令，所述指令当由计算设备执行时，使得所述计算设备执行前述的电力监控系统用户异常 行为分析方法中的任一方法。 一种计算设备，包括， 一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所 7 CN 111598179 A 说　明　书 4/7 页 述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行 电力监控系统用户异常行为分析方法中的任一方法的指令。 本发明所达到的有益效果：本发明基于电力监控系统的流量特征、系统日志、系统 告警等能够反映用户行为的原始数据构建训练样本，构建多级残差全连接神经网络模型， 在此基础上采用混合扰动方法构建初始弱分类器集群，计算各弱分类的识别误差率，通过 加权多数表决法将弱分类器线性组合成强分类器，用于对电力监控系统用户异常行为进行 在线识别，识别精度高。 附图说明 图1是本发明