CN109118075B - 一种基于业务逻辑一致性的电力工控终端安全监测方法 - Google Patents

一种基于业务逻辑一致性的电力工控终端安全监测方法 Download PDF

Info

Publication number
CN109118075B
CN109118075B CN201810878458.5A CN201810878458A CN109118075B CN 109118075 B CN109118075 B CN 109118075B CN 201810878458 A CN201810878458 A CN 201810878458A CN 109118075 B CN109118075 B CN 109118075B
Authority
CN
China
Prior art keywords
index
equipment
service
state
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810878458.5A
Other languages
English (en)
Other versions
CN109118075A (zh
Inventor
颜钢锋
王轶楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huanan Industrial Technology Research Institute of Zhejiang University
Original Assignee
Huanan Industrial Technology Research Institute of Zhejiang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huanan Industrial Technology Research Institute of Zhejiang University filed Critical Huanan Industrial Technology Research Institute of Zhejiang University
Priority to CN201810878458.5A priority Critical patent/CN109118075B/zh
Publication of CN109118075A publication Critical patent/CN109118075A/zh
Application granted granted Critical
Publication of CN109118075B publication Critical patent/CN109118075B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/06Electricity, gas or water supply

Abstract

本发明公开了一种基于业务逻辑一致性的电力工控终端安全监测方法,本发明针对“互联网+”智能电网系统中多样化信息引入的电力工控终端设备安全问题,突破现有单纯依赖网络空间信息的攻击检测方法,提出基于业务逻辑一致性的电力工控终端安全方法。通过对物理世界信息和网络空间信息的多模态数据进行采样、归一化处理和时序关联,并且通过训练得到安全监测集和参数约束集,用于进行安全监测和异常识别。该方法从业务层面,可以有效预警由于设备性能差异、设备故障、黑客入侵导致的状态异常,实现对电力工控终端基于设备时间逻辑、状态逻辑和业务逻辑的“时间‑状态‑业务”三位一体一致性安全监测。

Description

一种基于业务逻辑一致性的电力工控终端安全监测方法
技术领域
本发明涉及一种针对电力工控终端的安全监测方法,尤其涉及基于电力业务逻辑一致性的安全监测方法。
技术背景
在电力系统中,电网的主要作用是分配电能和传输电能。在21世纪网络时代,电网作为能源基础设施也必然离不开信息化,信息化在具有高度灵活性的同时,也带来了很多威胁和不确定性。电力工控终端作为电力工控系统的“手足”,在电力信息化过程中发挥着举足轻重的作用。“震网”、“火焰”以及乌克兰停电事件中的病毒均为网络攻击势力,通过电力工控终端进而对电力系统造成破坏。攻击者熟悉被攻击系统及网络结构,采用的攻击技术先进,病毒扩散以及破坏非常隐蔽,现有终端防病毒软件无法进行查杀。因此对电力工控终端进行防渗透及安全监测迫在眉睫。
发明内容
本发明针对现有技术的不足,提出了一种基于业务逻辑一致性的电力终端安全监测方法。该方法可以有效提高对电力终端安全隐患的监测效率和故障识别率。
本发明依据具体的电力业务流程选定参与该业务的设备终端,提取并归一化处理所有参与设备的状态特征,并结合业务流程,考虑时序特征,形成基于业务逻辑一致性的特征关联,据此训练生成针对电力工控设备的基于“时间-状态-业务”三维一体的一致性安全规则集;最后基于该安全规则集,实现对该电力业务的安全监测。
在电力行业,执行一个完整的电力业务所需要的电力工控终端类型,可根据电力网通信传输过程,从下至上归纳总结为5类:现场终端设备(断路器、负荷开关、分段开关、负载、变压器、发电机)、现场通讯设备(配电开关监控终端(FTU)、数据传输单元(DTU)、远程终端单元(RTU))、子站通讯设备、主站通讯设备和调度中心机房设备。调度中心的作用是实现区域间的网络互联、信息交互和综合决策,是电网调度的核心控制器。因此,在实际电网运行中,调度中心已采用多级安全接入认证、物理隔离等手段,具有较高的安全等级,不易被黑客攻击或病毒入侵。因此本发明专利主要通过其余4类设备的状态信息和特征,实现安全监测。
在电力行业中,目前还没有基于具体的业务逻辑一致性实现对电力工控终端安全监测的成熟技术方法。其困难在于业务流程图只能反映业务在执行方面的对应关系,通常用于判断业务员是否按规定动作操作机器或执行指令,无法用于分析系统是否受到黑客攻击或病毒入侵。为此,利用本发明专利提出的基于业务逻辑一致性的电力终端安全监测方法,可以有效的关联“时序特征”、“设备状态特征”和“业务流程”,从业务级实现对电力工控终端的安全监测。
一种基于业务逻辑一致性的电力工控终端安全规则集生成方法,该方法具体包括以下步骤:
步骤1:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据具体的电力业务流程选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采集相关指标的状态数据,指标包括能耗、电压、电流、内存占用率。
(3)将参与该业务的所有设备终端类别、每类设备需要监测的指标输出至参数集。
步骤2:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,该方法具体包括:
(1)状态数据特征归一化处理方法为:假设某指标的变化范围是[ymin,ymax],假设该指标的状态数据变化的区分度为d,那么模拟量-数字量转化的精度Δn表示为(ymax-ymin)/d;由此得到该指标在区分度为d的情形下,归一化后的状态变化范围是[0,(d-1)2],占n1位存储空间,其中(d-1)2为d-1的二进制表示,
Figure GDA0002488235750000021
(2)在每类设备中,对所需要监测的指标所对应的状态数据变化区分度参数输出至参数集。
步骤3:根据业务生命周期和业务逻辑,对状态数据进行基于“时间-状态-业务”的关联处理,该方法具体包括:
(1)通过业务流程,确定参与该业务的所有设备终端和设备间的执行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链顺序与业务从开始到结束的执行顺序一致;
(2)考虑业务的生命周期,结合监测采样频率,对数据状态自适应关联时序标签,进行“时间-状态”关联处理;处理方法为:假设对某指标的采样时间范围是[xmin,xmax],则采样时间表示为t=xmax-xmin;假设采样频率为f,由此得到该指标在采样频率为f的情形下,归一化后的时序标签范围是[0,(tf-1)2],占nT位存储空间,其中(tf-1)2为tf-1的二进制表示,
Figure GDA0002488235750000031
时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在后;因此得到关联时间后该指标的数据长度为nT+n1位,其中n1为根据步骤2-(1)得到的状态数据特征归一化处理后所需的存储空间;综合考虑实际需求、数据量大小和监测精度要求,对“时间-状态-业务”的关联处理,进一步分为2类:
(2-1)在业务生命周期内,对单一设备终端的多指标状态数据特征进行关联处理,该设备基于多指标的“时间-状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开,因此得到该设备的k个指标的状态数据长度为nT+n1+n2+…nk
(2-2)在业务生命周期中,基于业务逻辑,对多设备终端单一指标状态数据特征进行关联处理,针对该指标的多设备终端的“时间-状态-业务”特征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业务流程先后顺序依次排开;据此得到基于该指标的m个设备终端参与数据长度为:nT+m·nb,其中
Figure GDA0002488235750000032
为m个设备中针对指标b的最大区分度;
(3)将测定得到的业务生命周期、采样频率、单一设备终端多指标关联、多设备终端单一指标关联最大区分度输出至参数集;
步骤4:通过训练,生成基于业务逻辑一致性的电力工控终端安全规则集,该方法具体包括:
(1)在确保设备终端性能良好情况下,重复执行步骤1和2多次,对归一化处理后的同一终端的相同状态数据特征,以二进制的形式,按位取交集;若某位值为“0”或“1”均可,则置该位为“Y”;
(2)对(1)中得到的数据特征,按照步骤3中(2-1)和(2-2)的方法,生成两类安全规则:业务周期内单一设备多指标状态特征数据安全规则集和业务周期内多设备单一指标状态特征数据安全集;
步骤5:接收步骤1、步骤2中的(2)和步骤3中的(3)所输出的参数,形成完整参数集并储存;
步骤6:调用步骤5训练生成的参数集,该参数集中约束了如下要求:
(1)确定了该业务的生命周期长度和采样频率;
(2)确定了参与该业务的所有设备终端类别;
(3)确定了每一类设备终端需要监测采样的指标及区分度;
(4)确定了对单一设备终端的多指标状态数据特征关联顺序和关联后的数据长度;
(5)确定了对多设备终端单一指标状态数据特征关联顺序和关联后的数据长度;
步骤7:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据参数集要求,选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采集相关指标的状态数据,对每种设备终端需要监测并采样的指标,按照参数集确定;
步骤8:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,处理方法如下
假设某指标的变化范围是[ymin,ymax],假设该指标的状态数据变化的区分度为n,那么模拟量-数字量转化的精度表示为(ymax-ymin)/d;由此得到该指标在区分度为d的情形下,归一化后的状态变化范围是[0,(d-1)2],占n1位存储空间,其中(d-1)2为d-1的二进制表示,
Figure GDA0002488235750000041
区分度d由安全规则集确定;
步骤9:根据业务逻辑和业务生命周期,对状态数据进行基于“时间-状态-业务”的关联,该方法与步骤3中的(1)、步骤3中的(2)相同;
(1)通过业务流程,可以确定参与该业务的所有设备终端和设备间的执行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链顺序与业务从开始到结束的执行顺序一致;
(2)根据参数集要求,确定监测采样频率,对数据状态自适应关联时序标签,进行“时间-状态”关联处理。处理方法为:假设对某指标的采样时间范围是[xmin,xmax],则采样时间可表示为t=xmax-xmin。假设采样频率(或时间精度)为f,由此得到该指标在采样频率为tf的情形下,归一化后的时序标签范围是[0,(tf-1)2],占nT位存储空间,其中(tf-1)2为tf-1的二进制表示,
Figure GDA0002488235750000042
时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在后。因此得到关联时间后该指标的数据长度为nT+n1位,其中n1与nT均由参数集确定,并为定值。综合考虑实际需求、数据量大小和监测精度要求,对“时间-状态-业务”的关联处理,可进一步分为2类:
(2-1)根据参数集要求,在业务生命周期内,对单一设备终端的多指标(指标1,指标2,…)状态数据特征进行关联处理,该设备基于多指标的“时间-状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开,得到该设备的k个指标的状态数据长度为nT+n1+n2+…nk
(2-2)根据参数集要求,在业务生命周期中,基于业务逻辑,对多设备终端单一指标状态数据特征进行关联处理,针对该指标的多设备终端的“时间-状态-业务”特征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业务流程先后顺序依次排开。据此得到基于该指标的m个设备终端参与数据长度为:nT+m·nb,其中nb为m个设备中针对指标b的最大区分度;
步骤10:用关联处理好的含时间标签的状态特征数据进行安全监测判断,该方法具体包括:
(1)调用基于业务逻辑一致性的电力工控终端安全规则集;
(2)将关联处理好的含时间标签的单一设备多指标状态特征数据和含时间标签的多设备单一指标状态特征数据输入安全规则集中做判断,判断方法为同长度二进制数据按位比较,有不同,则为异常;全相同,为正常;
步骤10:输出监测结果。该方法具体包括:
(1)正常;
(2)异常,并输出异常设备和异常指标。
本发明的有益效果是:针对“互联网+”智能电网系统中多样化信息引入的电力工控终端设备安全问题,突破现有单纯依赖网络空间信息(流量、日志等)的攻击检测方法,提出基于业务逻辑一致性的电力工控终端安全方法。通过对物理世界信息(电压、电流、能耗等)和网络空间信息的多模态数据进行采样、归一化处理和时序关联,并且通过训练得到安全监测集和参数约束集,用于进行安全监测和异常识别。该方法从业务层面,可以有效预警由于设备性能差异、设备故障、黑客入侵导致的状态异常,实现对电力工控终端基于设备时间逻辑、状态逻辑和业务逻辑的“时间-状态-业务”三位一体一致性安全监测。
附图说明
图1是基于业务逻辑一致性的电力工控终端安全监测方法流程图;
图2是设备A指标a一段时间内的变化图;
图3是设备A指标b一段时间内的变化图;
图4是设备B指标a一段时间内的变化图;
图5是设备A指标a状态特征归一化处理示意图;
图6是设备A指标a时序关联处理示意图;
图7是设备A指标a“时间-状态”逻辑关联示意图;
图8是基于设备A指标a和指标b“时间-状态”逻辑关联示意图;
图9是基于设备A和设备B(指标b)“时间-状态-业务”逻辑关联示意图;
具体实施方式
下面根据附图详细说明本发明,本发明的目的和效果将变得更加明显。
图1是基于业务逻辑一致性的电力工控终端安全监测方法流程图,该流程图包括(i)用训练数据生成安全规则集的过程;和(ii)基于安全规则集和参数集进行电力工控终端安全监测的方法。具体而言:
步骤1:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据具体的电力业务流程选定参与该业务的所有设备终端。例如,某具体业务需要设备A和B配合完成;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采集相关指标的状态数据,指标包括能耗、电压、电流、内存占用率等。据此得到,设备A有指标a和b,设备B有指标b。
图2是设备A指标a在一段时间内的状态变化图。横坐标X轴表示时间,纵坐标Y表示指标a的状态数值。图2中曲线的走势可以用于表征电力工控终端设备在特定业务下的CPU使用率。
图3是设备A指标b在一段时间内的状态变化图。横坐标X轴表示时间,纵坐标Y表示指标b的状态数值。图3中曲线的走势可以用于表征电力工控终端设备在特定业务下的功率变化。
图4是设备B指标b在一段时间内的状态变化图。横坐标X轴表示时间,纵坐标Y表示指标b的状态数值。图4中曲线的走势可以用于表征电力工控终端设备在特定业务下的功率变化。与图3对比可知,不同用途的设备,功率变化可能呈现不同的状态。
(3)将参与该业务的所有设备终端类别、每类设备需要监测的指标等参数输出至参数集。
步骤2:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,该方法具体包括:
(1)状态数据特征归一化处理方法如图5,测得设备A指标a的变化范围是[ymin,ymax],假设该指标的状态变化的区分度为n,那么模拟量-数字量转化的精度Δn可以表示为(ymax-ymin)/n,如图中n条平行于X轴的等分虚线所示。由此可以得到设备A指标a在区分度为n的情形下,归一化后的状态变化范围是[0,(n-1)2],占n1位存储空间,其中(n-1)2为(n-1)的二进制表示,
Figure GDA0002488235750000071
对设备A指标b以及设备B指标b的处理方法于此相同。
(2)在每类设备中,对所需要监测的指标所对应的状态数据变化区分度参数输出至参数集。
步骤3:根据业务生命周期和业务逻辑,对状态数据进行基于“时间-状态-业务”的关联处理,该方法具体包括:
(1)通过业务流程,可以确定参与该业务的所有设备终端和设备间的执行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链顺序与业务从开始到结束的执行顺序一致;
(2)考虑业务的生命周期,结合监测采样频率,对数据状态自适应关联时序标签,进行“时间-状态”关联处理。处理方法为:如图6、图7所示,对设备A指标a的采样时间范围是[xmin,xmax],则采样时间可表示为t=xmax-xmin。假设采样频率(或时间精度)为f,由此得到该指标在采样频率为f的情形下,归一化后的时序标签范围是[0,(tf-1)2],占nT位存储空间,其中其中(tf-1)2为tf-1的二进制表示,
Figure GDA0002488235750000072
时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在后。因此得到关联时间后该指标的数据长度为nT+n1位,其中n1为根据步骤2(1)得到的状态数据特征归一化处理后所需的存储空间。综合考虑实际需求、数据量大小和监测精度要求,对“时间-状态-业务”的关联处理,可进一步分为2类:
(2-1)在业务生命周期内,对单一设备A终端的多指标(指标1,指标2)状态数据特征进行关联处理,如图8所示,指标a和b纵向排列,共用相同的时间标签。这里指标a和b并列,更为全面的表征系统当前的状态特征。不同指标之间,区分度可以相同也可以不同,如图中指标a和b的区分度分别为n1和n2,且由虚线疏密可知n1>n2。因此该设备基于多指标的“时间-状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开,因此得到该设备的2个指标的状态数据长度为nT+n1+n2
(2-2)在业务生命周期中,基于业务逻辑,对多设备终端单一指标状态数据特征进行关联处理,如图9中设备A和设备B都以n2作为区分度。与图8相似,设备A和设备B对于指标b,纵向排列,共用相同的时间标签。但是A与B的排列顺序是由业务逻辑所决定的。业务逻辑具体表现为:在该业务的生命周期内,设备A和设备B的参与该业务的顺序。因此基于指标b的“时间-状态-业务”特征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业务逻辑先后顺序依次排开。据此得到基于指标b的2个设备终端参与数据长度为:nT+2·n2,其中n2为2个设备中针对指标b的最大区分度。
(3)将测定得到的业务生命周期、采样频率、单一设备终端多指标关联、多设备终端单一指标关联最大区分度等参数输出至参数集。
步骤4:通过训练,生成基于业务逻辑一致性的电力工控终端安全规则集,该方法具体包括:
(1)在确保设备终端性能良好情况下,重复执行步骤1和2多次,对归一化处理后的同一终端的相同状态数据特征,以二进制的形式,按位取交集。若某位值为“0”或“1”均可,则置该位为“X”;
(2)对(1)中得到的数据特征,按照步骤3中(2-1)和(2-2)的方法,生成两类安全规则:业务周期内单一设备多指标状态特征数据安全规则集和业务周期内多设备单一指标状态特征数据安全集。
步骤5:接收步骤1、步骤2中的(2)和步骤3中的(3)所输出的参数,形成完整参数集并储存。
步骤6:调用训练生成的参数集,该参数集中约束了如下要求:
(1)确定了该业务的生命周期长度和采样频率;
(2)确定了参与该业务的所有设备终端类别(设备A和设备B);
(3)确定了每一类设备终端需要监测采样的指标及区分度(设备A指标a,区分度n1;设备A和B指标b,区分度n2);
(4)确定了对单一设备终端的多指标状态数据特征关联顺序和关联后的数据长度(nT+n1+n2);
(5)确定了对多设备终端单一指标状态数据特征关联顺序和关联后的数据长度(nT+2·n2)。
步骤7:对电力工控终端进行状态数据采集,该方法具体包括:
(1)依据参数集要求,选定参与该业务的所有待检测设备终端:设备A和设备B;
(2)在该业务生命周期内,分别连续监测并采集设备A指标a、指标b和设备B指标b的状态数据。
步骤8:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,处理方法为:
测得设备A指标a的变化范围是[ymin,ymax],参数集中对该指标的状态数据变化的区分度为n,那么模拟量-数字量转化的精度Δn可以表示为(ymax-ymin)/n。由此可以得到该指标在区分度为n的情形下,归一化后的状态变化范围是[0,(n-1)2],占n1位存储空间,其中(n-1)2为n-1的二进制表示,
Figure GDA0002488235750000091
步骤9:根据业务逻辑和业务生命周期,对状态数据进行基于“时间-状态-业务”的关联,该方法具体包括:
(1)通过业务流程,可以确定参与该业务的所有设备终端和设备间的执行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链顺序与业务从开始到结束的执行顺序一致;
(2)根据参数集要求,确定监测采样频率,对数据状态自适应关联时序标签,进行“时间-状态”关联处理。处理方法为:采样时间范围是[xmin,xmax],则采样时间可表示为t=xmax-xmin。采样频率(或时间精度)为f/Hz,由此得到该指标在采样频率为tf的情形下,归一化后的时序标签范围是[0,(tf-1)2],占nT位存储空间,其中(tf-1)2为tf-1的二进制表示,
Figure GDA0002488235750000092
时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在后。因此得到关联时间后该指标的数据长度为nT+n1位,其中n1与nT均由参数集确定,并为定值。综合考虑实际需求、数据量大小和监测精度要求,对“时间-状态-业务”的关联处理,可进一步分为2类:
(2-1)根据参数集要求,在业务生命周期内,对单一设备终端的多指标(指标1,指标2)状态数据特征进行关联处理,该设备基于多指标的“时间-状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开,得到该设备的2个指标的状态数据长度为nT+n1+n2
(2-2)根据参数集要求,在业务生命周期中,基于业务逻辑,对多设备终端单一指标(设备A设备B指标b)状态数据特征进行关联处理,针对该指标的多设备终端的“时间-状态-业务”特征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业务流程先后顺序依次排开。据此得到基于该指标的2个设备终端参与数据长度为:nT+2·nb,其中nb为2个设备中针对指标b的最大区分度;
步骤10:用关联处理好的含时间标签的状态特征数据进行安全监测判断,该方法具体包括:
(1)调用基于业务逻辑一致性的电力工控终端安全规则集;
(2)将关联处理好的含时间标签的单一设备多指标状态特征数据和含时间标签的多设备单一指标状态特征数据输入安全规则集中做判断,判断方法为同长度二进制数据按位比较,有不同,则为异常;全相同,为正常。
步骤11:输出监测结果。该方法具体包括:
(1)正常;
(2)异常,并输出异常设备和异常指标。

Claims (2)

1.一种基于业务逻辑一致性的电力工控终端安全监测方法,该方法具体包括以下步骤:
步骤1:对电力工控终端进行状态数据采集;
步骤2:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,该步骤具体包括:
(1)状态数据特征归一化处理方法为:假设某指标的变化范围是[ymin,ymax],假设该指标的状态数据变化的区分度为d,那么模拟量-数字量转化的精度Δn表示为(ymax-ymin)/d;由此得到该指标在区分度为d的情形下,归一化后的状态变化范围是[0,(d-1)2],占n1位存储空间,其中(d-1)2为d-1的二进制表示,
Figure FDA0002510306710000011
(2)在每类设备中,对所需要监测的指标所对应的状态数据变化区分度参数输出至参数集;
步骤3:根据业务生命周期和业务逻辑,对状态数据进行基于“时间-状态-业务”的关联处理,该步骤具体包括:
(1)通过业务流程,确定参与该业务的所有设备终端和设备间的执行顺序,业务逻辑就是在业务流程的基础上,关联业务的生命周期,逻辑链顺序与业务从开始到结束的执行顺序一致;
(2)考虑业务的生命周期,结合监测采样频率,对数据状态自适应关联时序标签,进行“时间-状态”关联处理;处理方法为:假设对某指标的采样时间范围是[xmin,xmax],则采样时间表示为t=xmax-xmin;假设采样频率为f,由此得到该指标在采样频率为f的情形下,归一化后的时序标签范围是[0,(tf-1)2],占nT位存储空间,其中(tf-1)2为tf-1的二进制表示,
Figure FDA0002510306710000012
时序特征关联状态特征的顺序定义为:时序特征在前,指标状态特征在后;因此得到关联时间后该指标的数据长度为nT+n1位,其中n1为根据步骤2-(1)得到的状态数据特征归一化处理后所需的存储空间;综合考虑实际需求、数据量大小和监测精度要求,对“时间-状态-业务”的关联处理,进一步分为2类:
(2-1)在业务生命周期内,对单一设备终端的多指标状态数据特征进行关联处理,该设备基于多指标的“时间-状态”特征关联顺序定义为:时序特征在最前,指标状态特征在后依次排开,因此得到该设备的k个指标的状态数据长度为nT+n1+n2+…nk
(2-2)在业务生命周期中,基于业务逻辑,对多设备终端单一指标状态数据特征进行关联处理,针对该指标的多设备终端的“时间-状态-业务”特征关联顺序定义为:时序特征在最前,该指标的设备状态特征按照业务流程先后顺序依次排开;据此得到基于该指标的m个设备终端参与数据长度为:nT+m·nb,其中nb为m个设备中针对指标b的最大区分度;
(3)将测定得到的业务生命周期、采样频率、单一设备终端多指标关联、多设备终端单一指标关联最大区分度输出至参数集;
步骤4:通过训练,生成基于业务逻辑一致性的电力工控终端安全规则集,该步骤具体包括:
(1)在确保设备终端性能良好情况下,重复执行步骤1和2多次,对归一化处理后的同一终端的相同状态数据特征,以二进制的形式,按位取交集;若某位值为“0”或“1”均可,则置该位为“Y”;
(2)对(1)中得到的数据特征,按照步骤3中(2-1)和(2-2)的方法,生成两类安全规则:业务周期内单一设备多指标状态特征数据安全规则集和业务周期内多设备单一指标状态特征数据安全集;
步骤5:接收步骤1、步骤2中的(2)和步骤3中的(3)所输出的参数,形成完整参数集并储存;
步骤6:调用步骤5训练生成的参数集,该参数集中约束了如下要求:
(1)确定了该业务的生命周期长度和采样频率;
(2)确定了参与该业务的所有设备终端类别;
(3)确定了每一类设备终端需要监测采样的指标及区分度;
(4)确定了对单一设备终端的多指标状态数据特征关联顺序和关联后的数据长度;
(5)确定了对多设备终端单一指标状态数据特征关联顺序和关联后的数据长度;
步骤7:对电力工控终端进行状态数据采集,该步骤具体包括:
(1)依据参数集要求,选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采集相关指标的状态数据,对每种设备终端需要监测并采样的指标,按照参数集确定;
步骤8:对每个电力工控设备终端的每个指标的状态数据做特征归一化处理,处理方法如下
假设某指标的变化范围是[ymin,ymax],假设该指标的状态数据变化的区分度为n,那么模拟量-数字量转化的精度表示为(ymax-ymin)/d;由此得到该指标在区分度为d的情形下,归一化后的状态变化范围是[0,(d-1)2],占n1位存储空间,其中(d-1)2为d-1的二进制表示,
Figure FDA0002510306710000031
区分度d由安全规则集确定;
步骤9:根据业务逻辑和业务生命周期,对状态数据进行基于“时间-状态-业务”的关联,该关联方法与步骤3中的(1)、步骤3中的(2)相同;
步骤10:用关联处理好的含时间标签的状态特征数据进行安全监测判断,该步骤具体包括:
(1)调用基于业务逻辑一致性的电力工控终端安全规则集;
(2)将关联处理好的含时间标签的单一设备多指标状态特征数据和含时间标签的多设备单一指标状态特征数据输入安全规则集中做判断,判断方法为同长度二进制数据按位比较,有不同,则为异常;全相同,为正常;
步骤11:输出监测结果;监测结果包括:正常和异常;异常时输出异常设备和异常指标。
2.根据权利要求1所述的一种基于业务逻辑一致性的电力工控终端安全监测方法,其特征在于:所述的对电力工控终端进行状态数据采集,具体包括:
(1)依据具体的电力业务流程选定参与该业务的所有设备终端;
(2)在该业务生命周期内,分别对所有参与的设备终端,连续监测并采集相关指标的状态数据,指标包括能耗、电压、电流、内存占用率;
(3)将参与该业务的所有设备终端类别、每类设备需要监测的指标输出至参数集。
CN201810878458.5A 2018-08-03 2018-08-03 一种基于业务逻辑一致性的电力工控终端安全监测方法 Active CN109118075B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810878458.5A CN109118075B (zh) 2018-08-03 2018-08-03 一种基于业务逻辑一致性的电力工控终端安全监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810878458.5A CN109118075B (zh) 2018-08-03 2018-08-03 一种基于业务逻辑一致性的电力工控终端安全监测方法

Publications (2)

Publication Number Publication Date
CN109118075A CN109118075A (zh) 2019-01-01
CN109118075B true CN109118075B (zh) 2020-08-04

Family

ID=64852862

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810878458.5A Active CN109118075B (zh) 2018-08-03 2018-08-03 一种基于业务逻辑一致性的电力工控终端安全监测方法

Country Status (1)

Country Link
CN (1) CN109118075B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3095313A1 (fr) * 2019-04-18 2020-10-23 Orange Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau
CN110224889B (zh) * 2019-06-11 2020-09-15 深圳供电局有限公司 一种基于业务逻辑一致性的电表业务监测方法
CN110166494A (zh) * 2019-07-04 2019-08-23 四川长虹电器股份有限公司 一种远程监控系统中设备复合运行状态的记录方法
CN110401191B (zh) * 2019-07-29 2020-12-08 浙江大学 基于时序逻辑的电动车充电桩业务逻辑一致性分析方法
CN110601261B (zh) * 2019-09-18 2021-03-05 浙江大学 基于感控逻辑的微网控制器业务逻辑一致性分析方法
CN110806993B (zh) * 2019-11-05 2021-06-01 积成电子股份有限公司 一种定制的modbus通信方法及利用该方法的低耦合远动装置
CN113205431A (zh) * 2021-07-07 2021-08-03 广东电网有限责任公司佛山供电局 一种配网线路多源台账数据异常监测系统和方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103544561A (zh) * 2013-10-10 2014-01-29 广东电网公司电力科学研究院 实现输电线路信息动态展示、运维方法及管理系统
CN104021438A (zh) * 2014-05-12 2014-09-03 华迪计算机集团有限公司 基于业务模型对业务系统中物理设备进行监控的方法和装置
CN105356620A (zh) * 2015-09-29 2016-02-24 国网内蒙古东部电力有限公司电力科学研究院 电能质量监测系统
CN108092799A (zh) * 2017-11-28 2018-05-29 国网宁夏电力有限公司信息通信公司 一种基于电力通信网动态资源管理的业务健康度监测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103544561A (zh) * 2013-10-10 2014-01-29 广东电网公司电力科学研究院 实现输电线路信息动态展示、运维方法及管理系统
CN104021438A (zh) * 2014-05-12 2014-09-03 华迪计算机集团有限公司 基于业务模型对业务系统中物理设备进行监控的方法和装置
CN105356620A (zh) * 2015-09-29 2016-02-24 国网内蒙古东部电力有限公司电力科学研究院 电能质量监测系统
CN108092799A (zh) * 2017-11-28 2018-05-29 国网宁夏电力有限公司信息通信公司 一种基于电力通信网动态资源管理的业务健康度监测方法

Also Published As

Publication number Publication date
CN109118075A (zh) 2019-01-01

Similar Documents

Publication Publication Date Title
CN109118075B (zh) 一种基于业务逻辑一致性的电力工控终端安全监测方法
CN107274105B (zh) 基于线性判别分析的多属性决策树电网稳定裕度评估方法
CN110909811B (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN102393922B (zh) 变电站智能报警专家系统的模糊Petri推理方法
CN111614491B (zh) 一种面向电力监控系统安全态势评估指标选取方法及系统
Wang et al. The node degree distribution in power grid and its topology robustness under random and selective node removals
CN111901340B (zh) 一种面向能源互联网的入侵检测系统及其方法
CN108198408B (zh) 一种基于用电信息采集系统的自适应反窃电监控方法及系统
CN110300122A (zh) 一种物联网电子信息处理系统及方法
CN103869192A (zh) 智能电网线损检测方法和系统
CN115049270B (zh) 考虑变电站网络攻击成功概率的电力系统风险评估方法
Ying et al. Power message generation in smart grid via generative adversarial network
CN201666923U (zh) 一种用免疫遗传算法处理电力系统的dsp故障诊断的装置
CN110222505A (zh) 一种基于遗传算法的工控攻击样本扩张方法及系统
Deng et al. Intrusion detection method based on support vector machine access of modbus TCP protocol
CN105634781B (zh) 一种多故障数据解耦方法和装置
Xue et al. An efficient and robust case sorting algorithm for transient stability assessment
CN111090014A (zh) 一种基于高斯模型的电器识别方法及装置
CN111106675A (zh) 一种智能配变终端及其应用系统、安全态势评估方法
CN113037553B (zh) 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统
CN114429175A (zh) 一种考虑分布式处理信息的配网预警方法
CN114266676A (zh) 一种遗传优化Bagging异质集成模型的异常用电检测方法
CN111209158A (zh) 服务器集群的挖矿监控方法及集群监控系统
CN111016720A (zh) 基于k最近邻算法攻击识别方法及充电装置
You Safe Operation Management of Urban Smart Grid Based on Deep Learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant