CN108494747B - 数字化变电站流量异常检测方法、电子设备及计算机存储介质 - Google Patents

数字化变电站流量异常检测方法、电子设备及计算机存储介质 Download PDF

Info

Publication number
CN108494747B
CN108494747B CN201810189423.0A CN201810189423A CN108494747B CN 108494747 B CN108494747 B CN 108494747B CN 201810189423 A CN201810189423 A CN 201810189423A CN 108494747 B CN108494747 B CN 108494747B
Authority
CN
China
Prior art keywords
message
session
data
time
goose
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810189423.0A
Other languages
English (en)
Other versions
CN108494747A (zh
Inventor
王文君
宋秋霞
葛胜利
路国正
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Global Energy Interconnection Research Institute
Original Assignee
Global Energy Interconnection Research Institute
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Global Energy Interconnection Research Institute, Information and Data Security Solutions Co Ltd filed Critical Global Energy Interconnection Research Institute
Priority to CN201810189423.0A priority Critical patent/CN108494747B/zh
Publication of CN108494747A publication Critical patent/CN108494747A/zh
Application granted granted Critical
Publication of CN108494747B publication Critical patent/CN108494747B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Supply And Distribution Of Alternating Current (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例中提供了一种数字化变电站流量异常检测方法、电子设备及计算机程序产品。本方法在session发生时间段内,按照预设周期获取数字化变电站网络的流量数据;每当获得流量数据后,确定该流量数据对应的检测指标值,并通过预先训练的流量异常检测模型,检测该流量数据是否异常。本方法通过session获取待检测的流量数据,通过流量异常检测模型对待检测的流量数据进行检查,使得本方案同时适用于时间跨度小的小数据量检测,以及,时间跨度大的大数据量检测,扩展了本方案的适用场景。

Description

数字化变电站流量异常检测方法、电子设备及计算机存储 介质
技术领域
本申请涉及数字化变电站网络中的信息安全领域,尤其涉及一种数字化变电站流量异常检测方法、电子设备及计算机程序产品。
背景技术
电力系统是国民经济和人民生活的重要基础设施,其数字化变电站网络和应用系统的安全是电力系统安全运行及对社会可靠供电的保证,直接关系到我国各行各业的发展、社会的安定和人民的生活水平。因此,电力系统的流量异常检测方案受到越来越多的关注。
目前,根据样本点与局部领域样本点分隔程度的局部异常来进行异常检测。该方法的数字化变电站网络流量异常检测机制如图1所示,在LOF(Local Outlier Factor,局部异常因子)算法的k距离和k近邻的基础上,提出了m距离和m近邻的概念,并基于m距离和m近邻对异常点进行检测。
上述方法对时间跨度小的小数据量检测效果明显,但对时间跨度大的大数据量检测时,效果不佳。
发明内容
本申请实施例中提供了一种适用于时间跨度小的小数据量以及时间跨度大的大数据量的数字化变电站流量异常检测方法、电子设备及计算机程序产品。
根据本申请实施例的第一个方面,提供了一种数字化变电站流量异常检测方法,包括:
在第一对象session(会话)发生时间段内,按照预设周期获取数字化变电站网络的第一流量数据;
每当获得第一流量数据后,确定该第一流量数据对应的第一检测指标值,并通过预先训练的流量异常检测模型,检测该第一流量数据是否异常。
根据本申请实施例的第二个方面,提供了一种电子设备,该电子设备包括:显示器,存储器,一个或多个处理器;以及一个或多个模块,该一个或多个模块被存储在该存储器中,并被配置成由该一个或多个处理器执行,该一个或多个模块包括用于执行本申请实施例的第一个方面的方法中各个步骤的指令。
据本申请实施例的第三个方面,提供了一种计算机程序产品,该计算机程序产品对用于执行一种过程的指令进行编码,该过程包括本申请实施例的第一个方面的方法。
采用根据本申请实施例的数字化变电站流量异常检测方法、电子设备及计算机程序产品,将通过session获取待检测的流量数据,通过流量异常检测模型对待检测的流量数据进行检查,使得本方案同时适用于时间跨度小的小数据量检测,以及,时间跨度大的大数据量检测,扩展了本方案的适用场景。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1中示出的是本申请提供的一种现有的数字化变电站网络流量异常检测机制示意图;
图2示出了本申请一实施例提供的一种GOOSE报文传输时间间隔变化示意图;
图3示出了本申请一实施例提供的一种数字化变电站流量异常检测方法流程示意图;
图4示出了本申请一实施例提供的一种数字化变电站网络的拓扑结构示意图;
图5示出了本申请一实施例提供的另一种数字化变电站流量异常检测方法流程示意图;
图6示出了本申请一实施例提供的数字化变电站网络中各设备间的第二 MMS报文、第二SV报文和第二GOOSE报文交互情况示意图;
图7示出了本申请一实施例提供的孤立森林模型在空间上的展示示意图;
图8示出了本申请一实施例提供的正态分布的假设下数据的分布示意图;
图9示出了本申请一实施例提供的一种流量异常检测模型示意图;
图10示出了本申请一实施例提供的一种电子设备结构示意图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
目前,根据样本点与局部领域样本点分隔程度的局部异常来进行异常检测,该方法对时间跨度小的小数据量检测效果明显,但对时间跨度大的大数据量检测时,效果不佳。
需要说明的是,本发明所提供的数字化变电站流量异常检测方法、电子设备及计算机程序产品仅应用于数字化变电站网络,即,本发明所提供的数字化变电站流量异常检测方法、电子设备及计算机程序产品仅涉及MMS (Manufacturing MessageSpecification,制造报文规范)/SV(Sampled Value,采样值)/GOOSE(Generic ObjectOriented Substation Event,面向通用对象的变电站事件)协议,而不涉及其它的IP,ARP等协议。
数字化变电站网络与正常系统的网络在信息安全技术方面存在一定的差异,具体表现为:
1、实时性很强,与物理世界存在紧密的交互关系。
2、传统的信息安全软件补丁和系统软件更新频率并不适用于数字化变电站网络,其停机更新系统的经济成本很高。
同样,数字化变电站网络的数据采集策略也不同于一般的系统网络,具体表现为:
1、根据设备所在区域的安全等级,匹配不同的采集频率系数。
2、根据设备功能和用途的不同,设定不同的采集频率系数。
3、根据链路的拥塞情况,合理地改变当前设备的采集频率。
数字化变电站网络中采集到的网络流量数据也不同于一般的网络流量数据,具体表现为:
1、数据长度小于普通网络流量数据。
2、周期性信息数据占主流。
3、数据流向固定。
4、时序性强。
5、响应时间短。
数字化变电站网络是一个“三层两网”的架构。
1、“三层”指的是站控层、间隔层和过程层。
1)站控层设备包括:监控主机、数据通信网关、数据服务器、综合应用服务器、操作员站、工程师工作站、PMU(Phasor Measurement Unit,同步相量测量装置)数据集中器和计划管理终端等。
2)间隔层设备包括:继电保护装置、测控装置、故障录波装置、网络记录分析仪、及稳控装置等。
3)过程层设备包括:合并单元、智能终端、智能组件等。
2、“两网”指的是数字化变电站网络在逻辑上可分为:站控层网络和过程层网络。
另外,不同的层级和不同的设备发送的报文协议也不同,分为MMS(Manufacturing Message Specification,制造报文规范)、SV(Sampled Value,采样值)、GOOSE(Generic Object Oriented Substation Event,面向通用对象的变电站事件)。
在真实的数字化变电站网络中,MMS报文、SV报文以及GOOSE报文具有如下特性:
1、站控层的监控主机与间隔层的保护\测控装置通常交互的是MMS报文,是由用户行为所控制,会产生一系列事件报文,没有事件触发的情况下,通常不传输MMS报文。
2、过程层的智能终端与保护\测控装置通常交互的是GOOSE报文,通常是一些变电站事件相关的报文,如保护装置的跳闸出口、测控装置的遥控出口等等。GOOSE可以反映出事件的稳态和变化,在稳态情况下,GOOSE源将稳定的以GOOSE报文的稳态间隔T0(可以自行设置,通常为5s)时间间隔循环发送报文当有事件变化时,GOOSE服务器将立即发送事件变化报文,此时 T0的时间间隔将会缩短;当变化事件发送完成一次后,GOOSE服务器将以最短时间间隔T1快速重传两次变化报文;在三次快速传输完成后,GOOSE服务器将以T2、T3时间间隔各传输一次变化报文;最后又将进入稳态传输过程T0 间隔循环,该GOOSE报文传输时间间隔变化情况可参见图2。
3、过程层的合并单元与保护\测控装置通常交互的是SV报文,通常SV 是按照一定的配置频率来发送报文,较为频繁,通常为1秒发送1000次采样值。
在一个真实的数字化变电站网络环境中,基于MMS、GOOSE、SV报文的特性,可以得出事件对于报文变化的至关重要性,所以本发明从电网“三层两网”的架构,从设备类型、报文类型、设备层级以及流量的方向来切入,将“事件”的概念引入流量异常检测中,分析历史的变电站事件中流量交互的走势,提取事件对应的session的特征值,进而进行流量异常检测。
其中,事件分为设备型事件、通讯型事件和系统型事件,例如,用户操作,用户在某个客户端进行连接服务器、手动置数、远动等操作。每触发一次事件,数字化变电站网络中就会产生一系列数据报文的交互,并且针对不同的事件,报文交互产生的数据流量会呈现不同的趋势特征,即同一事件可触发多个 session(对象),每一个session的开始时间如图2中的A时刻,结束时间如图 2中的B时刻。若以每分钟为单位进行切分,session则为分钟的倍数,并向上取整。
参见图3,本申请的数字化变电站流量异常检测方法的实现流程如下:
301,在第一session发生时间段内,按照预设周期获取数字化变电站网络的第一流量数据。
其中,预设周期为1分钟。
302,每当获得第一流量数据后,确定该第一流量数据对应的第一检测指标值,并通过预先训练的流量异常检测模型,检测该第一流量数据是否异常。
可选地,该方法,还包括:
持续监测数字化变电站网络中GOOSE报文的第一发送时间间隔△T;
第一session发生时间段的起始时间为:首次由T0变化为小于T0的第一△T的起始时间,T0为GOOSE报文的稳态间隔;
第一session发生时间段的终止时间为:在由T0变化为小于T0之后,首次由小于T0恢复至T0的第一△T的起始时间。
可选地,第一流量数据包括MMS报文数据、第一SV报文数据和第一 GOOSE报文数据;
确定该第一流量数据对应的第一检测指标值,包括:
根据数字化变电站网络的拓扑结构以及该第一流量数据,确定数字化变电站网络中各设备间的第一MMS报文、第一SV报文和第一GOOSE报文交互情况;
根据第一MMS报文、第一SV报文和第一GOOSE报文交互情况确定第一特征值;
根据第一特征值确定对应的第一检测指标值;
第一特征值为:第一session的持续时间、该第一流量数据中MMS报文数量mmsNum1、该第一流量数据中MMS报文大小mmsSize1、该第一流量数据中 MMS报文时间mmsTime1、该第一流量数据中SV报文数量svNum1、该第一流量数据中SV报文大小svSize1、该第一流量数据中SV报文时间svTime1、该第一流量数据中GOOSE报文数量gooseNum1、该第一流量数据中GOOSE报文大小 gooseSize1、该第一流量数据中GOOSE报文时间gooseTime1
第一检测指标值为第一均值μ1和第一标准差σ1
Figure GDA0002554818830000071
Figure GDA0002554818830000072
Figure GDA0002554818830000073
Figure GDA0002554818830000074
Figure GDA0002554818830000075
Figure GDA0002554818830000076
Figure GDA0002554818830000077
Figure GDA0002554818830000078
Figure GDA0002554818830000079
Figure GDA0002554818830000081
Figure GDA0002554818830000082
Figure GDA0002554818830000083
Figure GDA0002554818830000084
Figure GDA0002554818830000085
Figure GDA0002554818830000086
Figure GDA0002554818830000087
Figure GDA0002554818830000088
Figure GDA0002554818830000089
Figure GDA00025548188300000810
可选地,该方法还包括:
获取多个第二session发生时间段内数字化变电站网络的第二流量数据;
根据第二流量数据确定各第二session的第二检测指标值;
通过孤立森林模型对各第二检测指标值进行训练,得到流量异常检测模型。
可选地,获取多个第二session发生时间段内数字化变电站网络的第二流量数据,包括;
获取数字化变电站网络的历史流量数据;
在历史流量数据中,监测GOOSE报文的第二△T;
每当监测到第二△T由T0变化为小于T0时,确定一个第二session发生,且该第二session发生时间段的起始时间为:在第二△T等于T0之后,首次由 T0变化为小于T0的第二△T的起始时间,该第二session发生时间段的终止时间为:在第二△T由T0变化为小于T0之后,首次由小于T0恢复至T0的第二△T的起始时间;
获取各第二session发生时间段内的历史流量数据。
可选地,第二流量数据包括第二MMS报文数据、第二SV报文数据和第二GOOSE报文数据;
根据第二流量数据确定各第二session的第二检测指标值,包括:
对于任一第二session,
根据数字化变电站网络的拓扑结构以及任一第二session的第二流量数据,确定数字化变电站网络中各设备间的第二MMS报文、第二SV报文和第二 GOOSE报文交互情况;
根据第二MMS报文、第二SV报文和第二GOOSE报文交互情况确定任一第二session的第二特征值;
根据任一第二session的第二特征值确定任一第二session的第二检测指标值;
第二特征值为任一第二session的持续时间、任一第二session的第二流量数据中MMS报文数量mmsNum2、任一第二session的第二流量数据中MMS报文大小mmsSize2、任一第二session的第二流量数据中MMS报文时间mmsTime2、任一第二session的第二流量数据中SV报文数量svNum2、任一第二session的第二流量数据中SV报文大小svSize2、任一第二session的第二流量数据中SV 报文时间svTime2、任一第二session的第二流量数据中GOOSE报文数量 gooseNum2、任一第二session的第二流量数据中GOOSE报文大小gooseSize2、任一第二session的第二流量数据中GOOSE报文时间gooseTime2
第二检测指标值为第二均值μ2和第二标准差σ2
Figure GDA0002554818830000091
Figure GDA0002554818830000092
Figure GDA0002554818830000093
Figure GDA0002554818830000094
Figure GDA0002554818830000101
Figure GDA0002554818830000102
Figure GDA0002554818830000103
Figure GDA0002554818830000104
Figure GDA0002554818830000105
Figure GDA0002554818830000106
Figure GDA0002554818830000107
Figure GDA0002554818830000108
Figure GDA0002554818830000109
Figure GDA00025548188300001010
Figure GDA00025548188300001011
Figure GDA00025548188300001012
Figure GDA00025548188300001013
Figure GDA00025548188300001014
Figure GDA00025548188300001015
可选地,流量异常检测模型包括多棵孤立树iTree,每棵iTree为二叉树结构,每棵iTree由同一事件对应的第二session聚集而成;
通过预先训练的流量异常检测模型,检测该第一流量数据是否异常,包括:
遍历流量异常检测模型中的各棵iTree,计算该第一流量数据落在各棵 iTree中高度的平均值
Figure GDA00025548188300001016
Figure GDA00025548188300001017
则确定该第一流量数据异常;
μ3为各棵iTree的平均高度,σ3为各棵iTree的标准差。
有益效果如下:
通过session获取待检测的流量数据,通过流量异常检测模型对待检测的流量数据进行检查,使得本方案同时适用于时间跨度小的小数据量检测,以及,时间跨度大的大数据量检测,扩展了本方案的适用场景。
下面以具有图4所示的拓扑结构的数字化变电站网络为例,对本申请提供的数字化变电站流量异常检测方法的实现过程再次说明。参见图5,
501,基于数字化变电站网络的离线数据,训练流量异常检测模型。
步骤501中的离线数据是存储的数字化变电站网络的历史流量数据。通过步骤501可以根据历史流量数据在线下训练得到量异常检测模型,以便后续对线上数据进行实时检测。
步骤501的具体实现过程如下:
501-1,获取多个第二session发生时间段内数字化变电站网络的第二流量数据。
在步骤501-1中,先从数字化变电站网络的历史流量数据中识别session(为了与线上流量数据中识别的session进行区分,本发明将从历史流量数据中识别出的session命名为第二session),再从历史流量数据中选择第二session对应的流量数据(为了与线上流量数据中session对应的流量数据进行区分,本发明将第二session对应的流量数据命名为第二流量数据)。
由于同一个事件在数字化变电站网络环境中,经常是同一种流量表现,因此在寻找第二session时,将session的发生时间段设定为GOOSE报文的稳态变化到事件态,最后到稳态的时间段,也就是T0变化后再回到T0的时间(为了统一处理精度,本实施例在计算时间时按照分钟进行了向上取整处理)。
通常GOOSE报文的稳态T0时间段为5s(秒),比如在一个事件发生之前, GOOSE报文发送的频率为5s一次,当监测到有事件发生,继而稳态被打断,进入事件态,发包的频率会加快,时间缩短为3s一次,当事件结束后,再回到5s一次的频率,这样整个从5s到事件态再回到5s的过程,则确定为一个 session。
基于上述分析,步骤501-1的具体实现流程为:
501-1-1,获取数字化变电站网络的历史流量数据。
501-1-2,在历史流量数据中,监测GOOSE报文的第二△T。
其中,为了与线上流量数据中GOOSE报文的△T进行区分,本发明将历史数据中GOOSE报文的△T命名为第二△T,其中“第二”仅为标识作用,并无特定含义。
501-1-3,每当监测到第二△T由T0变化为小于T0时,确定一个第二session 发生,且该第二session发生时间段的起始时间为:在第二△T等于T0之后,首次由T0变化为小于T0的第二△T的起始时间,该第二session发生时间段的终止时间为:在第二△T由T0变化为小于T0之后,首次由小于T0恢复至 T0的第二△T的起始时间。
501-1-4,获取各第二session发生时间段内的历史流量数据。
例如,从历史流量数据的最初时间点开始监测GOOSE报文的第二△T,当发现第二△T由T0变化为小于T0,则确定一个第二session发生,获取其发生的时间段内的历史流量数据,将其作为该第二session的第二流量数据。此时,GOOSE报文的第二△T恢复为T0,继续监测GOOSE报文的第二△T,当发现第二△T再次由T0变化为小于T0,则确定另一个第二session发生,获取其发生的时间段内的历史流量数据,将其作为另一个第二session的第二流量数据。以此类推,通过重复执行步骤501-1-1至步骤501-1-4,从历史流量数据中识别出多个第二session发生时间段内数字化变电站网络的第二流量数据,作为流量异常检测模型的训练样本。
501-2,根据第二流量数据确定各第二session的第二检测指标值。
其中,第二流量数据包括第二MMS报文数据、第二SV报文数据和第二 GOOSE报文数据。
步骤501-2的具体实现方案为:
对于任一第二session,
501-2-1,根据数字化变电站网络的拓扑结构以及任一第二session的第二流量数据,确定数字化变电站网络中各设备间的第二MMS报文、第二SV报文和第二GOOSE报文交互情况。
具体的,先根据任一第二session的第二流量数据绘制任一第二session发生时间段内的设备间数据交互的矩阵,再结合数字化变电站网络的拓扑结构和数据交互的矩阵,以有向加权拓扑图的形式表现数字化变电站网络中各设备间的第二MMS报文、第二SV报文和第二GOOSE报文交互情况。
例如:1)根据任一第二session的第二流量数据绘制表1所示的数据交互矩阵。2)根据图4所示的数字化变电站网络的拓扑结构以及表1形成如图6 所示的数字化变电站网络中各设备间的第二MMS报文、第二SV报文和第二 GOOSE报文交互情况,其中,weight表示设备之间传递该报文的数量。
表1
Figure GDA0002554818830000131
其中,表中数字表示报文数量。
501-2-2,根据第二MMS报文、第二SV报文和第二GOOSE报文交互情况确定任一第二session的第二特征值。
其中,第二特征值为任一第二session的持续时间(即任一第二session的发生时间段的长度)、任一第二session的第二流量数据中MMS报文数量 mmsNum2、任一第二session的第二流量数据中MMS报文大小mmsSize2、任一第二session的第二流量数据中MMS报文时间mmsTime2、任一第二session的第二流量数据中SV报文数量svNum2、任一第二session的第二流量数据中SV 报文大小svSize2、任一第二session的第二流量数据中SV报文时间svTime2、任一第二session的第二流量数据中GOOSE报文数量gooseNum2、任一第二session 的第二流量数据中GOOSE报文大小gooseSize2、任一第二session的第二流量数据中GOOSE报文时间gooseTime2
例如,部分第二session对应的第二特征值如表2所示。
表2
Figure GDA0002554818830000141
501-2-3,根据任一第二session的第二特征值确定任一第二session的第二检测指标值。
其中,第二检测指标值为第二均值μ2和第二标准差σ2
Figure GDA0002554818830000142
Figure GDA0002554818830000143
Figure GDA0002554818830000144
Figure GDA0002554818830000145
Figure GDA0002554818830000146
Figure GDA0002554818830000147
Figure GDA0002554818830000151
Figure GDA0002554818830000152
Figure GDA0002554818830000153
Figure GDA0002554818830000154
Figure GDA0002554818830000155
Figure GDA0002554818830000156
Figure GDA0002554818830000157
Figure GDA0002554818830000158
Figure GDA0002554818830000159
Figure GDA00025548188300001510
Figure GDA00025548188300001511
Figure GDA00025548188300001512
Figure GDA00025548188300001513
501-3,通过孤立森林模型对各第二检测指标值进行训练,得到流量异常检测模型。
iForest(Isolation Forest,孤立森林)是一个快速异常检测的方法,具有线性时间复杂度和高精准度,可以用于网络安全中的攻击检测、金融交易欺诈检测、疾病侦探和噪声数据过滤等,iForest适用于连续数据的异常检测,将异常定义为“容易被孤立的离群点”,可以理解为分布稀疏且离密度高的群体较远的点,孤立森林模型在空间上的展示如图7所示。
孤立森林模型是由t个iTree(Isolation Tree,孤立树)组成,每个iTree 是一个二叉树结构,具体实现步骤如下:
(1)从训练数据中随机选择Ψ个点样本点作为subsample,放入树的根节点。
此处的训练数据为步骤501-2中得到的各第二session的第二检测指标值。
(2)随机指定一个维度(attribute),在当前节点数据中随机产生一个切割点p——切割点产生于当前节点数据中指定维度的最大值和最小值之间。
(3)以此切割点生成了一个超平面,然后将当前节点数据空间划分为2 个子空间:把指定维度里小于p的数据放在当前节点的左孩子,把大于等于p 的数据放在当前节点的右孩子。
(4)在孩子节点中递归(2)和(3),不断构造新的孩子节点,直到孩子节点中只有一个数据(无法再继续切割)或孩子节点已到达限定高度。
获得t个iTree之后,iForest训练就结束,此时得到的即为流量异常检测模型。后续可以用生成的iForest对数字化变电站网络的在线数据进行流量异常检测。生成一棵iTree的详细算法如下:
Figure GDA0002554818830000161
执行至此,得到的流量异常检测模型,且该流量异常检测模型包括多棵孤立树iTree,每棵iTree为二叉树结构,每棵iTree由同一事件对应的第二session 聚集而成。
若知道历史数据中每个第二session是由何种事件触发的,则基于流量异常检测模型中每棵iTree中第二session的触发事件,即可得到每棵iTree对应的事件。
502,利用流量异常检测模型,对数字化变电站网络的在线数据进行流量异常检测。
通过步骤501可以根据历史流量数据在线下训练得到的量异常检测模型,对线上数据进行实时检测,实现离线训练模型,在线进行预测,进而使得本方案同时适用于时间跨度小的小数据量检测,以及,时间跨度大的大数据量检测,扩展了本方案的适用场景。
步骤502的具体实现过程如下:
502-1,持续监测数字化变电站网络中GOOSE报文的第一△T。
本步骤是持续步骤,并非执行一次,而是贯穿整个线上检测过程。
当首次监测到第一△T由T0变化为小于T0时,确定第一session发生,此时执行步骤502-2。
502-2,在第一session发生时间段内,按照预设周期获取数字化变电站网络的第一流量数据,每当获得第一流量数据后,确定该第一流量数据对应的第一检测指标值,并通过预先训练的流量异常检测模型,检测该第一流量数据是否异常。
其中,预设周期可以为1分钟。
第一session发生时间段的起始时间为:首次由T0变化为小于T0的第一△T的起始时间,T0为GOOSE报文的稳态间隔。第一session发生时间段的终止时间为:在由T0变化为小于T0之后,首次由小于T0恢复至T0的第一△T的起始时间。
即,步骤502-2中,从第一session发生时间段开始至开始后1分钟止,获取该1分钟内数字化变电站网络的第一流量数据,并确定获取的第一流量数据对应的第一检测指标值,通过预先训练的流量异常检测模型,检测该第一流量数据是否异常。然后,再从开始后1分钟始至开始后2分钟止,获取该1分钟内数字化变电站网络的第一流量数据,并确定获取的第一流量数据对应的第一检测指标值,通过预先训练的流量异常检测模型,检测该第一流量数据是否异常。以此循环,实现以1分钟为单位时间窗口的实时检测。
其中,第一流量数据包括MMS报文数据、第一SV报文数据和第一GOOSE 报文数据。
确定该第一流量数据对应的第一检测指标值的过程,包括但不限于:
502-2-1,根据数字化变电站网络的拓扑结构以及该第一流量数据,确定数字化变电站网络中各设备间的第一MMS报文、第一SV报文和第一GOOSE 报文交互情况。
502-2-2,根据第一MMS报文、第一SV报文和第一GOOSE报文交互情况确定第一特征值。
502-2-3,根据第一特征值确定对应的第一检测指标值。
第一特征值为:第一session的持续时间、该第一流量数据中MMS报文数量mmsNum1、该第一流量数据中MMS报文大小mmsSize1、该第一流量数据中 MMS报文时间mmsTime1、该第一流量数据中SV报文数量svNum1、该第一流量数据中SV报文大小svSize1、该第一流量数据中SV报文时间svTime1、该第一流量数据中GOOSE报文数量gooseNum1、该第一流量数据中GOOSE报文大小 gooseSize1、该第一流量数据中GOOSE报文时间gooseTime1
第一检测指标值为第一均值μ1和第一标准差σ1
Figure GDA0002554818830000181
Figure GDA0002554818830000182
Figure GDA0002554818830000183
Figure GDA0002554818830000184
Figure GDA0002554818830000185
Figure GDA0002554818830000186
Figure GDA0002554818830000191
Figure GDA0002554818830000192
Figure GDA0002554818830000193
Figure GDA0002554818830000194
Figure GDA0002554818830000195
Figure GDA0002554818830000196
Figure GDA0002554818830000197
Figure GDA0002554818830000198
Figure GDA0002554818830000199
Figure GDA00025548188300001910
Figure GDA00025548188300001911
Figure GDA00025548188300001912
Figure GDA00025548188300001913
另外,由于步骤501中得到的流量异常检测模型包括多棵孤立树iTree,每棵iTree为二叉树结构,每棵iTree由同一事件对应的第二session聚集而成。因此,通过预先训练的流量异常检测模型,检测该第一流量数据是否异常的过程,包括但不限于:遍历流量异常检测模型中的各棵iTree,计算该第一流量数据落在各棵iTree中高度的平均值
Figure GDA00025548188300001914
Figure GDA00025548188300001915
则确定该第一流量数据异常。
其中,μ3为各棵iTree的平均高度,σ3为各棵iTree的标准差。
例如,遍历每一棵iTree,然后计算x最终落在每棵树第几层(x在树的高度),然后可以得出x在每棵树的高度平均值
Figure GDA00025548188300001916
(avg_path_of_t_iTrees),如果
Figure GDA00025548188300001917
即确定该流量数据异常。
本发明中将事件的session按照一分钟切割,计算当前分钟流量的交互情况、“有向加权图”,得出session的分钟特征值,采用“单位时间窗口”对session 进行划分,进而对流量进行实时的异常检测。
通常,数据集的区域μ3±3σ3包含了99.7%的数据,如果某个值距分布的均值μ3超过了3σ3,那么这个值就是异常点。然而,在数字化变电站网络中,按3σ3进行选取,依然存在较高的报文在网络传输差异中带来的时间影响以及误报率。为了进一步缩小报文在网络传输差异中带来的时间影响以及减少误报率,采用了5σ3来确定阈值,
Figure GDA0002554818830000201
则表明该分钟内流量异常。在正态分布的假设下,数据的分布如图8所示。
另外,本发明提供的方法,对每种事件收集统计了历史上的所有发生过的session,利用session的特征值计算得出检测指标值,即session的均值和标准差,并将session按照“单位时间窗口”进行划分,单位为1分钟,采用同样的特征值可以计算出该分钟内的流量情况,利用该“单位时间窗口”可以对当前流量进行实时检测是否有异常,阈值为5倍标准差。
本实施例提供的方法在数字化变电站网络流量异常检测中,将电网中的事件和session特征加入至孤立森林模型中,利用变电站中历史事件触发时发生的一系列特征来做流量的异常检测,包括研究了“稳态-事件态-稳态”的发生规律,以GOOSE报文中的T0为开始事件开始标记,逐步累加,计算T0时间至当前时间的MMS、GOOSE、SV报文发生的报文个数和报文大小,作为特征值,并且计算出检测指标值,输入iForest模型,从而可以使用历史session 来检测当前时间段内的流量是否有异常。
此外,如果步骤501中得到每棵iTree对应的事件,如图9所示,而在步骤502中,若将检测的第一流量数据汇聚于某一iTree后,根据该iTree对应的事件即可知道当前流量数据是由何种事件触发。
需要说明的是,本发明中的“第一”、“第二”仅为标识作用,并无特定含义。
有益效果如下:
通过session获取待检测的流量数据,通过流量异常检测模型对待检测的流量数据进行检查,使得本方案同时适用于时间跨度小的小数据量检测,以及,时间跨度大的大数据量检测,扩展了本方案的适用场景。
基于同一发明构思,本实施例提供了一种电子设备,参见图10,包括存储器1001、处理器1002、总线1003以及存储在存储器1001上并可在处理器1002 上运行的计算机程序,所述处理器1002执行所述程序时实现如下步骤。
在第一session发生时间段内,按照预设周期获取数字化变电站网络的第一流量数据;
每当获得第一流量数据后,确定该第一流量数据对应的第一检测指标值,并通过预先训练的流量异常检测模型,检测该第一流量数据是否异常。
可选地,该方法,还包括:
持续监测数字化变电站网络中GOOSE报文的第一△T;
第一session发生时间段的起始时间为:首次由T0变化为小于T0的第一△T的起始时间,T0为GOOSE报文的稳态间隔;
第一session发生时间段的终止时间为:在由T0变化为小于T0之后,首次由小于T0恢复至T0的第一△T的起始时间。
可选地,第一流量数据包括第一MMS报文数据、第一SV报文数据和第一GOOSE报文数据;
确定该第一流量数据对应的第一检测指标值,包括:
根据数字化变电站网络的拓扑结构以及该第一流量数据,确定数字化变电站网络中各设备间的第一MMS报文、第一SV报文和第一GOOSE报文交互情况;
根据第一MMS报文、第一SV报文和第一GOOSE报文交互情况确定第一特征值;
根据第一特征值确定对应的第一检测指标值;
第一特征值为:第一session的持续时间、该第一流量数据中MMS报文数量mmsNum1、该第一流量数据中MMS报文大小mmsSize1、该第一流量数据中 MMS报文时间mmsTime1、该第一流量数据中SV报文数量svNum1、该第一流量数据中SV报文大小svSize1、该第一流量数据中SV报文时间svTime1、该第一流量数据中GOOSE报文数量gooseNum1、该第一流量数据中GOOSE报文大小 gooseSize1、该第一流量数据中GOOSE报文时间gooseTime1
第一检测指标值为第一均值μ1和第一标准差σ1
Figure GDA0002554818830000221
Figure GDA0002554818830000222
Figure GDA0002554818830000223
Figure GDA0002554818830000224
Figure GDA0002554818830000225
Figure GDA0002554818830000226
Figure GDA0002554818830000227
Figure GDA0002554818830000228
Figure GDA0002554818830000229
Figure GDA00025548188300002210
Figure GDA00025548188300002211
Figure GDA00025548188300002212
Figure GDA00025548188300002213
Figure GDA00025548188300002214
Figure GDA00025548188300002215
Figure GDA0002554818830000231
Figure GDA0002554818830000232
Figure GDA0002554818830000233
Figure GDA0002554818830000234
可选地,预设周期为1分钟。
可选地,该方法还包括:
获取多个第二session发生时间段内数字化变电站网络的第二流量数据;
根据第二流量数据确定各第二session的第二检测指标值;
通过孤立森林模型对各第二检测指标值进行训练,得到流量异常检测模型。
可选地,获取多个第二session发生时间段内数字化变电站网络的第二流量数据,包括;
获取数字化变电站网络的历史流量数据;
在历史流量数据中,监测GOOSE报文的第二△T;
每当监测到第二△T由T0变化为小于T0时,确定一个第二session发生,且该第二session发生时间段的起始时间为:在第二△T等于T0之后,首次由 T0变化为小于T0的第二△T的起始时间,该第二session发生时间段的终止时间为:在第二△T由T0变化为小于T0之后,首次由小于T0恢复至T0的第二△T的起始时间;
获取各第二session发生时间段内的历史流量数据。
可选地,第二流量数据包括第二MMS报文数据、第二SV报文数据和第二GOOSE报文数据;
根据第二流量数据确定各第二session的第二检测指标值,包括:
对于任一第二session,
根据数字化变电站网络的拓扑结构以及任一第二session的第二流量数据,确定数字化变电站网络中各设备间的第二MMS报文、第二SV报文和第二 GOOSE报文交互情况;
根据第二MMS报文、第二SV报文和第二GOOSE报文交互情况确定任一第二session的第二特征值;
根据任一第二session的第二特征值确定任一第二session的第二检测指标值;
第二特征值为任一第二session的持续时间、任一第二session的第二流量数据中MMS报文数量mmsNum2、任一第二session的第二流量数据中MMS报文大小mmsSize2、任一第二session的第二流量数据中MMS报文时间mmsTime2、任一第二session的第二流量数据中SV报文数量svNum2、任一第二session的第二流量数据中SV报文大小svSize2、任一第二session的第二流量数据中SV 报文时间svTime2、任一第二session的第二流量数据中GOOSE报文数量 gooseNum2、任一第二session的第二流量数据中GOOSE报文大小gooseSize2、任一第二session的第二流量数据中GOOSE报文时间gooseTime2
第二检测指标值为第二均值μ2和第二标准差σ2
Figure GDA0002554818830000241
Figure GDA0002554818830000242
Figure GDA0002554818830000243
Figure GDA0002554818830000244
Figure GDA0002554818830000245
Figure GDA0002554818830000246
Figure GDA0002554818830000247
Figure GDA0002554818830000248
Figure GDA0002554818830000251
Figure GDA0002554818830000252
Figure GDA0002554818830000253
Figure GDA0002554818830000254
Figure GDA0002554818830000255
Figure GDA0002554818830000256
Figure GDA0002554818830000257
Figure GDA0002554818830000258
Figure GDA0002554818830000259
Figure GDA00025548188300002510
Figure GDA00025548188300002511
可选地,流量异常检测模型包括多棵孤立树iTree,每棵iTree为二叉树结构,每棵iTree由同一事件对应的第二session聚集而成;
通过预先训练的流量异常检测模型,检测该第一流量数据是否异常,包括:
遍历流量异常检测模型中的各棵iTree,计算该第一流量数据落在各棵 iTree中高度的平均值
Figure GDA00025548188300002512
Figure GDA00025548188300002513
则确定该第一流量数据异常;
μ3为各棵iTree的平均高度,σ3为各棵iTree的标准差。
有益效果如下:
通过session获取待检测的流量数据,通过流量异常检测模型对待检测的流量数据进行检查,使得本方案同时适用于时间跨度小的小数据量检测,以及,时间跨度大的大数据量检测,扩展了本方案的适用场景。
基于同一发明构思,本实施例提供了一种计算机存储介质,其上存储有计算机程序所述程序被处理器执行时实现如下步骤。
在第一session发生时间段内,按照预设周期获取数字化变电站网络的第一流量数据;
每当获得第一流量数据后,确定该第一流量数据对应的第一检测指标值,并通过预先训练的流量异常检测模型,检测该第一流量数据是否异常。
可选地,该方法,还包括:
持续监测数字化变电站网络中GOOSE报文的第一△T;
第一session发生时间段的起始时间为:首次由T0变化为小于T0的第一△T的起始时间,T0为GOOSE报文的稳态间隔;
第一session发生时间段的终止时间为:在由T0变化为小于T0之后,首次由小于T0恢复至T0的第一△T的起始时间。
可选地,第一流量数据包括第一MMS报文数据、第一SV报文数据和第一GOOSE报文数据;
确定该第一流量数据对应的第一检测指标值,包括:
根据数字化变电站网络的拓扑结构以及该第一流量数据,确定数字化变电站网络中各设备间的第一MMS报文、第一SV报文和第一GOOSE报文交互情况;
根据第一MMS报文、第一SV报文和第一GOOSE报文交互情况确定第一特征值;
根据第一特征值确定对应的第一检测指标值;
第一特征值为:第一session的持续时间、该第一流量数据中MMS报文数量mmsNum1、该第一流量数据中MMS报文大小mmsSize1、该第一流量数据中 MMS报文时间mmsTime1、该第一流量数据中SV报文数量svNum1、该第一流量数据中SV报文大小svSize1、该第一流量数据中SV报文时间svTime1、该第一流量数据中GOOSE报文数量gooseNum1、该第一流量数据中GOOSE报文大小 gooseSize1、该第一流量数据中GOOSE报文时间gooseTime1
第一检测指标值为第一均值μ1和第一标准差σ1
Figure GDA0002554818830000261
Figure GDA0002554818830000271
Figure GDA0002554818830000272
Figure GDA0002554818830000273
Figure GDA0002554818830000274
Figure GDA0002554818830000275
Figure GDA0002554818830000276
Figure GDA0002554818830000277
Figure GDA0002554818830000278
Figure GDA0002554818830000279
Figure GDA00025548188300002710
Figure GDA00025548188300002711
Figure GDA00025548188300002712
Figure GDA00025548188300002713
Figure GDA00025548188300002714
Figure GDA00025548188300002715
Figure GDA00025548188300002716
Figure GDA00025548188300002717
Figure GDA00025548188300002718
可选地,预设周期为1分钟。
可选地,该方法还包括:
获取多个第二session发生时间段内数字化变电站网络的第二流量数据;
根据第二流量数据确定各第二session的第二检测指标值;
通过孤立森林模型对各第二检测指标值进行训练,得到流量异常检测模型。
可选地,获取多个第二session发生时间段内数字化变电站网络的第二流量数据,包括;
获取数字化变电站网络的历史流量数据;
在历史流量数据中,监测GOOSE报文的第二△T;
每当监测到第二△T由T0变化为小于T0时,确定一个第二session发生,且该第二session发生时间段的起始时间为:在第二△T等于T0之后,首次由 T0变化为小于T0的第二△T的起始时间,该第二session发生时间段的终止时间为:在第二△T由T0变化为小于T0之后,首次由小于T0恢复至T0的第二△T的起始时间;
获取各第二session发生时间段内的历史流量数据。
可选地,第二流量数据包括第二MMS报文数据、第二SV报文数据和第二GOOSE报文数据;
根据第二流量数据确定各第二session的第二检测指标值,包括:
对于任一第二session,
根据数字化变电站网络的拓扑结构以及任一第二session的第二流量数据,确定数字化变电站网络中各设备间的第二MMS报文、第二SV报文和第二 GOOSE报文交互情况;
根据第二MMS报文、第二SV报文和第二GOOSE报文交互情况确定任一第二session的第二特征值;
根据任一第二session的第二特征值确定任一第二session的第二检测指标值;
第二特征值为任一第二session的持续时间、任一第二session的第二流量数据中MMS报文数量mmsNum2、任一第二session的第二流量数据中MMS报文大小mmsSize2、任一第二session的第二流量数据中MMS报文时间mmsTime2、任一第二session的第二流量数据中SV报文数量svNum2、任一第二session的第二流量数据中SV报文大小svSize2、任一第二session的第二流量数据中SV 报文时间svTime2、任一第二session的第二流量数据中GOOSE报文数量 gooseNum2、任一第二session的第二流量数据中GOOSE报文大小gooseSize2、任一第二session的第二流量数据中GOOSE报文时间gooseTime2
第二检测指标值为第二均值μ2和第二标准差σ2
Figure GDA0002554818830000291
Figure GDA0002554818830000292
Figure GDA0002554818830000293
Figure GDA0002554818830000294
Figure GDA0002554818830000295
Figure GDA0002554818830000296
Figure GDA0002554818830000297
Figure GDA0002554818830000298
Figure GDA0002554818830000299
Figure GDA00025548188300002910
Figure GDA00025548188300002911
Figure GDA00025548188300002912
Figure GDA00025548188300002913
Figure GDA00025548188300002914
Figure GDA00025548188300002915
Figure GDA0002554818830000301
Figure GDA0002554818830000302
Figure GDA0002554818830000303
Figure GDA0002554818830000304
可选地,流量异常检测模型包括多棵孤立树iTree,每棵iTree为二叉树结构,每棵iTree由同一事件对应的第二session聚集而成;
通过预先训练的流量异常检测模型,检测该第一流量数据是否异常,包括:
遍历流量异常检测模型中的各棵iTree,计算该第一流量数据落在各棵 iTree中高度的平均值
Figure GDA0002554818830000305
Figure GDA0002554818830000306
则确定该第一流量数据异常;
μ3为各棵iTree的平均高度,σ3为各棵iTree的标准差。
有益效果如下:
通过session获取待检测的流量数据,通过流量异常检测模型对待检测的流量数据进行检查,使得本方案同时适用于时间跨度小的小数据量检测,以及,时间跨度大的大数据量检测,扩展了本方案的适用场景。
本领域内的技术人员应明白,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/ 或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

Claims (8)

1.一种数字化变电站流量异常检测方法,其特征在于,包括:
在第一对象session发生时间段内,按照预设周期获取数字化变电站网络的第一流量数据;
每当获得第一流量数据后,确定该第一流量数据对应的第一检测指标值,并通过预先训练的流量异常检测模型,检测该第一流量数据是否异常;
所述方法,还包括:
持续监测所述数字化变电站网络中面向通用对象的变电站事件GOOSE报文的第一发送时间间隔△T;
所述第一session发生时间段的起始时间为:首次由T0变化为小于所述T0的第一△T的起始时间,所述T0为GOOSE报文的稳态间隔;
所述第一session发生时间段的终止时间为:在由T0变化为小于所述T0之后,首次由小于所述T0恢复至所述T0的第一△T的起始时间;
其中,第一流量数据包括第一制造报文规范MMS报文数据、第一采样值SV报文数据和第一GOOSE报文数据;
所述确定该第一流量数据对应的第一检测指标值,包括:
根据所述数字化变电站网络的拓扑结构以及该第一流量数据,确定所述数字化变电站网络中各设备间的第一MMS报文、第一SV报文和第一GOOSE报文交互情况;
根据所述第一MMS报文、第一SV报文和第一GOOSE报文交互情况确定第一特征值;
根据第一特征值确定对应的第一检测指标值;
所述第一特征值为:所述第一session的持续时间、该第一流量数据中MMS报文数量mmsNum1、该第一流量数据中MMS报文大小mmsSize1、该第一流量数据中MMS报文时间mmsTime1、该第一流量数据中SV报文数量svNum1、该第一流量数据中SV报文大小svSize1、该第一流量数据中SV报文时间svTime1、该第一流量数据中GOOSE报文数量gooseNum1、该第一流量数据中GOOSE报文大小gooseSize1、该第一流量数据中GOOSE报文时间gooseTime1
第一检测指标值为第一均值μ1和第一标准差σ1
所述
Figure FDA0002554818820000021
Figure FDA0002554818820000022
Figure FDA0002554818820000023
Figure FDA0002554818820000024
Figure FDA0002554818820000025
Figure FDA0002554818820000026
Figure FDA0002554818820000027
Figure FDA0002554818820000028
Figure FDA0002554818820000029
Figure FDA00025548188200000210
Figure FDA00025548188200000211
Figure FDA00025548188200000212
Figure FDA00025548188200000213
Figure FDA00025548188200000214
Figure FDA00025548188200000215
Figure FDA00025548188200000216
Figure FDA00025548188200000217
Figure FDA00025548188200000218
Figure FDA00025548188200000219
2.根据权利要求1所述的方法,其特征在于,所述预设周期为1分钟。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取多个第二session发生时间段内所述数字化变电站网络的第二流量数据;
根据所述第二流量数据确定各第二session的第二检测指标值;
通过孤立森林模型对各第二检测指标值进行训练,得到流量异常检测模型。
4.根据权利要求3所述的方法,其特征在于,所述获取多个第二session发生时间段内所述数字化变电站网络的第二流量数据,包括;
获取所述数字化变电站网络的历史流量数据;
在所述历史流量数据中,监测GOOSE报文的第二△T;
每当监测到所述第二△T由T0变化为小于所述T0时,确定一个第二session发生,且该第二session发生时间段的起始时间为:在第二△T等于T0之后,首次由T0变化为小于所述T0的第二△T的起始时间,该第二session发生时间段的终止时间为:在第二△T由T0变化为小于所述T0之后,首次由小于所述T0恢复至所述T0的第二△T的起始时间;
获取各第二session发生时间段内的历史流量数据。
5.根据权利要求4所述的方法,其特征在于,第二流量数据包括第二MMS报文数据、第二SV报文数据和第二GOOSE报文数据;
所述根据所述第二流量数据确定各第二session的第二检测指标值,包括:
对于任一第二session,
根据所述数字化变电站网络的拓扑结构以及所述任一第二session的第二流量数据,确定所述数字化变电站网络中各设备间的第二MMS报文、第二SV报文和第二GOOSE报文交互情况;
根据所述第二MMS报文、第二SV报文和第二GOOSE报文交互情况确定所述任一第二session的第二特征值;
根据所述任一第二session的第二特征值确定所述任一第二session的第二检测指标值;
所述第二特征值为所述任一第二session的持续时间、所述任一第二session的第二流量数据中MMS报文数量mmsNum2、所述任一第二session的第二流量数据中MMS报文大小mmsSize2、所述任一第二session的第二流量数据中MMS报文时间mmsTime2、所述任一第二session的第二流量数据中SV报文数量svNum2、所述任一第二session的第二流量数据中SV报文大小svSize2、所述任一第二session的第二流量数据中SV报文时间svTime2、所述任一第二session的第二流量数据中GOOSE报文数量gooseNum2、所述任一第二session的第二流量数据中GOOSE报文大小gooseSize2、所述任一第二session的第二流量数据中GOOSE报文时间gooseTime2
第二检测指标值为第二均值μ2和第二标准差σ2
所述
Figure FDA0002554818820000041
Figure FDA0002554818820000042
Figure FDA0002554818820000043
Figure FDA0002554818820000044
Figure FDA0002554818820000045
Figure FDA0002554818820000046
Figure FDA0002554818820000047
Figure FDA0002554818820000048
Figure FDA0002554818820000049
Figure FDA0002554818820000051
Figure FDA0002554818820000052
Figure FDA0002554818820000053
Figure FDA0002554818820000054
Figure FDA0002554818820000055
Figure FDA0002554818820000056
Figure FDA0002554818820000057
Figure FDA0002554818820000058
Figure FDA0002554818820000059
Figure FDA00025548188200000510
6.根据权利要求5所述的方法,其特征在于,所述流量异常检测模型包括多棵孤立树iTree,每棵iTree为二叉树结构,每棵iTree由同一事件对应的第二session聚集而成;
所述通过预先训练的流量异常检测模型,检测该第一流量数据是否异常,包括:
遍历所述流量异常检测模型中的各棵iTree,计算该第一流量数据落在各棵iTree中高度的平均值
Figure FDA00025548188200000511
Figure FDA00025548188200000512
则确定该第一流量数据异常;
μ3为各棵iTree的平均高度,σ3为各棵iTree的标准差。
7.一种电子设备,其特征在于,所述电子设备包括:显示器,存储器,一个或多个处理器;以及一个或多个模块,所述一个或多个模块被存储在所述存储器中,并被配置成由所述一个或多个处理器执行,所述一个或多个模块包括用于执行权利要求1-6中任一所述方法中各个步骤的指令。
8.一种计算机存储介质,其上存储有计算机程序所述程序被处理器执行时实现包括根据权利要求1-6中任一项所述的方法。
CN201810189423.0A 2018-03-08 2018-03-08 数字化变电站流量异常检测方法、电子设备及计算机存储介质 Active CN108494747B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810189423.0A CN108494747B (zh) 2018-03-08 2018-03-08 数字化变电站流量异常检测方法、电子设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810189423.0A CN108494747B (zh) 2018-03-08 2018-03-08 数字化变电站流量异常检测方法、电子设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN108494747A CN108494747A (zh) 2018-09-04
CN108494747B true CN108494747B (zh) 2020-11-10

Family

ID=63338089

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810189423.0A Active CN108494747B (zh) 2018-03-08 2018-03-08 数字化变电站流量异常检测方法、电子设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN108494747B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109308306B (zh) * 2018-09-29 2021-07-06 重庆大学 一种基于孤立森林的用户用电异常行为检测方法
CN110210508B (zh) * 2018-12-06 2021-11-09 北京奇艺世纪科技有限公司 模型生成方法、异常流量检测方法、装置、电子设备、计算机可读存储介质
CN109379255B (zh) * 2018-12-12 2021-10-08 国网宁夏电力有限公司电力科学研究院 一种基于智能交换机过程层网络流量监测预警方法
CN109815084B (zh) * 2018-12-29 2020-12-29 北京城市网邻信息技术有限公司 异常识别方法、装置和电子设备及存储介质
CN109802960A (zh) * 2019-01-08 2019-05-24 深圳中兴网信科技有限公司 防火墙策略处理方法及装置、计算机设备和存储介质
CN110011966B (zh) * 2019-02-28 2022-07-26 国网浙江省电力有限公司绍兴供电公司 一种智能变电站过程层网络流量异常检测方法
CN109922083B (zh) * 2019-04-10 2021-01-05 武汉金盛方圆网络科技发展有限公司 一种网络协议流量控制系统
CN111447193B (zh) * 2020-03-23 2022-11-04 网宿科技股份有限公司 一种针对实时数据流进行异常检测的方法及装置
CN114745152B (zh) * 2022-02-28 2023-09-29 国网江苏省电力有限公司淮安供电分公司 基于iec61850 goose报文运行态势模型的入侵检测方法和系统
CN115797071A (zh) * 2023-02-03 2023-03-14 上海特高信息技术有限公司 一种基于卷积神经的宏观和微观层面的交易异常检测方法
CN117579400B (zh) * 2024-01-17 2024-03-29 国网四川省电力公司电力科学研究院 一种基于神经网络的工控系统网络安全监测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
CN107517205A (zh) * 2017-08-14 2017-12-26 浙江大学 基于概率的智能变电站网络异常流量检测模型构建方法
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160095856A (ko) * 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
CN107517205A (zh) * 2017-08-14 2017-12-26 浙江大学 基于概率的智能变电站网络异常流量检测模型构建方法
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN108494747A (zh) 2018-09-04

Similar Documents

Publication Publication Date Title
CN108494747B (zh) 数字化变电站流量异常检测方法、电子设备及计算机存储介质
CN110138787A (zh) 一种基于混合神经网络的异常流量检测方法及系统
CN106656588A (zh) 智能变电站的故障定位方法和装置
CN110909811A (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
JP2014060722A (ja) 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
CN104468631A (zh) 基于ip终端异常流量及黑白名单库的网络入侵识别方法
CN112086965B (zh) 一种低压配电网拓扑识别方法及装置
CN108092847B (zh) 一种电力lte无线终端远程在线监控方法
CN111556083A (zh) 电网信息物理系统网络攻击物理侧与信息侧协同溯源装置
Lin et al. Timing patterns and correlations in spontaneous {SCADA} traffic for anomaly detection
CN107517205A (zh) 基于概率的智能变电站网络异常流量检测模型构建方法
CN109150869A (zh) 一种交换机信息采集分析系统及方法
CN116527718A (zh) 一种工业物联网网关的数据采集方法及其系统
Solmaz et al. ALACA: A platform for dynamic alarm collection and alert notification in network management systems
WO2020252635A1 (zh) 网络行为模型构建方法、装置和计算机可读介质
CN117596119A (zh) 一种基于snmp协议的设备数据采集与监控方法及系统
WO2024104406A1 (zh) 异常检测的方法和云网络平台
CN110108980A (zh) 一种电力系统的异常事件的识别方法及装置
CN113259367A (zh) 工控网络流量多级异常检测方法及装置
US20140355412A1 (en) Computer implemented method for tracking and checking measures and computer programs thereof
Kreimel et al. Neural net-based anomaly detection system in substation networks
CN104486415B (zh) 监控对象工作状态的判定方法及装置
CN114785617A (zh) 一种5g网络应用层异常检测方法及系统
Wang et al. A scheme for fast network traffic anomaly detection
CN114205855A (zh) 一种面向5g切片的馈线自动化业务网络异常检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20190201

Address after: Room 1, Room 2, Lane 15, 1412, Yunduan Road, Nicheng, Pudong New Area, Shanghai, 2003

Applicant after: Shanghai view security information technology Limited by Share Ltd

Applicant after: Global energy Internet Institute, Inc.

Address before: Room 1, Room 2, Lane 15, 1412, Yunduan Road, Nicheng, Pudong New Area, Shanghai, 2003

Applicant before: Shanghai view security information technology Limited by Share Ltd

GR01 Patent grant
GR01 Patent grant