CN114697081B - 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 - Google Patents
基于iec61850 sv报文运行态势模型的入侵检测方法和系统 Download PDFInfo
- Publication number
- CN114697081B CN114697081B CN202210189576.1A CN202210189576A CN114697081B CN 114697081 B CN114697081 B CN 114697081B CN 202210189576 A CN202210189576 A CN 202210189576A CN 114697081 B CN114697081 B CN 114697081B
- Authority
- CN
- China
- Prior art keywords
- message
- data
- compliance
- value
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 claims abstract description 26
- 230000002159 abnormal effect Effects 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000005259 measurement Methods 0.000 claims description 43
- 238000013507 mapping Methods 0.000 claims description 29
- 238000012549 training Methods 0.000 claims description 16
- 238000010801 machine learning Methods 0.000 claims description 8
- 239000002131 composite material Substances 0.000 claims description 7
- 230000011218 segmentation Effects 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 230000015572 biosynthetic process Effects 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 4
- 238000003786 synthesis reaction Methods 0.000 claims description 4
- 238000002955 isolation Methods 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 abstract description 12
- 238000011897 real-time detection Methods 0.000 abstract description 3
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000002787 reinforcement Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000013499 data model Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000004092 self-diagnosis Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本发明涉及智能电网安全技术领域,公开了一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统,通过收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据,将这些数据提供给机器学习算法训练学习,采用机器学习技术,对正常的SV数据报文的电网行为的学习,构建出该电网系统的基于SV报文测量值的数据合规模型。利用SV报文的测量值数据构建出的数据合规模型,用于检测IEC61850系统的异常SV报文,实现对各类入侵行为的实时检测。与现有技术相比,本发明解决了IEC62351在实际使用过程中的局限性和不适用性。
Description
技术领域
本发明涉及智能电网安全技术领域,具体涉及一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统。
背景技术
IEC61850是基于通用网络通信平台的变电站自动化系统的国际标准,它可以实现变电站自动化系统产品的互操作性和协议转换。采用IEC61850标准可使变电站自动化设备具备自描述、自诊断和即插即用的特性,很大程度上使数字变电站系统的集成变得简单,减少了变电站自动化系统的开支。
IEC61850标准也使得智能电网的网络形态正从过去的封闭系统走向半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时,也带来了智能变电站的安全上的隐患。其中IEC61850数字变电站采用的基于开放标准的网络技术之上,导致系统的安全性降低。具体表现为IEC61850协议本身并没有考虑任何安全措施,一旦攻击者绕过物理防护,直接进入调度中心和变电站网络,可直接通过通信协议实现对智能变电站设备的控制。
IEC62351协议标准实现了对IEC61850协议的安全加固,使得IEC61850协议具有了这些基本的安全功能。这种加固主要包括:1、通过数字签名,提供节点的双向身份认证;2、通过加密,提供传输层认证、加密密钥的机密性;3、通过加密,提供传输层及以上层次消息的机密性,防止窃听;4、通过消息鉴别码,提供传输层及以上层次消息的完整性;5、通过定义传输序列号有效性,防止传输层的重放和欺骗。由此可见,IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上,而在实际生产环境中这些安全加固方法无法适用于的IEC61850中的SV实时性要求极高的报文。
SV(Sampled Measured Value)报文中的采样测量值,是一种用于实时传输数字采样信息的服务。IEC61850数字变电站中常用SV服务来传递各类测量模拟量,比如变电站中各相电流电压的数值。数字变电站中的各类测量数据都以明文形式传送,很容易被修改或注入非法的SV报文,而非法的变电站测量数据会引起主站发出错误的操作指令,引起数字变电站的智能设备的错误动作。所以SV报文的安全性变得非常重要,而由于SV报文的实时性要求高的特点,因此IEC61850标准中的SV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成,需要重新寻找一套针对智能设备间SV明文传输的报文安全加固和入侵检测解决方案,来保护智能变电站的安全运行。
发明内容
发明目的:针对现有技术中存在的问题,本发明提供一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统,解决了IEC62351在实际使用过程中的局限性和不适用性,采用机器学习技术,通过对正常的SV数据报文的电网行为的学习,建立SV报文行为的合规行为模型,利用SV合规行为模型,实时检测SV数据报文的异常行为,实现对各类入侵行为的实时检测。
技术方案:本发明提供了一种基于IEC61850 SV报文运行态势模型的入侵检测方法,包括如下步骤:
步骤1:SV报文采集还原,将二进制SV报文流转换为可被解析的帧结构的SV报文;
步骤2:收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据,将所述数据提供给机器学习算法训练学习,构建基于SV报文测量值的数据合规模型;
步骤3:利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。
进一步地,所述SV报文中的各类测量值数据包括每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值,其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit。
进一步地,所述步骤1中的获取SV报文并处理的过程为:
1)监听智能变电站核心交换机的镜像端口,获取进出智能变电站的各类通讯报文,提取出SV报文的二进制数据流;
2)SV报文二进制数据流进入一个报文数据队列,根据SV报文结构逐字节还原成ASCII码,实现SV报文二进制数据流到SV报文的帧还原,完成二进制数据流转换成一帧帧可解析的SV报文。
进一步地,所述步骤2构建基于SV报文测量值的数据合规模型的具体步骤为:
步骤2.1:利用正则表达式提取每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值,其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit;
步骤2.2:利用从每帧SV报文中提取的数据对象及测量值(Data、instMag),形成一条{Data1,v=对应值;Data2:v=对应值;Data3,v=对应值;……}格式的SV报文测量值数据记录集;
步骤2.3:采集一段时间周期的智能变电站运行的SV报文测量值的数据,在确保该时段智能变电站处于正常合规运行,对该时段SV报文测量值持续采集和处理,形成干净的SV报文测量数据记录集作为学习集,完成对该智能变电站测量数据合规态势模型构建;
步骤2.4:合规测量值数据记录集中的非数字化记录的数字化转换,转变为可被机器学习的数字记录集;
步骤2.5:利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习,根据数据对象的测量值建立测量值的数据合规模型树,各数据合规模型树组成一个测量值数据合规模型集合,即合规模型森林,所述合规模型森林中的每一个数据合规树用于异常报文的检测。
进一步地,所述步骤2.5中利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习的具体过程为:
1)对于{Data1,v=对应值;Data2:v=对应值;Data3,v=对应值;……}二维属性项数据集中的n条数据,先从这n条数据中抽取一批子样本,子样本个数为ψ;
2)从样本中随机选择两列特征,将两列特征值映射在一个超平面上形成为一列复合属性映射值,再根据此映射值建立合规孤立树,其中映射规则为:
其中,f(x)为映射值,Q为所有特征属性,j为随机选出的属性,cj为[-1,1]间随机选取的值,X′为子样本集,Xj′为X′的第j个特征属性值。
进一步地,所述步骤2.5中根据数据对象的测量值建立测量值的数据合规模型树的具体过程为:
首先将映射值作为起始节点,并根据Sd-gain理论选择一个最优分割点P,根据Sd-gain理论对每个样本进行二叉划分,将样本中小于最优分割点P的样本划到左分支,样本中大于最优分割点P的划到右分支,然后在左右两个分支重复这样的二叉划分操作,直到达到满足如下条件:
条件1:数据本身不可再分割;
条件2:二叉树达到限定的最大深度,最大深度为log2(ψ),其中ψ为二次取样的子样本个数。
进一步地,所述SV报文对象测量值数据合规模型集合由100棵数据合规树构成。
进一步地,所述步骤3中利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测的具体操作为:
步骤3.1:实时采集SV帧报文实例X遍历每一个学习训练构成的SV报文测量值的数据合规模型树,即测量值的数据合规树集合,对每一个SV报文实例X进行映射,将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值,接着进行二叉划分,将检测集中小于最优分割点P的样本传递给左分支,大于最优分割点P的样本向下移动到右分支;
步骤3.2:对于每一个报文实例X,遍历完建立起来的m个数据合规模型树,得到m个路径长度,通过运用统计学的方法计算得出m个路径长度平均路径长度,并且根据平均路径长短计算出该SV报文实例X的测量值的异常得分;
步骤3.3:对于异常SV报文通知告警。
本发明还公开一种基于IEC61850的SV报文入侵检测系统,包括:
SV报文采集模块,用于对SV报文采集还原,将二进制SV报文流转换为可被解析的帧结构的SV报文;
SV报文数据对象测量值合规学习模块,用于收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据,将所述数据提供给机器学习算法训练学习,构建基于SV报文测量值的数据合规模型;
SV报文事件的实时入侵检测模块,用于利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。
有益效果:
1、本发明采用机器学习技术,通过对正常的SV数据报文的电网行为的学习,建立SV报文行为的合规行为模型,利用SV合规行为模型,实时检测SV数据报文的异常行为,实现对各类入侵行为的实时检测,解决了IEC62351在实际使用过程中的局限性和不适用性。
2、本发明通过收集一定时间段(一个月到3个月时间周期)智能变电站系统中各位置SV报文中的各类测量值数据,将这些数据提供给机器学习算法训练学习,构建出该电网系统的基于SV报文测量值的数据合规模型,利用SV报文的测量值数据构建出的数据合规模型,用于实时检测IEC61850系统的异常SV报文。
附图说明
图1为本发明IEC61850-SV报文帧结构示意图;
图2为本发明IEC61850-SV报文发布订阅传输示意图;
图3为本发明IEC61850-SV报文测量值数据合规模型学习示意图;
图4为本发明IEC61850-SV报文入侵检测系统工作示意图;
图5为本发明测量值数据合规模型树建立过程示意图;
图6为本发明SV报文异常检测过程示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明公开了一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统,参见附图1至附图6。
IEC61850标准中通过SV报文消息将连续采集智能电网系统的参数发送到控制中心,SV报文消息中的采样测量值数据报文实现了对应用的智能电网系统的整体运行状态的反应。SV消息报文中的数据随着智能电网网络中发生的事件(如负荷增加、发电损失或故障)而变化。然而,这些数据的变化不是任意的,这些数据的变化取决于智能电网系统的拓扑结构、操作条件和相关的电网智能设备,在相似运行条件环境下的相似事件引起的智能电网系统中各类测量值数据的反应是相似的。此外,若某一特定的位置事件,例如某一总线上的发电损失或负载增加,不仅会影响从该特定位置发送的SV报文消息中的测量值数据,也会影响从邻近的采样点发送的SV报文消息中的测量值数据。因此,对于特定位置的事件,每个智能变电网系统都有特定的数据的关联合规模式,这些测量值数据模式的自身和变化彼此具有关联关系,这种关联关系引起的关联变化是可以被检测和发现的。
黑客对智能电网系统的入侵是基于他们获得了智能电网系统中某个或某几个测量设备的未经授权的访问权限,因此当黑客通过注入伪造的SV测量值报文对受损的访问节点发起入侵攻击时,其目的是通过伪造虚假的SV测量值报文改变智能电网的正常运行模式。但是这些伪造的SV测量值报文将与智能电网系统中其它部分存的SV测量值报文的数据模式不匹配,这种测量值的数据模式匹配差异表明智能电网中存在入侵者试图通过注入恶意测量数据改变智能电网系统正确运行模式的风险。本发明就是利用这种SV报文中的测量值数据模式匹配的方法来检测SV的入侵报文。
每个IEC61850智能电网系统都有着自身特有的运行行为和数据特点,本发明通过收集一定时间段(一个月到3个月时间周期)智能变电站系统中各位置SV报文中的各类测量值数据,将这些数据提供给机器学习算法训练学习,构建出该电网系统的基于SV报文测量值的数据合规模型。利用SV报文的测量值数据构建出的数据合规模型,用于实时检测IEC61850系统的异常SV报文。
本发明公开的基于IEC61850 SV报文运行态势模型的入侵检测系统由SV报文采集模块、SV报文数据对象测量值合规学习模块和SV报文事件的实时入侵检测模块组成,其中SV报文数据对象测量值合规学习模块是对IEC61850智能电网系统正常运行过程中SV测量数据报文的测量数据集进行无监督的机器自动学习,建立基于智能电网运行中各类SV报文测量数据的合规模型,利用数据合规模型完成对智能变电站系统中的SV报文的安全性检测。
本发明对应的基于IEC61850 SV报文运行态势模型的入侵检测方法的具体步骤为:
步骤1:SV报文的采集,SV报文采集是将二进制流的SV报文还还原成可被解析的帧结构的SV报文。具体步骤如下:
1)入侵检测系统监听智能变电站核心交换机的镜像端口,获取进出智能变电站的各类通讯报文,提取出SV报文的二进制数据流;
2)SV报文二进制数据流进入一个报文数据队列,根据SV报文结构(见图1)可逐字节还原成ASCII码,实现SV报文二进制数据流到SV报文的帧还原,完成二进制SV报文数据流转换成一帧帧可解析的SV报文。
步骤2:SV报文数据测量值数据的合规模型的训练学习是针对入侵检测系统应用于某个具体的IEC61850智能变电站,首先学习模块通过对一个时间段(1个月或3个月)变电站正常运行时的SV报文中测量值数据集合数据模型态势的自动学习,建立起该变电站的基于SV报文的测量数据合规态势模型,通过测量数据合规态势模型可实现对异常测量值的检测。
SV报文测量数据学习建模包括以下几个步骤项(参见图3):
步骤2.1:通过报文采集系统获取原始可被分析的SV帧报文,利用正则表达式提取每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性instMag(测量值)的值,其中DataSet属性项包含instMag(测量值)、q(品质)、t(时标)、unit(单位);
步骤2.2:利用从每帧SV报文中提取的数据对象及测量值(Data、instMag),形成一条{Data1,v=对应值;Data2:v=对应值;Data3,v=对应值;……}格式的SV报文测量值数据记录集;
步骤2.3:采集一月或三个月的时间周期的智能变电站运行的SV报文测量值的数据,在确保该时段智能变电站处于正常合规运行,通过对该时段SV报文测量值持续采集和处理,形成干净的SV报文测量数据记录集,该记录集可作为一个学习集,提供给SV入侵检测系统的学习模块完成对该智能变电站测量数据合规态势模型构建;
步骤2.4:合规测量值数据记录集中的非数字化记录的数字化转换,转变为可被机器学习的数字记录集。根据SV报文定义,测量值本身属于数字属性,无需进行数字转换。而数据对象名称Data1等为字符型,通过数字映射将Data1数字化,如,Data1数字化为1,Data2数字化为2,数据对象名称转换成为的数字值需确保唯一性。
步骤2.5:SV入侵检测系统的学习模块利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习,学习的结果是根据数据对象的测量值建立测量值的数据合规模型树。各数据合规模型树组成一个测量值数据合规模型集合(合规模型森林),合规模型森林中的每一个数据合规树用于异常报文的检测。
在测量值数据的合规模型学习训练阶段,对于{Data1,v=对应值;Data2:v=对应值;Data3,v=对应值;……}二维属性项数据集中的n条数据,先从这n条数据中抽取一批子样本,假设子样本个数为ψ,每建立完成一棵树都要重新抽取子样本集。首先从样本中随机选择两列特征,将两列特征值映射在一个超平面上形成为一列复合属性映射值,再根据此映射值建立合规孤立树,其中映射规则为:
其中,f(x)为映射值,Q为所有特征属性,j为随机选出的属性,cj为[-1,1]间随机选取的值,X′为子样本集,Xj′为X′的第j个特征属性值。具体步骤如图3所示的IEC61850的SV报文测量值数据学习建模过程。
步骤2.6:SV入侵检测系统的建模过程本质是建立SV报文中的数据对象和对应测量值的合规测量数据模型树的过程,如图5所示的建立一棵数据测量值的数据合规模型树的可视化过程。这里随机选取图5中子样本1数字映射后的4个数据进行展示说明,首先将映射值作为起始节点,并根据Sd-gain理论选择一个最优分割点P,Sd-gain理论即当一个超平面能清晰地将两个不同的分布分开时,这两个分布的内部离散程度是最小的。根据这一理论对每个样本进行二叉划分,将样本中小于该最优分割点P的样本划到左分支,样本中大于该最优分割点P的划到右分支。然后在左右两个分支重复这样的二叉划分操作。直到达到满足如下条件:
条件1:数据本身不可再分割;
条件2:二叉树达到限定的最大深度,最大深度为log2(ψ)。
如图5所示SV测量值数据合规模型树的建立过程示意图。
由于SV报文数据对象测量值的合规模型集合里达到100棵树后,数据对象测量值的合规模型树的数量再增加,异常检测的结果不会有进一步的提升,所以本发明中SV报文数据测量值的数据合规模型树的集合默认由100棵数据合规树构成。
步骤3:SV报文实时入侵检测模块利用学习模块建立起来的SV报文数据对象的测量值的数据合规模型树,实现对当前运行的智能变电站中产生的SV报文异常入侵检测,发现异常的入侵报文并告警。
SV报文数据对象异常测量值的检测步骤如下(参见图6):
步骤3.1:利用报文采集模块,实时采集SV帧报文,实时采集的SV报文实例X都需要遍历每一个学习训练构成的SV报文测量值的数据合规模型树(测量值的数据合规树集合),对每一个SV报文实例X进行和学习模块一样的映射,将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值,接着进行二叉划分,将检测集中小于最优分割点P的样本传递给左分支,大于最优分割点P的样本向下移动到右分支。
步骤3.2:接下来对于每一个报文实例X,遍历完建立起来的m个数据合规模型树(最多100棵)可以得到m个路径长度,接着通过运用统计学的方法计算得出m个路径长度平均路径长度,当平均路径越短,异常程度越大,越会被判定为异常实例点,并且可以根据平均路径长短计算出该SV报文实例X的测量值的异常得分。
步骤3.3:对于异常SV报文通知告警系统,完成告警操作。
上述实施方式只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种基于IEC61850 SV报文运行态势模型的入侵检测方法,其特征在于,包括如下步骤:
步骤1:SV报文采集还原,将二进制SV报文流转换为可被解析的帧结构的SV报文;
步骤2:收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据,将所述数据提供给机器学习算法训练学习,构建基于SV报文测量值的数据合规模型;
步骤2.1:利用正则表达式提取每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值,其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit;
步骤2.2:利用从每帧SV报文中提取的数据对象及测量值(Data、instMag),形成一条{Data1,v=对应值;Data2:v=对应值;Data3,v=对应值;……}格式的SV报文测量值数据记录集;
步骤2.3:采集一段时间周期的智能变电站运行的SV报文测量值的数据,在确保该时段智能变电站处于正常合规运行下,对该时段SV报文测量值持续采集和处理,形成干净的SV报文测量数据记录集作为学习集,完成对该智能变电站测量数据合规态势模型构建;
步骤2.4:合规测量值数据记录集合中的非数字化记录的数字化转换,转变为可被机器学习的数字记录集;
步骤2.5:利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习,根据数据对象的测量值建立测量值的数据合规模型树,各数据合规模型树组成一个测量值数据合规模型集合,即合规模型森林,所述合规模型森林中的每一个数据合规树用于异常报文的检测;
步骤3:利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。
2.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法,其特征在于,所述SV报文中的各类测量值数据包括每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值,其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit。
3.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法,其特征在于,所述步骤1中的获取SV报文并处理的过程为:
1)监听智能变电站核心交换机的镜像端口,获取进出智能变电站的各类通讯报文,提取出SV报文的二进制数据流;
2)SV报文二进制数据流进入一个报文数据队列,根据SV报文结构逐字节还原成ASCII码,实现SV报文二进制数据流到SV报文的帧还原,完成二进制数据流转换成一帧帧可解析的SV报文。
4.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法,其特征在于,所述步骤2.5中利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习的具体过程为:
1)对于{Data1,v=对应值;Data2:v=对应值;Data3,v=对应值;……}二维属性项数据集中的n条数据,先从这n条数据中抽取一批子样本,子样本个数为ψ;
2)从样本中随机选择两列特征,将两列特征值映射在一个超平面上形成为一列复合属性映射值,再根据此映射值建立合规孤立树,其中映射规则为:
其中,f(x)为映射值,Q为所有特征属性,j为随机选出的属性,cj为[-1,1]间随机选取的值,X′为子样本集,Xj′为X′的第j个特征属性值。
5.根据权利要求4所述的基于IEC61850 SV报文运行态势模型的入侵检测方法,其特征在于,所述步骤2.5中根据数据对象的测量值建立测量值的数据合规模型树的具体过程为:
首先将映射值作为起始节点,并根据Sd-gain理论选择一个最优分割点P,根据Sd-gain理论对每个样本进行二叉划分,将样本中小于最优分割点P的样本划到左分支,样本中大于最优分割点P的划到右分支,然后在左右两个分支重复这样的二叉划分操作,直到达到满足如下条件:
条件1:数据本身不可再分割;
条件2:二叉树达到限定的最大深度,最大深度为log2(ψ),其中ψ为二次取样的子样本个数。
6.根据权利要求1或4或5所述的基于IEC61850 SV报文运行态势模型的入侵检测方法,其特征在于,所述SV报文对象测量值数据合规模型集合由100棵数据合规树构成。
7.根据权利要求6所述的基于IEC61850 SV报文运行态势模型的入侵检测方法,其特征在于,所述步骤3中利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测的具体操作为:
步骤3.1:实时采集SV帧报文实例X遍历每一个学习训练构成的SV报文测量值的数据合规模型树,即测量值的数据合规树集合,对每一个SV报文实例X进行映射,将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值,接着进行二叉划分,将检测集中小于最优分割点P的样本传递给左分支,大于最优分割点P的样本向下移动到右分支;
步骤3.2:对于每一个报文实例X,遍历完建立起来的m个数据合规模型树,得到m个路径长度,通过运用统计学的方法计算得出m个路径长度平均路径长度,并且根据平均路径长短计算出该SV报文实例X的测量值的异常得分;
步骤3.3:对于异常SV报文通知告警。
8.一种基于权利要求1至5或7任一所述的基于IEC61850 SV报文运行态势模型的入侵检测方法的入侵检测系统,其特征在于,包括:
SV报文采集模块,用于对SV报文采集还原,将二进制SV报文流转换为可被解析的帧结构的SV报文;
SV报文数据对象测量值合规学习模块,用于收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据,将所述数据提供给机器学习算法训练学习,构建基于SV报文测量值的数据合规模型;
SV报文事件的实时入侵检测模块,用于利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210189576.1A CN114697081B (zh) | 2022-02-28 | 2022-02-28 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210189576.1A CN114697081B (zh) | 2022-02-28 | 2022-02-28 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114697081A CN114697081A (zh) | 2022-07-01 |
CN114697081B true CN114697081B (zh) | 2024-05-07 |
Family
ID=82137480
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210189576.1A Active CN114697081B (zh) | 2022-02-28 | 2022-02-28 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114697081B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115694967B (zh) * | 2022-10-28 | 2023-06-20 | 国网湖北省电力有限公司超高压公司 | 基于设备状态和正常行为模型的智能电网入侵检测方法 |
CN116846060A (zh) * | 2023-03-08 | 2023-10-03 | 国网江苏省电力有限公司淮安供电分公司 | Iec61850智能变电站工况安全学习系统 |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105044647A (zh) * | 2015-07-30 | 2015-11-11 | 国网上海市电力公司电力科学研究院 | 基于sv报文的智能变电站电子互感器采样畸变监测方法 |
CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
CN106161139A (zh) * | 2016-06-27 | 2016-11-23 | 哈尔滨工业大学 | 一种智能变电站sv报文模拟生成与检测方法 |
CN106850558A (zh) * | 2016-12-24 | 2017-06-13 | 国网江苏省电力公司信息通信分公司 | 基于季节模型时间序列的智能电表状态异常检测方法 |
CN106936834A (zh) * | 2017-03-16 | 2017-07-07 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站smv报文的入侵检测的方法 |
CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN107491569A (zh) * | 2016-06-13 | 2017-12-19 | 四川艾德瑞电气有限公司 | 基于iec61850标准goose、sv技术的变电站系统故障在线仿真方法 |
WO2018107631A1 (zh) * | 2016-12-15 | 2018-06-21 | 中国科学院沈阳自动化研究所 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
CN109040120A (zh) * | 2018-09-13 | 2018-12-18 | 南京工程学院 | 一种基于iec61850标准的sv报文加密及解密方法 |
CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
CN109446635A (zh) * | 2018-10-23 | 2019-03-08 | 中国电力科学研究院有限公司 | 一种基于机器学习的电力工控攻击分类方法和系统 |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
WO2019233189A1 (zh) * | 2018-06-04 | 2019-12-12 | 江南大学 | 一种传感网络异常数据检测方法 |
CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
US11218502B1 (en) * | 2020-09-23 | 2022-01-04 | Sichuan University | Few-shot learning based intrusion detection method of industrial control system |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11301759B2 (en) * | 2017-12-28 | 2022-04-12 | National Taiwan University | Detective method and system for activity-or-behavior model construction and automatic detection of the abnormal activities or behaviors of a subject system without requiring prior domain knowledge |
US20210400060A1 (en) * | 2020-06-18 | 2021-12-23 | Peter Chacko | System and methods for storage intrusion mitigation with data transport overlay tunnels and secure vaulting |
-
2022
- 2022-02-28 CN CN202210189576.1A patent/CN114697081B/zh active Active
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105044647A (zh) * | 2015-07-30 | 2015-11-11 | 国网上海市电力公司电力科学研究院 | 基于sv报文的智能变电站电子互感器采样畸变监测方法 |
CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
CN107491569A (zh) * | 2016-06-13 | 2017-12-19 | 四川艾德瑞电气有限公司 | 基于iec61850标准goose、sv技术的变电站系统故障在线仿真方法 |
CN106161139A (zh) * | 2016-06-27 | 2016-11-23 | 哈尔滨工业大学 | 一种智能变电站sv报文模拟生成与检测方法 |
WO2018107631A1 (zh) * | 2016-12-15 | 2018-06-21 | 中国科学院沈阳自动化研究所 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
CN106850558A (zh) * | 2016-12-24 | 2017-06-13 | 国网江苏省电力公司信息通信分公司 | 基于季节模型时间序列的智能电表状态异常检测方法 |
CN106936834A (zh) * | 2017-03-16 | 2017-07-07 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站smv报文的入侵检测的方法 |
CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
WO2019233189A1 (zh) * | 2018-06-04 | 2019-12-12 | 江南大学 | 一种传感网络异常数据检测方法 |
CN109040120A (zh) * | 2018-09-13 | 2018-12-18 | 南京工程学院 | 一种基于iec61850标准的sv报文加密及解密方法 |
CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
CN109446635A (zh) * | 2018-10-23 | 2019-03-08 | 中国电力科学研究院有限公司 | 一种基于机器学习的电力工控攻击分类方法和系统 |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
US11218502B1 (en) * | 2020-09-23 | 2022-01-04 | Sichuan University | Few-shot learning based intrusion detection method of industrial control system |
Non-Patent Citations (4)
Title |
---|
一种基于GCM的智能变电站报文安全传输方法;王保义;王民安;张少敏;;电力系统自动化;20130210(03);全文 * |
入侵检测系统的规则研究与基于机器学习的入侵检测系统模型;蒋道霞;现代电子技术;20060501(第17期);全文 * |
关于变电站GOOSE通信方案的研究;肖韬;林知明;田丽平;;华东交通大学学报;20080815(04);全文 * |
智能变电站通信网络及其监测技术的应用研究;张立辉;《中国优秀硕士学位论文全文数据库(电子期刊)工程科技II辑》;20160515(第5期);第32-33页 * |
Also Published As
Publication number | Publication date |
---|---|
CN114697081A (zh) | 2022-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114697081B (zh) | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 | |
CN109167796B (zh) | 一种基于工业scada系统的深度包检测平台 | |
CN110035090B (zh) | 一种智能电网虚假数据注入攻击检测方法 | |
CN113556354B (zh) | 一种基于流量分析的工业互联网安全威胁检测方法与系统 | |
CN113676464B (zh) | 一种基于大数据分析技术的网络安全日志告警处理方法 | |
CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
Lin et al. | Cyber attack and defense on industry control systems | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN106953855B (zh) | 一种对iec61850数字变电站goose报文的入侵检测的方法 | |
CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
CN106982235A (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 | |
CN111404914A (zh) | 一种特定攻击场景下泛在电力物联网终端安全防护方法 | |
Hodo et al. | Anomaly detection for simulated iec-60870-5-104 trafiic | |
CN108737410A (zh) | 一种基于特征关联的有限知工业通信协议异常行为检测方法 | |
CN108173854B (zh) | 一种电力私有协议的安全监测方法 | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
CN110493180A (zh) | 一种变电站网络通信流量实时分析方法 | |
CN114745152B (zh) | 基于iec61850 goose报文运行态势模型的入侵检测方法和系统 | |
CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
CN115225392B (zh) | 智慧图书馆用安全防护系统 | |
CN106936834B (zh) | 一种对iec61850数字变电站smv报文的入侵检测的方法 | |
CN112995130B (zh) | 一种电力物联网数据传输系统 | |
CN115883169A (zh) | 基于蜜罐系统的工控网络攻击报文响应方法及响应系统 | |
Peng et al. | Research on abnormal detection technology of real-time interaction process in new energy network | |
CN113904877A (zh) | 一种基于国密算法的地质灾害系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |