CN110011966A - 一种智能变电站过程层网络流量异常检测方法 - Google Patents

一种智能变电站过程层网络流量异常检测方法 Download PDF

Info

Publication number
CN110011966A
CN110011966A CN201910149956.0A CN201910149956A CN110011966A CN 110011966 A CN110011966 A CN 110011966A CN 201910149956 A CN201910149956 A CN 201910149956A CN 110011966 A CN110011966 A CN 110011966A
Authority
CN
China
Prior art keywords
flow
moment
threshold value
difference sequence
process layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910149956.0A
Other languages
English (en)
Other versions
CN110011966B (zh
Inventor
杨才明
乐全明
李康毅
裘愉涛
金乃正
谢栋
李勇
朱玛
秦建松
闫志坤
顾建
莫莉晖
王芳
俞小虎
王雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Zhejiang Electric Power Co Ltd
Shaoxing Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
State Grid Zhejiang Electric Power Co Ltd
Shaoxing Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Zhejiang Electric Power Co Ltd, Shaoxing Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical State Grid Zhejiang Electric Power Co Ltd
Priority to CN201910149956.0A priority Critical patent/CN110011966B/zh
Publication of CN110011966A publication Critical patent/CN110011966A/zh
Application granted granted Critical
Publication of CN110011966B publication Critical patent/CN110011966B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种智能变电站过程层网络流量异常检测方法,包括以下步骤:步骤S1,获取过程层网络流量;步骤S2,最小及最大流量检测,将获取的网络流量与最小及最大流量阈值进行比较,对于小于最小流量阈值以及大于最大流量阈值的流量数据,直接判断为异常流量;步骤S3,利用满足阈值的流量数据,计算当前时刻差分序列方差与流量异常指数;步骤S4,判断t时刻流量异常程度是否大于0;步骤S5,判断t时刻差分序列方差是否大于或等于t‑1时刻差分序列方差;步骤S6,如果t时刻连续攻击系数e等于或大于阈值em,则认为t时刻存在攻击,程序告警。本发明可对变电站过程层中存在的突发流量与异常流量进行识别;响应速度快,满足变电站高响应性的要求。

Description

一种智能变电站过程层网络流量异常检测方法
技术领域
本发明涉及智能电网信息安全领域,具体涉及适用于智能变电站过程层异常流量的检测方法。
背景技术
承载GOOSE、SV报文等关键信息流传输的过程层网络是智能变电站乃至电网控制的基础,其实时性、可靠性直接影响着智能变电站乃至电网的安全可靠运行。因此,对过程层网络信息流的实时监控与异常流量检测,对维持智能变电站乃至整个电网平稳、安全运行至关重要。
利用变电站过程层中配备的网络分析仪,可以实时获取过程层中所有IED端口的流量信息。通过分析这些流量信息,可以对过程层各设备运行状态进行监控。更进一步地,通过对正常流量模式的建模,可以对过程层中潜在的异常流量进行检测。
对于智能变电站过程层网络,其复杂程度远不如公共网络,当变电站处于稳定运行状态下,其SV报文与心跳GOOSE报文,具有周期性,并且报文路径也可以通过解析SCD文件获取。并且,对于智能变电站过程层网络而言,由于存在必须的报文如心跳、定期量测,因此存在基本的最小阈值流量。同时由于所有参与者为具有主动发报及按协议确定的智能装置,因此其网络流量存在明确的最大流量峰值。因此,阈值检测可作为智能变电站过程层网络异常流量检测方法。
然而,智能变电站过程层网络存在事件驱动的正常突发流量。此时,阈值检测将难以适用。
发明内容
本发明所要解决的技术问题就是提供一种智能变电站过程层网络流量异常检测方法,可以有效识别正常突发流量与异常流量。
为解决上述技术问题,本发明采用如下技术方案:一种智能变电站过程层网络流量异常检测方法,包括以下步骤:
步骤S1,获取过程层网络流量;
步骤S2,最小及最大流量检测,将获取的网络流量与最小及最大流量阈值进行比较,对于小于最小流量阈值以及大于最大流量阈值的流量数据,直接判断为异常流量;
步骤S3,利用满足阈值的流量数据,计算当前时刻差分序列方差VDS(t)与流量异常指数c(t):
式中,VDS(t)为t时刻差分序列方差,VDS(t-1)为t-1时刻差分序列方差,t为时刻,w(t)为t时刻差分值,low为常量,S(t)为当前时刻流量值,为当前时刻平均流量值,Smin和Smax分别表示阈值的最小值与最大值;
步骤S4,判断t时刻流量异常程度是否大于0,若等于0,则为正常流量,将连续攻击计数e清零,并回到步骤S1开始检测下一时刻流量;若大于0,则进入步骤S5;
步骤S5,判断t时刻差分序列方差VDS(t)是否大于或等于t-1时刻差分序列方差VDS(t-1),若是,认为t时刻可能存在攻击,连续攻击计数e加1,进入步骤S6;若否,则可能为突发流量,等待对下一时刻的判断结果,连续攻击计数e保持不变,回到步骤S1开始检测下一时刻流量;
步骤S6,如果t时刻连续攻击系数e等于或大于阈值em,则认为t时刻存在攻击,程序告警。
可选的,采用网络分析仪获取过程层网络流量。
本发明采用的技术方案,引入基于差分序列方差检测方法,对阈值检测方法进行了极大的优化;可对变电站过程层中存在的突发流量与异常流量进行识别;响应速度快,满足变电站高响应性的要求;适用面广,通过设置相应的参数,可应用于各类智能变电站过程层网络中。
本发明的具体技术方案及其有益效果将会在下面的具体实施方式中结合附图进行详细的说明。
附图说明
下面结合附图和具体实施方式对本发明作进一步描述:
图1是为T1-1型变电站结构图;
图2是本发明流程图;
图3为交换机24端口流量曲;
图4为交换机24端口异常流量发生时刻附近的流量曲线;
图5为交换机24端口差分序列方差曲线;
图6为交换机24端口流量异常指数曲线。
具体实施方式
下面结合本发明实施例的附图对本发明实施例的技术方案进行解释和说明,但下述实施例仅为本发明的优选实施例,并非全部。基于实施方式中的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得其他实施例,都属于本发明的保护范围。
基于差分序列方差的DDoS攻击检测方法,被证明在公共网络可以有效识别DDoS攻击产生的异常流量。因此,通过借鉴差分序列方差检测方法,结合相应的参数的配置,可应用于智能变电站过程层网络,用来识别正常突发流量与异常流量。
如图2所示,一种智能变电站过程层网络流量异常检测方法,包括以下步骤:
步骤S1,获取过程层网络流量;
步骤S2,最小及最大流量检测,将获取的网络流量与最小及最大流量阈值进行比较,对于小于最小流量阈值以及大于最大流量阈值的流量数据,直接判断为异常流量;
步骤S3,利用满足阈值的流量数据,计算当前时刻差分序列方差VDS(t)与流量异常指数c(t):
式中,VDS(t)为t时刻差分序列方差,VDS(t-1)为t-1时刻差分序列方差,t为时刻,w(t)为t时刻差分值,low为常量,S(t)为当前时刻流量值,为当前时刻平均流量值,Smin和Smax分别表示阈值的最小值与最大值;
步骤S4,判断t时刻流量异常程度是否大于0,若等于0,则为正常流量,将连续攻击计数e清零,并回到步骤S1开始检测下一时刻流量;若大于0,则进入步骤S5;
步骤S5,判断t时刻差分序列方差VDS(t)是否大于或等于t-1时刻差分序列方差VDS(t-1),若是,认为t时刻可能存在攻击,连续攻击计数e加1,进入步骤S6;若否,则可能为突发流量,等待对下一时刻的判断结果,连续攻击计数e保持不变,回到步骤S1开始检测下一时刻流量;
步骤S6,如果t时刻连续攻击系数e等于或大于阈值em,则认为t时刻存在攻击,程序告警。
其中,步骤S1过程层网络流量获取源为网络分析仪,包含交换机各端口的流量信息。low为常量,low的值根据历史数据选择设置。
假设当前时刻为t,则当前时刻流量值指网络分析仪获取到的t时刻流量;当前时刻平均流量指0时刻至t时刻总流量的平均值。
阈值的最小值与最大值需要根据智能变电站网络结构、报文路径以及报文大小进行计算,一旦智能变电站通信网络配置完成,则阈值的最大值与最小值将保持不变。c(t)即为t时刻的流量异常程度的计算。
本发明选取T1-1型结构变电站二号间隔对其进行验证。如图1所示,T1-1型变电站包含1个MU IED,1个断路器IED以及1个保护控制Relay IED和1个测控M&C IED。
(1)参数选择
本算例选取low参数为2.322,em参数为2。
(2)运行数据结果
利用基于差分序列方差改进阈值检测方法,可以有效且迅速的识别异常流量。经计算,检测结果的平均延迟为1.8s,漏检率为0%,同时准确率达到了100%,明显优于改进前的检测方法。
以下结合图3至图6对本发明作进一步说明。
图3给出了变电站过程层在运行时,交换机24端口的流量输出曲线,可以看出:1)过程层流量存在明显的最小值;2)过程层频繁的产生突发流量,难以使用阈值检测进行区分。以下部分将进行定量的分析。
参考图4和图5所示,通过图5可以观测到,异常流量刚发生的时刻,差分序列的方差将会呈现增长的趋势;通过图6可知,此时计算获得的异常流量指数将会大于0。当异常流量持续时,差分序列方差将一直呈现增长的趋势,同时,异常流量指数也将一直大于0。当异常流量结束时,差分序列方差将趋于平缓并且计算获得的异常流量指数变为0。
表1给出了基于差分序列方差改进阈值检测方法与基于阈值检测方法的性能对比。
检测方法 正确率 漏检率 平均延时
基于差分序列方差改进阈值检测方法 100% 0% 1.8s
基于阈值检测方法 37.5% 40% 4.5s
表1
可以看出,基于差分序列方差改进阈值检测方法正确率要比基于阈值检测方法高62.5%;漏检率也低40%。另外,平均检测延迟也少60%。
本发明对阈值检测技术的改进,即在阈值检测的基础上,增加了基于差分序列方差检测方案。对于满足阈值检测的异常流量,利用基于差分序列方差检测方法,可以做到有效的识别。并通过对比,表明后者的性能明显优于前者。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,熟悉该本领域的技术人员应该明白本发明包括但不限于附图和上面具体实施方式中描述的内容。任何不偏离本发明的功能和结构原理的修改都将包括在权利要求书的范围中。

Claims (2)

1.一种智能变电站过程层网络流量异常检测方法,其特征在于包括以下步骤:
步骤S1,获取过程层网络流量;
步骤S2,最小及最大流量检测,将获取的网络流量与最小及最大流量阈值进行比较,对于小于最小流量阈值以及大于最大流量阈值的流量数据,直接判断为异常流量;
步骤S3,利用满足阈值的流量数据,计算当前时刻差分序列方差VDS(t)与流量异常指数c(t):
式中,VDS(t)为t时刻差分序列方差,VDS(t-1)为t-1时刻差分序列方差,t为时刻,w(t)为t时刻差分值,low为常量,S(t)为当前时刻流量值,为当前时刻平均流量值,Smin和Smax分别表示阈值的最小值与最大值;
步骤S4,判断t时刻流量异常程度是否大于0,若等于0,则为正常流量,将连续攻击计数e清零,并回到步骤S1开始检测下一时刻流量;若大于0,则进入步骤S5;
步骤S5,判断t时刻差分序列方差VDS(t)是否大于或等于t-1时刻差分序列方差VDS(t-1),若是,认为t时刻可能存在攻击,连续攻击计数e加1,进入步骤S6;若否,则可能为突发流量,等待对下一时刻的判断结果,连续攻击计数e保持不变,回到步骤S1开始检测下一时刻流量;
步骤S6,如果t时刻连续攻击系数e等于或大于阈值em,则认为t时刻存在攻击,程序告警。
2.根据权利要求1所述的一种智能变电站过程层网络流量异常检测方法,其特征在于:采用网络分析仪获取过程层网络流量。
CN201910149956.0A 2019-02-28 2019-02-28 一种智能变电站过程层网络流量异常检测方法 Active CN110011966B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910149956.0A CN110011966B (zh) 2019-02-28 2019-02-28 一种智能变电站过程层网络流量异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910149956.0A CN110011966B (zh) 2019-02-28 2019-02-28 一种智能变电站过程层网络流量异常检测方法

Publications (2)

Publication Number Publication Date
CN110011966A true CN110011966A (zh) 2019-07-12
CN110011966B CN110011966B (zh) 2022-07-26

Family

ID=67166253

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910149956.0A Active CN110011966B (zh) 2019-02-28 2019-02-28 一种智能变电站过程层网络流量异常检测方法

Country Status (1)

Country Link
CN (1) CN110011966B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111092862A (zh) * 2019-11-29 2020-05-01 中国电力科学研究院有限公司 一种用于对电网终端通信流量异常进行检测的方法及系统
CN112615808A (zh) * 2020-10-27 2021-04-06 国网浙江省电力有限公司绍兴供电公司 智能变电站过程层报文白名单的表示方法及装置及设备
CN117034174A (zh) * 2023-09-26 2023-11-10 国网安徽省电力有限公司经济技术研究院 变电站设备异常检测方法及其系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
CN101958578A (zh) * 2010-09-13 2011-01-26 西安供电局 变电站自动化信息记录方法
CN102025560A (zh) * 2010-11-15 2011-04-20 广东电网公司电力科学研究院 过程层网络测试方法
CN107517205A (zh) * 2017-08-14 2017-12-26 浙江大学 基于概率的智能变电站网络异常流量检测模型构建方法
CN108494747A (zh) * 2018-03-08 2018-09-04 上海观安信息技术股份有限公司 流量异常检测方法、电子设备及计算机程序产品

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
CN101958578A (zh) * 2010-09-13 2011-01-26 西安供电局 变电站自动化信息记录方法
CN102025560A (zh) * 2010-11-15 2011-04-20 广东电网公司电力科学研究院 过程层网络测试方法
CN107517205A (zh) * 2017-08-14 2017-12-26 浙江大学 基于概率的智能变电站网络异常流量检测模型构建方法
CN108494747A (zh) * 2018-03-08 2018-09-04 上海观安信息技术股份有限公司 流量异常检测方法、电子设备及计算机程序产品

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
YI CHEN ET AL.: "Message Flow Modeling Analysis and Application for Digital Substation Process Layer Network", 《CYBER》, 27 August 2018 (2018-08-27) *
杨新宇等: "基于非线性预处理网络流量预测方法的泛洪型DDoS攻击检测算法", 《计算机学报》, 15 February 2011 (2011-02-15) *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111092862A (zh) * 2019-11-29 2020-05-01 中国电力科学研究院有限公司 一种用于对电网终端通信流量异常进行检测的方法及系统
CN111092862B (zh) * 2019-11-29 2023-06-02 中国电力科学研究院有限公司 一种用于对电网终端通信流量异常进行检测的方法及系统
CN112615808A (zh) * 2020-10-27 2021-04-06 国网浙江省电力有限公司绍兴供电公司 智能变电站过程层报文白名单的表示方法及装置及设备
CN112615808B (zh) * 2020-10-27 2022-01-25 国网浙江省电力有限公司绍兴供电公司 智能变电站过程层报文白名单的表示方法、设备及介质
CN117034174A (zh) * 2023-09-26 2023-11-10 国网安徽省电力有限公司经济技术研究院 变电站设备异常检测方法及其系统
CN117034174B (zh) * 2023-09-26 2023-12-29 国网安徽省电力有限公司经济技术研究院 变电站设备异常检测方法及其系统

Also Published As

Publication number Publication date
CN110011966B (zh) 2022-07-26

Similar Documents

Publication Publication Date Title
CN109302378B (zh) 一种SDN网络DDoS攻击检测方法
CN110011966A (zh) 一种智能变电站过程层网络流量异常检测方法
CN104580222B (zh) 基于信息熵的DDoS攻击分布式检测与响应方法
CN117411811B (zh) 一种电力通信设备的故障智能监测方法
CN101483547B (zh) 一种网络突发事件度量评估方法及系统
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN114124478B (zh) 电力系统工控流量异常检测方法及系统
CN109768981B (zh) 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
CN110324323B (zh) 一种新能源厂站涉网端实时交互过程异常检测方法及系统
CN114137916B (zh) 基于数据分析的电路板生产用监督管控系统
CN101383694A (zh) 基于数据挖掘技术的拒绝服务攻击防御方法和系统
CN106209457B (zh) 应对智能家居环境中旁路攻击的隐私保护方法及系统
CN105187437A (zh) 一种sdn网络拒绝服务攻击的集中式检测系统
CN104734916A (zh) 一种基于tcp协议的高效多级异常流量检测方法
CN110594954B (zh) 一种空调故障检测方法以及检测装置
CN115657631B (zh) 一种工控设备运行现场环境智能监控系统
CN106789351A (zh) 一种基于sdn的在线入侵防御方法和系统
CN103546319B (zh) 网络设备的流量告警方法和系统
CN105515888A (zh) 基于多维熵序列分类的智能变电站通信网络异常检测方法
CN106713307A (zh) 一种检测sdn中流表一致性的方法和系统
CN110474883A (zh) 一种基于重标极差法的sdn异常流量检测方法
Giorgi et al. Detection of anomalous behaviors in networks from traffic measurements
CN108667804A (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
Lu et al. Detecting network anomalies using CUSUM and EM clustering
CN105991623A (zh) 一种业务互联关系审计方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant