CN110086776A - 基于深度学习的智能变电站网络入侵检测系统及检测方法 - Google Patents
基于深度学习的智能变电站网络入侵检测系统及检测方法 Download PDFInfo
- Publication number
- CN110086776A CN110086776A CN201910221581.4A CN201910221581A CN110086776A CN 110086776 A CN110086776 A CN 110086776A CN 201910221581 A CN201910221581 A CN 201910221581A CN 110086776 A CN110086776 A CN 110086776A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- intelligent substation
- module
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 110
- 238000013135 deep learning Methods 0.000 title claims abstract description 28
- 230000006399 behavior Effects 0.000 claims abstract description 93
- 238000004891 communication Methods 0.000 claims abstract description 58
- 238000004458 analytical method Methods 0.000 claims abstract description 40
- 230000003542 behavioural effect Effects 0.000 claims abstract description 36
- 230000007123 defense Effects 0.000 claims abstract description 34
- 238000013480 data collection Methods 0.000 claims abstract description 27
- 238000012549 training Methods 0.000 claims description 77
- 238000013528 artificial neural network Methods 0.000 claims description 66
- 238000000034 method Methods 0.000 claims description 65
- 230000005856 abnormality Effects 0.000 claims description 48
- 230000002159 abnormal effect Effects 0.000 claims description 47
- 238000013178 mathematical model Methods 0.000 claims description 29
- 239000011159 matrix material Substances 0.000 claims description 26
- 241000272814 Anser sp. Species 0.000 claims description 25
- 238000000605 extraction Methods 0.000 claims description 25
- 238000011897 real-time detection Methods 0.000 claims description 25
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 24
- 230000007935 neutral effect Effects 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 11
- 238000007689 inspection Methods 0.000 claims description 10
- 238000003062 neural network model Methods 0.000 claims description 10
- 238000005457 optimization Methods 0.000 claims description 7
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000012790 confirmation Methods 0.000 claims description 4
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 210000005036 nerve Anatomy 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims 1
- 230000037430 deletion Effects 0.000 claims 1
- 239000010410 layer Substances 0.000 description 42
- 230000006870 function Effects 0.000 description 33
- 238000009826 distribution Methods 0.000 description 16
- 210000002569 neuron Anatomy 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 12
- 230000000694 effects Effects 0.000 description 10
- 238000012544 monitoring process Methods 0.000 description 10
- 230000008859 change Effects 0.000 description 9
- 210000004027 cell Anatomy 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000009545 invasion Effects 0.000 description 6
- 238000007476 Maximum Likelihood Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000032258 transport Effects 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 230000008595 infiltration Effects 0.000 description 2
- 238000001764 infiltration Methods 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 230000036961 partial effect Effects 0.000 description 2
- 230000000241 respiratory effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000035807 sensation Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000012938 design process Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000011229 interlayer Substances 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 210000004218 nerve net Anatomy 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Technology Law (AREA)
- Biomedical Technology (AREA)
Abstract
本发明属于变电站网络入侵检测技术领域,尤其涉及基于深度学习的智能变电站网络入侵检测系统及检测方法。该系统是针对智能变电站IEC61850通信协议的网络攻击进行的入侵检测,包括依次连接的数据收集模块、特征提取模块、行为分析模块和防御行为触发模块,数据收集模块连入智能变电站网络从中收集数据,防御行为触发模块再连入智能变电站网络中,本发明对智能变电站中基于IEC61850协议的网络信息流进行实时收集并分析,并对出现的异常通信行为进行实时检测并报警。
Description
技术领域
本发明属于变电站网络入侵检测技术领域,尤其涉及一种基于深度学习的 智能变电站网络入侵检测系统及检测方法。
背景技术
智能变电站系统是一个拥有着多层架构的网络,国内的智能变电站总体上 采用的是三层两网(三设备层,两网络层)的系统结构,其中三个设备层包括 站控层、间隔层和过程层。站控层设备主要包括监控主机、通信网关、服务器、 工作站等监控调度设备。过程层设备主要包括继电保护装置、稳控装置、测控 装置等,两网络层包括连接间隔层设备和站控层设备的站控层网络以及连接站 控层设备和间隔层设备的过程层网络。站控层和间隔层设备所接收的传输主要 是通过IEC61850中所定义的基于以太网传输的MMS和TCP/IP,在间隔层和过程 层之间的网络采用基于单向传输以太网的GOOSE和SV报文。
随着网络及计算技术的不断发展,实现变电站系统的智能化运行已成为输 配电网向智能电网演化的主要任务之一。相较于传统变电站系统,智能变电站 系统旨在实现全站信息数字化、通信平台网络化、设备控制集成化、以及控制 决策智能化。为了在信息通讯层级满足智能变电站的技术要求,新一代电力系 统自动化通用标准DL/T860(IEC61850)应运而生。IEC61850作为国际电工委 员会所制定全球通用标准,其先进性体现在以下几个方面:1)IEC61850建立了 装置的统一数字化模型,将IED、ID、LN等设备的关联从属、数据结构、配置 描述、以及设备间通信类型加以统一规范。2)IEC61850针对变电站内装置间通 信的不同需求,引入了多种通信服务。其中包括基于TCP/IP协议和以太网的ACSI 服务、以及基于以太网进行多点广播的GOOSE和SV报文等等。3)提出了包括 站控层、间隔层、过程层的系统架构。实现了控制设备、中枢设备以及终端设 备的集成化。IEC61850标准使得智能电网的网络形态正从过去的封闭系统走向 半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时,也带来 了智能变电站的安全上的隐患。随着智能变电站的智能化与数字化程度不断增 长,随之而来的信息安全问题日益成为关键性问题。利用通讯协议,操作系统 或设施配置的内在漏洞,攻击者可以(基于隐蔽信道、木马病毒、虚拟网络、 物理操控等技术)远程干扰和操控变电站内部的关键性设施,从而可能造成数 据泄漏、设施损坏、连锁故障等一系列严重后果。由于变电站系统架构的复杂 性以及网络攻击的隐蔽性不断增长,传统的基于网络隔离以及人为设计规则的 防护方式已无法为变电站系统提供可靠的安全保障。
业内针对IEC61850的网络安全研究将智能变电站所面临的潜在信息安全威 胁划分为以下两个大类:
1.针对以太网的网络攻击
由于智能变电站中的IEC61850通信在链路层是基于在因特网中被普遍使用 的以太网协议,因此因特网中针对以太网的网络攻击大多都可以被利用并转化, 进而对智能变电站的以太网络发起攻击。
2.针对GOOSE和SV报文的网络攻击
由于GOOSE和SV报文对传输的即时性要求极高(少于5毫秒),因而传统 的加密及身份认证方法无法在此二种协议上进行应用。这使得基于两种协议传 输的数据在通信过程中完全处于无保护的状态。由于GOOSE和SV报文中可能包 含着故障警报、即时控制等关键性信息,攻击者可以通过实施对GOOSE和SV报 文的监听、篡改以及截取,对现场设备产生实质性影响。
然而,由于IEC61850协议拥有基于以太网进行通信的特性,智能变电站面临着来自 广域网的信息安全威胁。通过利用以太网的固有弱点和GOOSE及SV报文的漏洞,可以对IED、ID、终端等一系列设备及其信道进行破坏及干预,从而导致设备运转失灵、设备物理损坏、信息泄露、甚至由于连锁效应导致电网系统瘫痪。
专利号为CN2017104257278,发明名称为一种基于IEC61850的电力工业控 制网络入侵检测方法及系统,其公开了一下技术方案:包括访问控制检测、协 议白名单就检测、基于模型的检测和基于多参数的检测。其中,访问控制检测 可以防止试图与控制服务器通信的恶意软件活动和攻击,在初始感染阶段尤为 有效;协议白名单检测可检测变电站站控层和过程层网络中的异常协议流量并 告警;基于模型的异常行为检测方法具有发现站控层和过程层网络中恶意攻击 或无意异常的潜力;基于多参数的检测通过监测智能变电站的最敏感的参数来 识别由于内部无意误用或外部恶意攻击而导致的针对工控系统的可能威胁。该 发明专利模拟实际500KV智能变电站的网络物理实验平台进行验证,证实了入 侵检测方法的实时性和可用性。该方法无法对报文回放攻击进行有效防护。此 外,此方法对于拒绝服务攻击的检测准确率比较低。
专利号为CN2017101572957,发明名称为一种对IEC61850数字变电站SMV 报文的入侵检测的方法,方法主要有三个步骤组成,SMV报文的快速过滤机数 据结构化、SMV帧报文的数据单元的多级关联检测、SMV报文的危害性评估, 解决了IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过 IEC62351的加密和数字验证的方法来完成。此方法仅可保护SV报文通信,无 法对其他协议(例如GOOSE,MMS等)通信流进行防护,需要重新寻找一套 针对智能设备间SMV明文传输的报文安全加固和入侵检测解决方案,来保护智能变电站的安全运行。
专利号为CN201710156870.1,发明名称为一种对IEC61850数字变电站 GOOSE报文的入侵检测方法,该专利公开的检测方法主要有三个步骤组成,
GOOSE报文快速过滤及数据结构化、GOOSE报文的多级关联检测、GOOSE报 文的危害评估;目的在于解决现有技术中IEC61850标准中的GOOSE报文的安 全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。 此方法仅可保护GOOSE报文通信,无法对其他协议(例如SV,MMS等)通 信流进行防护。
当前,针对智能变电站的网络攻击防护主要通过网络区块隔离以及对通过 隔离端口交互的数据进行加密等方法。这些传统方法的主要缺点如下:1)保护 区域不够全面,对于已渗入到局域网内部的攻击者以及局域网内部人员无法进 行任何有效防御;2)隔离和加密方式依赖被动式的信息隐藏,对于可疑的网络 异常行为无法进行主动的识别和防御;3)已有的入侵检测系统都是基于对当前 已知的攻击进行描述(例如杀毒系统),无法对新型攻击和变体式攻击进行有效 识别;4)隔离和数据加密等方式属于侵入式防御手段,因而可能导致变电站系 统的通讯信息延迟、网络拓补结构复杂化、设备购置成本的增加。因此,设计 一种非侵入式、主动防御式、轻量式、高智能化网络攻击检测手段可以填补当 前智能变电站系统网络防御手段的空白,拥有巨大的应用价值。
发明内容
本发明的目的在于针对现有技术中存在的问题提供一种基于深度学习的智 能变电站网络入侵检测系统及检测方法,使用该系统对智能变电站网络入侵检 测系统进行检测的方法实现了对智能变电站中基于IEC61850协议的网络信息流 进行实时收集并分析,并对出现的异常通信行为进行实时检测并报警的效果。
本发明的技术方案是:
基于深度学习的智能变电站网络入侵检测系统,该系统是针对智能变电站IEC61850通信协议的网络攻击进行的入侵检测,包括依次连接的数据收集模块、 特征提取模块、行为分析模块和防御行为触发模块,数据收集模块连入智能变 电站网络从中收集数据,防御行为触发模块再连入智能变电站网络中。
所述的数据收集模块将收集到智能变电站网络中的网络数据流实时的输入 到特征提取模块中。
所述的特征提取模块对所收集的网络数据流进行特征提取,将数据流中所 蕴含的适合被训练的一系列信息提取出来作为特征数据集。
所述的行为分析模块首先对变电站网络中被抽取的特征数据集进行数据训 练并建立正常行为模型,接着基于正常行为模型对网络中出现的异常行为进行 实时的检测。
所述的防御行为触发模块对行为分析模块所检测到的异常行为进行即时处 理。
具体的,所述的数据收集模块与以太网网线与交换机的可被监听的端口相 连,通过调用Linux系统中的Libcap网络信息抓取工具对交换机中的变电站通 信流进行实时的抓取和监听。
具体的,所述的行为分析模块包括数据训练子模块和实时检测子模块,所 述的数据训练子模块对智能变电站网络在正常运行中所提取的海量特征数据集 运用深度神经网络进行数据训练,并训练出可以对系统正常通信交互时的行为 模式进行描述的神经网络数学模型;所述的实时检测子模块基于正常行为模型 实现对智能变电站网络中的通讯数据进行分析,并对异常数据实时检测。
具体的,所述的防御行为触发模块包括防御规则设定和防御行为触发,所 述的防御规则设定是预先设定防御规则以对防御触发模块进行配置;所述的防 御行为触发是根据设定的防御规则做出在用户界面进行报警提示、将异常入侵 行为进行实时拦截、将触发异常行为的节点进行隔离的防御措施。
具体的,所述的报警提示包括出错提示、重要数据删除提示、输入数据检 查提示及异常终止提示;出错提示是当用户操作错误或软件发生错误时,有准 确清晰的提示,使用户知道造成错误的原因;重要数据删除提示是当对重要数 据有删除操作时,有警告及确认提示;输入数据检查提示是对重要数据输入时 系统能对输入的数据进行检查,并对用户的非法输入值给出对应提示信息;异 常终止提示是系统在运行中无操作错误而引起系统异常退出情况时给予提醒。
具体的,所述的智能变电站的网络数据流包括以以太网为传输载体的MMS 报文、FTP通讯、HTTP通讯、GOOSE报文、以及SV报文。
具体的,所述的神经网络数学模型使用的是BP神经网络模型。
使用以上所述的基于深度学习的智能变电站网络入侵检测系统进行检测的 方法,包括如下步骤:
第一步,数据收集步骤,首先选取使用基于深度学习的智能变电站网络入 侵检测系统的变电站网络入侵检测系统的目标网络,在目标网络进行正常通信 交互的情况下通过数据收集模块收集智能变电站网络正常运行时的大量网络数 据流,并将这些数据流实时输入到特征提取模块中进行下一步处理;
第三步,特征提取步骤,数据特征提取模块将数据收集模块所收集的网络 数据流中每个信息包所包含的16进制原始数据实时的解构,将16进制原始数 据实时转化为结构化的数据单元,将每一个信息包数据单元集合转换为一个1xN (其中N值等于数据单元的数量)维度的矩阵数据,将此矩阵数据称作特征向 量,特征提取模块将所得特征向量数据存储至数据库中形成训练数据集,之后 将训练数据集一并输出至行为分析模块中的数据训练子模块中进行数据训练;
第三步,行为分析及建模步骤,行为分析模块中的数据训练子模块将特征 提取步骤输送来的训练数据集运用深度神经网络进行数据训练并建立正常行为 模型也就是神经网络数学模型;行为分析模块中的实时检测子模块基于建立的 正常行为模型实现对智能变电站中的通讯数据进行分析,并实现对异常数据的 实时检测;
第四步,对异常行为处理步骤,行为分析模块将建立好的神经网络数学模 型实际应用于目标网络中,在实际使用过程中对神经网络数学模型的输出值异 常度量值进行优化处理,并对异常度量值设定阈值,将设定的阈值参数加以微 调优化,对目标网络中的通信交互行为进行实时的异常度评分,如果当前行为 的异常评分大于异常度量值阈值,建立的神经网络数学模型会判定当前行为是 异常的网络攻击行为,防御行为触发模块基于异常行为的潜在威胁程度触发相 应的防御措施。
针对上述的检测方法,具体的,所述的运用深度神经网络进行数据训练使 用的数据训练算法是基于能量的深度全连接神经网络算法。
针对上述检测方法,具体的,所述的第四步中对神经网络数学模型的异常 度量值进行处理使用的方法是最大似然拟合法。
本发明的有益效果是:提供一种用于对智能变电站进行入侵检测的基于深 度学习的智能变电站网络入侵检测系统及检测方法,该系统包括依次连接的数 据收集模块、特征提取模块、行为分析模块和防御行为触发模块,数据收集模 块连入智能变电站网络从中收集数据,防御行为触发模块再连入智能变电站网 络中。数据收集模块的作用在于将智能变电站网络中所传输的通信数据流进行 实时的收集,特征提取模块旨在对所收集到的数据进行实时的特征提取,并转 化为高维矩阵加以存储。行为分析模块拥有两大作用:首先是运用深度神经网 络算法对特征矩阵进行数据训练,并输出对通讯数据的行为模式加以准确描述 的神经网络数学模型;接着将神经网络数学模型运用于实际的入侵检测应用中,在实际使用过程中对神经网络数学模型的输出值异常度量值进行优化处理,并 对异常度量值设定阈值,将设定的阈值参数加以微调优化。当神经网络数学模 型检测到异常网络行为时,框架中的防御触发模块会基于异常行为的潜在威胁 程度触发相应的防御措施。基于此框架所构建的智能变电站网络入侵异常检测 系统可以实现对变电站中异构网络流数据的表征、建模、防御的统一化和流程 化。进而实现了对多重网络传输协议的检测及防护。
本发明旨在基于机器学习技术提出的一种智能化复合式入侵检测系统及检 测方法,该检测方法可实时收集站内网络信息及设施运行状态数据,并运用机 器学习算法对站内设施的正常工作模式进行描述建模分析;基于所得模型,在 网络活动中,对于已经超过正常行为的阈值的,将其判定为异常,防御行为触 发模块可实时对异常操作行为及异常网络通信加以侦测并报警,系统能够发现 一些以前未知的攻击行为,也不需要通过分析大量的异常行为来为每一种攻击 行为都定义一个规则,大大减少了人力活动。本发明提供的检测系统及检测方 法具有先进性和实用性,可从以下几个方面进行表现:1可针对变电站通讯协议 的网络攻击以及针对变电站设施硬件的系统攻击同时加以检测;2基于对收集正常数据的准确分析建模,此系统可自动检测尚未被发现的新型攻击;3该系统的 软件部署及运行不会对变电站内设施的正常运行产生干预和影响;4实现了对 MMS、GOOSE、SV三种通信包的实时解码和特征提取;5实现了基于能量的 深度学习方法,实现了对变电站网络正常交互行为的数据训练,并得到可以准 确描述正常行为模式的数学模型;6实现了基于最大似然估计的异常行为度量值 智能设定方法;7实现了基于攻击的潜在威胁度对防御措施进行自动触发。
本发明将深度学习技术运用于网络入侵检测系统中,实现对网络中出现的 异常交互行为进行实时检测并报警。
附图说明
图1是本发明的原理结构示意框图;
图2是MMS报文信息架构;
图3是GOOSE报文信息架构;
图4是全连接神经网络基本架构;
图5是对异常度量值的阈值划定示例。
具体实施方式
如图1所示为基于深度学习的智能变电站网络入侵检测系统,该系统是针 对智能变电站IEC61850通信协议的网络攻击进行的入侵检测,包括依次连接的 数据收集模块、特征提取模块、行为分析模块和防御行为触发模块,数据收集 模块连入智能变电站网络从中收集数据,防御行为触发模块再连入智能变电站 网络中。
所述的行为分析模块包括数据训练子模块和实时检测子模块,实时检测子 模块将正常行为模型的输入端与特征提取模块的输出端相连,所述的数据训练 子模块对智能变电站网络在正常运行中所提取的海量特征数据集运用深度神经 网络进行数据训练,并训练出可以对系统正常通信交互时的行为模式进行描述 的神经网络数学模型;所述的实时检测子模块基于正常行为模型实现对智能变 电站网络中的通讯数据进行分析,并对异常数据进行实时检测。
所述的防御行为触发模块包括防御规则设定和防御行为触发,所述的防御 规则设定是预先设定防御规则以对防御触发模块进行配置;所述的防御行为触 发是根据设定的防御规则做出在用户界面进行报警提示、将异常入侵行为进行 实时拦截、将触发异常行为的节点进行隔离的防御措施。
所述的报警提示包括出错提示、重要数据删除提示、输入数据检查提示及 异常终止提示;出错提示是当用户操作错误或软件发生错误时,有准确清晰的 提示,使用户知道造成错误的原因;重要数据删除提示是当对重要数据有删除 操作时,有警告及确认提示;异常终止提示是系统在运行中无操作错误而引起 系统异常退出情况时给予提醒;输入数据检查提示是对重要数据输入时系统能 对输入的数据进行检查,并对用户的非法输入值给出对应提示信息。
使用以上所述的基于深度学习的智能变电站网络入侵检测系统进行检测的 方法,包括如下步骤:
第一步,数据收集步骤,首先选取使用基于深度学习的智能变电站网络入 侵检测系统的变电站网络入侵检测系统的目标网络,在目标网络进行正常通信 交互的情况下通过数据收集模块收集智能变电站网络正常运行时的大量网络数 据流,并将这些数据流实时输入到特征提取模块中进行下一步处理;
第三步,特征提取步骤,数据特征提取模块将数据收集模块所收集的网络 数据流中每个信息包所包含的16进制原始数据实时的解构,将16进制原始数 据实时转化为结构化的数据单元,将每一个信息包数据单元集合转换为一个1xN (其中N值等于数据单元的数量)维度的矩阵数据,将此矩阵数据称作特征向 量,特征提取模块将所得特征向量数据存储至数据库中形成训练数据集,之后 将训练数据集一并输出至行为分析模块中的数据训练子模块中进行数据训练;
第三步,行为分析及建模步骤,行为分析模块中的数据训练子模块将特征 提取步骤输送来的训练数据集运用深度神经网络进行数据训练并建立正常行为 模型也就是神经网络数学模型;行为分析模块中的实时检测子模块基于建立的 正常行为模型实现对智能变电站中的通讯数据进行分析,并实现对异常数据的 实时检测;
第四步,对异常行为处理步骤,行为分析模块将建立好的神经网络数学模 型实际应用于目标网络中,在实际使用过程中对神经网络数学模型的输出值异 常度量值进行优化处理,并对异常度量值设定阈值,将设定的阈值参数加以微 调优化,对目标网络中的通信交互行为进行实时的异常度评分,如果当前行为 的异常评分大于异常度量值阈值,建立的神经网络数学模型会判定当前行为是 异常的网络攻击行为,防御行为触发模块基于异常行为的潜在威胁程度触发相 应的防御措施。
下面通过详细描述具体各个模块的功能和工作原理等进行说明本发明提供 的变电站网络入侵检测系统及检测方法。
所述的检测方法的第一步数据收集步骤是通过数据收集模块实现的,所述 的数据收集模块将收集到智能变电站网络中的网络数据流实时的输入到特征提 取模块中,智能变电站的网络数据流包括以以太网为传输载体的MMS报文、FTP 通讯、HTTP通讯、GOOSE报文、以及SV报文。由于所有的通信都是以以太 网为载体,因此对网络数据的收集的接口可以选择作为以太网网信息中继设备 的交换机。本智能变电站网络入侵检测系统中的数据收集模块通过以太网网线 与交换机的可被监听的端口相连,通过调用Linux系统中的Libcap网络信息抓 取工具对交换机中的变电站通信流进行实时的抓取和监听。所收集的网络数据 流数据会被实时的输入到特征提取模块中做进一步处理。
所述的检测方法的第二步特征提取步骤是通过特征提取模块来实现的,所 述的特征提取模块对所收集的网络数据流进行特征提取,将收到的网络数据流 中所蕴含的适合被训练的一系列信息提取出来作为特征数据集。具体操作过程 是数据特征提取模块将数据收集模块所收集的网络数据流中每个信息包所包含 的16进制原始数据实时的解构。解构的理论依据是不同网络传输协议对于其相 应信息包的架构规约。特征提取模块实现了对MMS、GOOSE报文、SV报文、 以及TCP/IP传输的实时解构表征。如图2所展示的是MMS报文信息架构,图 3中所展示的GOOSE报文信息架构,图2和图3中每一行所呈现的信息可被称作数据单元,在特征提取模块的设计过程中,将不同网络协议中每一种类信息 包的架构进行详细记录,并设计出相应的解构手段。通过将所设计的解构手段 用编程进行实现,特征提取模块便实现了其主要功能:将16进制原始数据实时 转化为结构化的数据单元(数据单元范例见图2和图3)。特征提取模块将每一 个信息包数据单元集合转换为一个1xN(其中N值等于数据单元的数量)维度的 矩阵数据,将此矩阵数据称作特征数据集。在本发明提供的智能变电站网络入 侵检测系统进行实际运行前的数据训练时,特征提取模块将所得特征数据集数 据存储至数据库中形成特征数据集,之后将特征数据集一并输出至行为分析模 块中的数据训练子模块中进行数据训练。在本发明提供的智能变电站网络入侵 检测系统投入实际运行时,特征提取模块将所得特征数据集实时输出至行为分 析模块中的实时检测子模块中进行异常检测分析。
所述的检测方法的第三步行为分析及建模步骤是通过行为分析模块实现 的,所述的行为分析模块首先对变电站网络中被抽取的特征数据集进行数据训 练并建立正常行为模型也就是深度神经网络模型,接着基于正常行为模型对网 络中出现的异常行为进行实时的检测。为实现此模块的异步特性,此行为分析 模块可被划分为两个子模块:数据训练子模块和实时检测子模块,所述的数据 训练子模块对智能变电站网络在正常运行中所提取的海量特征数据集运用深度 神经网络进行数据训练,并训练出可以对系统正常通信交互时的行为模式进行 描述的神经网络数学模型;所述的实时检测子模块基于正常行为模型实现对智 能变电站网络中的通讯数据进行分析,并对异常数据实时检测。数据训练子模 块在入侵检测系统的数据阶段运行,以取得正常行为模型。实时检测子模块在 入侵检测系统实际投入运行阶段运行,以基于正常行为模型实现入侵行为实时 检测。
数据训练子模块旨在对变电站网络在正常运行中所提取的海量特征数据集 运用深度神经网络进行数据训练。利用深度神经网络的强大的模式识别以及模 式泛化能力,可以输出一个可对变电站网络中正常的通信行为进行准确描述的 数学模型。由于所得数学模型只对网络的正常行为进行描述,因此模型可被称 之为正常行为模型。此正常行为模型的实际应用价值在于:本发明提供的入侵 检测系统从变电站网络实时抓取到网络交互行为时,系统可以运用正常行为模 型判断当前行为是否符合正常行为模式,此判断过程是通过打分数的形式进行, 如果建立的正常行为模型对当前行为所打异常分数较低,说明此行为是正常行 为。反之如果所打异常分数较高,即说明此行为很有可能是异常行为(即网络攻击行为)。
此数据训练过程所实现的数据训练算法是一种基于能量的深度全连接神经 网络算法,相较于传统神经网络算法,此神经网络算法优势在于:1)其运用深 度网络架构,即网络架构中包含多个隐藏层。相较于传统浅神经网络的单隐藏 层架构,此网络中的多隐藏层架构可以大大提升算法的模式识别能力。这是由 于在多隐层中,神经元的数量大大增多,位于不同层的神经元可以对前一层神 经元所学习的模式进行进一步细化,从而学习到更精确的特征,进而实现对数 据模式分层式的准确描述。2)此算法基于数据概率密度分布对数据的模式进行 度量,此方式被学界称之为基于能量的数学模型。相较于传统的基于分类进行 异常检测的方法,此类基于能量的算法的最大优势在于其无需异常数据作为参 考也可以对正常行为的模式进行描述。因此能量算法所得模型可以检测任何与 正常行为模式不同的网络攻击。另外,基于能量的神经网络作为当前最先进的 异常检测方法,其异常检测表现被学界证明明显优于其他方法。
神经网络本质上是一个将矩阵输入X通过一系列非线性的数学映射最终转 化为所需要的矩阵输出(例如用于判断如输入矩阵为正常的概率矩阵)的数学 过程。神经网络根据架构的不同可以被划分为卷积神经网络、递归神经网络、 对抗神经网络等等。由于变电站网络数据是以信息条数为单位(即每条信息是 一个通信行为)而每条信息中所包含的特征之间并没有关联;同时每条信息之 间在时序上并没有明确的关联,因此我们选用全连接神经网络对每条信息中的 细节独立进行分析。一个全连接神经网络的基本架构如图4所示。一个神经网 络包含神经元和权重连接两大元素,其中神经元以层来布局,神经元所组成的 神经层分为以下三种:1)输入层(图4中最左层)的神经元负责接收输入数据 (在本发明提供的系统中,输入数据是通信行为的特征集矩阵);2)隐藏层的 神经元负责对输入数据进行非线性的数学运算,从而对数据中隐含的模式进行 识别和描述,不同于图4,本发明所实现的神经网络包含多层隐藏层,因而被称 作深度神经神经网络;3)输出层的神经元负责对隐藏层的输出进行分析并最终 转化为神经网络的输出数据Y(在本发明提供的系统中,输出数据是一个用来度 量当前行为是否为正常行为的正常度量值)。
神经网络中不同层之间的神经元两两由权重加以连接。如图4所示,输入 层中的神经元1,2,3与隐藏层的神经元4可以由权重矩阵w4={w41,w42,w43}加以 表示。神经元内部由一个激活函数构成,热门的激活函数包括sigmoid函数、tanh 函数等等。本发明选用的是sigmoid函数。神经元可以利用激活函数将输入数据 矩阵聚合简化为数值输出。以图4中的节点4为例,其输入值为w41x1+w42x2+w43x3, 经过激活运算后,节点4的输出值a4可以被表示为:
其中w4b为节点4的偏置项。
将图4中隐藏层的所有节点中的变量运用矩阵表示,隐藏节点的输出矩阵
以及权重矩阵W如下所示。
在图4中,节点y1的输出值可以被表示为:
y1=sigmoid(w84a4+w85a5+w86a6+w87a7+w8b)
y2=sigmoid(w94a4+w95a5+w96a6+w97a7+w9b)
Y=[y1,y2]
通过以上的公式集,我们可以得出结论:一个全连接神经网络的本质是在 数据训练过程中对每层的权重矩阵Wn进行调整,从而使得神经网络可以将输入 矩阵X映射为最准确的输出矩阵Y。
当确定了全连接网络的数学描述及参数集以后,接下来需要解决的两个问 题是:1)如何在数据训练中判断神经网络的好坏?2)如何基于当前神经网络 的好坏对权重矩阵Wn进行更新,从而使得神经网络最终达到最优?
1)如何在数据训练中判断神经网络的好坏?
这个问题的解决方法是为神经网络设定目标函数。目标函数的作用旨在为 神经网络设定明确的目标,当神经网络的输出无限接近目标函数时,当前的神 经网络模型可以被判定为针对此目标的最优模型。在数据训练过程中,我们的 目标在于运用一种机制对神经网络中的参数(即Wn)进行调整,从而使得神经 网络的输出可以向目标函数逐渐靠近。
传统的全连接神经网络在做异常检测时,同时需要异常数据和正常数据来 建立分类模型,因此传统模型在数据训练时的目标函数旨在对模型的分类准确 率进行实时评估,评估的方式如以下目标函数所示:
其中Ed表示模型在对行为样本d进行分类时的误差,ti代表样本d真实的分 类结果,yi代表神经网络所输出的分类结果。当ti与yi的差别持续保持很小的数 值时,说明当前神经网络模型已经接近最优质量。
然而,由于本项目所提出的异常检测方法旨在只使用正常数据建立神经网 络模型,传统的基于分类准确率的目标函数在此情况下不再适用。因此我们以 神经网络中的自编码器为灵感,提出了一种新型的目标函数。运用此目标函数 的神经网络旨在对所输入数据进行重新描述,并最终输出神经网络对于当前样 本的描述表现。我们将这种对样本重新描述的数学过程称为重构 (reconstruction)。通过在全连接神经网络中运用此基于重构的目标函数,我 们可以巧妙的实现异常检测的目的。实现的原理在于:在数据训练阶段,神经 网络通过调整参数力求对所有的训练样本(即正常行为数据)进行准确的重构 描述。相应的目标函数旨在对重构描述的误差进行量化,即模型重构一个训练 样本越准确,则此模型越优化。以此目标函数训练所得到的优化神经网络模型, 可以实现对正常行为数据的准确重构。当模型遇到与正常行为模式不同的网络 攻击行为时会无法进行准确的重构,从而导致重构误差(即神经网络输出的异 常度量矩阵Y的模)明显增大。由此我们可以通过观察神经网络所输出矩阵Y 的模的大小来判断当前通信行为是否为正常行为。
在此项目中,我们运用能量模型来对目标函数进行推导。能量模型作为概 率模型中的一种,可以被用来描述数据的概率密度分布。一个基于能量模型设 计的目标函数,可以赋予被观察到的样本较低的能量,而赋予异常的样本较高 的能量。这是由于异常样本的参数和特征值的概率分布往往呈现出和正常分布 的较大差异,因此对异常样本的描述需要消耗更高的能量。能量模型对一个输 入样本的概率密度描述如下:
其中x是神经网络的输入,θ是神经网络中的需要被训练的参数(例如:连 接各个节点的权重),是归一化项,E(x;θ)代表模型对输入x的所 产生能量。由于Z(θ)很难计算,我们所设计的目标函数不会直接对概率密度进行 计算,而是对能量直接进行重构评估。
参考作为一种典型能量模型的受限波兹曼机神经网络的能量函数,在此项 目中,我们提出了一种针对全连接神经网络的能量函数E(x;θ),对于一个L层的 全连接网络,其第L层的能量函数形式如下所示:
其中b′是在输出层的与输入x维度相同的偏置参数,KL代表L层的神经元节 点的数量,是L层需要被更新的参数(W代表权重,b代表 偏置)。本发明所提出的基于重构的神经网络在数据训练中旨在对训练数据中特 征的概率分布密度进行重新描述,换句话说,此类神经网络目标旨在对训练数 据的概率分布密度进行尽可能完美的重构。因此,本项目所提出神经网络在数 据训练中目标函数是使训练模型对于每一个训练数据重构是所消耗能量E(x;θ) 最小,相应的目标函数如下:
其中▽x表示能量公式在输入x方向的梯度,N表示训练样本的总数。
2)如何基于当前神经网络的好坏对权重矩阵Wn进行更新,从而使得神经网 络最终达到最优?
在确定了目标函数之后,接下要解决如何对参数例如Wn进行更新的问题。 此项目中的数据训练模块进行参数更新的方式是传统的反向传播算法,此方法 根据目标函数的偏差计算每一层节点中参数的误差,接着基于参数误差对节点 中的参数进行更新。此更新过程会以输出层为起始将参数误差向前一层传播, 并将更新最终最终迭代至输入层。以隐藏层中节点aj为例,其参数更新的数学 表达如下:
wji←wji+ηδjxji
其中wji代表节点i到节点j的权重,η是一个代表学习速率的常数,δj是节 点aj参数偏置。δj的数学表达如下:
式中的E(x,θ)是之前所介绍的损失函数。
采用链式法则,我们可以最终推导出偏置的计算方法:
其中,Downstream(j)代表j节点所在层以下的所有层的集合(例如输出层一定是隐藏层的下层)。基于以上的几个公式进行应用,数据训练最终实现了基于训练 数据对基于能量的全连接神经网络进行优化的功能,最终的产出是一个可以对 训练数据进行准确重构的深度神经网络数学模型,我们将此模型称为正常行为 模型。
传统深度学习所得到的正常行为模型所输出的异常度量值是通过计算重构 数据与数据输入差值的模,此异常度量值又被称之为重构误差,具体公式如下:
E=|x-x′|。
我们对于异常度量值进行进一步改进,相较与传统的异常度量值,改进版 的异常度量值更容易被量化同时也更具有统计特性,因此可以实现对异常检测 表现的显著提升。改进的思路在于将数据训练中所得到的所有重构误差的数值 分布进行拟合估计。拟合估计的目的是将重构误差的数值分布映射到正态分布 中,我们运用以下公式对异常度量值进行进一步处理:
E=(e-μ)T(e-μ)σ-1
式中的μ和σ代表正态分布中的均值和方差。
当我们记录下变电站一段时间内的行为并记录为一段行为序列 X=[x1,···,xn],我们可以用最大似然法将此段行为序列的正态分布进行拟合,此 方法的具体形式如下:
我们对此正态分布拟合似然函数求似然值对数相对于均值和方差的偏导数,当偏导数取值为0时,我们所得的相应矩阵或方差即是似然值为最大时的取值, 具体数学表达如下:
对此二元方程求解,我们可以最终得到均值和方差的估计值:
我们将此μ*和σ*的估计值作为式1中μ和σ的值,并由此完成对异常度量值的 数学处理,就是最大似然拟合法,目的旨在将异常度量值的分布拟合到正态分 布中,并用当前度量值在正态分布中的位置做的新的异常度量值。
当数据训练子模块完成数据训练工程并生成正常行为模型之后,数据训练 子模块将停止运行,同时入侵检测系统的数据训练阶段宣告结束,并可以正式在 现场投入运行。
在入侵检测系统的实际投入运行阶段,实时检测子模块基于正常行为模型 实现对智能变电站中的通讯数据进行分析,并实现对异常数据的实时检测。在 数据训练所得到的正常行为模型是一个完整的神经网络,其输入被设定为特征 提取模块所输出的特征向量,其只有一个输出:异常度量值。基于此特性,在 异常度量阶段,实时检测子模块将正常行为模型的输入端与特征提取模块的输 出端相连。当智能变电站中的网络交互行为被抓取并由特征提取模块解码为特 征向量后,实时检测模块将特征向量输入神经网络中并记录下神经网络输出的 异常度量值。
第四步对异常行为处理步骤,通过防御行为触发模块实现,主要是基于行 为行为分析模块对异常行为的潜在威胁程度触发相应的防御措施。
在异常检测系统投入运行时,实时检测子模块基于异常度量值做出最终判 断结果,即判断当前行为是否为异常行为。判断结果的得出过程基于对异常度 量值设定阈值。如图5所示,异常度量阈值的主流设定方式对正常数据与异常 数据分布差异区间取中位数,当异常度量值大于阈值时,当前行为便被检测为 异常行为,反之则被判定为正常。实时检测子模块将对当前行为的判断结果实 时输出至防御触发模块中。
所述的防御行为触发模块包括防御规则设定和防御行为触发,所述的防御 规则设定是预先设定防御规则以对防御触发模块进行配置;所述的防御行为触 发是根据设定的防御规则做出在用户界面进行报警提示、将异常入侵行为进行 实时拦截、将触发异常行为的节点进行隔离一系列防御措施。所设定的防御规 则根据用户需要可以包括以下几项:
1、任何异常行为的发现都会触发防御行为触发模块的报警提示功能;
2、目标为非关键性设备(例如传感器、非关键传动器等)的异常行为会触 发实时拦截功能;
3、任何节点如果连续触发三次及以上异常行为会被防御行为触发模块所隔 离;
4、目标为非关键性设备(例如中控设备、网络中枢设备等)的异常行为会 触发节点隔离功能。
针对以上所设定的防御规则所实现的防御功能为:在用户界面进行报警提 示、将异常入侵行为进行实时拦截、将触发异常行为的节点进行隔离。
所述的报警提示包括出错提示、重要数据删除提示、输入数据检查提示及 异常终止提示;出错提示是当用户操作错误或软件发生错误时,有准确清晰的 提示,使用户知道造成错误的原因;重要数据删除提示是当对重要数据有删除 操作时,有警告及确认提示;输入数据检查提示是对重要数据输入时系统能对 输入的数据进行检查,并对用户的非法输入值给出对应提示信息;异常终止提 示是系统在运行中无操作错误而引起系统异常退出情况时给予提醒。
在本发明提供的检测系统中使用的神经网络数学模型是BP神经网络模型。 BP神经网络模型的最大特点是仅仅借助样本数据,无需建立系统的数学模型, 就可对系统实现由m个输入神经元的模式向量p组成的pm空间到yn空间n(为 输出节点数)的高度非线性映射。BP算法是为了解决多层前向神经网络的权系数 优化而提出来的。
本发明将深度学习技术运用于网络入侵检测系统中,实现对智能变电站网 络中出现的异常通信行为进行实时检测并报警。所提出的基于深度学习的智能 变电站网络入侵检测系统的运行原理如下:1首先选取使用本发明提供的变电站 网络入侵检测系统的目标网络,在目标网络进行正常通信交互的情况下通过本 系统中数据抓取处理模块中的网络数据流抓取模块收集大量网络信息数据流, 并将这些数据流标记为正常数据;接着模拟一系列网络攻击并对这些网络攻击 收集相应数据,将这些数据标记为异常数据;2数据表征模块是对网络数据流抓 取模块所收集的正常数据进行特征提取,将数据中所蕴含的适合被训练的一系 列信息提取出来作为特征数据集;3行为分析模块中的数据训练子模块利用深度 神经网络强大的数据学习能力对提取的正常数据的特征数据集进行分析,并训 练出可以对目标网络正常通信交互时的行为模式进行描述的神经网络数学模 型;4行为分析模块还能利用所收集的异常数据对所训练的模型进行性能评估, 并进行参数调整优化和异常阈值设定;5行为分析模块同时将优化好的模型实际 应用于目标网络中,对目标网络中的通信交互行为进行实时的异常度评分,如 果当前行为的异常评分大于异常阈值,建立的BP神经网络模型会判定当前行为 是异常的网络攻击行为,然后通过报警提示发出报警提示,根据发生情况的不 同可以发出不同的报警提示,比如当用户操作错误或软件发生错误时,出错提 示模块有准确清晰的提示,使用户知道造成错误的原因;当对重要数据有删除 操作时,重要数据删除提示模块有警告及确认提示;系统在运行中无操作错误 而引起系统异常退出情况时异常终止提醒模块会给予提醒。
对本实施例提供的深度学习技术运用于网络入侵检测系统进行测试,将该 系统运行于Linux平台上,使用Python语言开发,可对智能变电站中基于 IEC61850协议的网络信息流进行实时收集并分析,并对出现的异常网络信息流 进行实时检测并报警提示。其中模拟了一系列针对IEC61850的网络攻击,如 下:
1、密码破解攻击:此攻击旨在破解IED控制器或服务器的用户密码,从而 取得对设备的控制权限,攻击方式是基于密码字典反复进行用户登录尝试;
2、拒绝服务(DoS)攻击:此攻击旨在使得设备无法正常提供服务,攻击 方式是对目标设备发送海量信息包,使得设备任务栈或内存溢出从而失去响应;
3、GOOSE/SV报文篡改:此攻击旨在使得设备收到错误的报文从而做出错 误的回应或触发错误的服务。攻击方式是对变电站网络内部传输的GOOSE或 SV报文进行截取,并对所截取信息包的内容进行恶意篡改;
4、GOOSE/SV报文回放:此攻击旨在使得设备收到在错误时机发送的报文 从而做出错误的回应或触发错误的服务。攻击方式是对变电站网络内部传输的 GOOSE或SV报文进行截取,并在错误时间重新将所截取信息包的原文进行发 送。
测试过程中从使用本实施例提供的测试系统的某变电站设备厂商处获得变 电站正常交互数据28000余条,我们对以上四种攻击进行模拟,并生成异常交 互数据20000余条;本实施例提供的入侵检测系统首先基于18000余条正常数 据进行数据训练并建立正常行为模型,此数据训练过程耗时5小时,在实时监 测阶段,我们使用了28000余条攻击数据和10000条正常数据。入侵检测系统 的检测表现如表1所示。
表1异常检测系统实际检测表现
针对以上一系列攻击的测试,本发明提供的网络入侵检测系统可以对以上 所述的四种网络攻击进行有效监测,同时对于正常通信行为的检测准确度在可 接受范围。由于回放攻击使用正常信息包进行攻击,对于此种攻击的检测难度 相对更大。该网络入侵检测系统针对报文回放攻击的检测已经取得显著成效(准 确度达到85%以上),通过与变电站设备配置人员合作进行该网络入侵检测系统 参数和配置优化,该网络入侵检测系统对于报文回放攻击的检测准确度仍然有 继续提高的空间。
本发明提供的智能变电站网络入侵检测系统运用作为时下最先进的机器学 习算法之一的基于能量模型的深度学习方法实现了对变电站网络正常网络数据 的模式。此深度学习方法的先进性和创新性如下:
1、相较于传统的异常检测方法往往同时需要学习正常数据和异常数据才能 进行数据训练,此项目中的深度学习方法只需要根据正常数据进行数据训练, 因而本发明所实现的异常检测系统可以检测到异常数据集中未能涵盖的新型攻 击;
2、基于神经网络数学模型的深度学习技术被学界公认为时下最先进的异常 检测技术,其准确成功率被证明超过其他异常检测算法;
3、该系统运用最大似然拟合法对异常度量值进行了优化设计,进一步提升 了该系统对入侵行为的检测成功率。
本发明提供的智能变电站网络入侵检测系统可实现的经济和社会效益如 下:
(1)全站在接入地调接入网的路由器、实施业务交换机和非实时业务交换 机中各部署了一套本发明提供的基于深度学习的网络入侵检测系统软件,与现 有的包括加密、认证和网络隔离的网络防护体系形成互补,实现了对设备误操 作、内部恶意渗透、隐蔽信道等多种智能变电站现有防护体系无法有效防护的 网络攻击,从而使得网络安全防护系统的鲁棒性得到显著提升;
(2)变电站对于入侵检测系统的部署采用了时下最先进的基于深度学习的 半监督式异常检测技术,实现了对于未知的新型攻击的智能化检测;
(3)入侵检测系统的部署减少了网络安全防护系统对于加密和认证服务的 依赖,从而部分解决了由加密认证引起的网络传输延迟的问题,从而提高了变 电站设备的运行效率,提升了突发情况出现时的应对速度;
(4)通过对设备误操作、内部恶意渗透、隐蔽信道等多种网络攻击的有效 监测和实时防护,如果一个变电站投资效益约500万,则对安全防护上直接投 资节约60万。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限 制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人 员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征 进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保 护的技术方案范围当中。
Claims (10)
1.基于深度学习的智能变电站网络入侵检测系统,其特征在于:该系统是针对智能变电站IEC61850通信协议的网络攻击进行的入侵检测,包括依次连接的数据收集模块、特征提取模块、行为分析模块和防御行为触发模块,数据收集模块连入智能变电站网络从中收集数据,防御行为触发模块再连入智能变电站网络中;
所述的数据收集模块将收集到智能变电站网络中的网络数据流实时的输入到特征提取模块中;
所述的特征提取模块对所收集的网络数据流进行特征提取,将数据流中所蕴含的适合被训练的一系列信息提取出来作为特征数据集;
所述的行为分析模块首先对变电站网络中被抽取的特征数据集进行数据训练并建立正常行为模型,接着基于正常行为模型对网络中出现的异常行为进行实时的检测;
所述的防御行为触发模块对行为分析模块所检测到的异常行为进行即时处理。
2.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统,其特征在于,所述的数据收集模块与以太网网线与交换机的可被监听的端口相连,通过调用Linux系统中的Libcap网络信息抓取工具对交换机中的变电站通信流进行实时的抓取和监听。
3.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统,其特征在于,所述的行为分析模块包括数据训练子模块和实时检测子模块,所述的数据训练子模块对智能变电站网络在正常运行中所提取的海量特征数据集运用深度神经网络进行数据训练,并训练出可以对系统正常通信交互时的行为模式进行描述的神经网络数学模型;所述的实时检测子模块基于正常行为模型实现对智能变电站网络中的通讯数据进行分析,并对异常数据的实时检测,实时检测子模块将正常行为模型的输入端与特征提取模块的输出端相连,。
4.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统,其特征在于,所述的防御行为触发模块包括防御规则设定和防御行为触发,所述的防御规则设定是预先设定防御规则以对防御触发模块进行配置;所述的防御行为触发是根据设定的防御规则的做出在用户界面进行报警提示、将异常入侵行为进行实时拦截、将触发异常行为的节点进行隔离一系列防御措施。
5.根据权利要求4所述基于深度学习的智能变电站网络入侵检测系统,其特征在于,所述的报警提示包括出错提示、重要数据删除提示、输入数据检查提示及异常终止提示;
出错提示是当用户操作错误或软件发生错误时,有准确清晰的提示,使用户知道造成错误的原因;
重要数据删除提示是当对重要数据有删除操作时,有警告及确认提示;
异常终止提示是系统在运行中无操作错误而引起系统异常退出情况时给予提醒;
输入数据检查提示是对重要数据输入时系统能对输入的数据进行检查,并对用户的非法输入值给出对应提示信息。
6.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统,其特征在于,所述的智能变电站的网络数据流包括以以太网为传输载体的MMS报文、FTP通讯、HTTP通讯、GOOSE报文、以及SV报文。
7.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统,其特征在于,所述的神经网络数学模型使用的是BP神经网络模型。
8.使用以上任意一项权利要求所述的基于深度学习的智能变电站网络入侵检测系统进行检测的方法,其特征在于,包括如下步骤:
第一步,数据收集步骤,首先选取使用基于深度学习的智能变电站网络入侵检测系统的变电站网络入侵检测系统的目标网络,在目标网络进行正常通信交互的情况下通过数据收集模块收集智能变电站网络正常运行时的大量网络数据流,并将这些数据流实时输入到特征提取模块中进行下一步处理;
第三步,特征提取步骤,数据特征提取模块将数据收集模块所收集的网络数据流中每个信息包所包含的16进制原始数据实时的解构,将16进制原始数据实时转化为结构化的数据单元,将每一个信息包数据单元集合转换为一个1xN(其中N值等于数据单元的数量)维度的矩阵数据,将此矩阵数据称作特征向量,特征提取模块将所得特征向量数据存储至数据库中形成训练数据集,之后将训练数据集一并输出至行为分析模块中的数据训练子模块中进行数据训练;
第三步,行为分析及建模步骤,行为分析模块中的数据训练子模块将特征提取步骤输送来的训练数据集运用深度神经网络进行数据训练并建立正常行为模型也就是神经网络数学模型;行为分析模块中的实时检测子模块基于建立的正常行为模型实现对智能变电站中的通讯数据进行分析,并实现对异常数据的实时检测;
第四步,对异常行为处理步骤,行为分析模块将建立好的神经网络数学模型实际应用于目标网络中,在实际使用过程中对神经网络数学模型的输出值异常度量值进行优化处理,并对异常度量值设定阈值,将设定的阈值参数加以微调优化,对目标网络中的通信交互行为进行实时的异常度评分,如果当前行为的异常评分大于异常度量值阈值,建立的神经网络数学模型会判定当前行为是异常的网络攻击行为,防御行为触发模块基于异常行为的潜在威胁程度触发相应的防御措施。
9.根据权利要求8所述基于深度学习的智能变电站网络入侵检测系统的检测方法,其特征在于,所述的运用深度神经网络进行数据训练使用的数据训练算法是基于能量的深度全连接神经网络算法。
10.根据权利要求8所述基于深度学习的智能变电站网络入侵检测系统的检测方法,其特征在于,所述的第四步中对神经网络数学模型的异常度量值进行处理使用的方法是最大似然拟合法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910221581.4A CN110086776A (zh) | 2019-03-22 | 2019-03-22 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910221581.4A CN110086776A (zh) | 2019-03-22 | 2019-03-22 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110086776A true CN110086776A (zh) | 2019-08-02 |
Family
ID=67413437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910221581.4A Pending CN110086776A (zh) | 2019-03-22 | 2019-03-22 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110086776A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110646203A (zh) * | 2019-08-23 | 2020-01-03 | 中国地质大学(武汉) | 基于奇异值分解和自编码器的轴承故障特征提取方法 |
| CN111016720A (zh) * | 2019-12-23 | 2020-04-17 | 深圳供电局有限公司 | 基于k最近邻算法攻击识别方法及充电装置 |
| CN111061152A (zh) * | 2019-12-23 | 2020-04-24 | 深圳供电局有限公司 | 基于深度神经网络攻击识别方法及智慧能源功率控制装置 |
| CN111092897A (zh) * | 2019-12-23 | 2020-05-01 | 深圳供电局有限公司 | 具有主动免疫攻击识别方法及充电装置 |
| CN111144549A (zh) * | 2019-12-23 | 2020-05-12 | 深圳供电局有限公司 | 基于卷积神经网络的微网攻击识别方法及微网协调控制器 |
| CN111478913A (zh) * | 2020-04-13 | 2020-07-31 | 广东电网有限责任公司东莞供电局 | 配用电通信网络的网络入侵检测方法、装置及存储介质 |
| CN111523638A (zh) * | 2020-03-10 | 2020-08-11 | 中移(杭州)信息技术有限公司 | 深度神经网络的泛化能力的度量方法、装置、终端、存储介质 |
| CN111586071A (zh) * | 2020-05-19 | 2020-08-25 | 上海飞旗网络技术股份有限公司 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
| CN111932051A (zh) * | 2020-06-05 | 2020-11-13 | 电子科技大学 | 一种基于非侵入式电力终端时序监测的恶意行为检测方法 |
| CN112003834A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
| CN112333128A (zh) * | 2019-08-05 | 2021-02-05 | 四川大学 | 一种基于自编码器的Web攻击行为检测系统 |
| CN112491806A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种云平台流量安全分析系统及方法 |
| CN112491854A (zh) * | 2020-11-19 | 2021-03-12 | 郑州迪维勒普科技有限公司 | 一种基于fcnn的多方位安全入侵检测方法及系统 |
| WO2021063068A1 (zh) * | 2019-09-30 | 2021-04-08 | 全球能源互联网研究院有限公司 | 运维管控、运维分析方法、装置、系统及存储介质 |
| CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
| CN113221144A (zh) * | 2021-05-19 | 2021-08-06 | 国网辽宁省电力有限公司电力科学研究院 | 一种隐私保护机器学习的虚拟化终端异常检测方法及系统 |
| CN113382413A (zh) * | 2021-06-07 | 2021-09-10 | 西安电子科技大学 | 基于机器学习的智能无人设备组网异常检测方法及系统 |
| CN113507460A (zh) * | 2021-06-30 | 2021-10-15 | 贵州电网有限责任公司电力科学研究院 | 异常报文检测方法、装置、计算机设备和存储介质 |
| CN114301621A (zh) * | 2021-11-17 | 2022-04-08 | 北京智芯微电子科技有限公司 | 智能变电站及其网络通信安全控制方法和装置 |
| CN114499997A (zh) * | 2021-12-30 | 2022-05-13 | 深圳供电局有限公司 | 攻击行为检测方法、装置、设备、介质和计算机程序产品 |
| CN114697081A (zh) * | 2022-02-28 | 2022-07-01 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
| CN116702152A (zh) * | 2023-05-11 | 2023-09-05 | 李香 | 一种具有漏洞扫描功能的计算机安全防护管理系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
-
2019
- 2019-03-22 CN CN201910221581.4A patent/CN110086776A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333128B (zh) * | 2019-08-05 | 2021-09-17 | 四川大学 | 一种基于自编码器的Web攻击行为检测系统 |
| CN112333128A (zh) * | 2019-08-05 | 2021-02-05 | 四川大学 | 一种基于自编码器的Web攻击行为检测系统 |
| CN110646203B (zh) * | 2019-08-23 | 2021-06-04 | 中国地质大学(武汉) | 基于奇异值分解和自编码器的轴承故障特征提取方法 |
| CN110646203A (zh) * | 2019-08-23 | 2020-01-03 | 中国地质大学(武汉) | 基于奇异值分解和自编码器的轴承故障特征提取方法 |
| WO2021063068A1 (zh) * | 2019-09-30 | 2021-04-08 | 全球能源互联网研究院有限公司 | 运维管控、运维分析方法、装置、系统及存储介质 |
| CN111092897A (zh) * | 2019-12-23 | 2020-05-01 | 深圳供电局有限公司 | 具有主动免疫攻击识别方法及充电装置 |
| CN111144549A (zh) * | 2019-12-23 | 2020-05-12 | 深圳供电局有限公司 | 基于卷积神经网络的微网攻击识别方法及微网协调控制器 |
| CN111061152A (zh) * | 2019-12-23 | 2020-04-24 | 深圳供电局有限公司 | 基于深度神经网络攻击识别方法及智慧能源功率控制装置 |
| CN111016720A (zh) * | 2019-12-23 | 2020-04-17 | 深圳供电局有限公司 | 基于k最近邻算法攻击识别方法及充电装置 |
| CN111523638A (zh) * | 2020-03-10 | 2020-08-11 | 中移(杭州)信息技术有限公司 | 深度神经网络的泛化能力的度量方法、装置、终端、存储介质 |
| CN111478913B (zh) * | 2020-04-13 | 2022-01-21 | 广东电网有限责任公司东莞供电局 | 配用电通信网络的网络入侵检测方法、装置及存储介质 |
| CN111478913A (zh) * | 2020-04-13 | 2020-07-31 | 广东电网有限责任公司东莞供电局 | 配用电通信网络的网络入侵检测方法、装置及存储介质 |
| CN111586071A (zh) * | 2020-05-19 | 2020-08-25 | 上海飞旗网络技术股份有限公司 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
| CN111586071B (zh) * | 2020-05-19 | 2022-05-20 | 上海飞旗网络技术股份有限公司 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
| CN111932051A (zh) * | 2020-06-05 | 2020-11-13 | 电子科技大学 | 一种基于非侵入式电力终端时序监测的恶意行为检测方法 |
| CN112003834B (zh) * | 2020-07-30 | 2022-09-23 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
| CN112003834A (zh) * | 2020-07-30 | 2020-11-27 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
| CN112491806A (zh) * | 2020-11-04 | 2021-03-12 | 深圳供电局有限公司 | 一种云平台流量安全分析系统及方法 |
| CN112491854A (zh) * | 2020-11-19 | 2021-03-12 | 郑州迪维勒普科技有限公司 | 一种基于fcnn的多方位安全入侵检测方法及系统 |
| CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
| CN113221144A (zh) * | 2021-05-19 | 2021-08-06 | 国网辽宁省电力有限公司电力科学研究院 | 一种隐私保护机器学习的虚拟化终端异常检测方法及系统 |
| CN113221144B (zh) * | 2021-05-19 | 2024-05-03 | 国网辽宁省电力有限公司电力科学研究院 | 一种隐私保护机器学习的虚拟化终端异常检测方法及系统 |
| CN113382413A (zh) * | 2021-06-07 | 2021-09-10 | 西安电子科技大学 | 基于机器学习的智能无人设备组网异常检测方法及系统 |
| CN113382413B (zh) * | 2021-06-07 | 2022-09-27 | 西安电子科技大学 | 基于机器学习的智能无人设备组网异常检测方法及系统 |
| CN113507460A (zh) * | 2021-06-30 | 2021-10-15 | 贵州电网有限责任公司电力科学研究院 | 异常报文检测方法、装置、计算机设备和存储介质 |
| CN114301621A (zh) * | 2021-11-17 | 2022-04-08 | 北京智芯微电子科技有限公司 | 智能变电站及其网络通信安全控制方法和装置 |
| CN114499997A (zh) * | 2021-12-30 | 2022-05-13 | 深圳供电局有限公司 | 攻击行为检测方法、装置、设备、介质和计算机程序产品 |
| CN114499997B (zh) * | 2021-12-30 | 2024-03-15 | 深圳供电局有限公司 | 攻击行为检测方法、装置、设备、介质和计算机程序产品 |
| CN114697081A (zh) * | 2022-02-28 | 2022-07-01 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
| CN114697081B (zh) * | 2022-02-28 | 2024-05-07 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
| CN116702152A (zh) * | 2023-05-11 | 2023-09-05 | 李香 | 一种具有漏洞扫描功能的计算机安全防护管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110086776A (zh) | 基于深度学习的智能变电站网络入侵检测系统及检测方法 | |
| Shahriar et al. | G-ids: Generative adversarial networks assisted intrusion detection system | |
| Feng et al. | Multi-level anomaly detection in industrial control systems via package signatures and LSTM networks | |
| Dilek et al. | Applications of artificial intelligence techniques to combating cyber crimes: A review | |
| Poojitha et al. | Intrusion detection using artificial neural network | |
| CN111585948B (zh) | 一种基于电网大数据的网络安全态势智能预测方法 | |
| Presekal et al. | Attack graph model for cyber-physical power systems using hybrid deep learning | |
| Amato et al. | Multilayer perceptron: an intelligent model for classification and intrusion detection | |
| CN106790292A (zh) | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 | |
| Efstathopoulos et al. | Operational data based intrusion detection system for smart grid | |
| Wang et al. | A stacked deep learning approach to cyber-attacks detection in industrial systems: application to power system and gas pipeline systems | |
| CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护系统 | |
| Akpinar et al. | Analysis of machine learning methods in EtherCAT-based anomaly detection | |
| Sasan et al. | Intrusion detection using feature selection and machine learning algorithm with misuse detection | |
| Chen et al. | An effective metaheuristic algorithm for intrusion detection system | |
| Choukri et al. | Abnormal network traffic detection using deep learning models in iot environment | |
| Arora et al. | Comparative analysis of classification algorithms on KDD'99 data set | |
| Kornyo et al. | Botnet attacks classification in AMI networks with recursive feature elimination (RFE) and machine learning algorithms | |
| CN117675274A (zh) | 一种基于soar的数据中心系统 | |
| Naidu et al. | An effective approach to network intrusion detection system using genetic algorithm | |
| Sapozhnikova et al. | Intrusion detection system based on data mining technics for industrial networks | |
| Jagtap et al. | Securing Industrial Control Systems From Cyber-Attacks: A Stacked Neural-Network-Based Approach | |
| Rele et al. | Supervised and Unsupervised ML Methodologies for Intrusive Detection in Nuclear Systems | |
| Pashaei et al. | Machine Learning-Based Early Intrusion Detection System in Industrial LAN Networks Using Honeypots | |
| Varshovi et al. | A fuzzy Intrusion Detection System based on categorization of attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190802 |