CN112085043A - 一种变电站网络安全智能监控方法及系统 - Google Patents

Abstract

本发明涉及一种变电站网络安全智能监控方法及系统，读取变电站SCADA系统的网络设备状态信息，特征提取，得到对应的设备状态信息特征变量，进行归一化处理，得到统一数值标准的信息特征变量；将特征变量训练集输入到循环神经网络进行训练，得到网络安全智能监控模型；将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果；将设备安全状态特征分类结果进行特征聚合分类，得到设备安全状态监测结果。本发明可处理一段时间内网络异常状态的智能化决断与处理，大大提高了网络安全监控的效率与智能化水平，可在短时间内处理大量数据，在节约人力成本的同时，极大的提高了网络防护的性能和准确性。

Description

一种变电站网络安全智能监控方法及系统

技术领域

本发明涉及变电站网络安全领域与深度学习领域，具体地说是一种变电站网络安全智能监控方法及系统。

背景技术

智能电网建立在集成、高速的双向通信网络基础之上，采用先进的传感测量技术与控制决策方法，实现电网安全可靠、经济高效运行。变电站作为调度中心的重要调度对象和重要监测对象，已经逐步实现了智能化改造。变电站作为重要的电力枢纽，对于变电站的安全防护已经成为保障电力供应的一个重要方面。随着变电站二次系统的网络化、数字化和智能化，网络安全形势严峻，易受到各个方面的攻击。一旦来自外部的非法网络攻击侵入二次系统，很可能造成保护和开关装置误动，严重威胁电力系统安全稳定的运行。

深度学习是机器学习即人工智能下的子概念，指的是以电脑运算进行模式识别和分析，在于建立、模拟人脑进行分析学习的神经网络，近年来在语音识别、计算机视觉等多类应用中取得突破性的进展。循环神经网络作为深度学习的一种算法，是一类可用于处理序列数据的神经网络。当系统网络出现故障或受到攻击时，通常是一段时间内网络报文出现拥堵或某二次设备出现异常的现象，前一时刻的异常状态势必会形成积累，最终引发事故报警，所以基于连续的时间序列对设备信息组建神经网络进行深度学习是一种高效、智能化的安全监测方案。

目前国内大多数电网安全性监测与管理系统依然依靠传统的人工检查方式，工作效率低、准确性不高，因此对变电站的网络安全监控开启智能模式已是大势所趋，建立一种变电站智能网络安全防护与监控系统，可以有效的提高防护能力，维护变电站网络安全，防止危险事件发生，对保证变电站网络安全稳定运行有着重要的意义。

发明内容

针对现有技术的不足，本发明提供一种变电站网络安全智能监控方法及系统，在深度学习框架下，基于循环神经网络对变电站网络设备信息建模并分析，解决各层网络设备易出现的安全防护问题。

本发明为实现上述目的所采用的技术方案是：

一种变电站网络安全智能监控方法，包括以下步骤：

步骤1：读取变电站SCADA系统的网络设备状态信息；

步骤2：将所有读取到的部分网络设备状态信息进行特征提取，得到对应的设备状态信息特征变量；

步骤3：将所有得到设备状态信息特征变量分别进行归一化处理，得到统一数值标准的设备状态信息特征变量，将统一数值标准的设备状态信息特征变量根据随机抽取的方法划分为特征变量训练集和特征变量测试集，其中特征变量训练集和特征变量测试集的比例为7∶3；

步骤4：将特征变量训练集输入到循环神经网络进行训练，得到网络安全智能监控模型；

步骤5：将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果；

步骤6：将设备安全状态特征分类结果进行特征聚合分类，得到设备安全状态监测结果。

所述部分网络设备状态信息为网络设备状态信息中的一种或几种，且不包含全部网络设备状态信息。

所述网络设备状态信息包括：二次设备的电压V(t，i)、二次设备的电流I(t，i)、闸刀开关状态

报文信息熵H(x_i，t)和网络损耗P_loss(t，i)。

所述二次设备的电压V(t，i)对应的设备状态信息特征变量为

所述二次设备的电流I(t，i)对应的设备状态信息特征变量为

所述闸刀开关状态

对应的设备状态信息特征变量为

所述报文信息熵H(x_i，t)对应的设备状态信息特征变量为ΔH(x_i，t)；

所述网络损耗P_loss(t，i)对应的设备状态信息特征变量为ΔP_loss(t，i)。

所述归一化处理方法为：

其中，x_p代表归一化处理后的结果，x_max和x_min分别代表输入原始数据的最大值和最小值，x代表输入数据，其中x的类别包括二次设备电压特征变量

二次设备电流特征变量

闸刀开关状态特征变量

报文信息熵对应信息特征变量ΔH(x_i，t)和网络损耗特征变量ΔP_loss(t，i)。

所述循环神经网络包括：由输入层神经元、多层隐藏层神经元、输出层神经元组成；其中，输入层神经元接收数据进行特征提取并将结果传递给隐藏层神经元，隐藏层神经元对输入特征进行多层次抽象，并将抽象结果传递给输出层神经元，输出层神经元进行分类输出。

所述隐藏层神经元在层间形成有相循环，隐藏层神经元输出由当前时刻和前一时刻共同影响。

所述训练过程通过向前传播算法与反向传播算法实现。

所述向前传播算法为：

h^(t)＝tanh(Ux^(t)+Wh^(t-1)+b)

o(t)＝Vh^(t)+c

其中，h^(t)代表序列索引号t时的模型隐藏状态，x^(t)代表模型的输入，o^(t)代表模型输出，

代表模型分类输出，b为隐藏状态计算时的线性偏倚，U为输入到隐藏状态的传递参数，W代表上一时刻隐藏状态到当前时刻隐藏状态的传递参数，V为隐藏状态到输出的传递参数，c为模型输出计算时的线性偏倚。

所述反向传播算法为：计算损失函数L、V、c、W、U、b，即：

其中L^(t)代表序列索引号t时的损失函数，L代表总损失函数，

代表模型分类输出，y^(t)代表模型真实输出，c代表输出函数计算时的线性偏倚，δ^(t)代表序列索引t位置的隐藏状态的梯度，h^(t)代表模型隐藏状态，V为隐藏状态到输出的传递参数，W代表上一时刻隐藏状态到当前时刻隐藏状态的传递参数，b为隐藏状态计算时的线性偏倚，U为输入到隐藏状态的传递参数，x^(t)代表模型的输入。所述设备安全状态特征分类结果为二次设备电压特征分类结果C₁，二次设备电流特征分类结果C₂，闸刀开关特征分类结果C₃，报文信息熵特征分类结果C₄和网络损耗特征分类结果C₅。

所述特征聚合分类，包括三种方法：

o1(t)＝max[softmax(c_i(t))]

其中c_i(t)为特征分类结果，i为1、2、3、4、5，o(t)特征聚合后的设备安全预测结果，β_n为各特征之间的耦合参数，n为特征总数。

还包括，在得到设备安全状态监测结果后，判断所述设备安全状态预测结果o(t)，如果|o(t)-o^ref|＞0，o^ref为判断设备安全状态参考值，则当前变电站设备系统出现漏洞事件；如果|o(t)-o^ref|＜0，则当前变电站设备系统处于安全状态。

一种变电站网络安全智能监控系统，包括：

信息读取模块，读取变电站SCADA系统的网络设备状态信息；

特征提取模块，将所有读取到的部分网络设备状态信息进行特征提取，得到对应的设备状态信息特征变量；

归一化处理模块，将所有得到设备状态信息特征变量分别进行归一化处理，得到统一数值标准的设备状态信息特征变量，将统一数值标准的设备状态信息特征变量划分为特征变量测试集和特征变量训练集；

神经网络训练模块，将特征变量训练集输入到循环神经网络进行训练，得到网络安全智能监控模型；

特征聚合分类模块，将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果，并将设备安全状态特征分类结果进行特征聚合分类，得到设备安全状态监测结果。

本发明具有以下有益效果及优点：

本发明将变电站网络设备信息建模，基于深度学习循环神经网络训练，可处理一段时间内网络异常状态的智能化决断与处理，大大提高了网络安全监控的效率与智能化水平，可在短时间内处理大量数据，在节约人力成本的同时，极大的提高了网络防护的性能和准确性。

附图说明

图1是本发明的方法流程图；

图2是本发明的变电站网络安全体系结构框架图；

图3是本发明的循环神经网络的训练模型图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但本发明能够以很多不同于在此描述的其他方式来实施，本领域技术人员可以在不违背发明内涵的情况下做类似改进，因此本发明不受下面公开的具体实施的限制。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

如图1所示为本发明的方法流程图。

一种变电站网络安全智能监控方法，包括以下步骤：

步骤1：读取变电站SCADA系统的网络设备状态信息，作为神经网络训练集原始数据和测试集原始数据；

步骤2：将所有读取到的部分设备状态信息进行特征提取，得到对应的设备状态信息特征变量；

步骤3：将所有得到设备信息特征变量分别进行归一化处理，得到统一数值标准的信息特征变量；

步骤4：将特征变量训练集输入到循环神经网络进行训练，得到网络安全智能监控模型。

步骤5：将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果；

步骤6：将设备安全状态特征分类结果进行特征聚合分类，得到设备安全状态监测结果。

所述采集到的设备信息按如下方法进行建模：读取SCADA系统的设备状态信息，作为神经网络训练集原始数据和测试集原始数据，其中包括各二次设备的电压V(t，i)、电流I(t，i)、闸刀开关状态

报文信息熵H(x_i，t)、网络损耗P_loss(t，i)，t表示当前的时刻，i为设备号，I为开关状态，取值为0或1，x_i表示网络报文中各种事件的发生概率。

分别取设备状态信息的主要特征，作为循环卷积神经网络的训练数据输入，其中包括设备电压与电流的绝对值V(t，i)、I(t，i)；相对变化值ΔV(t，i)、I(t，i)；导数

傅里叶变换后的频域状态

报文信息熵H(x_i，t)；网络损耗变化ΔP_loss(t，i)及闸刀开关状态

等。分别取二次设备的特征变量为电压

电流

闸刀开关状态

报文信息熵ΔH(x_i，t)、网络损耗ΔP_loss(t，i)。

由于不同种类的电气数据具有不同的数值范围，为减轻训练的难度，有效提取数据特征，在输入神经网络之前可将不同类的数值进行0/1标准化处理，计算公式为：

其中x_p代表归一化处理后的结果，x_max和x_min分别代表输入原始数据的最大值和最小值，x代表输入数据，其中x的类别包括二次设备电压、电流、闸刀开关状态、报文信息熵、网络损耗特征变量。经过处理后，不同的电气参数数值均落在0到1的区间，拥有统一的数值标准。

所述基于循环神经网络的网络安全模型训练方法为：将设备状态特征信息训练集按时间序列建模，对于任意的序列索引号t，其当前时刻的输出取决于该时刻的输入和所有历史状态共同作用的结果，训练方法又可分为前向传播算法和反向传播算法，RNN的训练模型结构如图3所示，其中x^(t)代表在序列索引号t时训练样本的输入，同样x^(t-1)和x^(t+1)代表在t-1和t+1时训练样本的输入；h^(t)代表在序列索引号t时模型的隐藏状态，h^(t)由x^(t)和h^{(t -1)}同时决定；o^(t)代表在序列索引号t时模型的输出，o^(t)只由模型当前的隐藏状态h^(t)决定；L^(t)代表在序列索引号t时模型的损失函数；y^(t)代表在序列索引号t时训练样本序列的真实输出；U、W、V三个矩阵是模型的线性关系参数，它在整个RNN网络中是共享的，也是区别于其他神经网络可基于时间序列建模的关键。

RNN前向传播算法为：对于任意一个序列索引号t，隐藏状态h^(t)由x^(t)和h^(t-1)得到：h^(t)＝σ(Ux^(t)+Wh^(t-1)+b)，其中σ为RNN隐藏层的激活函数，一般为tanh，b为线性关系的偏倚。模型的输出o^(t)的表达式为：o^(t)＝Vh^(t)+c；所以在序列索引号t时的预测输出为

由于RNN是识别类的分类模型，输出层激活函数一般是softmax；损失函数L^(t)可由量化模型在当前位置的损失得到，即

和y^(t)的差距。

RNN的反向传播的目的是通过梯度下降法一轮轮的迭代，最终的得到合适的RNN模型参数U、W、V、b、c，是基于时间的反向传播，由于模型参数U、W、V、b、c在序列的各个位置是共享的，反向更新的是相同的参数。对于RNN序列的每个位置都有损失函数，因此最终的损失L为：

V、c的梯度计算公式为：

W、U、b的梯度计算公式较为复杂，需要定义序列索引t位置的隐藏状态的梯度为：

递推δ^(t)可得到W、U、b的梯度：

将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果并进行特征聚合分类，数据聚合方法为：o1(t)＝max[softmax(c_i(t))]；

其中c_i(t)为特征分类结果，o(t)特征聚合后的设备安全预测结果，β_n为各特征之间的耦合参数。

当设备状态参数经过网络安全智能监控模型预测后得到系统模型输出o(t)，即每种设备在一段时间的安全状态评估，之后便进行设备监控处理计算，即：若|o(t)-o^ref|＞0，系统便会判断发生漏洞危险事件E_v，q(i)，进行紧急处理C(i)＝G(E_v，q(i)，…)，i∈(1，2，3…)；若|o(t)-o^ref|＜0，则判断目前网络处于安全状态，继续保持运行。其中o^ref(i)为安全参考输出相对值，G()为异常事件紧急处理方法，通常为声、光、电形式的报警，提供给操作员立即处理；封锁问题设备并发布网络工况信息等，C()为进行安全问题紧急处理后的结果。

图2是本发明的变电站网络安全体系结构框架图。

基于IEC 61850协议的变电站网络构架，其中包括智能传感器、巡检机器人及智能二次设备等用于实时采集设备状态数据；处理报文信息的终端网关及上位机控制系统；SCADA数据采集与监视控制系统用以对现场设备进行监视和控制，采集网络各设备状态作为智能监控系统的输入；智能监控系统将收集到的设备信息建模，并基于深度学习RNN循环卷积网络训练数据，最终得到完善的可决断网络设备异常状态的网络模型，可对网络设备异常状态进行有效防护与实时处理。所述SCADA系统基于客户/服务器体系结构，主要由以下部分组成：监控计算机、远程终端单元(RTU)、PLC、通信基础设施、人机界面，服务器与硬件设备通信，采集设备状态信息。

变电站设备协同统一网络构架采用IEC 61850标准，实现了智能变电站的工程运作标准化。IEC61850系列标准对变电站内IED(智能电子设备)间的通信进行分类和分析，建立起一个统一格式的变电站配置。本发明基于的网络构架包括三个层次：站控层、间隔层、过程层。过程层包括各种具备网络通信功能的智能传感单元以及智能机器人，收集同一待测设备上的模块信息。间隔层将预处理后的数据根据实际场景需求发送到区域网关或者直接到后台服务器。站控层包含自动化系统、站域控制系统和通信系统等，实现全站测量和控制功能，完成数据采集和监视控制、操作闭锁以及电能量采集等相关功能。

SCADA系统在电力系统应用广泛，可对现场设备进行监视和控制。本发明采用的SCADA系统分为两个层面，即客户端/服务器体系结构。服务器与硬件设备通信，进行数据处理和运算。客户端用于人机交互，并可以对现场的开关、阀门等进行操作。

深度学习是人工智能的一种有效实现方法，深度是相对浅层学习方法而言，是以电脑运算进行模式识别。深度神经网络是由多个单层非线性网络叠加而成的，循环神经网络是一种节点定向连接成环的人工神经网络。这种网络的内部状态可以展示动态时序行为。在本发明实施例中，网络安全问题通常表现为基于时序序列的错误，如一段时间内的网络拥堵、电压电流采集值异常或闸刀开关状态异常等，RNN可以利用它内部的记忆来处理任意时序的输入序列，可以更容易处理网络安全事件决断。

实施例：

方法包括：

步骤一：读取SCADA系统的设备状态信息，作为神经网络训练集原始数据和测试集原始数据，其中包括各二次设备的电压V(t，i)、电流I(t，i)、闸刀开关状态

报文信息熵H(x_i，t)、网络损耗P_loss(t，i)，t表示当前的时刻，i为设备号，I为开关状态，取值为0或1，x_i表示网络报文中各种事件的发生概率。在本实施例中以检测二次设备电压为例，通常由智能传感器即高压探测设备探测电压，在操纵控制台读取SCADA系统设备信息，即根据设备序号得到设备电压值V(t，1)、V(t，2)、V(t，3)…，通常在220kV变电站中V的值为220kV左右，t基于时间变化，表示测量一段时间内的设备电压变化值；

步骤二：分别提取设备状态信息的主要特征，作为循环卷积神经网络的训练数据输入，其中包括设备电压与电流的绝对值V(t，i)、I(t，i)；相对变化值ΔV(t，i)、I(t，i)；导数

傅里叶变换后的频域状态

报文信息熵H(x_i，t)；网络损耗变化ΔP_loss(t，i)及闸刀开关状态

等。分别取二次设备的特征变量为电压

电流

闸刀开关状态

报文信息熵ΔH(x_i，t)、网络损耗ΔP_loss(t，i)。在本实施例中将设备电压的导数作为评判设备安全状态的标准，电压变化的导数表示一段时间的电压变化率，即

若出现变化值极速增大的情况便判断电力传输设备出现故障，判断的依据为

σ为安全阈值，通常取值为5。

步骤三：在输入神经网络之前将不同类的设备状态信息特征进行0/1标准化处理，计算公式为：

其中x_p代表归一化处理后的结果，x_max和x_min分别代表输入原始数据的最大值和最小值，x代表输入数据，经过处理后，不同的经归一化处理后各设备特征数值均落在0到1的区间。

步骤四：所述基于循环神经网络的网络安全模型训练方法为：神经网络包含输入层、隐层、输出层，通过激活函数控制输出，层与层之间通过权值连接，神经网络模型通过训练将“学习”到的内容蕴含在权值中。基础的神经网络只在层与层之间建立了权连接，RNN最大的不同之处就是在层之间的神经元之间也建立的权连接。将设备状态特征信息按时间序列建模，对于任意的序列索引号t，其当前时刻的输出取决于该时刻的输入和所有历史状态共同作用的结果，训练方法又可分为前向传播算法和反向传播算法。

其中步骤四又可分为以下步骤：

步骤1：RNN前向传播算法为：对于任意一个序列索引号t，隐藏状态h^(t)由x^(t)和h^{(t -1)}得到：h^(t)＝σ(z^(t))＝σ(Ux^(t)+Wh^(t-1)+b)，其中σ为RNN的激活函数，b为线性关系的偏倚。在本实施例中取RNN的隐藏层激活函数为tanh，时间为t₁时刻，模型输入设备电压变化导数

即隐藏状态的计算方程为：

模型的输出o^(t)的表达式为：

所以在序列索引号t时的预测输出为

由于RNN是识别类的分类模型，选择输出层激活函数为softmax，即

损失函数L^(t)可由量化模型在当前位置的损失得到，即

和y^(t)的差距。

步骤2：RNN的反向传播的目的是通过梯度下降法一轮轮的迭代，最终的得到合适的RNN模型参数U、W、V、b、c，是基于时间的反向传播。在本实施例中，选择损失函数为交叉熵损失函数，输出激活函数为softmax函数，隐藏层的激活函数为tanh函数。在RNN序列的每个位置都有损失函数，因此最终的损失L为：

所以V、c的梯度计算公式为：

步骤3：W、U、b的梯度计算公式较为复杂，在RNN模型反向传播时，在某一序列位置t的梯度损失由当前位置的输出对应的梯度损失和序列索引为值t+1时的梯度损失两部分共同决定，对于W在某一位置t的梯度损失需要反向传播一步步的计算，所以需要定义序列索引t位置的隐藏状态的梯度为：

递推

δ^(t)可得：

因此通过δ^(t)可得到W、U、b的梯度：

步骤五：将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果并进行特征聚合分类，数据聚合方法有三种：o1(t)＝max[softmax(c_i(t))]；

其中c_i(t)为特征分类结果，i为1，2，3，4，5，o(t)为特征聚合后的设备安全预测结果，β_n为各特征之间的耦合参数。选择o1(t)作为数据聚合方法，得到o1(t)＝max[softmax(c₁(t))]为判断设备电压状态结果，以此类推。

步骤六：当每种设备状态参数经过循环神经网络训练后得到系统模型输出o(t)，即每种设备在一段时间的安全状态评估，之后便进行设备监控处理计算，即：若|o(t)-o^ref|＞0，系统便会判断发生漏洞危险事件E_v，q(i)，以变电站序号为1的交换机为例，若该交换机由于网络接线或外来攻击信息导致网络风暴时，该网络节点的瞬时流量迅速上升，经智能检测系统神经网络计算后的输出|o(t，1)-o^ref(1)|＞0，则监控系统立刻判断发生网络异常错误，进行紧急处理C(i)＝G(E_v，q(i)，…)，i∈(1，2，3…)；G()为异常事件紧急处理方法。在网络工况异常时，智能监控系统会根据神经网络预先查找问题设备来源，关闭并封锁问题设备，同时发生声、光、电形式的报警，提供给操作员立即处理；操作员将采集到的网络工况信息存入操作员站中，对可设备进行远程监控；封锁问题设备并发布网络工况信息等。C()为进行安全问题紧急处理后的结果，通常会将事故信息存入网络黑名单中并校正神经网络安全评判计算传递参数。

本发明所述的网络安全智能监控方法基于深度学习循环神经网络，检测各二次设备安全信息作为网络安全状态评判依据，可开展一段时间内网络异常状态的智能化决断与处理，智能化水平高，不仅能完成超出设定阈值的安全报警，也能完成自发性安全评判决断，可在短时间内处理大量数据，在节约人力成本的同时，极大的提高了网络防护的性能和准确性。

变电站网络安全智能监控系统包括：

信息读取模块，读取变电站SCADA系统的网络设备状态信息，作为神经网络训练集原始数据和测试集原始数据；

特征提取模块，将所有读取到的部分网络设备状态信息进行特征提取，得到对应的设备状态信息特征变量；

归一化处理模块，将所有得到设备状态信息特征变量分别进行归一化处理，得到统一数值标准的设备状态信息特征变量，将统一数值标准的设备状态信息特征变量划分为特征变量测试集和特征变量训练集；

神经网络训练模块，将特征变量训练集输入到循环神经网络进行训练，得到网络安全智能监控模型；

特征聚合分类模块，将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果，并将设备安全状态特征分类结果进行特征聚合分类，得到设备安全状态监测结果。

系统实施例：

信息读取模块，读取SCADA系统的设备状态信息，作为神经网络训练集原始数据和测试集原始数据，其中包括各二次设备的电压V(t，i)、电流I(t，i)、闸刀开关状态

报文信息熵H(x_i，t)、网络损耗P_loss(t，i)，t表示当前的时刻，i为设备号，I为开关状态，取值为0或1，x_i表示网络报文中各种事件的发生概率。在本实施例中以检测二次设备电压为例，通常由智能传感器即高压探测设备探测电压，在操纵控制台读取SCADA系统设备信息，即根据设备序号得到设备电压值V(t，1)、V(t，2)、V(t，3)…，通常在220kV变电站中V的值为220kV左右，t基于时间变化，表示测量一段时间内的设备电压变化值。

特征提取模块，分别提取设备状态信息的主要特征，作为循环卷积神经网络的训练数据输入，其中包括设备电压与电流的绝对值V(t，i)、I(t，i)；相对变化值ΔV(t，i)、I(t，i)；导数

傅里叶变换后的频域状态

报文信息熵H(x_i，t)；网络损耗变化ΔP_loss(t，i)及闸刀开关状态

等。分别取二次设备的特征变量为电压

电流

闸刀开关状态

报文信息熵ΔH(x_i，t)、网络损耗ΔP_loss(t，i)。在本实施例中将设备电压的导数作为评判设备安全状态的标准，电压变化的导数表示一段时间的电压变化率，即

若出现变化值极速增大的情况便判断电力传输设备出现故障，判断的依据为

σ为安全阈值，通常取值为5。

归一化处理模块，用于在输入神经网络之前将不同类的设备状态信息特征进行0/1标准化处理，计算公式为：

其中x_p代表归一化处理后的结果，x_max和x_min分别代表输入原始数据的最大值和最小值，x代表输入数据，经过处理后，不同的经归一化处理后各设备特征数值均落在0到1的区间。

神经网络训练模块，通过训练将“学习”到的内容蕴含在权值中。神经网络包含输入层、隐层、输出层，通过激活函数控制输出，层与层之间通过权值连接。基础的神经网络只在层与层之间建立了权连接，RNN最大的不同之处就是在层之间的神经元之间也建立的权连接。将设备状态特征信息按时间序列建模，对于任意的序列索引号t，其当前时刻的输出取决于该时刻的输入和所有历史状态共同作用的结果，训练方法又可分为前向传播算法和反向传播算法。

RNN前向传播算法为：对于任意一个序列索引号t，隐藏状态h^(t)由x^(t)和h^(t-1)得到：h^(t)＝σ(z^(t))＝σ(Ux^(t)+Wh^(t-1)+b)，其中σ为RNN的激活函数，b为线性关系的偏倚。在本实施例中取RNN的隐藏层激活函数为tanh，时间为t₁时刻，模型输入设备电压变化导数

即隐藏状态的计算方程为：

模型的输出o^(t)的表达式为：

所以在序列索引号t时的预测输出为

由于RNN是识别类的分类模型，选择输出层激活函数为softmax，即

损失函数L^(t)可由量化模型在当前位置的损失得到，即

和y^(t)的差距。

RNN的反向传播算法为：通过梯度下降法一轮轮的迭代，最终的得到合适的RNN模型参数U、W、V、b、c，是基于时间的反向传播。在本实施例中，选择损失函数为交叉熵损失函数，输出激活函数为softmax函数，隐藏层的激活函数为tanh函数。在RNN序列的每个位置都有损失函数，因此最终的损失L为：

所以V、c的梯度计算公式为：

W、U、b的梯度计算公式较为复杂，在RNN模型反向传播时，在某一序列位置t的梯度损失由当前位置的输出对应的梯度损失和序列索引为值t+1时的梯度损失两部分共同决定，对于W在某一位置t的梯度损失需要反向传播一步步的计算，所以需要定义序列索引t位置的隐藏状态的梯度为：

递推

δ^(t)可得：

因此通过δ^(t)可得到W、U、b的梯度：

特征聚合分类模块，通过三种数据聚合方法进行聚合：

第一种：o1(t)＝max[softmax(c_i(t))]；第二种：

第三种：

其中c_i(t)为特征分类结果，i为1，2，3，4，5，o(t)为特征聚合后的设备安全预测结果，β_n为各特征之间的耦合参数。选择o1(t)作为数据聚合方法，得到o1(t)＝max[softmax(c₁(t))]为判断设备电压状态结果，以此类推。

以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims (14)

1.一种变电站网络安全智能监控方法，其特征在于，包括以下步骤：

步骤1：读取变电站SCADA系统的网络设备状态信息；

步骤2：将所有读取到的部分网络设备状态信息进行特征提取，得到对应的设备状态信息特征变量；

步骤3：将所有得到设备状态信息特征变量分别进行归一化处理，得到统一数值标准的设备状态信息特征变量，将统一数值标准的设备状态信息特征变量划分为特征变量测试集和特征变量训练集；

步骤4：将特征变量训练集输入到循环神经网络进行训练，得到网络安全智能监控模型；

步骤5：将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果；

步骤6：将设备安全状态特征分类结果进行特征聚合分类，得到设备安全状态监测结果。

2.根据权利要求1所述的变电站网络安全智能监控方法，其特征在于：所述部分网络设备状态信息为网络设备状态信息中的一种或几种，且不包含全部网络设备状态信息。

3.根据权利要求1或2所述的变电站网络安全智能监控方法，其特征在于：所述网络设备状态信息包括：二次设备的电压V(t,i)、二次设备的电流I(t,i)、闸刀开关状态

报文信息熵H(x_i,t)和网络损耗P_loss(t,i)。

4.根据权利要求3所述的变电站网络安全智能监控方法，其特征在于：

所述二次设备的电压V(t,i)对应的设备状态信息特征变量为

所述二次设备的电流I(t,i)对应的设备状态信息特征变量为

所述闸刀开关状态

对应的设备状态信息特征变量为

所述报文信息熵H(x_i,t)对应的设备状态信息特征变量为ΔH(x_i,t)；

所述网络损耗P_loss(t,i)对应的设备状态信息特征变量为ΔP_loss(t,i)。

5.根据权利要求1所述的变电站网络安全智能监控方法，其特征在于：所述归一化处理方法为：

其中，x_p代表归一化处理后的结果，x_max和x_min分别代表输入原始数据的最大值和最小值，x代表输入数据，其中x的类别包括二次设备电压特征变量

二次设备电流特征变量

闸刀开关状态特征变量

报文信息熵对应信息特征变量ΔH(x_i,t)和网络损耗特征变量ΔP_loss(t,i)。

6.根据权利要求1所述的变电站网络安全智能监控方法，其特征在于：所述循环神经网络包括：由输入层神经元、多层隐藏层神经元、输出层神经元组成；其中，输入层神经元接收数据进行特征提取并将结果传递给隐藏层神经元，隐藏层神经元对输入特征进行多层次抽象，并将抽象结果传递给输出层神经元，输出层神经元进行分类输出。

7.根据权利要求6所述的变电站网络安全智能监控方法，其特征在于：所述隐藏层神经元在层间形成有相循环，隐藏层神经元输出由当前时刻和前一时刻共同影响。

8.根据权利要求1所述的变电站网络安全智能监控方法，其特征在于：所述训练过程通过向前传播算法与反向传播算法实现。

9.根据权利要求8所述的变电站网络安全智能监控方法，其特征在于：所述向前传播算法为：

h^(t)＝tanh(Ux^(t)+Wh^(t-1)+b)

o^(t)＝Vh^(t)+c

其中，h^(t)代表序列索引号t时的模型隐藏状态，x^(t)代表模型的输入，o^(t)代表模型输出，

代表模型分类输出，b为隐藏状态计算时的线性偏倚，U为输入到隐藏状态的传递参数，W代表上一时刻隐藏状态到当前时刻隐藏状态的传递参数，V为隐藏状态到输出的传递参数，c为模型输出计算时的线性偏倚。

10.根据权利要求8所述的变电站网络安全智能监控方法，其特征在于：所述反向传播算法为：计算损失函数L、V、c、W、U、b，即：

其中L^(t)代表序列索引号t时的损失函数，L代表总损失函数，

代表模型分类输出，y^(t)代表模型真实输出，c代表输出函数计算时的线性偏倚，δ^(t)代表序列索引t位置的隐藏状态的梯度，h^(t)代表模型隐藏状态，V为隐藏状态到输出的传递参数，W代表上一时刻隐藏状态到当前时刻隐藏状态的传递参数，b为隐藏状态计算时的线性偏倚，U为输入到隐藏状态的传递参数，x^(t)代表模型的输入。

11.根据权利要求1所述的变电站网络安全智能监控方法，其特征在于：所述设备安全状态特征分类结果为二次设备电压特征分类结果C₁，二次设备电流特征分类结果C₂，闸刀开关特征分类结果C₃，报文信息熵特征分类结果C₄和网络损耗特征分类结果C₅。

12.根据权利要求1所述的变电站网络安全智能监控方法，其特征在于：所述特征聚合分类，包括三种方法：

o1(t)＝max[softmax(c_i(t))]

其中c_i(t)为特征分类结果，i为1、2、3、4、5，o(t)特征聚合后的设备安全预测结果，β_n为各特征之间的耦合参数，n为特征总数。

13.根据权利要求1所述的变电站网络安全智能监控方法，其特征在于：还包括，在得到设备安全状态监测结果后，判断所述设备安全状态监测结果o(t)，如果|o(t)-o^ref|>0，o^ref为判断设备安全状态参考值，则当前变电站设备系统出现漏洞事件；如果|o(t)-o^ref|＜0，则当前变电站设备系统处于安全状态。

14.根据权利要求1～13任一项方法的变电站网络安全智能监控系统，其特征在于，包括：

信息读取模块，读取变电站SCADA系统的网络设备状态信息；

特征提取模块，将所有读取到的部分网络设备状态信息进行特征提取，得到对应的设备状态信息特征变量；

归一化处理模块，将所有得到设备状态信息特征变量分别进行归一化处理，得到统一数值标准的设备状态信息特征变量，将统一数值标准的设备状态信息特征变量划分为特征变量测试集和特征变量训练集；

神经网络训练模块，将特征变量训练集输入到循环神经网络进行训练，得到网络安全智能监控模型；

特征聚合分类模块，将特征变量测试集输入到网络安全智能监控模型，得到设备安全状态特征分类结果，并将设备安全状态特征分类结果进行特征聚合分类，得到设备安全状态监测结果。

Images