智能电网是现有电网在信息化时代发展下的产物,在国家基础设施建设方面占有重要地位。在智能电网的不断发展下,电网系统已从以前的比较封闭的形态逐步向开放、多变形态转变,同时受到“大数据、物联网、云计算、移动互联”等新技术的影响,智能电网面临的安全形式愈发严峻,如何对智能电网进行有效安全防护已是一个备受关注的重要课题。电力工控系统是智能电网的重要组成部分,就该系统安全防护而言,网络流量异常检测是需要考虑的一种重要技术防护措施。针对电力工控系统网络流量异常检测问题,目前主流研究方向之一是基于机器学习的网络流量异常检测技术,但是这方面的研究仍存在进一步研究空间。有鉴于此,本文基于机器学习,从样本数据类别自动标注的角度出发,展开电力工控系统网络流量异常检测技术的研究。首先,针对目前主流的基于机器学习的电力工控网络流量异常检测技术通常采取手工或半自动样本类别标注方式来标注训练样本所存在的浪费人力且影响检测准确性等问题,本文引入受限玻尔兹曼机(RBM)网络来学习网络流量报文数据的特征,通过层次聚类的思想构建自学习的多RBM基准模型来完成对样本类别的自动标注,在此基础上,进一步提出基于多RBM的网络异常流量检测方法M-RBM-AD。实验结果表明,M-RBM-AD可以完成流量数据的全自动类别标注,且具有较高的网络流量异常检测准确率。其次,更进一步,鉴于上述M-RBM-AD方法没有考虑运行效率方面的问题,同时考虑到异常流量检测准确率也有进一步提升空间,对M-RBM-AD方法加以改进研究,包括:使用主成分分析技术(PCA)来进行流量数据特征的降维,对RBM模型进行“剪枝处理”,使用标准化欧式距离进行RBM模型相似度计算,以及采用交错合并时间段提升方法的容错率。基于上述改进方法,形成基于多RBM的网络流量异常检测改进方法IM-RBM-AD。实验结果表明,和M-RBM-AD相比,改进后的方法实现了维度降低,运行效率提升明显,同时异常流量检测准确率也有一定的提升。最后,鉴于前述方法的基准模型中不能出示便于检测人员理解的显式流量特征,例如,应用类型的大分类Afn、大分类下的小分类Fn等等,考虑到决策树分类技术能够弥补这方面的不足,同时也为了进一步提升异常检测技术的性能,本文在前述样本数据类别自动标注研究工作以及对经典决策树分类方法进行改进的基础上,形成了基于改进决策树的网络流量异常检测方法I-DT-AD。实验结果表明,该方法在能体现网络流量显式特征的同时,与典型决策树方法以及前述IM-RBM-AD方法相比,还具有更高的异常流量检测准确率。另外,与IM-RBM-AD方法相比,其运行效率也没有明显降低。