CN106817363B - 基于神经网络的智能电表异常检测方法 - Google Patents
基于神经网络的智能电表异常检测方法 Download PDFInfo
- Publication number
- CN106817363B CN106817363B CN201611211365.4A CN201611211365A CN106817363B CN 106817363 B CN106817363 B CN 106817363B CN 201611211365 A CN201611211365 A CN 201611211365A CN 106817363 B CN106817363 B CN 106817363B
- Authority
- CN
- China
- Prior art keywords
- data
- flow
- measurement
- field
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/06—Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于神经网络的智能电表异常检测方法,检测方法基于AMI获取智能电表的流量数据,基于网络协议分析对流量数据的字段建立观测测度,通过标准训练数据集和神经网络方法确定检测模型,通过在网闸入口处的旁路手段建立采集接口,实时获取流量测度,并通过检测模型检测出智能电表中流量可能包含的异常行为,这些行为可能是由于设备故障导致的故障流量,或者设备的操作系统被入侵控制后产生的攻击流量,或者采集线路被中间人攻击后注入的攻击流量。该检测方法可以有效的发现未知攻击手段产生的攻击形式,克服了基于规则的方法无法有效对未知攻击类型检测检测的弱点,提高了系统的安全性。
Description
技术领域
本发明涉及智能电网网络安全领域,具体涉及一种基于神经网络的智能电表异常检测方法。
背景技术
智能电网可综合利用各种可用信息,提高电能发、输、配、用全流程智能化水平,以满足对能源节省、环保清洁和安全可靠电力供应的需求。用电侧供需双方的互动化是智能电网的基本特征之一。基于具有双向通信能力的智能电表的高级量测体系是实现信息交互、互动用电方式的基础。
实际电网的高级量测体系中,往往在用户侧安装有数以百万计的智能电表,当前主要依赖电力线载波与台区数据集中器通信,未来可能与家域网融 合,经家庭互联网接口与电力公司用电管理中心通信。为满足互联互通要求,智能电表未来将采用通用通信协议。因用户侧终端设备和部分通信网络以开放形式存在,接入点、可探测路径的显著增加、开放的信息技术和用户参与的特性将导致信息安全事故发生的概率大大提高,信息安全已经发展成为 AMI 体系建设中的关键制约性因素。
智能电表记录和传输用电资费等敏感信息,属于网络攻击的高价值目标。为防止非法用户窃取用户信息或篡改用电数据,传统上多采用数据加密和通信认证等手段,在智能电表中嵌入认证加密通信模块,进行信息安全防护。
当前的智能电表仅需每月上传一次电量数据,并在用电管理系统召测时传回实时数据。因功能需求较简单,智能电表传统上多基于单片机系统实现,仅具备单任务处理能力。随着智能电网的深化发展,当前已出现每 15min 记录和上报电量数据的电表,并在北美得到大量应用。此外,随着电能计量以外其他功能(如双向通信与计费、电能质量检测、用户控制及未来的家庭能量管理等)的集成,传统智能电表的 CPU 处理能力已不敷使用。当前,已出现基于 ARM芯片,并装有 ucLinux、uCOS-II、Vx- Works 等嵌入式操作系统以便CPU 多进程并发资源管理的智能电表。因操作系统或多或少都存在堆栈溢出等 Bug,未来与家域网互联通过家庭网关通信,又将进一步扩大智能电表遭遇恶意软件攻击的风险。位于用户侧的智能电表即使采用了严格的访问控制机制和安全通信机制,仍难以保证操作系统自身的安全漏洞。AMI 系统中入侵智能电表的恶意软件不但可能传播到其他智能电表中,批量控制开关断开造成大量用户停电事故;还可能篡改电能计量值,导致电网公司分析决策错误和直接经济损失。因智能电表计算、存储和通信资源有限,要为其研制专用的杀毒软件并定期更新,尚不具有可行性。因此,即便智能电表遭恶意软件入侵,用户和运营商当前都很难明确判断、准确检查。
传统的对智能电表恶意流量的检测是基于特征的入侵检测方法。基于特征的入侵检测方法假设入侵活动可以用一些报文特征模式(如报文中特定头部字段值,报文负载中特定的字符串或正则表达式特征),当检测到用户对计算机和网络资源的使用符合所列模式时认为检测到入侵行为。基于特征的入侵检测可以准确检测已知的入侵行为,但难以检测未知的新型入侵方法,为此我们设计了基于神经网络的智能电表异常检测方法,通过对正常流量测度的建模,实现对未知攻击导致的流量异常行为检测能力。
发明内容
为了克服基于规则的智能电表入侵检测方法对未知攻击检测能力的技术不足,本发明的目的是提供一种基于神经网络的智能电表异常检测方法,实现对智能电表被植入木马后发起的已知和未知攻击进行检测的功能。
为实现上述技术目的,本发明采用如下技术方案:
一种基于神经网络的智能电表异常检测方法,包括下列步骤:
(1)测度定义:对智能电表的流量数据进行分析,定义用于后续检测系统需要的各项测度;
所述测度集合包括测度名,测度对应流量数据位置,测度计算方法。
(2)训练集建立:根据选定的测度集合,从智能电表中获取一段时间内的运行数据,并从中提取出测度集合数据,建立标准的训练集。
(3)检测模型建立:基于多层前馈网络和反向传播算法对训练集进行训练,建立神经网络检测模型,输入源为每个电表的测度数据集合,输出为异常或正常。
(4)实时数据采集:从智能电表到数据中心入口处实时采集智能电表的流量,从流量中计算出测度数据。
(5)实时检测:将步骤(4)获取的测度数据作为输入源发送至神经网络检测模型,根据神经网络检测模型的输出判断输入测度对应的智能电表数据属于异常或是正常。
其中,所述步骤(1)中,基于网络协议选择报文数据作为测度,选择的测度为报文网络层、传输层和应用层的数据字段。网络层字段包括头部长度,TTL字段,QoS字段,分片字段,协议字段;传输层协议字段包括源端口和宿端口;应用层字段包括应用层负载长度和应用层负载熵。其中网络层字段和传输层字段为直接测度,可以直接从报文中获取,而应用层负载长度字段为2阶测度,需要通过网络层报文头部中的报文长度字段减去网络层报文头部长度再减去传输层报文头部长度获取,应用层负载熵测度为2阶测度,需要通过统计应用层负载字节内容的分布获取。
在训练集建立阶段,对训练数据集进行选择时,需要保证智能电表必须是可控的,防止在不可控的情况下将攻击数据作为训练数据。同时训练集将获取的流量数据解析成测度集合数据格式。智能电表中获取的正常流量数据结合模拟的攻击数据构成标准训练集,攻击数据的模拟方式采用在沙盒环境中执行恶意攻击,并收集其执行过程中产生的流量,采用此种方法获取的流量真实性好。
训练集需要保证足够的时间跨度和样本数。采集的样本点数需要在10K条以上,采集的时间需要至少跨越1周的时间长度。
在检测模型建立阶段,选择的神经网络模型为多层前馈网络,同时使用反向传播算法基于训练集建立检测模型。
在检测实时数据获取阶段,基于分光、端口镜像或SDN控制的方法,来获取智能电表发往数据中心的流量,分光的方法基于物理镜像的原理,通过三棱镜将光纤中的光束一分为二,从而达到物理镜像的效果;端口镜像是利用交换机的控制功能,将其中1个端口(port)的所有流量报文复制一份发往另一个端口;SDN控制是对于SDN交换机,从控制器指定流表规则,将指定对应流表规则的报文复制到指定端口。这三个方法都可以获取到智能电表发往数据中心流量的复制数据,并对复制数据进行解析和测度集的计算。
在检测实时检测阶段,基于检测模型建立阶段建立的检测模型,对实时数据获取阶段获取到的测度集数据进行检测,检测结果为异常或正常2个可能选项。
相比于现有技术,基于神经网络的智能电表异常检测方法,通过对正常流量测度的建模,实现对未知攻击导致的流量异常行为检测能力。改进了传统的基于特征的智能电表入侵检测技术难以检测未知的新型入侵方法的缺陷。
附图说明
图1是本发明的基于神经网络的智能电表异常检测方法的流程图;
图2是本发明的测度定义图;
图3是本发明的基于神经网络的智能电表异常检测方法的神经网络示意图。
具体实施方式
下面结合附图和具体实施例对本发明做出详细的说明。
本发明的一种基于神经网络的智能电表异常检测方法,如图1所示,包括下列步骤:
测度定义:对智能电表的流量数据进行分析,定义用于后续检测系统需要的各项测度,包括测度名,测度对应流量数据位置,测度计算方法。如图2所示,所述测度基于报文数据进行选择,选择测度包括报文网络层、传输层和应用层的数据字段。网络层字段包括头部长度,TTL字段,QoS字段,分片字段,协议字段;传输层协议字段包括源端口和宿端口;应用层字段包括应用层负载长度和应用层负载熵。其中网络层字段和传输层字段为直接测度,可以直接从报文中获取,而应用层负载长度字段为2阶测度,需要通过网络层报文头部中的报文长度字段减去网络层报文头部长度再减去传输层报文头部长度获取,应用层负载熵测度为2阶测度,需要通过统计应用层负载字节内容的分布获取。
训练集建立:根据选定的测度集合,从实验环境智能电表或可控的实际运行智能电表中获取一段时间内的运行数据,并从中提取出测度集合数据,建立标准的训练集。对训练数据集进行选择时,需要保证智能电表必须是可控的,防止在不可控的情况下将攻击数据作为训练数据,从智能电表中获取正常流量数据,结合通过模拟产生的攻击数据,构成标准训练集。训练集将获取的流量数据解析成测度集合数据格式。训练集需要保证足够的时间跨度和样本数。采集的样本点数需要在10K条以上,采集的时间需要至少跨越1周的时间长度。
检测模型建立:如图3所示,基于多层前馈网络和反向传播算法建立神经网检测模型,输入源为每个电表的测度数据集合,输出为异常或正常。
数据获取:通过分光或端口镜像或SDN控制的方法从智能电表到数据中心入口处实时采集智能电表的流量,并从流量中计算出测度数据并发送到实时检测模块作为输入源。分光的方法基于物理镜像的方法,通过三棱镜将光纤中的光束一分为二,从而达到物理镜像的效果;端口镜像是利用交换机的控制功能,将其中1个端口(port)的所有流量报文复制一份发往另一个端口;SDN控制是对于SDN交换机,从控制器指定流表规则,将指定对应流表规则的报文复制到指定端口。这三个方法都可以获取到智能电表发往数据中心流量的复制数据,并对复制数据进行解析和测度集的计算。
实时检测:基于检测模型建立的神经网络检测模型,输入数据获取模块获得的测度数据,输出测度对应智能电表数据属于异常还是正常。
综上所述,本发明的基于神经网络的智能电表异常检测方法,检测方法基于AMI获取智能电表的流量数据,基于网络协议分析对流量数据的字段建立观测测度,通过标准训练数据集和神经网络方法确定检测模型,通过在网闸入口处的旁路手段建立采集接口,实时获取流量测度,并通过检测模型检测出智能电表中流量可能包含的异常行为,这些行为可能是由于设备故障导致的故障流量,或者设备的操作系统被入侵控制后产生的攻击流量,或者采集线路被中间人攻击后注入的攻击流量。该检测方法可以有效的发现未知攻击手段产生的攻击形式,克服了基于规则的方法无法有效对未知攻击类型检测检测的弱点,提高了系统的安全性。
所述实施例仅是为了方便说明而举例,本发明所主张的权利范围应以申请专利范围所述为准,而非仅限于所述实施例。凡依本发明权利要求所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (4)
1.一种基于神经网络的智能电表异常检测方法,其特征在于,包括如下步骤:
(1)测度定义:对智能电表的流量数据进行分析,定义用于后续检测系统需要的各项测度,建立测度集合;
所述测度集合包括测度名,测度对应流量数据位置,测度计算方法;
基于网络协议选择报文数据作为测度,选择的测度为报文网络层、传输层和应用层的数据字段;
网络层字段包括头部长度,TTL字段,QoS字段,分片字段,协议字段;
传输层协议字段包括源端口和宿端口;
应用层字段包括应用层负载长度和应用层负载熵;
其中网络层字段和传输层字段为直接测度,直接从报文中获取;应用层负载长度字段为2阶测度,通过网络层报文头部中的报文长度字段减去网络层报文头部长度再减去传输层报文头部长度获取;应用层负载熵测度为2阶测度,通过统计应用层负载字节内容的分布获取;
(2)训练集建立:根据选定的测度集合,从智能电表中获取一段时间内的运行数据,并从中提取出测度集合数据,建立标准的训练集;智能电表为实验环境智能电表或可控的实际运行智能电表;从智能电表中获取正常流量数据,结合模拟的攻击数据,建立标准的训练集;
所述攻击数据的模拟方式为,在沙盒环境中执行恶意攻击,并收集其执行过程中产生的流量;
(3)检测模型建立:基于多层前馈网络和反向传播算法对训练集进行训练,建立神经网络检测模型,输入源为每个电表的测度集合数据,输出为异常或正常;
(4)实时数据采集:从智能电表到数据中心入口处实时采集智能电表的流量,从流量中计算出测度数据;
(5)实时检测:将步骤(4)获取的测度数据作为输入源发送至神经网络检测模型,根据神经网络检测模型的输出判断输入测度对应的智能电表数据属于异常或是正常。
2.根据权利要求1所述的方法,其特征在于,从智能电表中获取一段时间内的运行数据,所述一段时间的时间跨度为至少一周;采集运行数据的样本点数在10K条以上。
3.根据权利要求1所述的方法,其特征在于,所述步骤(3)中,通过分光、端口镜像或SDN控制的方法获取智能电表发往数据中心的流量。
4.根据权利要求3所述的方法,其特征在于,所述分光的方法基于物理镜像的原理,通过三棱镜将光纤中的光束一分为二,从而达到物理镜像的效果;
端口镜像是利用交换机的控制功能,将其中1个端口的所有流量报文复制一份发往另一个端口;
SDN控制是对于SDN交换机,从控制器指定流表规则,将指定对应流表规则的报文复制到指定端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611211365.4A CN106817363B (zh) | 2016-12-24 | 2016-12-24 | 基于神经网络的智能电表异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611211365.4A CN106817363B (zh) | 2016-12-24 | 2016-12-24 | 基于神经网络的智能电表异常检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106817363A CN106817363A (zh) | 2017-06-09 |
CN106817363B true CN106817363B (zh) | 2020-06-26 |
Family
ID=59110133
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611211365.4A Active CN106817363B (zh) | 2016-12-24 | 2016-12-24 | 基于神经网络的智能电表异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106817363B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107454143B (zh) * | 2017-06-30 | 2020-06-02 | 国网四川省电力公司电力科学研究院 | 一种广域测量方式的数字化电能表计量性能智能巡检方法 |
CN108200030A (zh) * | 2017-12-27 | 2018-06-22 | 深信服科技股份有限公司 | 恶意流量的检测方法、系统、装置及计算机可读存储介质 |
CN108173854B (zh) * | 2017-12-28 | 2020-12-29 | 广东电网有限责任公司东莞供电局 | 一种电力私有协议的安全监测方法 |
CN110441725A (zh) * | 2018-05-03 | 2019-11-12 | 国网安徽省电力有限公司电力科学研究院 | 基于自适应神经模糊推理的智能电表故障诊断方法及装置 |
CN109768952B (zh) * | 2018-10-29 | 2021-05-18 | 四川大学 | 一种基于可信模型的工控网络异常行为检测方法 |
CN109922038A (zh) * | 2018-12-29 | 2019-06-21 | 中国电力科学研究院有限公司 | 一种用于电力终端的异常数据的检测方法及装置 |
CN110912908B (zh) * | 2019-11-28 | 2022-08-02 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 网络协议异常检测方法、装置、计算机设备和存储介质 |
CN112235164A (zh) * | 2020-11-05 | 2021-01-15 | 全球能源互联网研究院有限公司 | 一种基于控制器的神经网络流量预测装置 |
CN113612752B (zh) * | 2021-07-28 | 2024-06-11 | 深圳供电局有限公司 | 一种智能电网中针对高级可持续性威胁的检测方法 |
CN113596020B (zh) * | 2021-07-28 | 2023-03-24 | 深圳供电局有限公司 | 一种智能电网虚假数据注入攻击漏洞检测方法 |
CN113744081B (zh) * | 2021-08-23 | 2024-05-28 | 国网青海省电力公司信息通信公司 | 窃电行为分析方法 |
CN115208604B (zh) * | 2022-02-22 | 2024-03-15 | 长沙理工大学 | 一种ami网络入侵检测的方法、装置及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125112A (zh) * | 2014-07-29 | 2014-10-29 | 西安交通大学 | 基于物理-信息模糊推理的智能电网攻击检测方法 |
CN105471854A (zh) * | 2015-11-18 | 2016-04-06 | 国网智能电网研究院 | 一种基于多级策略的自适应边界异常检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8532839B2 (en) * | 2009-06-22 | 2013-09-10 | Johnson Controls Technology Company | Systems and methods for statistical control and fault detection in a building management system |
-
2016
- 2016-12-24 CN CN201611211365.4A patent/CN106817363B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125112A (zh) * | 2014-07-29 | 2014-10-29 | 西安交通大学 | 基于物理-信息模糊推理的智能电网攻击检测方法 |
CN105471854A (zh) * | 2015-11-18 | 2016-04-06 | 国网智能电网研究院 | 一种基于多级策略的自适应边界异常检测方法 |
Non-Patent Citations (2)
Title |
---|
"人工神经网络在智能电网中的应用回顾与展望";贾振堂,赵飞;《2015年全国智能电网用户端能源管理学术年会论文集》;20150726;第293-294页 * |
"基于神经网络BP算法的网络入侵检测系统研究与实现";黄煜坤;《农村经济与科技》;20161130;第265-268段 * |
Also Published As
Publication number | Publication date |
---|---|
CN106817363A (zh) | 2017-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106817363B (zh) | 基于神经网络的智能电表异常检测方法 | |
Shrestha et al. | A methodology for security classification applied to smart grid infrastructures | |
Huang et al. | Real-time detection of false data injection in smart grid networks: An adaptive CUSUM method and analysis | |
CN106850558A (zh) | 基于季节模型时间序列的智能电表状态异常检测方法 | |
Suleiman et al. | Integrated smart grid systems security threat model | |
CN102624574B (zh) | 一种对协议实现进行安全测试的方法及装置 | |
Chen | Survey of cyber security issues in smart grids | |
CN110276200A (zh) | 一种电力信息系统状态转移概率的确定方法 | |
Teixeira et al. | Optimal power flow: Closing the loop over corrupted data | |
Chromik et al. | An integrated testbed for locally monitoring SCADA systems in smart grids | |
CN117118849B (zh) | 一种物联网网关系统及实现方法 | |
CN103441990A (zh) | 基于状态融合的协议状态机自动推断方法 | |
CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
Ten et al. | Cybersecurity for electric power control and automation systems | |
Flå et al. | Tool-assisted threat modeling for smart grid cyber security | |
Kummerow et al. | Cyber-physical data stream assessment incorporating Digital Twins in future power systems | |
Jiwen et al. | Cyber security vulnerability assessment for Smart substations | |
Menon et al. | Cyber security for smart meters | |
Siddavatam et al. | Testing and validation of Modbus/TCP protocol for secure SCADA communication in CPS using formal methods | |
Hahn | Cyber security of the smart grid: Attack exposure analysis, detection algorithms, and testbed evaluation | |
Sen et al. | On holistic multi-step cyberattack detection via a graph-based correlation approach | |
Bîrleanu et al. | Cyber security objectives and requirements for smart grid | |
Sen et al. | On specification-based cyber-attack detection in smart grids | |
CN113301560A (zh) | 一种电力物联网终端控制方法和系统 | |
Wang et al. | The Design and Implementation of Attack Path Extraction Model in Power Cyber Physical System. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |