引入交叉确认机制的安全态势评估模型

针对当前网络安全态势评估数据源较单一,评估结果欠准确等问题,提出了基于交叉确认机制的安全态势评估模型。该模型根据网络安全事件间的关联性以及告警信息的不确定性,提出多源告警信息交叉确认机制,利用模糊推理将海量的告警信息进行交叉确认,提取出可靠的评估信息,并结合静态评估数据进行安全态势评估。利用实例网络数据,对该模型进行了验证,实验结果表明该模型评估结果的全面性和准确性有很大程度的提高。     

融合网络安全信息的网络安全态势评估模型

提出了融合网络安全信息的网络安全态势评估模型,该模型对多源安全设备的告警信息和主机系统日志进行校验、聚集融合,从而整体上降低安全设备的误报率,然后综合告警信息威胁量化结果和网络中漏洞的脆弱性量化结果两部分信息,对网络安全进行态势量化评估。经实验证实该模型能够比较准确的反映网络安全运行态势。     

基于优化正则表达式的文本告警信息的提取和分析

目前,随着各种基于IT的应用系统变得越来越大、越来越复杂,如何分析其告警日志也变得越来越困难。该文介绍了一种基于优化正则表达式的文本告警信息提取分析方法,该方法对告警信息的二次处理和格式化输出是可动态配置的,它不但能够通过动态配置告警正则表达式来实现告警信息的提取,还能够按需生成需要的报告,包括告警的原始数据、统计报告和图表的输出等,这大大地减轻系统管理员和系统研发人员的对告警信息的分析工作。     

基于粗糙集的协作入侵检测系统信息合成方法

利用3种轻型检测器检测对系统的攻击,对检测器发出的告警信息在时间和空间两个方向上进行信息合成。由于描述攻击包含许多不确定信息,因此将粗糙集理论应用到告警信息空间方向上的合成。实验表明该方法不仅能降低无用和重复告警信息的发送,而且可以提高检测准确率。     

基于循环神经网络的电网故障智能告警信息分类研究

由于电网故障告警信息较为密集,现有方法没有考虑对数据离散化处理,导致增加分类算法难度,降低对样本分类能力.提出基于循环神经网络的电网故障智能告警信息分类方法.构建混合本体集成模型,利用基于本体的方法进行电网故障智能告警信息集成,对集成到的数据信息进行去噪、填补、离散化处理,获取优化的循环神经网络结构和参数,利用循环神经网络模型实现电网故障智能告警信息分类.结果 表明:所提方法得到的F1值和G-means值均要更高,分类耗时远远低于现有方法,分类平稳性较高,具有较好的实际应用价值.     

基于紧凑型有穷自动机模型的告警相关处理

在网络管理领域,告警相关（Alarm Correlation)是取代简单告警过滤机构的一种全新故障管理策略。通过在非确定型有穷自动机在(ndfa)的定义中引入状态基(State Cardinality)的概念,本文首先给出紧凑型有穷自动机（cfa）的定义,然后提出了基于紧凑型有穷自动机的告警相关处理模型并进行了详尽的描述。在一个电信管理网（TMN）的故障管理子系统中应用该模型对大量的告警信息在时间上和空间上进行告警相关处理。仿真结果表明,基于紧凑型有穷自动机的告警相关处理模型的算法实现具备简单、高效、实用和实时的特点,尤其对并发故障具有较强的相关处理能力。     

一个用于IDS告警分析的验证-聚类-关联模型

多步骤攻击是当前占据主流的攻击模式,但当前的入侵检测系统在检测这种攻击时存在告警冗余、告警孤立等问题.为解决这些问题,提出了一个验证-聚类-关联告警分析模型.该模型将验证、聚类、关联这3个告警分析环节结合在一起,逐层地对告警信息进行分析,通过验证过滤掉原始告警信息中的误报及无关信息,验证后的有效告警信息通过聚类生成无冗余的单步告警,再通过关联生成能描述攻击者意图的全局告警.对相关的算法与规则进行了描述,并通过几个实际的攻击场景验证了该模型的有效性.     

机组告警信息地面实时监控系统设计

机组告警信息对于保障民机飞行安全有着至关重要的作用,为了保障民机试飞地面安全实时监控任务,需要开发一套系统能够在试飞过程中精确地给出机组告警信息.机组告警信息内容来源于机上多个子系统,重点研究了如何从遥测接收的PCM流中精确解析出告警信息以及地面实时系统各个模块间的通信及功能设计.采用了典型的C/S (Client/Server)结构来搭建系统,通过对告警信息进行分类判决和设计虚警抑制机制实现了机组告警信息的正确解析.经多个飞行起落验证,该系统运行稳健,告警信息与机上显示内容相符,可满足地面指挥和试飞工程师的监控需求.该系统为民机试飞任务的顺利进行提供了保障,值得后续民机型号借鉴.     

网络安全态势感知在安全管理平台中的应用研究

本文介绍了态势感知理论和经典模型,提出了一种面向安全管理平台（SOC）的态势感知模型。模型通过对IT资源的要素信息采集、事件预处理、事件归一化,进行态势评估、业务评估、预警响应和态势可视化。模型还引入了数据挖据,作为对数据融合的补充。同时介绍了一个基于该模型的安全管理平台实例,展示了其实际应用效果。     

基于数据挖掘的网管告警处理方法研究

为了方便电力行业网管人员能够快速的从这些告警中找到有用信息,迅速的定位设备故障。本文设计了由接口告警采集、故障处理系统、告警相关性分析模块等构成处理框架。采用过滤告警、补全缺值数据、去重等方式进行数据预处理。通过告警发现和相关性分析机制实现告警的匹配和识别,利用基于关联规则的方法对告警信息挖掘。采用本文设计的方法,能够有效的实现网管系统的告警信息的挖掘分析,提高网管的效率。     

基于SVM和模糊逻辑的告警相关性分析*

针对网络故障诊断中现有告警关联算法存在的网络动态适应性差、关联误报率高等问题,提出了一种基于支持向量机(support vector machine,SVM)和模糊逻辑的告警相关性分析算法。该算法在数据预处理部分采用滑动时间窗、时序模糊以及特征统计的方法解决了网络不确定性和数据格式规范化的问题,并通过SVM训练和识别完成相关性分析。DARPA攻击数据集测试结果表明,该算法误报、漏报率低,压缩率大,网络动态适应性好,提高了告警关联效率。     

综合网络管理系统中告警系统的研究与设计*

根据告警规则,采用消息队列的方式,完成了一个综合网管系统中客户端告警系统的设计,解决了通信网路发生性能劣化或故障时,不能准确定位,障碍历时长等问题,给设备的监测维护带来方便,最后给出了该告警系统图形用户接口的实现。     

基于时变模型辨识的高速列车复合故障诊断

高速列车信息控制系统因运行条件异常变化或操作不当会造成电机警告级高温、电机电流异常变化、电机转子断条以及气隙偏心等运行故障.这些随机发生的复合故障会影响速度等级和牵引力/制动力的调节,且难以采用基于单故障诊断方法建模故障与速度的关系,以及诊断报警等级.对此,提出一种基于Takagi-Sugeno(T-S)时变模型辨识的高速列车复合故障诊断方法.首先,采用多元统计检测指标离线辨识故障阈值并建立复合故障时变模型;然后,借助模糊聚类算法辨识故障特征值集合,利用模糊加权最小二乘法在线估计故障幅值并进行参数收敛性分析.最后,设计故障分离机制以刻画不同故障模式的报警等级并给出稳定性分析.基于CRH5G型高速列车实际运行数据的仿真结果验证了所提出方法的有效性.     

Efficient residuals pre-processing for diagnosing multi-class faults in a doubly fed induction generator,under missing data scenarios

This paper focuses on the development of a pre-processing module to generate the latent residuals for sensor fault diagnosis in a doubly fed induction generator of a wind turbine. The pre-processing module bridges a gap between the residual generation and decision modules. The inputs of the pre-processing module are batches of residuals generated by a combined set of observers that are robust to operating point changes. The outputs of the pre-processing module are the latent residuals which are progressively fed into the decision module, a dynamic weighting ensemble of fault classifiers that incrementally learns the residuals-faults relationships and dynamically classifies the faults including multiple new classes.The pre-processing module consists of the Wold cross-validation algorithm along with the non-linear iterative partial least squares (NIPALS) that projects the residual to the new feature space, extracts the latent information among the residuals and estimates the optimal number of principal components to form the latent residuals. Simulation results confirm the effectiveness of this approach, even in the incomplete scenarios, i.e., the missing data in the batches of generated residuals due to sensor failures.     

An Automated Fault Diagnosis System Using Hierarchical Reasoning and Alarm Correlation

The increasing importance of computer networks in this information age demands a high level of network availability and reliability. As we become more dependent on networks in our so-called cyber-world, network faults and downtime become very costly. Sometimes, a slight fault may cause critical disruptions or remediless damages to the network while the network manager is lost among a large amount of alarm messages. Therefore, the development of a practical and effective system for network fault diagnosis becomes an imperative and critical task. In this paper, we develop a hierarchical domain-oriented reasoning mechanism suitable for the delegated management architecture. It is based on the causality graph of a refined network fault propagation model as a result of our empirical study. An automated fault diagnosis system called Alarm Correlation View (or ACView) for isolating network faults in a multi-domain environment is proposed according to the hierarchical reasoning mechanism. This diagnosis system not only provides the process of automated alarm collection and correlation, but also serves the function of efficient fault localization and identification. Furthermore, an alarm-to-fault mapping strategy is used to enhance the fault reasoning capability for uncertain network fault propagation.     

基于局部信息增量与MPLS的质量相关故障检测方法

在工业生产中,对系统进行故障检测具有十分重要的作用.改进的偏最小二乘(modified partial least squares,MPLS)是在PLS基础上提出的一种扩展算法,在质量相关故障检测中具有良好的检测效果,但当测试数据中含有质量无关故障时,MPLS算法漏报率较高.另外,MPLS算法的阈值为固定值会导致其误报率增加,这些问题会对工业过程监控产生较大影响.鉴于此,提出一种基于局部信息增量与MPLS的质量相关故障检测方法(local information increment-MPLS,LII-MPLS).在MPLS基础上,通过使用局部信息增量技术对测试数据进行实时更新检测后,质量相关故障的漏报率明显降低.同时,过程复杂化导致静态控制限不能满足故障检测的需求,现存的动态控制限适用范围具有一定局限性,因此改进静态控制限将其推广为局部动态阈值.最后,通过田纳西伊士曼过程(Tennessee Eastman process,TEP)仿真实验验证了所提出算法的有效性.     

基于信息增量矩阵的故障诊断方法

主元分析(Principal component analysis, PCA)是一种常用的故障检测方法,由于特征提取不准确, 在用于故障诊断时常存在误报率和漏报率较高的现象.为此,本文首先介绍了基于全局的协方差矩阵的信息增量矩阵的故障诊断方法,虽然相比PCA方法它能有效减少误报率和漏报率, 但随着采样样本的增加,会因计算得到的阈值越来越不具代表性和计算量较大等原因而影响该方法的性能.然后,建立了基于局部数据的移动窗口协方差矩阵的信息增量矩阵的故障诊断方法, 以克服上述方法中存在的不足. 该方法主要通过定义局部协方差矩阵、局部信息增量矩阵、局部信息增量均值、 局部动态阈值、异常检测与判定等过程完成.最后,通过两个数值仿真例子来验证PCA方法、 基于全局的协方差矩阵的信息增量矩阵方法以及本文方法在故障误报和漏报方面的检测效能. 实验结果表明,本文方法具有最好的检测性能.     

面向轴承早期故障检测的多尺度残差注意力深度领域适配模型

针对由工作环境和设备状况的差异引起的轴承早期故障检测模型可靠性差、误报警率高的问题，根据早期故障检测的特点和需求，提出一种多尺度注意力深度领域适配模型。首先，将监测信号处理成由原始信号、希尔伯特-黄变换边际谱、频谱组成的三通道数据；然后，通过在残差注意力模块中增加不同尺寸的滤波器以提取多尺度深度特征，使用卷积-反卷积操作来重构输入信息从而获得注意力信息，并且将注意力信息与多尺度特征融合构建了一种多尺度残差注意力模块，用于提取对早期故障表征能力更强的注意力特征；其次，在所提取到的注意力特征基础上，构建基于交叉熵和最大均值差异（MMD）正则化约束的损失函数来实现领域适配；最后，采用随机梯度下降算法进行网络参数优化，构建端到端的早期故障检测模型。在IEEE PHM-2012数据挑战赛数据集上的实验结果表明，与8种代表性的早期故障检测和诊断方法以及迁移学习算法相比，所提方法能够在不延迟报警时间点的前提下，分别比8种方法的平均误报警率降低了62.7%和61.3%，有效提高了早期故障检测的鲁棒性。     

面向轴承早期故障检测的多尺度残差注意力深度领域适配模型

针对由工作环境和设备状况的差异引起的轴承早期故障检测模型可靠性差、误报警率高的问题,根据早期故障检测的特点和需求,提出一种多尺度注意力深度领域适配模型。首先,将监测信号处理成由原始信号、希尔伯特-黄变换边际谱、频谱组成的三通道数据;然后,通过在残差注意力模块中增加不同尺寸的滤波器以提取多尺度深度特征,使用卷积-反卷积操作来重构输入信息从而获得注意力信息,并且将注意力信息与多尺度特征融合构建了一种多尺度残差注意力模块,用于提取对早期故障表征能力更强的注意力特征;其次,在所提取到的注意力特征基础上,构建基于交叉熵和最大均值差异（MMD）正则化约束的损失函数来实现领域适配;最后,采用随机梯度下降算法进行网络参数优化,构建端到端的早期故障检测模型。在IEEE PHM-2012数据挑战赛数据集上的实验结果表明,与8种代表性的早期故障检测和诊断方法以及迁移学习算法相比,所提方法能够在不延迟报警时间点的前提下,分别比8种方法的平均误报警率降低了62.7%和61.3%,有效提高了早期故障检测的鲁棒性。