CN109118075A - 一种基于业务逻辑一致性的电力工控终端安全监测方法 - Google Patents
一种基于业务逻辑一致性的电力工控终端安全监测方法 Download PDFInfo
- Publication number
- CN109118075A CN109118075A CN201810878458.5A CN201810878458A CN109118075A CN 109118075 A CN109118075 A CN 109118075A CN 201810878458 A CN201810878458 A CN 201810878458A CN 109118075 A CN109118075 A CN 109118075A
- Authority
- CN
- China
- Prior art keywords
- index
- state
- equipment
- business
- electric power
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000012544 monitoring process Methods 0.000 title claims abstract description 44
- 230000002123 temporal effect Effects 0.000 claims abstract description 23
- 230000002159 abnormal effect Effects 0.000 claims abstract description 9
- 238000012549 training Methods 0.000 claims abstract description 7
- 230000033228 biological regulation Effects 0.000 claims description 20
- 238000010606 normalization Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 20
- 238000005070 sampling Methods 0.000 claims description 16
- 238000003672 processing method Methods 0.000 claims description 10
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000005265 energy consumption Methods 0.000 claims description 4
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims description 3
- 241000208340 Araliaceae Species 0.000 claims 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 claims 1
- 235000003140 Panax quinquefolius Nutrition 0.000 claims 1
- 235000008434 ginseng Nutrition 0.000 claims 1
- 230000002547 anomalous effect Effects 0.000 abstract description 2
- 238000001514 detection method Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000005611 electricity Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 231100000572 poisoning Toxicity 0.000 description 2
- 230000000607 poisoning effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Educational Administration (AREA)
- Marketing (AREA)
- Entrepreneurship & Innovation (AREA)
- Theoretical Computer Science (AREA)
- Development Economics (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Game Theory and Decision Science (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Supply And Distribution Of Alternating Current (AREA)
Abstract
本发明公开了一种基于业务逻辑一致性的电力工控终端安全监测方法,本发明针对“互联网+”智能电网系统中多样化信息引入的电力工控终端设备安全问题,突破现有单纯依赖网络空间信息的攻击检测方法,提出基于业务逻辑一致性的电力工控终端安全方法。通过对物理世界信息和网络空间信息的多模态数据进行采样、归一化处理和时序关联,并且通过训练得到安全监测集和参数约束集,用于进行安全监测和异常识别。该方法从业务层面,可以有效预警由于设备性能差异、设备故障、黑客入侵导致的状态异常,实现对电力工控终端基于设备时间逻辑、状态逻辑和业务逻辑的“时间‑状态‑业务”三位一体一致性安全监测。
Description
技术领域
本发明涉及一种针对电力工控终端的安全监测方法,尤其涉及基于电力 业务逻辑一致性的安全监测方法。
技术背景
在电力系统中,电网的主要作用是分配电能和传输电能。在21世纪网络 时代,电网作为能源基础设施也必然离不开信息化,信息化在具有高度灵活 性的同时,也带来了很多威胁和不确定性。电力工控终端作为电力工控系统 的“手足”,在电力信息化过程中发挥着举足轻重的作用。“震网”、“火 焰”以及乌克兰停电事件中的病毒均为网络攻击势力,通过电力工控终端进 而对电力系统造成破坏。攻击者熟悉被攻击系统及网络结构,采用的攻击技 术先进,病毒扩散以及破坏非常隐蔽,现有终端防病毒软件无法进行查杀。 因此对电力工控终端进行防渗透及安全监测迫在眉睫。
发明内容
本发明针对现有技术的不足,提出了一种基于业务逻辑一致性的电力终端 安全监测方法。该方法可以有效提高对电力终端安全隐患的监测效率和故障 识别率。
本发明依据具体的电力业务流程选定参与该业务的设备终端,提取并归一 化处理所有参与设备的状态特征,并结合业务流程,考虑时序特征,形成基 于业务逻辑一致性的特征关联,据此训练生成针对电力工控设备的基于“时 间-状态-业务”三维一体的一致性安全规则集;最后基于该安全规则集,实 现对该电力业务的安全监测。
在电力行业,执行一个完整的电力业务所需要的电力工控终端类型,可根 据电力网通信传输过程,从下至上归纳总结为5类:现场终端设备(断路器、 负荷开关、分段开关、负载、变压器、发电机)、现场通讯设备(配电开关 监控终端(FTU)、数据传输单元(DTU)、远程终端单元(RTU))、子站通 讯设备、主站通讯设备和调度中心机房设备。调度中心的作用是实现区域间 的网络互联、信息交互和综合决策,是电网调度的核心控制器。因此,在实际电网运行中,调度中心已采用多级安全接入认证、物理隔离等手段,具有 较高的安全等级,不易被黑客攻击或病毒入侵。因此本发明专利主要通过其 余4类设备的状态信息和特征,实现安全监测。
在电力行业中,目前还没有基于具体的业务逻辑一致性实现对电力工控终 端安全监测的成熟技术方法。其困难在于业务流程图只能反映业务在执行方 面的对应关系,通常用于判断业务员是否按规定动作操作机器或执行指令, 无法用于分析系统是否受到黑客攻击或病毒入侵。为此,利用本发明专利提 出的基于业务逻辑一致性的电力终端安全监测方法,可以有效的关联“时序 特征”、“设备状态特征”和“业务流程”,从业务级实现对电力工控终端 的安全监测。
一种基于业务逻辑一致性的电力工控终端安全规则集生成方法,该方法具 体包括以下步骤:
步骤1:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据具体的电力业务流程选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采 集相关指标的状态数据,指标包括能耗、电压、电流、内存占用率。
(3)将参与该业务的所有设备终端类别、每类设备需要监测的指标输出 至参数集。
步骤2:对每个电力工控设备终端的每个指标的状态数据做特征归一化处 理,该方法具体包括:
(1)状态数据特征归一化处理方法为:假设某指标的变化范围是 [ymin,ymax],假设该指标的状态数据变化的区分度为n,那么模拟量-数字量 转化的精度Δn表示为(ymax-ymin)/n。由此可以得到该指标在区分度为n的情 形下,归一化后的状态变化范围是[0,(n-1)2],占n1位存储空间,其中(X)2为 X的二进制表示,
(2)在每类设备中,对所需要监测的指标所对应的状态数据变化区分度 参数输出至参数集。
步骤3:根据业务生命周期和业务逻辑,对状态数据进行基于“时间-状态 -业务”的关联处理,该方法具体包括:
(1)通过业务流程,确定参与该业务的所有设备终端和设备间的执行顺 序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链顺序 与业务从开始到结束的执行顺序一致;
(2)考虑业务的生命周期,结合监测采样频率,对数据状态自适应关联 时序标签,进行“时间-状态”关联处理。处理方法为:假设对某指标的采样 时间范围是[xmin,xmax],则采样时间表示为t=xmax-xmin。假设采样频率 (或时间精度)为f/Hz,由此得到该指标在采样频率为tf的情形下,归一化 后的时序标签范围是[0,(tf-1)2],占nT位存储空间,其中(X)2为X的二进制 表示,时序特征关联状态特征的顺序定义为:时序特征在 前,指标状态特征在后。因此得到关联时间后该指标的数据长度为nT+n1位, 其中n1为根据步骤2-(1)得到的状态数据特征归一化处理后所需的存储空间。 综合考虑实际需求、数据量大小和监测精度要求,对“时间-状态-业务”的 关联处理,可进一步分为2类:
(2-1)在业务生命周期内,对单一设备终端的多指标(指标1,指标2,…) 状态数据特征进行关联处理,该设备基于多指标的“时间-状态”特征关联顺 序定义为:时序特征在最前,指标状态特征在后依次排开,因此得到该设备 的k个指标的状态数据长度为nT+n1+n2+…nk;
(2-2)在业务生命周期中,基于业务逻辑,对多设备终端单一指标状态 数据特征进行关联处理,针对该指标的多设备终端的“时间-状态-业务”特 征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业务流程 先后顺序依次排开。据此得到基于该指标的m个设备终端参与数据长度为: nT+m·nb,其中nb为m个设备中针对指标b的最大区分度;
(3)将测定得到的业务生命周期、采样频率、单一设备终端多指标关联、 多设备终端单一指标关联最大区分度输出至参数集。
步骤4:通过训练,生成基于业务逻辑一致性的电力工控终端安全规则集, 该方法具体包括:
(1)在确保设备终端性能良好情况下,重复执行步骤1和2多次,对归一 化处理后的同一终端的相同状态数据特征,以二进制的形式,按位取交集。 若某位值为“0”或“1”均可,则置该位为“X”;
(2)对(1)中得到的数据特征,按照步骤3中(2-1)和(2-2)的方法, 生成两类安全规则:业务周期内单一设备多指标状态特征数据安全规则集和 业务周期内多设备单一指标状态特征数据安全集。
步骤5:接收步骤1-3、步骤2-2和步骤3-3所输出的参数,形成完整参数 集并储存。
步骤6:调用步骤5训练生成的参数集,该参数集中约束了如下要求:
(1)确定了该业务的生命周期长度和采用频率;
(2)确定了参与该业务的所有设备终端类别;
(3)确定了每一类设备终端需要监测采样的指标及区分度;
(4)确定了对单一设备终端的多指标状态数据特征关联顺序和关联后的 数据长度;
(5)确定了对多设备终端单一指标状态数据特征关联顺序和关联后的数 据长度。
步骤7:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据参数集要求,选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采 集相关指标的状态数据,对每种设备终端需要监测并采样的指标,按照参数 集确定。
步骤7:对每个电力工控设备终端的每个指标的状态数据做特征归一化处 理,处理方法为:
假设某指标的变化范围是[ymin,ymax],假设该指标的状态数据变化的区 分度为n,那么模拟量-数字量转化的精度Δn可以表示为(ymax-ymin)/n。由此 可以得到该指标在区分度为n的情形下,归一化后的状态变化范围是 [0,(n-1)2],占n1位存储空间,其中(X)2为X的二进制表示,区分度n由安全规则集确定。
步骤8:根据业务逻辑和业务生命周期,对状态数据进行基于“时间-状态 -业务”的关联,该方法具体包括:
(1)通过业务流程,可以确定参与该业务的所有设备终端和设备间的执 行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链 顺序与业务从开始到结束的执行顺序一致;
(2)根据参数集要求,确定监测采样频率,对数据状态自适应关联时序 标签,进行“时间-状态”关联处理。处理方法为:假设对某指标的采样时间 范围是[xmin,xmax],则采样时间可表示为t=xmax-xmin。假设采样频率(或 时间精度)为f/Hz,由此得到该指标在采样频率为tf的情形下,归一化后的 时序标签范围是[0,(tf-1)2],占nT位存储空间,其中(X)2为X的二进制表示, 时序特征关联状态特征的顺序定义为:时序特征在前,指 标状态特征在后。因此得到关联时间后该指标的数据长度为nT+n1位,其中n1与nT均由参数集确定,并为定值。综合考虑实际需求、数据量大小和监测精 度要求,对“时间-状态-业务”的关联处理,可进一步分为2类:
(2-1)根据参数集要求,在业务生命周期内,对单一设备终端的多指标 (指标1,指标2,…)状态数据特征进行关联处理,该设备基于多指标的“时 间-状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排 开,得到该设备的k个指标的状态数据长度为nT+n1+n2+…nk;
(2-2)根据参数集要求,在业务生命周期中,基于业务逻辑,对多设备 终端单一指标状态数据特征进行关联处理,针对该指标的多设备终端的“时 间-状态-业务”特征关联顺序定义为:时序特征在最前,该指标的设备状态 特征按照业务流程先后顺序依次排开。据此得到基于该指标的m个设备终端参 与数据长度为:nT+m·nb,其中nb为m个设备中针对指标b的最大区分度;
步骤9:用关联处理好的含时间标签的状态特征数据进行安全监测判断, 该方法具体包括:
(1)调用基于业务逻辑一致性的电力工控终端安全规则集;
(2)将关联处理好的含时间标签的单一设备多指标状态特征数据和含时 间标签的多设备单一指标状态特征数据输入安全规则集中做判断,判断方法 为同长度二进制数据按位比较,有不同,则为异常;全相同,为正常。
步骤10:输出监测结果。该方法具体包括:
(1)正常;
(2)异常,并输出异常设备和异常指标。
本发明的有益效果是:针对“互联网+”智能电网系统中多样化信息引入 的电力工控终端设备安全问题,突破现有单纯依赖网络空间信息(流量、日 志等)的攻击检测方法,提出基于业务逻辑一致性的电力工控终端安全方法。 通过对物理世界信息(电压、电流、能耗等)和网络空间信息的多模态数据 进行采样、归一化处理和时序关联,并且通过训练得到安全监测集和参数约 束集,用于进行安全监测和异常识别。该方法从业务层面,可以有效预警由 于设备性能差异、设备故障、黑客入侵导致的状态异常,实现对电力工控终 端基于设备时间逻辑、状态逻辑和业务逻辑的“时间-状态-业务”三位一体 一致性安全监测。
附图说明
图1是基于业务逻辑一致性的电力工控终端安全监测方法流程图;
图2是设备A指标a一段时间内的变化图;
图3是设备A指标b一段时间内的变化图;
图4是设备B指标a一段时间内的变化图;
图5是设备A指标a状态特征归一化处理示意图;
图6是设备A指标a时序关联处理示意图;
图7是设备A指标a“时间-状态”逻辑关联示意图;
图8是基于设备A指标a和指标b“时间-状态”逻辑关联示意图;
图9是基于设备A和设备B(指标b)“时间-状态-业务”逻辑关联示意图;
具体实施方式
下面根据附图详细说明本发明,本发明的目的和效果将变得更加明显。
图1是基于业务逻辑一致性的电力工控终端安全监测方法流程图,该流 程图包括(i)用训练数据生成安全规则集的过程;和(ii)基于安全规则集 和参数集进行电力工控终端安全监测的方法。具体而言:
步骤1:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据具体的电力业务流程选定参与该业务的所有设备终端。例如, 某具体业务需要设备A和B配合完成;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采 集相关指标的状态数据,指标包括能耗、电压、电流、内存占用率等。据此 得到,设备A有指标a和b,设备B有指标b。
图2是设备A指标a在一段时间内的状态变化图。横坐标X轴表示时间, 纵坐标Y表示指标a的状态数值。图2中曲线的走势可以用于表征电力工控 终端设备在特定业务下的CPU使用率。
图3是设备A指标b在一段时间内的状态变化图。横坐标X轴表示时间, 纵坐标Y表示指标b的状态数值。图3中曲线的走势可以用于表征电力工控 终端设备在特定业务下的功率变化。
图4是设备B指标b在一段时间内的状态变化图。横坐标X轴表示时间, 纵坐标Y表示指标b的状态数值。图4中曲线的走势可以用于表征电力工控 终端设备在特定业务下的功率变化。与图3对比可知,不同用途的设备,功 率变化可能呈现不同的状态。
(3)将参与该业务的所有设备终端类别、每类设备需要监测的指标等参 数输出至参数集。
步骤2:对每个电力工控设备终端的每个指标的状态数据做特征归一化处 理,该方法具体包括:
(1)状态数据特征归一化处理方法如图5,测得设备A指标a的变化范围是 [ymin,ymax],假设该指标的状态变化的区分度为n,那么模拟量-数字量转化 的精度Δn可以表示为(ymax-ymin)/n,如图中n条平行于X轴的等分虚线所示。 由此可以得到设备A指标a在区分度为n的情形下,归一化后的状态变化范围是 [0,(n-1)2],占n1位存储空间,其中(X)2为X的二进制表示,对设备A指标b以及设备B指标b的处理方法于此相同。
(2)在每类设备中,对所需要监测的指标所对应的状态数据变化区分度 参数输出至参数集。
步骤3:根据业务生命周期和业务逻辑,对状态数据进行基于“时间-状态 -业务”的关联处理,该方法具体包括:
(1)通过业务流程,可以确定参与该业务的所有设备终端和设备间的执 行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链 顺序与业务从开始到结束的执行顺序一致;
(2)考虑业务的生命周期,结合监测采样频率,对数据状态自适应关联 时序标签,进行“时间-状态”关联处理。处理方法为:如图6、图7所示,对 设备A指标a的采样时间范围是[xmin,xmax],则采样时间可表示为t=xmax- xmin。假设采样频率(或时间精度)为f/Hz,由此得到该指标在采样频率为 tf的情形下,归一化后的时序标签范围是[0,(tf-1)2],占nT位存储空间, 其中(X)2为X的二进制表示,时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在后。因此得到关联时间后该指标的 数据长度为nT+n1位,其中n1为根据步骤2(1)得到的状态数据特征归一化 处理后所需的存储空间。综合考虑实际需求、数据量大小和监测精度要求, 对“时间-状态-业务”的关联处理,可进一步分为2类:
(2-1)在业务生命周期内,对单一设备A终端的多指标(指标1,指标2) 状态数据特征进行关联处理,如图8所示,指标a和b纵向排列,共用相同的时 间标签。这里指标a和b并列,更为全面的表征系统当前的状态特征。不同指 标之间,区分度可以相同也可以不同,如图中指标a和b的区分度分别为 n1和n2,且由虚线疏密可知n1>n2。因此该设备基于多指标的“时间-状态” 特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开,因此得到该设备的2个指标的状态数据长度为nT+n1+n2;
(2-2)在业务生命周期中,基于业务逻辑,对多设备终端单一指标状态 数据特征进行关联处理,如图9中设备A和设备B都以n2作为区分度。与图8相 似,设备A和设备B对于指标b,纵向排列,共用相同的时间标签。但是A与B的 排列顺序是由业务逻辑所决定的。业务逻辑具体表现为:在该业务的生命周 期内,设备A和设备B的参与该业务的顺序。因此基于指标b的“时间-状态-业 务”特征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业 务逻辑先后顺序依次排开。据此得到基于指标b的2个设备终端参与数据长度为:nT+2·n2,其中n2为2个设备中针对指标b的最大区分度。
(3)将测定得到的业务生命周期、采样频率、单一设备终端多指标关联、 多设备终端单一指标关联最大区分度等参数输出至参数集。
步骤4:通过训练,生成基于业务逻辑一致性的电力工控终端安全规则集, 该方法具体包括:
(1)在确保设备终端性能良好情况下,重复执行步骤1和2多次,对归一 化处理后的同一终端的相同状态数据特征,以二进制的形式,按位取交集。 若某位值为“0”或“1”均可,则置该位为“X”;
(2)对(1)中得到的数据特征,按照步骤3中(2-1)和(2-2)的方法, 生成两类安全规则:业务周期内单一设备多指标状态特征数据安全规则集和 业务周期内多设备单一指标状态特征数据安全集。
步骤5:接收步骤1中第(3)条、步骤2中第(2)条和步骤3中第(3)条 所输出的参数,形成完整参数集并储存。
步骤6:调用训练生成的参数集,该参数集中约束了如下要求:
(1)确定了该业务的生命周期长度和采用频率(tf);
(2)确定了参与该业务的所有设备终端类别(设备A和设备B);
(3)确定了每一类设备终端需要监测采样的指标及区分度(设备A指标a, 区分度n1;设备A和B指标b,区分度n2);
(4)确定了对单一设备终端的多指标状态数据特征关联顺序和关联后的 数据长度(nT+n1+n2);
(5)确定了对多设备终端单一指标状态数据特征关联顺序和关联后的数 据长度(nT+2·n2)。
步骤7:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据参数集要求,选定参与该业务的所有待检测设备终端:设备A 和设备B;
(2)在该业务生命周期内,分别连续监测并采集设备A指标a、指标b和设 备B指标b的状态数据。
步骤8:对每个电力工控设备终端的每个指标的状态数据做特征归一化处 理,处理方法为:
测得设备A指标a的变化范围是[ymin,ymax],参数集中对该指标的状态数 据变化的区分度为n,那么模拟量-数字量转化的精度Δn可以表示为 (ymax-ymin)/n。由此可以得到该指标在区分度为n的情形下,归一化后的状 态变化范围是[0,(n-1)2],占n1位存储空间,其中(X)2为X的二进制表示,
步骤9:根据业务逻辑和业务生命周期,对状态数据进行基于“时间-状态 -业务”的关联,该方法具体包括:
(1)通过业务流程,可以确定参与该业务的所有设备终端和设备间的执 行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链 顺序与业务从开始到结束的执行顺序一致;
(2)根据参数集要求,确定监测采样频率,对数据状态自适应关联时序 标签,进行“时间-状态”关联处理。处理方法为:采样时间范围是[xmin,xmax], 则采样时间可表示为t=xmax-xmin。采样频率(或时间精度)为f/Hz,由此 得到该指标在采样频率为tf的情形下,归一化后的时序标签范围是 [0,(tf-1)2],占nT位存储空间,其中(X)2为X的二进制表示, 时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在 后。因此得到关联时间后该指标的数据长度为nT+n1位,其中n1与nT均由参 数集确定,并为定值。综合考虑实际需求、数据量大小和监测精度要求,对 “时间-状态-业务”的关联处理,可进一步分为2类:
(2-1)根据参数集要求,在业务生命周期内,对单一设备终端的多指标 (指标1,指标2)状态数据特征进行关联处理,该设备基于多指标的“时间- 状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开, 得到该设备的2个指标的状态数据长度为nT+n1+n2;
(2-2)根据参数集要求,在业务生命周期中,基于业务逻辑,对多设备 终端单一指标(设备A设备B指标b)状态数据特征进行关联处理,针对该指标 的多设备终端的“时间-状态-业务”特征关联顺序定义为:时序特征在最前, 该指标的设备状态特征按照业务流程先后顺序依次排开。据此得到基于该指 标的2个设备终端参与数据长度为:nT+2·nb,其中nb为2个设备中针对指标 b的最大区分度;
步骤10:用关联处理好的含时间标签的状态特征数据进行安全监测判断, 该方法具体包括:
(1)调用基于业务逻辑一致性的电力工控终端安全规则集;
(2)将关联处理好的含时间标签的单一设备多指标状态特征数据和含时 间标签的多设备单一指标状态特征数据输入安全规则集中做判断,判断方法 为同长度二进制数据按位比较,有不同,则为异常;全相同,为正常。
步骤11:输出监测结果。该方法具体包括:
(1)正常;
(2)异常,并输出异常设备和异常指标。
Claims (2)
1.一种基于业务逻辑一致性的电力工控终端安全监测方法,该方法具体包括以下步骤:
步骤1:对电力工控终端进行状态数据采集;
步骤2:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,该方法具体包括:
(1)状态数据特征归一化处理方法为:假设某指标的变化范围是[ymin,ymax],假设该指标的状态数据变化的区分度为n,那么模拟量-数字量转化的精度Δn表示为(ymax-ymin)/n;由此得到该指标在区分度为n的情形下,归一化后的状态变化范围是[0,(n-1)2],占n1位存储空间,其中(X)2为X的二进制表示,
(2)在每类设备中,对所需要监测的指标所对应的状态数据变化区分度参数输出至参数集;
步骤3:根据业务生命周期和业务逻辑,对状态数据进行基于“时间-状态-业务”的关联处理,该方法具体包括:
(1)通过业务流程,确定参与该业务的所有设备终端和设备间的执行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链顺序与业务从开始到结束的执行顺序一致;
(2)考虑业务的生命周期,结合监测采样频率,对数据状态自适应关联时序标签,进行“时间-状态”关联处理;处理方法为:假设对某指标的采样时间范围是[xmin,xmax],则采样时间表示为t=xmax-xmin;假设采样频率为f/Hz,由此得到该指标在采样频率为tf的情形下,归一化后的时序标签范围是[0,(tf-1)2],占nT位存储空间,其中(X)2为X的二进制表示,时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在后;因此得到关联时间后该指标的数据长度为nT+n1位,其中n1为根据步骤2-(1)得到的状态数据特征归一化处理后所需的存储空间;综合考虑实际需求、数据量大小和监测精度要求,对“时间-状态-业务”的关联处理,进一步分为2类:
(2-1)在业务生命周期内,对单一设备终端的多指标状态数据特征进行关联处理,该设备基于多指标的“时间-状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开,因此得到该设备的k个指标的状态数据长度为nT+n1+n1+…nk;
(2-2)在业务生命周期中,基于业务逻辑,对多设备终端单一指标状态数据特征进行关联处理,针对该指标的多设备终端的“时间-状态-业务”特征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业务流程先后顺序依次排开;据此得到基于该指标的m个设备终端参与数据长度为:nT+m·nb,其中nb为m个设备中针对指标b的最大区分度;
(3)将测定得到的业务生命周期、采样频率、单一设备终端多指标关联、多设备终端单一指标关联最大区分度输出至参数集;
步骤4:通过训练,生成基于业务逻辑一致性的电力工控终端安全规则集,该方法具体包括:
(1)在确保设备终端性能良好情况下,重复执行步骤1和2多次,对归一化处理后的同一终端的相同状态数据特征,以二进制的形式,按位取交集;若某位值为“0”或“1”均可,则置该位为“X”;
(2)对(1)中得到的数据特征,按照步骤3中(2-1)和(2-2)的方法,生成两类安全规则:业务周期内单一设备多指标状态特征数据安全规则集和业务周期内多设备单一指标状态特征数据安全集;
步骤5:接收步骤1-3、步骤2-2和步骤3-3所输出的参数,形成完整参数集并储存;
步骤6:调用步骤5训练生成的参数集,该参数集中约束了如下要求:
(1)确定了该业务的生命周期长度和采用频率;
(2)确定了参与该业务的所有设备终端类别;
(3)确定了每一类设备终端需要监测采样的指标及区分度;
(4)确定了对单一设备终端的多指标状态数据特征关联顺序和关联后的数据长度;
(5)确定了对多设备终端单一指标状态数据特征关联顺序和关联后的数据长度;
步骤7:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据参数集要求,选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采集相关指标的状态数据,对每种设备终端需要监测并采样的指标,按照参数集确定;
步骤8:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,处理方法如下
假设某指标的变化范围是[ymin,ymax],假设该指标的状态数据变化的区分度为n,那么模拟量-数字量转化的精度表示为(ymax-ymin)/n;由此得到该指标在区分度为n的情形下,归一化后的状态变化范围是[0,(n-1)2],占n1位存储空间,其中(X)2为X的二进制表示,区分度n由安全规则集确定;
步骤9:根据业务逻辑和业务生命周期,对状态数据进行基于“时间-状态-业务”的关联,该方法与步骤3-(1)、3-(2)相同;
步骤10:用关联处理好的含时间标签的状态特征数据进行安全监测判断,该方法具体包括:
(1)调用基于业务逻辑一致性的电力工控终端安全规则集;
(2)将关联处理好的含时间标签的单一设备多指标状态特征数据和含时间标签的多设备单一指标状态特征数据输入安全规则集中做判断,判断方法为同长度二进制数据按位比较,有不同,则为异常;全相同,为正常;
步骤11:输出监测结果;监测结果包括:正常和异常;异常时输出异常设备和异常指标。
2.根据权利要求1所述的一种基于业务逻辑一致性的电力工控终端安全监测方法,其特征在于:所述的对电力工控终端进行状态数据采集,具体包括:
(1)依据具体的电力业务流程选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采集相关指标的状态数据,指标包括能耗、电压、电流、内存占用率;
(3)将参与该业务的所有设备终端类别、每类设备需要监测的指标输出至参数集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810878458.5A CN109118075B (zh) | 2018-08-03 | 2018-08-03 | 一种基于业务逻辑一致性的电力工控终端安全监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810878458.5A CN109118075B (zh) | 2018-08-03 | 2018-08-03 | 一种基于业务逻辑一致性的电力工控终端安全监测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109118075A true CN109118075A (zh) | 2019-01-01 |
CN109118075B CN109118075B (zh) | 2020-08-04 |
Family
ID=64852862
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810878458.5A Active CN109118075B (zh) | 2018-08-03 | 2018-08-03 | 一种基于业务逻辑一致性的电力工控终端安全监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109118075B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110166494A (zh) * | 2019-07-04 | 2019-08-23 | 四川长虹电器股份有限公司 | 一种远程监控系统中设备复合运行状态的记录方法 |
CN110224889A (zh) * | 2019-06-11 | 2019-09-10 | 深圳供电局有限公司 | 一种基于业务逻辑一致性的电表业务监测方法 |
CN110401191A (zh) * | 2019-07-29 | 2019-11-01 | 浙江大学 | 基于时序逻辑的电动车充电桩业务逻辑一致性分析方法 |
CN110601261A (zh) * | 2019-09-18 | 2019-12-20 | 浙江大学 | 基于感控逻辑的微网控制器业务逻辑一致性分析方法 |
CN110806993A (zh) * | 2019-11-05 | 2020-02-18 | 积成电子股份有限公司 | 一种定制的modbus通信方法及利用该方法的低耦合远动装置 |
CN113205431A (zh) * | 2021-07-07 | 2021-08-03 | 广东电网有限责任公司佛山供电局 | 一种配网线路多源台账数据异常监测系统和方法 |
CN113748660A (zh) * | 2019-04-18 | 2021-12-03 | 奥兰治 | 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103544561A (zh) * | 2013-10-10 | 2014-01-29 | 广东电网公司电力科学研究院 | 实现输电线路信息动态展示、运维方法及管理系统 |
CN104021438A (zh) * | 2014-05-12 | 2014-09-03 | 华迪计算机集团有限公司 | 基于业务模型对业务系统中物理设备进行监控的方法和装置 |
CN105356620A (zh) * | 2015-09-29 | 2016-02-24 | 国网内蒙古东部电力有限公司电力科学研究院 | 电能质量监测系统 |
CN108092799A (zh) * | 2017-11-28 | 2018-05-29 | 国网宁夏电力有限公司信息通信公司 | 一种基于电力通信网动态资源管理的业务健康度监测方法 |
-
2018
- 2018-08-03 CN CN201810878458.5A patent/CN109118075B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103544561A (zh) * | 2013-10-10 | 2014-01-29 | 广东电网公司电力科学研究院 | 实现输电线路信息动态展示、运维方法及管理系统 |
CN104021438A (zh) * | 2014-05-12 | 2014-09-03 | 华迪计算机集团有限公司 | 基于业务模型对业务系统中物理设备进行监控的方法和装置 |
CN105356620A (zh) * | 2015-09-29 | 2016-02-24 | 国网内蒙古东部电力有限公司电力科学研究院 | 电能质量监测系统 |
CN108092799A (zh) * | 2017-11-28 | 2018-05-29 | 国网宁夏电力有限公司信息通信公司 | 一种基于电力通信网动态资源管理的业务健康度监测方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113748660A (zh) * | 2019-04-18 | 2021-12-03 | 奥兰治 | 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 |
CN113748660B (zh) * | 2019-04-18 | 2024-04-05 | 奥兰治 | 用于处理指示在经由网络传输的流量中检测到异常的警报消息的方法和装置 |
CN110224889A (zh) * | 2019-06-11 | 2019-09-10 | 深圳供电局有限公司 | 一种基于业务逻辑一致性的电表业务监测方法 |
CN110224889B (zh) * | 2019-06-11 | 2020-09-15 | 深圳供电局有限公司 | 一种基于业务逻辑一致性的电表业务监测方法 |
CN110166494A (zh) * | 2019-07-04 | 2019-08-23 | 四川长虹电器股份有限公司 | 一种远程监控系统中设备复合运行状态的记录方法 |
CN110401191A (zh) * | 2019-07-29 | 2019-11-01 | 浙江大学 | 基于时序逻辑的电动车充电桩业务逻辑一致性分析方法 |
CN110601261A (zh) * | 2019-09-18 | 2019-12-20 | 浙江大学 | 基于感控逻辑的微网控制器业务逻辑一致性分析方法 |
CN110601261B (zh) * | 2019-09-18 | 2021-03-05 | 浙江大学 | 基于感控逻辑的微网控制器业务逻辑一致性分析方法 |
CN110806993A (zh) * | 2019-11-05 | 2020-02-18 | 积成电子股份有限公司 | 一种定制的modbus通信方法及利用该方法的低耦合远动装置 |
CN113205431A (zh) * | 2021-07-07 | 2021-08-03 | 广东电网有限责任公司佛山供电局 | 一种配网线路多源台账数据异常监测系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109118075B (zh) | 2020-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109118075A (zh) | 一种基于业务逻辑一致性的电力工控终端安全监测方法 | |
Gómez et al. | On the generation of anomaly detection datasets in industrial control systems | |
CN105429133B (zh) | 一种面向信息网络攻击的电网脆弱性节点评估方法 | |
CN110390357A (zh) | 一种基于边信道的dtu安全监测方法 | |
CN109800995A (zh) | 一种电网设备故障识别方法及系统 | |
Hong et al. | Towards accurate and efficient classification of power system contingencies and cyber-attacks using recurrent neural networks | |
CN111131237A (zh) | 基于bp神经网络的微网攻击识别方法及并网接口装置 | |
CN108366047A (zh) | 基于博弈论的有源配电网数据安全高效传输优化方法及装置 | |
CN109840691A (zh) | 基于深度神经网络的非侵入式分项电量估计方法 | |
Ying et al. | Power message generation in smart grid via generative adversarial network | |
CN107480432A (zh) | 一种基于云平台的负荷分解方法 | |
Hu et al. | Reinforcement learning-based adaptive feature boosting for smart grid intrusion detection | |
Ghazi et al. | Intrusion detection in cyber-physical systems based on Petri net | |
Almutairi et al. | A blockchain‐enabled secured fault allocation in smart grids based on μPMUs and UT | |
Donner et al. | Unsupervised machine learning for anomaly detection in synchrophasor network traffic | |
Li et al. | Anormaly intrusion detection based on SOM | |
Abraham et al. | Unauthorized Power Usage Detection Using Gradient Boosting Classifier in Disaggregated Smart Meter Home Network | |
Lv et al. | Research on Power Terminal Security Monitoring Method Based on Business Logic Consistency | |
Liao et al. | An open-source toolbox with classical classifiers for electricity theft detection | |
Wu et al. | Disturbance propagation in power system based on an epidemic model | |
Liu et al. | Security Protection Technology Based on Power Communication Terminal Intelligent Equipment. | |
Han et al. | False Data Injection Attacks Detection in Real Smart Grid with Edge Computing | |
Zheng | Research on Anti-stealing Algorithm of Distributed Photovoltaic Power System Based on Power Big Data | |
Zaman et al. | Validation of a Machine Learning-Based IDS Design Framework Using ORNL Datasets for Power System With SCADA | |
Iqbal | Intrusion Detection in Smart Grid Using Machine Learning Approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |