CN110324323A - 一种新能源厂站涉网端实时交互过程异常检测方法及系统 - Google Patents
一种新能源厂站涉网端实时交互过程异常检测方法及系统 Download PDFInfo
- Publication number
- CN110324323A CN110324323A CN201910530935.3A CN201910530935A CN110324323A CN 110324323 A CN110324323 A CN 110324323A CN 201910530935 A CN201910530935 A CN 201910530935A CN 110324323 A CN110324323 A CN 110324323A
- Authority
- CN
- China
- Prior art keywords
- message
- data
- exception
- data packet
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000002452 interceptive effect Effects 0.000 title claims abstract description 22
- 230000008569 process Effects 0.000 title claims abstract description 22
- 238000001514 detection method Methods 0.000 title claims abstract description 18
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 24
- 241001269238 Data Species 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 26
- 230000002159 abnormal effect Effects 0.000 abstract description 12
- 238000012549 training Methods 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000002474 experimental method Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000012360 testing method Methods 0.000 description 7
- 230000006854 communication Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000007635 classification algorithm Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010000372 Accident at work Diseases 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种新能源厂站涉网端实时交互过程异常检测方法及系统,基于预先设定的特征向量,对新能源厂站涉网端应用层的报文数据包进行解析,得到报文包对应的各特征向量数据;基于特征向量数据,通过K‑NN算法与各类异常报文的样本数据并行比对,得到报文数据包的类别。本方案基于预先设定的特征向量,有目的性的获取报文数据包中的特征向量数据用于共计类别分析,提高了分析效率;通过将报文数据的特征字段与异常数据的样本数据进行比对并通过K‑NN匹配算法对报文数据的类别进行比对判断,判别方法简单易于实现,无需估计参数,无需训练,且适合稀有事件、多分类问题,有效实现对新能源厂站的多分类特征的匹配,有效提升新能源厂站系统安全防护水平。
Description
技术领域
本发明涉及电力信息安全领域,具体涉及一种新能源厂站涉网端实时交互过程异常检测方法及系统。
背景技术
随着全球新能源互联网的飞速发展与普及,为引入全新生产技术,提升能源生产效率,大批新能源厂站接入互联网。新能源涉网终端由此产生,涉网终端通过新能源厂站路由器与主站设备通信。通信过程具体表现为主站通过使用工控专有协议下发操作命令给各从站设备,从站设备接收主站命令并将信息采集结果反馈给主站。这个过程若由于意外情况接入外网,并且被恶意利用,将不仅会影响正常的厂站调度管理的业务,更严重的结果是导致厂站业务紊乱、数据篡改、现场机器受损,引发重大的安全事故。近年来针对大型新能源厂站系统的高级持续性威胁攻击事件时有发生,包括震网病毒、Duqu病毒、“方程式”组织病毒库,给关键新能源厂站系统带来了重大破坏,其安全性问题日益严峻。
综上所述,新能源厂站系统面对大量的安全隐患,且攻击类型众多。当厂站系统遭受意外情况或恶意攻击时,需要面向大量的攻击场景对厂站涉网端数据包进行攻击分析,造成分析效率低下,无法快速且精确的进行攻击类型的匹配识别。
发明内容
为了解决现有技术攻击类型分析效率低下,无法快速且精确的进行攻击类型的匹配识别的问题,本发明提供了一种新能源厂站涉网端实时交互过程异常检测方法及系统。
本发明提供的技术方案是:
一种新能源厂站涉网端实时交互过程异常检测方法,其特征在于,包括:
基于预先设定的特征向量,对新能源厂站涉网端层的报文数据包进行解析,得到所述报文数据包对应的各特征向量数据;
基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别;
所述类别包括:正常报文类型和异常报文类型;其中所述异常报文类型包括:网络攻击、畸形报文和违规业务指令;
所述特征向量由所述异常报文类型设定。
优选的,所述特征向量类型的设定包括:
基于网络攻击设定的特征向量包括:源地址,目的地址,源端口或目的端口,确定网络攻击场景数据;
基于畸形报文设定的特征向量类型包括:报文长度;
基于违规业务指令设定的特征向量包括:报文下发时间,报文下发频次和报文携带命令。
优选的,所述基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文包对应的各特征向量数据,包括:
基于异常报文类型将所述报文包解析为多个线程程序;
基于每个线程程序,将所述报文数据包进行解析,得到各特征向量数据;
所述数据包中包括多个报文数据;
每个报文数据都包括预先设定的特征向量。
优选的,所述基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别,包括:
基于所述多个线程程序,并行计算每个报文数据包中各特征向量数据与各异常报文类型对应的样本数据之间的欧式距离;
若欧式距离均大于设定阈值,则当前报文数据包为正常报文类型;否则,根据所述欧式距离判断当前报文数据包的异常报文类型;
其中每个线程程序分别对应一种异常报文类型。
优选的,所述欧式距离通过下式计算:
其中d(x1,x2)为特征向量数据与异常报文类型对应的样本数据之间的欧式距离,x1k为第k类异常样本特征向量的位置,x2k为第k类特征向量数据的位置。
优选的,所述根据所述欧式距离判断当前报文数据包的异常报文类型,包括:
按照设定数量优先选择欧式距离小的报文数据;
统计所述报文数据对应的异常报文类型;
最多的异常报文类型为前报文数据包的异常报文类型。
一种新能源厂站涉网端实时交互过程异常检测系统,所述系统,包括:
解析模块:基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文数据包对应的各特征向量数据;
比对模块:基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别;
所述比对模块得到的类别包括:正常报文类型和异常报文类型;其中所述异常报文类型包括:网络攻击、畸形报文和违规业务指令;
所述解析模块中的特征向量由所述异常报文类型设定。
优选的,所述解析模块中包括:特征向量类型设定子模块;
所述特征向量类型设定子模块,包括:
网络攻击特征向量设定单元:基于网络攻击设定的特征向量包括:源地址,目的地址,源端口或目的端口,确定网络攻击场景数据;
畸形报文特征向量设定单元:基于畸形报文设定的特征向量类型包括:报文长度;
违规业务指令特征向量设定单元:基于违规业务指令设定的特征向量包括:报文下发时间,报文下发频次和报文携带命令。
优选的,所述解析模块,还包括:
解析子模块:基于异常报文类型将所述报文包解析为多个线程程序;
多线程比对子模块:基于每个线程程序,将所述报文数据包进行解析,得到各特征向量数据;
所述解析子模块中得到的所述数据包中包括多个报文数据;
其中,每个报文数据都包括预先设定的特征向量。
优选的,所比对模块,包括:
欧式距离计算子模块:基于所述多个线程程序,并行计算每个报文数据包中各特征向量数据与各异常报文类型对应的样本数据之间的欧式距离;
判断子模块:若欧式距离均大于设定阈值,则当前报文数据包为正常报文类型;否则,根据所述欧式距离判断当前报文数据包的异常报文类型;
其中,每个线程程序分别对应一种异常报文类型。
优选的,所述欧式距离计算子模块中通过下式计算欧式距离:
其中d(x1,x2)为特征向量数据与异常报文类型对应的样本数据之间的欧式距离,x1k为第k类异常样本特征向量的位置,x2k为第k类特征向量数据的位置。
优选的,所述判断子模块,包括:
优先选择单元:按照设定数量优先选择欧式距离小的报文数据;
统计单元:统计所述报文数据对应的异常报文类型;
筛选单元:最多的异常报文类型为前报文数据包的异常报文类型。
与现有技术相比,本发明的有益效果为:
本发明提供的技术方案,包括:基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文包对应的各特征向量数据;基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别;所述类别包括:正常报文类型和异常报文类型;其中所述异常报文类型包括:网络攻击、畸形报文和违规业务指令;所述特征向量由所述异常报文类型设定。本方案基于预先设定的特征向量,有目的性的获取报文数据包中的特征向量数据用于共计类别分析,提高了分析效率;通过将报文数据的特征字段与所述异常数据的样本数据进行比对,解决了报文数据类别判断过程中,判别数据深度不够高的问题且K-NN匹配算法对报文数据的类别进行比对判断,该算法简单易于实现,无需估计参数,无需训练,且适合稀有事件、多分类问题,有效实现对新能源厂站的多分类特征的匹配,有效提升新能源厂站系统安全防护水平。
附图说明
图1为本发明的一种新能源厂站涉网端实时交互过程异常检测方法流程图;
图2为本发明实施例的并行深度解析技术框架图;
图3为本发明实施例的新能源厂站模拟攻击仿真实验环境示意图;
图4为本发明实施例的模拟实验K-NN算法检测结果示意图;
图5为本发明实施例的模拟实验softmax回归算法检测结果示意图。
具体实施方式
为了更好地理解本发明,下面结合说明书附图和实例对本发明的内容做进一步的说明。
实施例1:
本实施例提供了一种新能源厂站涉网端实时交互过程异常检测方法,方法流程图如图1所示,包括:
基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文数据包对应的各特征向量数据;
基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别;
所述类别包括:正常报文类型和异常报文类型;其中所述异常报文类型包括:网络攻击、畸形报文和违规业务指令;
所述特征向量由所述异常报文类型设定。
所述特征向量类型的设定包括:
基于网络攻击设定的特征向量包括:源地址,目的地址,源端口或目的端口,确定网络攻击场景数据;
基于畸形报文设定的特征向量类型包括:报文长度;
基于违规业务指令设定的特征向量包括:报文下发时间,报文下发频次和报文携带命令。
所述基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文包对应的各特征向量数据,包括:
基于异常报文类型将所述报文包解析为多个线程程序;
基于每个线程程序,将所述报文数据包进行解析,得到各特征向量数据;
所述数据包中包括多个报文数据;
每个报文数据都包括预先设定的特征向量。
所述基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别,包括:
基于所述多个线程程序,并行计算每个报文数据包中各特征向量数据与各异常报文类型对应的样本数据之间的欧式距离;
若欧式距离均大于设定阈值,则当前报文数据包为正常报文类型;否则,根据所述欧式距离判断当前报文数据包的异常报文类型;
其中每个线程程序分别对应一种异常报文类型。
所述欧式距离通过下式计算:
其中d(x1,x2)为特征向量数据与异常报文类型对应的样本数据之间的欧式距离,x1k为第k类异常样本特征向量的位置,x2k为第k类特征向量数据的位置。
所述根据所述欧式距离判断当前报文数据包的异常报文类型,包括:
按照设定数量优先选择欧式距离小的报文数据;
统计所述报文数据对应的异常报文类型;
最多的异常报文类型为前报文数据包的异常报文类型。
实施例2:
本实施例提供了一种新能源厂站涉网端实时交互过程异常检测系统,包括:
解析模块:基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文数据包对应的各特征向量数据;
比对模块:基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别;
所述比对模块得到的类别包括:正常报文类型和异常报文类型;其中所述异常报文类型包括:网络攻击、畸形报文和违规业务指令;
所述解析模块中的特征向量由所述异常报文类型设定。
所述解析模块中包括:特征向量类型设定子模块;
所述特征向量类型设定子模块,包括:
网络攻击特征向量设定单元:基于网络攻击设定的特征向量包括:源地址,目的地址,源端口或目的端口,确定网络攻击场景数据;
畸形报文特征向量设定单元:基于畸形报文设定的特征向量类型包括:报文长度;
违规业务指令特征向量设定单元:基于违规业务指令设定的特征向量包括:报文下发时间,报文下发频次和报文携带命令。
所述解析模块,还包括:
解析子模块:基于异常报文类型将所述报文包解析为多个线程程序;
多线程比对子模块:基于每个线程程序,将所述报文数据包进行解析,得到各特征向量数据;
所述解析子模块中得到的所述数据包中包括多个报文数据;
其中,每个报文数据都包括预先设定的特征向量。
所比对模块,包括:
欧式距离计算子模块:基于所述多个线程程序,并行计算每个报文数据包中各特征向量数据与各异常报文类型对应的样本数据之间的欧式距离;
判断子模块:若欧式距离均大于设定阈值,则当前报文数据包为正常报文类型;否则,根据所述欧式距离判断当前报文数据包的异常报文类型;
其中,每个线程程序分别对应一种异常报文类型。
所述欧式距离计算子模块中通过下式计算欧式距离:
其中d(x1,x2)为特征向量数据与异常报文类型对应的样本数据之间的欧式距离,x1k为第k类异常样本特征向量的位置,x2k为第k类特征向量数据的位置。
所述判断子模块,包括:
优先选择单元:按照设定数量优先选择欧式距离小的报文数据;
统计单元:统计所述报文数据对应的异常报文类型;
筛选单元:最多的异常报文类型为前报文数据包的异常报文类型。
实施例3:
本实施例提供一种新能源厂站涉网端实时交互过程异常检测方法,对新能源厂站涉网端异常报文数据进行高效精准检测可有效提高新能源厂站网络安全防护能力。本发明立足电网网络安全防御角度,针对电网现有安全防护的不足,提出了一种电力工控系统深度信息安全防护方法及系统,总结归纳了新能源厂站系统实时交互过程中的异常场景,包括畸形报文、违规指令以及常见的网络攻击。并结合使用K近邻算法进行了基于特征匹配的实时交互过程异常检测,实验结果表明该算法具有一定的有效性与准确性,具有较强的工程使用价值。
为实现上述目的,本发明提供的一种新能源厂站涉网端实时交互过程异常检测方法及系统,其改进之处在于,所述方法包括如下步骤:
步骤(1)对新能源厂站系统可能遭受的网络攻击场景进行分析,主要包括分布式拒绝服务攻击、中间人攻击、社会工程学攻击。
分布式拒绝服务攻击(DDoS),是一种常见且有效的针对工控网络的攻击方式,该攻击方式通常是向目标主机或网关发送大量伪造的数据包,或者伪造目标主机IP向远程服务器发送请求数据包,利用服务器应答数据包比请求数据包大数倍的原理,致使目标主机资源耗尽,处于瘫痪状态,不能对外服务。这种攻击方式优点在于源IP是伪造的,一般难以溯源,且一旦“僵尸”网络达到一定规模,每秒的网络流量将非常巨大,严重时将导致受害主机完全丧失正常运转能力。
中间人攻击(MITM),是一种常见的窃取通讯双方传输数据的攻击方法,在工控领域此类攻击也较为常见,因为工控专有协议在设计之初并未考虑安全问题,通信时通常未进行加密传输,这可能会导致工控主机关键信息泄露甚至被篡改。
社会工程学攻击(Social Engineering Attack),多利用邮件附件的形式传播,目标机点击附件程序或伪造的网址链接即会被连接至攻击者设置好的恶意站点,该攻击的目的包括信息搜集、远程控制,以及在目标计算机执行恶意程序。这种攻击方式在所有工控网络攻击最为常见,占最高比例,原因在于此种攻击原理及实现过程较为简单,具有一定的机遇性,对于安全等级较高、不存在明显系统漏洞的工控系统这种攻击方式最为直接有效。
步骤(2)对新能源厂站的畸形报文进行分析。新能源厂站主站与从站设备通信,基于专有工控协议,通过构造相应的数据包实现基本的控制管理功能。要求数据包的合法性与正确性得到保证,非法的畸形报文造成通信异常以及设备失效。畸形报文是指通过构造有缺陷的数据包并向目标主机指定端口发送,具体可以表现为报文字段长度不符合规约、报文字段数值范围溢出、报文字段类型异常等,都会导致接收方对报文的解析出错,直接导致新能源厂站设备无法正常运行,甚至发生严重的工业事故。
步骤(3)对新能源厂站的违规指令进行分析。新能源厂站系统是用来远程控制和管理大范围底层物理设备的大规模分布式系统。由自动采集设备现场信息并将信息传送给控制主站的远程终端单元以及负责可视化远程控制现场设备实时数据信息的主站组成。主站可自动发送对远程设备的实时控制指令,如采集传感器数据、控制设备开启与关闭、对异常情况进行报警处理等,以实现系统正常安全运行。新能源厂站系统主站一旦被恶意控制,向从站发送违规的指令,以篡改系统关键数据,将会直接导致正常的管理控制业务出现异常。新能源厂站系统违规指令具体可以包括指令下发时间段异常、频率规律异常、指令功能异常等。
步骤(4)对新能源厂站系统实时交互协议进行并行深度解析。所谓“深度”是和普通的报文分析层次相比较而言的,普通报文检测仅分析IP包4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而深度协议解析除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容,主要实现功能包括:应用分析,网络流量构成分析、性能分析、流向分析等;用户分析,用户群区分、行为分析、终端分析、趋势分析等;安全分析,DDoS攻击、数据广播风暴、防范恶意病毒攻击等。
本发明提出了新能源厂站系统实时交互协议并行深度解析技术。并行解析主要体现在数据包从存储单元进入解析单元,解析单元编码为多线程程序,同时对多个数据包进行解析。这样,基于并行解析器的系统可以有机地获得高解析速度和低内存使用。与现有的开源解决方案相比,在内存使用和吞吐量方面都取得了显着的进步。
步骤(5)对新能源厂站实时报文数据的特征字段进行提取。畸形报文的特征主要表现为报文字段长度不符合规约、报文字段数值范围溢出、报文字段类型异常等,例如功能码滥用、数据包过大、报文字段数值溢出。违规业务指令的特征主要表现为指令下发时间段异常、频率规律异常、指令功能异常,例如非正常启停设备、指令下发过于频繁、非常规时间段下发指令。网络攻击特征如DDoS主要表现为存在大量正在等待、未收到回应的连接、网络带宽占有率急速上升、短时间提交大量请求、服务器运行缓慢。
基于上述特征描述,可以从新能源厂站实时报文数据包中提取相应特征字段值,构成特征向量,数据包类标签为正常报文、畸形报文、违规指令、普通网络攻击。
步骤(6)提出基于K-NN特征匹配的实时交互过程异常检测技术对新能源厂站系统畸形报文、违规业务指令以及网络攻击进行匹配识别。首先,从新能源厂站实时报文中提取特征向量作为输入;然后,根据K-NN算法判定待测报文yi属于y1畸形报文、y2违规指令、y3网络攻击报文、y4正常报文;其次,提取每个报文对应实例特征向量xi=(x1,x2,x3,x4,x5,x6,x7,x8)分别表示新能源厂站系统报文特征(源地址,目的地址,源端口,目的端口,报文长度,报文下发时间,报文下发频次,报文携带命令),并计算其与现有样本的欧式距离d;最后,按值大小递增排序后取前10个最为最近邻样本,统计这10个样本报文的实际类别,以多数类别作为输入报文的输出类别。具体算法描述如下表所示。
| 输入 | 训练数据集T={(x<sub>1</sub>,y<sub>1</sub>),(x<sub>2</sub>,y<sub>2</sub>),…(x<sub>N</sub>-y<sub>N</sub>)} |
| 1 | 计算测试数据与各个训练数据之间的距离; |
| 2 | 按照距离的递增关系进行排序; |
| 3 | 选取距离最小的K个点; |
| 4 | 确定前K个点所在类别的出现频率; |
| 5 | 返回前K个点中出现频率最高的类别作为测试数据的预测分类。 |
| 输出 | 实例x所属的类y |
其中距离一般使用欧氏距离或曼哈顿距离:
欧式距离:
曼哈顿距离:
其中N_k(x)根据分类决策规则(多数表决)决定x的类别y。I为指示函数,即当y_i=c_j时,I为1,否则I为0。x1、x2表示两个输入特征向量,x1k、x2k分别表示x1,x2的特征。多数表决规则分类函数为:
f:Rn->{c1,c1,L,ck} (4)
误分类的概率为:
p(y!=f(x))=1-p(y=f(x)) (5)
对于给定的实例x,如果涵盖N_k(x)的区域的类别是Cj,那么误分类率是:
∑xi∈Nk(x)·I(yi!=cj)/k=1-∑xi∈Nk(x)·I(yi=cj)/k (6)
要使误分类率最小,即经验风险最小,就要使∑xi∈Nk(x)·I(yi=cj)最大,所以多数表决规则等价于经验风险最小化。
基于上述方法,进行建模仿真实验环境,结合新能源厂站系统典型的攻击场景,构建了图3所示的针对新能源厂站系统的仿真实验环境。
设计的新能源厂站模拟攻击仿真实验环境主要包含两台现场数据采集设备PLC(可编程逻辑控制器)、人机界面(HMI)、数据库服务器以及通信服务器。模拟过程为PLC将新能源厂站现场设备电力信息及运行参数通过交换机、光纤传入通信服务器,数据库实时存储相关信息,人机界面实时展示各现场设备运行参数,达到可视化监控功能。假设潜在的威胁主机已经进入新能源厂站内网,已经成功感染能源管理系统,正在以一定规律控制下发畸形数据包以及违规指令。此时在该网络内设置了一台网络流量监控器,实时捕获其间网络数据包。
利用图2所示的并行解析技术对数据包进行解析。然后利用运行K-NN算法程序的输入,程序结果可实时输出并写入日志。现场监控操作员可根据结果判断是否出现了畸形报文、违规指令或者普通网络攻击。最终模拟实验K-NN算法检测结果示意图,如图3所示。为形成对比实验,本文还运用了另一种多分类算法(softmax回归)对数据包进行分类。Softmax回归算法是最常见的多分类算法之一,对于给定的测试输入x,用假设函数针对每一个类别j估算出概率值p(y=j|x),输入实例属于概率值最大的那个类别。Softmax回归算法检测结果示意图,如图5所示。由图4、图5可知K-NN算法相对于softmax回归对畸形报文、违规指令、普通网络攻击均有更高的检验准确率,误报率更低,呈现出良好的实验效果,可行性高,具备运用于新能源厂站异常检测的条件。
本发明首先分析了新能源厂站系统可能遭受的网络攻击场景、新能源厂站畸形报文以及新能源厂站违规业务指令。然后,提出了新能源厂站系统实时交互协议并行深度解析技术,对新能源厂站实时交互协议进行深度解析。其次,对新能源厂站畸形报文、违规业务指令以及网络攻击数据包的特征字段进行提取。最后,基于K-NN(K-近邻)算法对畸形报文、违规业务指令以及网络攻击进行匹配识别,识别新能源厂站系统实时交互异常行为。
显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。
Claims (12)
1.一种新能源厂站涉网端实时交互过程异常检测方法,其特征在于,包括:
基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文数据包对应的各特征向量数据;
基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别;
所述类别包括:正常报文类型和异常报文类型;其中所述异常报文类型包括:网络攻击、畸形报文和违规业务指令;
所述特征向量由所述异常报文类型设定。
2.如权利要求1所述的方法,其特征在于,所述特征向量类型的设定包括:
基于网络攻击设定的特征向量包括:源地址,目的地址,源端口或目的端口,确定网络攻击场景数据;
基于畸形报文设定的特征向量类型包括:报文长度;
基于违规业务指令设定的特征向量包括:报文下发时间,报文下发频次和报文携带命令。
3.如权利要求2所述的方法,其特征在于,所述基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文数据包对应的各特征向量数据,包括:
基于异常报文类型将所述报文包解析为多个线程程序;
基于每个线程程序,将所述报文数据包进行解析,得到各特征向量数据;
所述数据包中包括多个报文数据;
每个报文数据都包括预先设定的特征向量。
4.如权利要求3所述的方法,其特征在于,所述基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别,包括:
基于所述多个线程程序,并行计算每个报文数据包中各特征向量数据与各异常报文类型对应的样本数据之间的欧式距离;
若欧式距离均大于设定阈值,则当前报文数据包为正常报文类型;否则,根据所述欧式距离判断当前报文数据包的异常报文类型;
其中每个线程程序分别对应一种异常报文类型。
5.如权利要求4所述的方法,其特征在于,所述欧式距离通过下式计算:
其中d(x1,x2)为特征向量数据与异常报文类型对应的样本数据之间的欧式距离,x1k为第k类异常样本特征向量的位置,x2k为第k类特征向量数据的位置。
6.如权利要求4所述的方法,其特征在于,所述根据所述欧式距离判断当前报文数据包的异常报文类型,包括:
按照设定数量优先选择欧式距离小的报文数据;
统计所述报文数据对应的异常报文类型;
最多的异常报文类型为前报文数据包的异常报文类型。
7.一种新能源厂站涉网端实时交互过程异常检测系统,其特征在于,所述系统,包括:
解析模块:基于预先设定的特征向量,对新能源厂站涉网端的报文数据包进行解析,得到所述报文数据包对应的各特征向量数据;
比对模块:基于所述特征向量数据,通过K-NN算法与各类异常报文的样本数据并行比对,得到所述报文数据包的类别;
所述比对模块得到的类别包括:正常报文类型和异常报文类型;其中所述异常报文类型包括:网络攻击、畸形报文和违规业务指令;
所述解析模块中的特征向量由所述异常报文类型设定。
8.如权利要求7所述的系统,其特征在于,所述解析模块中包括:特征向量类型设定子模块;
所述特征向量类型设定子模块,包括:
网络攻击特征向量设定单元:基于网络攻击设定的特征向量包括:源地址,目的地址,源端口或目的端口,确定网络攻击场景数据;
畸形报文特征向量设定单元:基于畸形报文设定的特征向量类型包括:报文长度;
违规业务指令特征向量设定单元:基于违规业务指令设定的特征向量包括:报文下发时间,报文下发频次和报文携带命令。
9.如权利要求8所述的系统,其特征在于,所述解析模块,还包括:
解析子模块:基于异常报文类型将所述报文包解析为多个线程程序;
多线程比对子模块:基于每个线程程序,将所述报文数据包进行解析,得到各特征向量数据;
所述解析子模块中得到的所述数据包中包括多个报文数据;
其中,每个报文数据都包括预先设定的特征向量。
10.如权利要求9所述的系统,其特征在于,所比对模块,包括:
欧式距离计算子模块:基于所述多个线程程序,并行计算每个报文数据包中各特征向量数据与各异常报文类型对应的样本数据之间的欧式距离;
判断子模块:若欧式距离均大于设定阈值,则当前报文数据包为正常报文类型;否则,根据所述欧式距离判断当前报文数据包的异常报文类型;
其中,每个线程程序分别对应一种异常报文类型。
11.如权利要求10所述的系统,其特征在于,所述欧式距离计算子模块中通过下式计算欧式距离:
其中d(x1,x2)为特征向量数据与异常报文类型对应的样本数据之间的欧式距离,x1k为第k类异常样本特征向量的位置,x2k为第k类特征向量数据的位置。
12.如权利要求10所述的系统,其特征在于,所述判断子模块,包括:
优先选择单元:按照设定数量优先选择欧式距离小的报文数据;
统计单元:统计所述报文数据对应的异常报文类型;
筛选单元:最多的异常报文类型为前报文数据包的异常报文类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910530935.3A CN110324323B (zh) | 2019-06-19 | 2019-06-19 | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910530935.3A CN110324323B (zh) | 2019-06-19 | 2019-06-19 | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110324323A true CN110324323A (zh) | 2019-10-11 |
| CN110324323B CN110324323B (zh) | 2024-01-19 |
Family
ID=68119786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910530935.3A Active CN110324323B (zh) | 2019-06-19 | 2019-06-19 | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110324323B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110942256A (zh) * | 2019-12-02 | 2020-03-31 | 清华四川能源互联网研究院 | 新能源厂站涉网端实时交互过程异常检测方法及系统 |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN112272121A (zh) * | 2020-09-21 | 2021-01-26 | 中国科学院信息工程研究所 | 一种用于流量监测的效果验证方法及系统 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
| CN112995141A (zh) * | 2021-02-04 | 2021-06-18 | 浙江睿朗信息科技有限公司 | 一种入侵检测方法及具有入侵检测功能的物联网终端 |
| CN113159992A (zh) * | 2021-04-23 | 2021-07-23 | 全球能源互联网研究院有限公司 | 一种闭源电力工控系统行为模式的分类方法及装置 |
| CN114449018A (zh) * | 2022-04-08 | 2022-05-06 | 安徽南瑞中天电力电子有限公司 | 一种电力采集终端的日志文件自动上传方法、系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562539A (zh) * | 2009-05-18 | 2009-10-21 | 重庆大学 | 自适应网络入侵检测系统 |
| CN102571486A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种基于BoW模型和统计特征的流量识别方法 |
| CN106502234A (zh) * | 2016-10-17 | 2017-03-15 | 重庆邮电大学 | 基于双轮廓模型的工业控制系统异常检测方法 |
| CN109040141A (zh) * | 2018-10-17 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 异常流量的检测方法、装置、计算机设备和存储介质 |
-
2019
- 2019-06-19 CN CN201910530935.3A patent/CN110324323B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562539A (zh) * | 2009-05-18 | 2009-10-21 | 重庆大学 | 自适应网络入侵检测系统 |
| CN102571486A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种基于BoW模型和统计特征的流量识别方法 |
| CN106502234A (zh) * | 2016-10-17 | 2017-03-15 | 重庆邮电大学 | 基于双轮廓模型的工业控制系统异常检测方法 |
| CN109040141A (zh) * | 2018-10-17 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 异常流量的检测方法、装置、计算机设备和存储介质 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110942256A (zh) * | 2019-12-02 | 2020-03-31 | 清华四川能源互联网研究院 | 新能源厂站涉网端实时交互过程异常检测方法及系统 |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111092889B (zh) * | 2019-12-18 | 2020-11-20 | 江苏美杜莎信息科技有限公司 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111988304A (zh) * | 2019-12-18 | 2020-11-24 | 贾海芳 | 基于物联网的分布式数据节点异常行为检测方法及装置 |
| CN111988305A (zh) * | 2019-12-18 | 2020-11-24 | 贾海芳 | 应用于物联网的数据节点异常行为检测方法及服务器 |
| CN111988305B (zh) * | 2019-12-18 | 2022-06-03 | 北京神州慧安科技有限公司 | 应用于物联网的数据节点异常行为检测方法及服务器 |
| CN111988304B (zh) * | 2019-12-18 | 2022-06-21 | 北京极光智讯信息科技有限公司 | 基于物联网的分布式数据节点异常行为检测方法及装置 |
| CN112272121A (zh) * | 2020-09-21 | 2021-01-26 | 中国科学院信息工程研究所 | 一种用于流量监测的效果验证方法及系统 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
| CN112995141A (zh) * | 2021-02-04 | 2021-06-18 | 浙江睿朗信息科技有限公司 | 一种入侵检测方法及具有入侵检测功能的物联网终端 |
| CN113159992A (zh) * | 2021-04-23 | 2021-07-23 | 全球能源互联网研究院有限公司 | 一种闭源电力工控系统行为模式的分类方法及装置 |
| CN114449018A (zh) * | 2022-04-08 | 2022-05-06 | 安徽南瑞中天电力电子有限公司 | 一种电力采集终端的日志文件自动上传方法、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110324323B (zh) | 2024-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN111669375B (zh) | 一种电力工控终端在线安全态势评估方法及系统 | |
| CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
| CN109167796A (zh) | 一种基于工业scada系统的深度包检测平台 | |
| CN106982235A (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 | |
| CN113726780B (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
| CN114584405A (zh) | 一种电力终端安全防护方法及系统 | |
| CN109344617A (zh) | 一种物联网资产安全画像方法与系统 | |
| Lin et al. | Timing patterns and correlations in spontaneous {SCADA} traffic for anomaly detection | |
| Yang et al. | FARIMA model‐based communication traffic anomaly detection in intelligent electric power substations | |
| CN112165470B (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
| CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
| CN107612927B (zh) | 电力调度自动化系统的安全检测方法 | |
| CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
| US11297082B2 (en) | Protocol-independent anomaly detection | |
| CN109743339B (zh) | 电力厂站的网络安全监测方法和装置、计算机设备 | |
| CN107800575A (zh) | 电力工控系统信息安全的评估方法 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN114070641B (zh) | 一种网络入侵检测方法、装置、设备和存储介质 | |
| Wang et al. | Intrusion detection model of SCADA using graphical features | |
| Peng et al. | Research on abnormal detection technology of real-time interaction process in new energy network | |
| CN115706669A (zh) | 网络安全态势预测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |