CN113259380B - 一种山区微电网网络攻击检测方法及装置 - Google Patents

一种山区微电网网络攻击检测方法及装置 Download PDF

Info

Publication number
CN113259380B
CN113259380B CN202110658158.8A CN202110658158A CN113259380B CN 113259380 B CN113259380 B CN 113259380B CN 202110658158 A CN202110658158 A CN 202110658158A CN 113259380 B CN113259380 B CN 113259380B
Authority
CN
China
Prior art keywords
data
data set
attack
network
micro
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110658158.8A
Other languages
English (en)
Other versions
CN113259380A (zh
Inventor
孙洁
叶鹏运
胡浩莹
罗宗杰
林鸿昊
许超尧
喻凌立
廖颖欢
陈臻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhanjiang Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Zhanjiang Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhanjiang Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Zhanjiang Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority to CN202110658158.8A priority Critical patent/CN113259380B/zh
Publication of CN113259380A publication Critical patent/CN113259380A/zh
Application granted granted Critical
Publication of CN113259380B publication Critical patent/CN113259380B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques

Abstract

本申请公开了一种山区微电网网络攻击检测方法及装置,包括:获取山区微电网网络行为日志数据库中采集的第一数据集;对第一数据集进行动态增量聚类分析,得到攻击模式数据集合;去除攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;采用山区微电网的攻击知识库与第二数据集进行比对,对第二数据集打上对应的标签,标签包括数据集的攻击类型和攻击特点。本申请提高攻击模式识别的准确率,降低网络安全系统中人为因素的影响。

Description

一种山区微电网网络攻击检测方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种山区微电网网络攻击检测方法及装置。
背景技术
山区微电网并入具有容量小、低压、分散等特点,随着山区微电网的快速发展,大规模新能源并网调控,网络运行日志也将更趋于海量化、异构化和低质化。面临的网络安全威胁主要表现在两个方面:一方面是电力终端设备本身的安全缺陷所引入的不可控风险;另一方面是承载终端设备控制信息流与数据流的微电网通信网络遭受入侵的风险。
发明内容
本申请实施例提供了一种山区微电网网络攻击检测方法,采用基于SDN的山区微电网通信网攻击架构和基于动态增量聚类分析的网络攻击算法,通过基于虚拟映射的山区微网多业务通信、安全性能需求模型。提升攻击模式识别的准确率,降低网络安全系统中人为因素的影响,提高其可靠性和稳定性。
有鉴于此,本申请第一方面提供了一种山区微电网网络攻击检测方法,所述方法包括:
获取山区微电网网络行为日志数据库中采集的第一数据集;
对所述第一数据集进行动态增量聚类分析,得到攻击模式数据集合;
去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;
采用山区微电网的攻击知识库与所述第二数据集进行比对,对所述第二数据集打上对应的标签,所述标签包括数据集的攻击类型和攻击特点。
可选的,在所述对所述第一数据集进行动态增量聚类分析,得到攻击模式数据集合,之前还包括:
对所述第一数据集中的数据进行标准化处理。
可选的,所述对所述第一数据集中的数据进行标准化处理,包括:
将所述第一数据集中得数据进行数据清洗、数据规约和数据集成,将所述第一数据集转化成具有统一格式的数据。
可选的,所述对所述第一数据集进行动态增量聚类分析,得到攻击模式数据集合,包括:
采用马氏距离法对所述第一数据集中的数据进行相似度分析,包括:
采用马氏距离函数对所述第一数据集对应的矩阵A进行计算,得到模糊等价关系矩阵M,
Figure 378986DEST_PATH_IMAGE001
Figure 409258DEST_PATH_IMAGE002
表示样本
Figure 567707DEST_PATH_IMAGE003
和样本
Figure 279311DEST_PATH_IMAGE004
间的相似系数,样本
Figure 472395DEST_PATH_IMAGE003
Figure 175034DEST_PATH_IMAGE004
是矩阵A中的数据;
根据设定的聚类划分准则,选择预设的阀值
Figure 492883DEST_PATH_IMAGE005
对矩阵M进行划分,完成对所述第一数据集的分类,包括:
Figure 70495DEST_PATH_IMAGE002
Figure 118086DEST_PATH_IMAGE005
时,将对应的
Figure 427844DEST_PATH_IMAGE004
划为一类;其中,最优
Figure 295306DEST_PATH_IMAGE005
值的选取公式为:
Figure 909565DEST_PATH_IMAGE006
式中:i≥2,表示
Figure 749345DEST_PATH_IMAGE005
从高到低排列的聚类次数;r0表示最优r值;
Figure 292322DEST_PATH_IMAGE007
Figure 912659DEST_PATH_IMAGE008
分别为第i次和第i-1次聚类的元素个数;
Figure 504177DEST_PATH_IMAGE009
Figure 526360DEST_PATH_IMAGE010
分别为第i次和第i-1次聚类的阀值;若存在
Figure 741703DEST_PATH_IMAGE011
,rj表示第j个选择的预设的阈值,j=1,2...,n,
Figure 521440DEST_PATH_IMAGE012
表示选择的预设的阈值中的最大值,则第i次聚类的置信水平
Figure 978966DEST_PATH_IMAGE009
为最佳阀值;
可选的,所述去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集,包括:
若所述攻击模式数据集合中存在重叠数据,则将有重叠数据的数据集合并成一个数据集;
若所述攻击模式数据集合中不存在重叠数据,则去除数据集中归类错误的数据以及无效数据;
得到第二数据集。
本申请第二方面提供一种山区微电网网络攻击检测装置,所述装置包括:
获取单元,用于获取山区微电网网络行为日志数据库中采集的第一数据集;
聚类分析单元,用于对所述第一数据集进行动态增量聚类分析,得到攻击模式数据集合;
数据去除单元,用于去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;
标注单元,用于采用山区微电网的攻击知识库与所述第二数据集进行比对,对所述第二数据集打上对应的标签,所述标签包括数据集的攻击类型和攻击特点。
可选的,还包括标准化单元,用于对所述第一数据集中的数据进行标准化处理。
可选的,所述标准化单元具体用于将所述第一数据集中得数据进行数据清洗、数据规约和数据集成,将所述第一数据集转化成具有统一格式的数据。
可选的,所述聚类分析单元具体包括:
相似度分析单元,用于采用马氏距离法对所述第一数据集中的数据进行相似度分析,包括:
采用马氏距离函数对所述第一数据集对应的矩阵A进行计算,得到模糊等价关系矩阵M,
Figure 100002_DEST_PATH_IMAGE013
Figure 855655DEST_PATH_IMAGE002
表示样本
Figure 740435DEST_PATH_IMAGE003
和样本
Figure 568320DEST_PATH_IMAGE004
间的相似系数,样本
Figure 767220DEST_PATH_IMAGE003
Figure 498416DEST_PATH_IMAGE004
是矩阵A中的数据;
动态聚类分析单元,用于根据设定的聚类划分准则,选择预设的阀值
Figure 554096DEST_PATH_IMAGE005
对矩阵M进行划分,完成对所述第一数据集的分类,包括:
Figure 308426DEST_PATH_IMAGE002
Figure 373334DEST_PATH_IMAGE005
时,将对应的
Figure 460501DEST_PATH_IMAGE004
划为一类;其中,最优
Figure 687083DEST_PATH_IMAGE005
值的选取公式为:
Figure 928708DEST_PATH_IMAGE014
式中:i≥2,表示
Figure 531728DEST_PATH_IMAGE005
从高到低排列的聚类次数;r0表示最优r值;
Figure 971936DEST_PATH_IMAGE007
Figure 572682DEST_PATH_IMAGE008
分别为第i次和第i-1次聚类的元素个数;
Figure 596876DEST_PATH_IMAGE009
Figure 3587DEST_PATH_IMAGE010
分别为第i次和第i-1次聚类的阀值;若存在
Figure 235985DEST_PATH_IMAGE011
,rj表示第j个选择的预设的阈值,j=1,2...,n,
Figure DEST_PATH_IMAGE015
表示选择的预设的阈值中的最大值,则第i次聚类的置信水平
Figure 69949DEST_PATH_IMAGE016
为最佳阀值;
本申请第三方面提供一种山区微电网网络,包括:SDN架构的山区微电网网络,所述SDN架构的山区微电网网络包括:
转发平面,由山区微电网的具体通信设备组成,通信设备包括电力线通信网络、光纤网络、微功无线以及微波红外网络设备,用于向集中控制平面上传采集到的数据;
所述集中控制平面采用适配基于动态增量聚类分析的网络攻击模式识别算法,通过南向接口与光纤网络、微功无线网络和电力线以及微波红外网络设备进行通信;收集配电通信网络的各项统计信息,分析所述统计信息实现配电通信网络的攻击检测和拓扑辨识、路由管理、流量监测、安全防控的功能;通过北向接口上传所述统计信息并接收配网应用平面下发的控制逻辑信号;
所述配网应用平面用于面向维持微电网上传的所述统计信息进行攻击检测、攻击识别和攻击拦截;并根据预置的业务逻辑向所述集中控制平面下发控制逻辑信号。
从以上技术方案可以看出,本申请具有以下优点:
本申请提供了一种山区微电网网络攻击检测方法,包括:获取山区微电网网络行为日志数据库中采集的第一数据集;对第一数据集进行动态增量聚类分析,得到攻击模式数据集合;去除攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;采用山区微电网的攻击知识库与第二数据集进行比对,对第二数据集打上对应的标签,标签包括数据集的攻击类型和攻击特点。
本申请提出基于SDN的山区微电网通信网攻击架构和基于动态增量聚类分析的网络攻击算法,通过基于虚拟映射的山区微网多业务通信、安全性能需求模型。提升攻击模式识别的准确率,降低网络安全系统中人为因素的影响,提高其可靠性和稳定性。
附图说明
图1为本申请一种山区微电网网络攻击检测方法的一个实施例的方法流程图;
图2为本申请一种山区微电网网络攻击检测装置的实施例中的装置结构图;
图3为本申请一种山区微电网网络的实施例中网络架构示意图;
图4为本申请一种山区微电网网络攻击检测方法的一个具体实施方式的方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请一种山区微电网网络攻击检测方法的一个实施例的方法流程图,如图1所示,图1中包括:
101、获取山区微电网网络行为日志数据库中采集的第一数据集;
需要说明的是,本申请可以获取山区微电网网络行为日志数据库,从数据库中获取需要进行聚类算法的数据。本申请采集的数据将生产厂家、设备编号、运行设备所在地址、用电性质等基础档案分别录入数据库。假设体现客户用电情况的电流、电压、有功功率、功率因数等电能量数据的集合为
Figure 82904DEST_PATH_IMAGE017
,每个元素
Figure 529191DEST_PATH_IMAGE018
具有
Figure 881675DEST_PATH_IMAGE019
个特征,可用
Figure 886541DEST_PATH_IMAGE020
表示,
Figure 324475DEST_PATH_IMAGE021
表示第
Figure 72988DEST_PATH_IMAGE022
个样本的第
Figure 342296DEST_PATH_IMAGE023
项特性指标,
Figure 455745DEST_PATH_IMAGE024
,则电能量数据集合A的特性指标矩阵形式为:
Figure DEST_PATH_IMAGE025
102、对第一数据集进行动态增量聚类分析,得到攻击模式数据集合;
需要说明的是,针对电力系统监测量的特点,采用马氏距离法对数据集中的各元素进聚类相似度分析。
具体的,假设经马氏距离函数计算后得到矩阵A的模糊等价关系矩阵M为:
Figure 4145DEST_PATH_IMAGE026
,假设
Figure 228453DEST_PATH_IMAGE002
表示样本
Figure 617846DEST_PATH_IMAGE003
和样本
Figure 698934DEST_PATH_IMAGE004
间的相似系数。当
Figure 111461DEST_PATH_IMAGE002
的绝对值越接近1,则表明
Figure 703242DEST_PATH_IMAGE003
Figure 947141DEST_PATH_IMAGE004
越相似。反之,两者关系越疏远。根据设定的聚类划分准则,选择适当的阀值
Figure 402393DEST_PATH_IMAGE005
对矩阵M进行截割,就可得到该样本集A的分类。可以规定
Figure 98954DEST_PATH_IMAGE002
Figure 727381DEST_PATH_IMAGE005
时,满足此条件的
Figure 29050DEST_PATH_IMAGE004
划为一类。因为阀值
Figure 239493DEST_PATH_IMAGE005
不同,样本集分类结果也将不同。
Figure 361032DEST_PATH_IMAGE005
从1逐渐变化到0,分类数目从粗糙到精细不断变化,可形成对样本集的一个动态聚类过程,最优
Figure 793151DEST_PATH_IMAGE005
值的选取,可以通过下式逐渐调整以求得最优解。
Figure 11642DEST_PATH_IMAGE014
式中:i≥2,表示
Figure 871014DEST_PATH_IMAGE005
从高到低排列的聚类次数;r0表示最优r值;
Figure 479850DEST_PATH_IMAGE007
Figure 951545DEST_PATH_IMAGE008
分别为第i次和第i-1次聚类的元素个数;
Figure 24543DEST_PATH_IMAGE009
Figure 54816DEST_PATH_IMAGE010
分别为第i次和第i-1次聚类的阀值;若存在
Figure 150948DEST_PATH_IMAGE027
,rj表示第j个选择的预设的阈值,j=1,2...,n,
Figure 924869DEST_PATH_IMAGE028
表示选择的预设的阈值中的最大值,则第i次聚类的置信水平
Figure 790057DEST_PATH_IMAGE029
为最佳阀值;
103、去除攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;
需要说明的是,针对获取的攻击模式数据集合进行后处理,若攻击模式数据集合中存在数据重叠的数据集,则将具有重叠数据的数据集合并为一个新的数据集。针对全部的攻击模式数据集合重复此合并过程,直到不再存在数据重叠的组。若不存在数据重叠(部分集合之间可能会存在重叠的数据)的攻击模式数据集合,则进一步从攻击特征、攻击频率和经验知识等方面出发对数据集中的数据做进一步的筛选,去除归类错误的数据和无效类数据,形成第二数据集。
104、采用山区微电网的攻击知识库与第二数据集进行比对,对第二数据集打上对应的标签,标签包括数据集的攻击类型和攻击特点。
需要说明的是,对于第二数据集数据集,运用山区微电网通信网络积累的攻击知识库和专家系统对第二数据集进行标签化操作,对第二数据集的攻击的类型和攻击的特点打上标签,生成完整的攻击模式分类数据集,动态增量聚类分析负责对数据根据特征进行面向攻击模式的归类。
本申请提出基于动态增量聚类分析的网络攻击算法,通过基于虚拟映射的山区微网多业务通信、安全性能需求模型。提升攻击模式识别的准确率,降低网络安全系统中人为因素的影响,提高其可靠性和稳定性。
在一种具体的实施方式中,本申请还提供了一种山区微电网网络攻击检测方法的一个具体的实施方式,如图4所示,图4中在对第一数据集进行动态增量聚类分析,得到攻击模式数据集合,之前还包括:
对第一数据集中的数据进行标准化处理。
需要说明的是,可以将山区微电网中的安全设施(包括交换机、IPS防御设备、防火墙等)得到的第一数据集中的数据进行数据清洗、数据规约和数据集成,将第一数据集转化成具有统一格式的数据。
本申请还提供了一种山区微电网网络攻击检测装置的实施例,如图2所示,图2中包括:
获取单元201,用于获取山区微电网网络行为日志数据库中采集的第一数据集;
聚类分析单元202,用于对第一数据集进行动态增量聚类分析,得到攻击模式数据集合;
数据去除单元203,用于去除攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;
标注单元204,用于采用山区微电网的攻击知识库与第二数据集进行比对,对第二数据集打上对应的标签,标签包括数据集的攻击类型和攻击特点。
还包括标准化单元,用于对第一数据集中的数据进行标准化处理。
聚类分析单元202具体包括:
相似度分析单元,用于采用马氏距离法对第一数据集中的数据进行相似度分析,包括:
采用马氏距离函数对第一数据集对应的矩阵A进行计算,得到模糊等价关系矩阵M,
Figure DEST_PATH_IMAGE030
Figure 552083DEST_PATH_IMAGE002
表示样本
Figure 197828DEST_PATH_IMAGE003
和样本
Figure 713123DEST_PATH_IMAGE004
间的相似系数,样本
Figure 495134DEST_PATH_IMAGE003
Figure 804893DEST_PATH_IMAGE004
是矩阵A中的数据;
动态聚类分析单元,用于根据设定的聚类划分准则,选择预设的阀值
Figure 439399DEST_PATH_IMAGE005
对矩阵M进行划分,完成对所述第一数据集的分类,包括:
Figure 555122DEST_PATH_IMAGE002
Figure 394902DEST_PATH_IMAGE005
时,将对应的
Figure 937879DEST_PATH_IMAGE004
划为一类;其中,最优
Figure 558216DEST_PATH_IMAGE005
值的选取公式为:
Figure 149734DEST_PATH_IMAGE014
式中:i≥2,表示
Figure 404873DEST_PATH_IMAGE005
从高到低排列的聚类次数;r0表示最优r值;
Figure 322013DEST_PATH_IMAGE007
Figure 164068DEST_PATH_IMAGE008
分别为第i次和第i-1次聚类的元素个数;
Figure 621594DEST_PATH_IMAGE009
Figure 435966DEST_PATH_IMAGE010
分别为第i次和第i-1次聚类的阀值;若存在
Figure 320745DEST_PATH_IMAGE031
,rj表示第j个选择的预设的阈值,j=1,2...,n,
Figure 151560DEST_PATH_IMAGE015
表示选择的预设的阈值中的最大值,则第i次聚类的置信水平
Figure 350461DEST_PATH_IMAGE009
为最佳阀值;
本申请还提供了一种山区微电网网络的一个实施例的系统结构图,如图3所示,图3中包括SDN架构的山区微电网网络,SDN架构的山区微电网网络包括:
转发平面,由山区微电网的具体通信设备组成,通信设备包括电力线通信网络、光纤网络、微功无线以及微波红外网络设备,用于向集中控制平面上传采集到的数据;
集中控制平面采用适配基于动态增量聚类分析的网络攻击模式识别算法,通过南向接口与光纤网络、微功无线网络和电力线以及微波红外网络设备进行通信;收集配电通信网络的各项统计信息,分析统计信息实现配电通信网络的攻击检测和拓扑辨识、路由管理、流量监测、安全防控的功能;通过北向接口上传统计信息并接收配网应用平面下发的控制逻辑信号;
配网应用平面用于面向维持微电网上传的统计信息进行攻击检测、攻击识别和攻击拦截;并根据预置的业务逻辑向集中控制平面下发控制逻辑信号。
需要说明的是,采用SDN架构融入到配电通信网体系中,能够在全局视角上对网络架构和功能进行调整,从而大大降低网络管理的难度。根据SDN网络架构体系,将山区微电网通信网网络架构划分为三层:配网应用平面、集中控制平面和转发平面。
其中配网应用平面用于面向维持微电网正常运行的各种服务,运行网络管理人员根据入侵检测需求定制不同的应用,主要包攻击检测、攻击识别、攻击拦截等,不同应用可以负责完全独立的山区微电网配电业务管理逻辑,并行通过北向接口将逻辑下发。
集中控制平面是采用适配基于动态增量聚类分析的网络攻击模式识别算法,通过南向接口与光纤网络、微功无线网络和电力线以及微波红外等进行通信,收集配电通信网络的各项统计信息,汇总分析这些统计信息实现配电通信网络的攻击检测和拓扑辨识、路由管理、流量监测、安全防控等基础功能。通过北向接口上传网络统计信息并接收配网应用平面下发的控制逻辑,保障应用平面对山区微电网通信网络资源的集中、灵活管理,同时准确检测和识别攻击行为。
转发平面用于转发平面由山区微电网具体通信设备组成,电力线通信网络、光纤网络、微功无线以及微波、红外等网络和中的转发设备仅保留数据转发功能,其逻辑转发功能被上移到配网应用平面集中管理,简化了通信终端结构。
本申请提出基于SDN的山区微电网通信网攻击架构和基于动态增量聚类分析的网络攻击算法,通过基于虚拟映射的山区微网多业务通信、安全性能需求模型。提升攻击模式识别的准确率,降低网络安全系统中人为因素的影响,提高其可靠性和稳定性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (7)

1.一种山区微电网网络攻击检测方法,其特征在于,包括:
获取山区微电网网络行为日志数据库中采集的第一数据集;
对所述第一数据集进行动态增量聚类分析,得到攻击模式数据集合,包括:
采用马氏距离法对所述第一数据集中的数据进行相似度分析,包括:
采用马氏距离函数对所述第一数据集对应的矩阵A进行计算,得到模糊等价关系矩阵M,
Figure DEST_PATH_IMAGE001
Figure DEST_PATH_IMAGE002
表示样本
Figure DEST_PATH_IMAGE003
和样本
Figure DEST_PATH_IMAGE004
间的相似系数,样本
Figure 511578DEST_PATH_IMAGE003
Figure 491035DEST_PATH_IMAGE004
是矩阵A中的数据;
根据设定的聚类划分准则,选择预设的阀值
Figure DEST_PATH_IMAGE005
对矩阵M进行划分,完成对所述第一数据集的分类,包括:
Figure 83822DEST_PATH_IMAGE002
Figure 541348DEST_PATH_IMAGE005
时,将对应的
Figure 355720DEST_PATH_IMAGE004
划为一类;其中,最优
Figure 489767DEST_PATH_IMAGE005
值的选取公式为:
Figure DEST_PATH_IMAGE006
式中:i≥2,表示
Figure 632166DEST_PATH_IMAGE005
从高到低排列的聚类次数;r0表示最优r值;
Figure DEST_PATH_IMAGE007
Figure DEST_PATH_IMAGE008
分别为第i次和第i-1次聚类的元素个数;
Figure DEST_PATH_IMAGE009
Figure DEST_PATH_IMAGE010
分别为第i次和第i-1次聚类的阀值;若存在
Figure DEST_PATH_IMAGE011
,rj表示第j个选择的预设的阈值,j=1,2...,n,
Figure DEST_PATH_IMAGE012
表示选择的预设的阈值中的最大值,则第i次聚类的置信水平
Figure 80334DEST_PATH_IMAGE009
为最佳阀值;
去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;
采用山区微电网的攻击知识库与所述第二数据集进行比对,对所述第二数据集打上对应的标签,所述标签包括数据集的攻击类型和攻击特点。
2.根据权利要求1所述的山区微电网网络攻击检测方法,其特征在于,在所述对所述第一数据集进行动态增量聚类分析,得到攻击模式数据集合,之前还包括:
对所述第一数据集中的数据进行标准化处理。
3.根据权利要求2所述的山区微电网网络攻击检测方法,其特征在于,所述对所述第一数据集中的数据进行标准化处理,包括:
将所述第一数据集中的数据进行数据清洗、数据规约和数据集成,将所述第一数据集转化成具有统一格式的数据。
4.根据权利要求1所述的山区微电网网络攻击检测方法,其特征在于,所述去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集,包括:
若所述攻击模式数据集合中存在重叠数据,则将有重叠数据的数据集合并成一个数据集;
若所述攻击模式数据集合中不存在重叠数据,则去除数据集中归类错误的数据以及无效数据;
得到第二数据集。
5.一种山区微电网网络攻击检测装置,其特征在于,包括:
获取单元,用于获取山区微电网网络行为日志数据库中采集的第一数据集;
聚类分析单元,用于对所述第一数据集进行动态增量聚类分析,得到攻击模式数据集合;具体包括:
相似度分析单元,用于采用马氏距离法对所述第一数据集中的数据进行相似度分析,包括:
采用马氏距离函数对所述第一数据集对应的矩阵A进行计算,得到模糊等价关系矩阵M,
Figure 811530DEST_PATH_IMAGE001
Figure 116478DEST_PATH_IMAGE002
表示样本
Figure 933124DEST_PATH_IMAGE003
和样本
Figure 670136DEST_PATH_IMAGE004
间的相似系数,样本
Figure 6571DEST_PATH_IMAGE003
Figure 498732DEST_PATH_IMAGE004
是矩阵A中的数据;
动态聚类分析单元,用于根据设定的聚类划分准则,选择预设的阀值
Figure 740357DEST_PATH_IMAGE005
对矩阵M进行划分,完成对所述第一数据集的分类,包括:
Figure 327065DEST_PATH_IMAGE002
Figure 32853DEST_PATH_IMAGE005
时,将对应的
Figure 181069DEST_PATH_IMAGE004
划为一类;其中,最优
Figure 909991DEST_PATH_IMAGE005
值的选取公式为:
Figure 51122DEST_PATH_IMAGE006
式中:i≥2,表示
Figure 860684DEST_PATH_IMAGE005
从高到低排列的聚类次数;r0表示最优r值;
Figure 694648DEST_PATH_IMAGE007
Figure 645286DEST_PATH_IMAGE008
分别为第i次和第i-1次聚类的元素个数;
Figure DEST_PATH_IMAGE013
Figure 403158DEST_PATH_IMAGE010
分别为第i次和第i-1次聚类的阀值;若存在
Figure 67226DEST_PATH_IMAGE011
,rj表示第j个选择的预设的阈值,j=1,2...,n,
Figure 9774DEST_PATH_IMAGE012
表示选择的预设的阈值中的最大值,则第i次聚类的置信水平
Figure 510026DEST_PATH_IMAGE013
为最佳阀值;
数据去除单元,用于去除所述攻击模式数据集合中的重叠数据、归类错误的数据以及无效数据,得到第二数据集;
标注单元,用于采用山区微电网的攻击知识库与所述第二数据集进行比对,对所述第二数据集打上对应的标签,所述标签包括数据集的攻击类型和攻击特点。
6.根据权利要求5所述的山区微电网网络攻击检测装置,其特征在于,还包括标准化单元,用于对所述第一数据集中的数据进行标准化处理。
7.根据权利要求6所述的山区微电网网络攻击检测装置,其特征在于,所述标准化单元具体用于将所述第一数据集中的数据进行数据清洗、数据规约和数据集成,将所述第一数据集转化成具有统一格式的数据。
CN202110658158.8A 2021-06-15 2021-06-15 一种山区微电网网络攻击检测方法及装置 Active CN113259380B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110658158.8A CN113259380B (zh) 2021-06-15 2021-06-15 一种山区微电网网络攻击检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110658158.8A CN113259380B (zh) 2021-06-15 2021-06-15 一种山区微电网网络攻击检测方法及装置

Publications (2)

Publication Number Publication Date
CN113259380A CN113259380A (zh) 2021-08-13
CN113259380B true CN113259380B (zh) 2021-09-17

Family

ID=77188027

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110658158.8A Active CN113259380B (zh) 2021-06-15 2021-06-15 一种山区微电网网络攻击检测方法及装置

Country Status (1)

Country Link
CN (1) CN113259380B (zh)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8311018B2 (en) * 2007-02-05 2012-11-13 Andrew Llc System and method for optimizing location estimate of mobile unit
CN108632279B (zh) * 2018-05-08 2020-07-10 北京理工大学 一种基于网络流量的多层异常检测方法
CN109829477B (zh) * 2018-12-29 2023-04-18 北京邮电大学深圳研究院 基于启发式聚类的多属性物理层认证方法、装置和服务器
CN109921415B (zh) * 2019-03-13 2022-08-02 东北大学 一种面向混合量测的电网恶性数据注入攻击在线防御方法
CN110907762B (zh) * 2019-12-10 2022-05-31 深圳供电局有限公司 一种非侵入式负荷匹配辨识方法
CN112235293B (zh) * 2020-10-14 2022-09-09 西北工业大学 一种面向恶意流量检测正负样本均衡生成的过采样方法
CN112685459A (zh) * 2020-11-16 2021-04-20 中国南方电网有限责任公司 一种基于K-means集群算法的攻击源特征识别方法

Also Published As

Publication number Publication date
CN113259380A (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
CN108415789A (zh) 面向大规模混合异构存储系统的节点故障预测系统及方法
CN116148679B (zh) 一种电池健康状态的预测方法及相关装置
CN113267692A (zh) 一种低压台区线损智能诊断分析方法和系统
CN111884347B (zh) 多源电力信息融合的电力数据集中控制系统
CN108399221A (zh) 基于大数据关联分析的室内电气设备分类识别方法与系统
CN109711664B (zh) 一种基于大数据的输变电设备健康评估系统
CN116668380B (zh) 汇聚分流器设备的报文处理方法及装置
CN113408548A (zh) 变压器异常数据检测方法、装置、计算机设备和存储介质
JP2015109028A (ja) データ関連性解析システムおよび方法
CN111612074A (zh) 非侵入式负荷监测用电设备的辨识方法、装置及相关设备
CN108156018B (zh) 电力网络设备拓扑识别方法、电子设备和计算机存储介质
CN115130847A (zh) 一种设备画像建模方法及系统
CN110597792A (zh) 基于同期线损数据融合的多级冗余数据融合方法及装置
CN116192668A (zh) 一种基于虚拟化资源评估的空间信息网络性能预测方法
CN113259380B (zh) 一种山区微电网网络攻击检测方法及装置
CN104978837B (zh) 一种面向用户端变电所的报警系统及其实现方法
CN105634781B (zh) 一种多故障数据解耦方法和装置
CN117097026A (zh) 一种基于源网荷储新型电力系统运维监控平台的操作方法
CN115062725B (zh) 酒店收益异常分析方法及系统
CN116681186A (zh) 一种基于智能终端的用电质量分析方法及装置
CN115081933B (zh) 一种基于改进谱聚类的低压用户拓扑构建方法和系统
CN116880402A (zh) 智慧工厂协同管控系统及其方法
CN116232695A (zh) 一种网络安全运维关联分析系统
CN113642645B (zh) 基于模糊c均值与豪斯多夫距离的低压用户相别识别方法
Kojury-Naftchali et al. AMI Data Analytics: customer charactrization by relief algorithm and supplementary tools

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant