CN114710313A - 一种电网的设备攻击检测方法、装置及系统 - Google Patents

一种电网的设备攻击检测方法、装置及系统 Download PDF

Info

Publication number
CN114710313A
CN114710313A CN202210152455.XA CN202210152455A CN114710313A CN 114710313 A CN114710313 A CN 114710313A CN 202210152455 A CN202210152455 A CN 202210152455A CN 114710313 A CN114710313 A CN 114710313A
Authority
CN
China
Prior art keywords
data
attack
detection
feature
power grid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210152455.XA
Other languages
English (en)
Inventor
卢建刚
马腾腾
古振威
梅发茂
王云
王子骏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202210152455.XA priority Critical patent/CN114710313A/zh
Publication of CN114710313A publication Critical patent/CN114710313A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • G06F16/353Clustering; Classification into predefined classes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/231Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24147Distances to closest patterns, e.g. nearest neighbour classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明公开了一种电网的设备攻击检测方法、装置及系统。该设备攻击检测装置包括数据获取单元、模型训练单元以及攻击检测单元。该设备攻击检测系统包括攻击检测模块以及数据存储模块。通过对待检测电网的第一历史运行数据组以及实时运行数据组进行特征选择以实现降维处理,并根据降维后的历史运行数据组训练预设的结合了KNN算法的决策树模型以用于对实时运行数据组进行攻击检测,该设备攻击检测方法、装置及系统提升电网中设备攻击行为检测的便利性和效率;进一步地,本发明提供的一种电网的设备攻击检测方法、装置及系统还通过将攻击检测所获得的检测结果发送给用户,从而提升了设备攻击检测的交互性和结果直观性。

Description

一种电网的设备攻击检测方法、装置及系统
技术领域
本发明涉及电网设备网络安全领域,涉及一种电网的设备攻击检测方法、 装置及系统。
背景技术
电力行业与人们的生活水平息息相关,时代的发展与科技的进步使得越来 越多的电力设备投人到电网系统中,电网结构越发显得庞大复杂。面对复杂的 电网结构,设备的管理也越来越困难。对未知设备不能及时的判断,可能会影 响着电网的安全稳定运行,促使电网企业必须深入了解电网运行面临的安全风 险因素,完善相应的电网运行安全风险管控措施,以促进电力行业的稳步发展。 近年来,随着信息技术和智能控制技术的不断发展以及计算机数据处理能力的 不断提升,人们对于新设备的认知和管理需要极大的提升。在此需求的引导下, 基于特征选择的电网设备管理应运而生。
在现有技术中,往往在发现攻击后,通过人工检测识别电网中的设备攻击 行为。
但是,现有技术仍存在以下缺陷:人工检测使得电网的设备攻击行为的检 测效率低下,且具有不便利性。
因此,当前需要一种电网的设备攻击检测方法、装置及系统,从而克服现 有技术中存在的上述缺陷。
发明内容
针对现存的上述技术问题,本发明的目的在于提供一种电网的设备攻击检 测方法、装置及系统,从而提升电网中设备攻击行为检测的便利性和效率。
本发明提供了一种电网的设备攻击检测方法,所述设备攻击检测方法包括: 获取待检测电网的第一历史运行数据组以及实时运行数据组,对所述第一历史 运行数据组进行特征选择以获取第二历史运行数据组;根据所述第二历史运行 数据组,对预设的决策树模型进行训练,从而获取设备攻击模型;所述决策树 模型基于决策树以及KNN算法构建而成;根据所述设备攻击模型,对所述实时 运行数据组进行攻击行为检测,从而获得检测结果。
在一个实施例中,对所述第一历史运行数据组进行特征选择以获取第二历 史运行数据组,具体包括:对所述第一历史运行数据组进行数值归一化处理, 从而获得待处理数据组,并对所述待处理数据进行特征分析以获取数据特征集 合以及对应的数据特征向量集合;所述数据特征集合中的数据特征与所述数据 特征向量集合中的特征向量一一对应;通过多种预设的聚类算法分别对所述数 据特征集合进行聚类分析以对应获得聚类结果,从而获得聚类结果集合,并根 据各个聚类结果对应构建关系矩阵;根据所述关系矩阵以及预设的共联矩阵计 算公式,计算得出所述数据特征集合中各个数据特征的共联矩阵;根据层次聚 类算法对所述共联矩阵进行聚类分析,从而获得数据特征簇;根据预设的选择方法,从所述数据特征簇中选择代表特征,并根据所述代表特征获取对应的第 二历史运行数据组。
在一个实施例中,根据所述设备攻击模型,对所述实时运行数据组进行攻 击行为检测,从而获得检测结果,具体包括:根据所述代表特征,对所述实时 运行数据组进行降维处理,从而获得降维数据组以及对应的第一支持度;筛选 出所述降维数据组中与所述第二历史运行数据组之间相同的第一数据,从而对 应确定所述第一数据的第一分类结果;所述降维数据组包括所述第一数据以及 除第一数据之外的第二数据;依次根据各个第二数据的第一支持度,从所述第 二历史运行数据组中筛选出若干个第三数据,并依次将各个第二数据以及对应 筛选出的第三数据输入所述设备攻击模型中,从而获得第二分类结果;将所述 第一分类结果以及所述第二分类结果作为检测结果输出。
在一个实施例中,在根据所述设备攻击模型,对所述实时运行数据组进行 攻击行为检测,从而获得检测结果之后,所述设备攻击检测方法还包括:将所 述检测结果发送给用户。
本发明还提供了一种电网的设备攻击检测装置,所述设备攻击检测装置包 括数据获取单元、模型训练单元以及攻击检测单元;其中,所述数据获取单元 用于获取待检测电网的第一历史运行数据组以及实时运行数据组,对所述第一 历史运行数据组进行特征选择以获取第二历史运行数据组;所述模型训练单元 用于根据所述第二历史运行数据组,对预设的决策树模型进行训练,从而获取 设备攻击模型;所述决策树模型基于决策树以及KNN算法构建而成;所述攻击 检测单元用于根据所述设备攻击模型,对所述实时运行数据组进行攻击行为检 测,从而获得检测结果。
在一个实施例中,所述数据获取单元还用于:对所述第一历史运行数据组 进行数值归一化处理,从而获得待处理数据组,并对所述待处理数据进行特征 分析以获取数据特征集合以及对应的数据特征向量集合;所述数据特征集合中 的数据特征与所述数据特征向量集合中的特征向量一一对应;通过多种预设的 聚类算法分别对所述数据特征集合进行聚类分析以对应获得聚类结果,从而获 得聚类结果集合,并根据各个聚类结果对应构建关系矩阵;根据所述关系矩阵 以及预设的共联矩阵计算公式,计算得出所述数据特征集合中各个数据特征的 共联矩阵;根据层次聚类算法对所述共联矩阵进行聚类分析,从而获得数据特 征簇;根据预设的选择方法,从所述数据特征簇中选择代表特征,并根据所述 代表特征获取对应的第二历史运行数据组。
在一个实施例中,所述攻击检测单元还用于:根据所述代表特征,对所述 实时运行数据组进行降维处理,从而获得降维数据组以及对应的第一支持度; 筛选出所述降维数据组中与所述第二历史运行数据组之间相同的第一数据,从 而对应确定所述第一数据的第一分类结果;所述降维数据组包括所述第一数据 以及除第一数据之外的第二数据;依次根据各个第二数据的第一支持度,从所 述第二历史运行数据组中筛选出若干个第三数据,并依次将各个第二数据以及 对应筛选出的第三数据输入所述设备攻击模型中,从而获得第二分类结果;将 所述第一分类结果以及所述第二分类结果作为检测结果输出。
在一个实施例中,所述设备攻击检测装置还包括结果输出单元,所述结果 输出单元用于将所述检测结果发送给用户。
本发明还提供了一种电网的设备攻击检测系统,所述设备攻击检测系统包 括攻击检测模块以及数据存储模块,所述攻击检测模块与数据存储模块通信连 接,所述数据存储模块用于存储所有数据,所述攻击检测模块用于根据所述数 据存储模块中存储的所有数据,执行如前所述的电网的设备攻击检测方法。
在一个实施例中,所述设备攻击检测系统还包括用户交互模块,所述用户 交互模块包括通信单元、触摸/不可触摸显示屏、输入键盘、虚拟键盘、指示灯、 麦克风或扬声器。
相比于现有技术,本发明实施例具有如下有益效果:
本发明提供了一种电网的设备攻击检测方法、装置及系统,通过对待检测 电网的第一历史运行数据组以及实时运行数据组进行特征选择以实现降维处理, 并根据降维后的历史运行数据组训练预设的结合了KNN算法的决策树模型以用 于对实时运行数据组进行攻击检测,该设备攻击检测方法、装置及系统提升电 网中设备攻击行为检测的便利性和效率。
进一步地,本发明提供的一种电网的设备攻击检测方法、装置及系统还通 过将攻击检测所获得的检测结果发送给用户,从而提升了设备攻击检测的交互 性和结果直观性。
附图说明
下文将结合说明书附图对本发明进行进一步的描述说明,其中:
图1示出了根据本发明的一种电网的设备攻击检测方法的一个实施例的流 程图;
图2示出了根据本发明的一种电网的设备攻击检测装置的一个实施例的结 构图;
图3示出了根据本发明的一种电网的设备攻击检测系统的一个实施例的结 构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实施例一
本发明实施例首先描述了一种电网的设备攻击检测方法。图1示出了根据 本发明的一种电网的设备攻击检测方法的一个实施例的流程图。
如图1所示,该设备攻击检测方法包括如下步骤:
S1:获取待检测电网的第一历史运行数据组以及实时运行数据组,对所述第 一历史运行数据组进行特征选择以获取第二历史运行数据组。
在本技术领域中,由于待检测电网往往具有较大的规模,因此,人为检测 电网中存在的攻击行为不仅工作量庞大,耗时也较长,从而使得电网的设备攻 击检测的便利性和效率不足,对此,本发明实施例提出一种自动检测电网中的 设备攻击的方法,通过获取待检测电网的运行数据并进行降维,再利用降维后 的历史运行数据对预设的模型进行训练,从而利用训练好的模型进行自动检测。
在上述过程中,首先需要获取待检测电网的运行数据,其中,为了训练模 型以实现自动检测,除了实时运行数据组之外,还需要获取第一历史运行数据 组。由于无论是实时运行数据组还是第一历史运行数据组中的数据都存在冗余 的情况,如果不进行数据降维,就会使得后续模型训练过程中计算量庞大,且 会使得训练得出的模型准确度不高,因此,首先需要对第一历史运行数据组以 及实时运行数据组进行特征选择以实现数据降维。
在一个实施例中,对所述第一历史运行数据组进行特征选择以获取第二历 史运行数据组,具体包括:对所述第一历史运行数据组进行数值归一化处理, 从而获得待处理数据组,并对所述待处理数据进行特征分析以获取数据特征集 合以及对应的数据特征向量集合;所述数据特征集合中的数据特征与所述数据 特征向量集合中的特征向量一一对应;通过多种预设的聚类算法分别对所述数 据特征集合进行聚类分析以对应获得聚类结果,从而获得聚类结果集合,并根 据各个聚类结果对应构建关系矩阵;根据所述关系矩阵以及预设的共联矩阵计 算公式,计算得出所述数据特征集合中各个数据特征的共联矩阵;根据层次聚 类算法对所述共联矩阵进行聚类分析,从而获得数据特征簇;根据预设的选择方法,从所述数据特征簇中选择代表特征,并根据所述代表特征获取对应的第 二历史运行数据组。
在实际应用过程中,针对不同类型的数据采用不同的数值归一化处理方式, 具体地:针对数值型数据,通过下述公式进行处理:
Figure RE-GDA0003680437620000061
式中,
Figure BDA0003510926970000063
为样本均值,δ为样本均方差。
针对文本型数据,采用下述公式进行处理:
Figure RE-GDA0003680437620000063
式中,Dι=dn+dm。nij为文本型数据。
在进行数值归一化处理后,即可进行数据特征选择,首先,设F={I1,I2,K,In} 表示电网设备数据集中的数据特征集合,Ii,Ij表示F中两个不同的特征,αi={x1i,x2i,K,xNi}Tj={x1j,x2j,K,xNj}T是对应的数据向量。选取典型的6种聚类算法, 表示为M={M1,M2,...,M6},算法与符号的对应关系如表1所示。用选取的6种聚 类算法对电网设备的数据特征进行聚类,得到的聚类结果表示为Θ={P1,P2,...,P6}, 其中Pk对应第k种聚类算法的结果,其中,k=1,2,...,6。
其次,根据得到的聚类结果构建每种聚类算法的关系矩阵,如下所示:
Figure BDA0003510926970000071
Figure BDA0003510926970000072
其中,k=1,2,...,6。对
Figure BDA0003510926970000073
中任意不同的两个矩阵
Figure BDA0003510926970000074
Figure BDA0003510926970000075
计算其支持度为:
Figure BDA0003510926970000076
再次,令
Figure BDA0003510926970000077
据此计算
Figure BDA0003510926970000078
中矩阵Qk的权重如下
Figure BDA0003510926970000081
进而计算数据特征的最终共联矩阵,
Figure BDA0003510926970000082
再依据共联矩阵
Figure BDA0003510926970000083
运用 层次聚类算法实现数据特征的聚类,从而获得数据特征簇;随后,针对聚类后 得到的数据特征簇,计算该簇内每个特征对应数据向量的信息熵
Figure BDA00035109269700000810
和簇中心度
Figure BDA0003510926970000084
将二者相乘
Figure BDA0003510926970000085
在数据特征簇内选取具有最大乘积的特征作为代 表特征,完成特征选择,从而实现数据降维。
S2:根据所述第二历史运行数据组,对预设的决策树模型进行训练,从而获 取设备攻击模型。
所述决策树模型基于决策树以及KNN算法构建而成。
S3:根据所述设备攻击模型,对所述实时运行数据组进行攻击行为检测,从 而获得检测结果。
将实时运行数据组与第二历史运行数据组进行比较,若能在第二历史运行 数据组里找到与实时运行数据组相同的第一数据,则能确定该第一数据的分类。 具体表示为:
Figure BDA0003510926970000086
其中
Figure BDA0003510926970000087
为训练集里的数据,
Figure BDA0003510926970000088
新的设备特征数据。
而对于实时运行数据组中,与第二历史运行数据组里不相同的第二数据, 则根据第一支持度找到第二历史运行数据组中支持度最接近第二的K个样本, 再放入决策树中,根据以下公式分类:
Figure BDA0003510926970000089
Figure BDA0003510926970000091
式中,argmax为取结果的最大值,v为经过KNN选择后得到的所有邻居的 集合,xi为邻居;数据点之间的支持度计算公式如下:
Sup(xi,xj)=(1+d(xi,xj))-s,s>0;
Figure BDA0003510926970000092
式中,d(xi,xj)表示归一化的欧式距离。
在一个实施例中,根据所述设备攻击模型,对所述实时运行数据组进行攻 击行为检测,从而获得检测结果,具体包括:根据所述代表特征,对所述实时 运行数据组进行降维处理,从而获得降维数据组以及对应的第一支持度;筛选 出所述降维数据组中与所述第二历史运行数据组之间相同的第一数据,从而对 应确定所述第一数据的第一分类结果;所述降维数据组包括所述第一数据以及 除第一数据之外的第二数据;依次根据各个第二数据的第一支持度,从所述第 二历史运行数据组中筛选出若干个第三数据,并依次将各个第二数据以及对应 筛选出的第三数据输入所述设备攻击模型中,从而获得第二分类结果;将所述 第一分类结果以及所述第二分类结果作为检测结果输出。
在一个实施例中,本发明实施例所描述的设备攻击检测方法还包括:将所 述检测结果发送给用户。
本发明实施例描述了一种电网的设备攻击检测方法,通过对待检测电网的 第一历史运行数据组以及实时运行数据组进行特征选择以实现降维处理,并根 据降维后的历史运行数据组训练预设的结合了KNN算法的决策树模型以用于对 实时运行数据组进行攻击检测,该设备攻击检测方法提升电网中设备攻击行为 检测的便利性和效率;进一步地,本发明实施例描述的一种电网的设备攻击检 测方法还通过将攻击检测所获得的检测结果发送给用户,从而提升了设备攻击 检测的交互性和结果直观性。
具体实施例二
除上述方法外,本发明实施例还描述了一种电网的设备攻击检测装置。图2 示出了根据本发明的一种电网的设备攻击检测装置的一个实施例的结构图。
如图所示,该设备攻击检测装置包括数据获取单元11、模型训练单元12以 及攻击检测单元13。
其中,数据获取单元11用于获取待检测电网的第一历史运行数据组以及实 时运行数据组,对所述第一历史运行数据组进行特征选择以获取第二历史运行 数据组。
在一个实施例中,数据获取单元11还用于:对所述第一历史运行数据组进 行数值归一化处理,从而获得待处理数据组,并对所述待处理数据进行特征分 析以获取数据特征集合以及对应的数据特征向量集合;所述数据特征集合中的 数据特征与所述数据特征向量集合中的特征向量一一对应;通过多种预设的聚 类算法分别对所述数据特征集合进行聚类分析以对应获得聚类结果,从而获得 聚类结果集合,并根据各个聚类结果对应构建关系矩阵;根据所述关系矩阵以 及预设的共联矩阵计算公式,计算得出所述数据特征集合中各个数据特征的共 联矩阵;根据层次聚类算法对所述共联矩阵进行聚类分析,从而获得数据特征 簇;根据预设的选择方法,从所述数据特征簇中选择代表特征,并根据所述代 表特征获取对应的第二历史运行数据组。
模型训练单元12用于根据所述第二历史运行数据组,对预设的决策树模型 进行训练,从而获取设备攻击模型。所述决策树模型基于决策树以及KNN算法 构建而成。
攻击检测单元13用于根据所述设备攻击模型,对所述实时运行数据组进行 攻击行为检测,从而获得检测结果。
在一个实施例中,攻击检测单元13还用于:根据所述代表特征,对所述实 时运行数据组进行降维处理,从而获得降维数据组以及对应的第一支持度;筛 选出所述降维数据组中与所述第二历史运行数据组之间相同的第一数据,从而 对应确定所述第一数据的第一分类结果;所述降维数据组包括所述第一数据以 及除第一数据之外的第二数据;依次根据各个第二数据的第一支持度,从所述 第二历史运行数据组中筛选出若干个第三数据,并依次将各个第二数据以及对 应筛选出的第三数据输入所述设备攻击模型中,从而获得第二分类结果;将所 述第一分类结果以及所述第二分类结果作为检测结果输出。
当需要对电网进行设备攻击检测时,首先,通过数据获取单元11获取待检 测电网的第一历史运行数据组以及实时运行数据组,对所述第一历史运行数据 组进行特征选择以获取第二历史运行数据组;随后,模型训练单元12通过根据 所述第二历史运行数据组,对预设的决策树模型进行训练,从而获取设备攻击 模型;最后,由攻击检测单元13根据所述设备攻击模型,对所述实时运行数据 组进行攻击行为检测,从而获得检测结果。
在一个实施例中,所述设备攻击检测装置还包括结果输出单元,所述结果 输出单元用于将所述检测结果发送给用户。
本发明实施例描述了一种电网的设备攻击检测装置,通过对待检测电网的 第一历史运行数据组以及实时运行数据组进行特征选择以实现降维处理,并根 据降维后的历史运行数据组训练预设的结合了KNN算法的决策树模型以用于对 实时运行数据组进行攻击检测,该设备攻击检测装置提升电网中设备攻击行为 检测的便利性和效率;进一步地,本发明实施例描述的一种电网的设备攻击检 测装置还通过将攻击检测所获得的检测结果发送给用户,从而提升了设备攻击 检测的交互性和结果直观性。
具体实施例三
除上述方法和装置外,本发明实施例还描述了一种电网的设备攻击检测系 统。图3示出了根据本发明的一种电网的设备攻击检测系统的一个实施例的结 构图。
如图所示,该设备攻击检测系统包括攻击检测模块1以及数据存储模块2, 所述攻击检测模块1与数据存储模块2通信连接,所述数据存储模块2用于存 储所有数据,所述攻击检测模块1用于根据所述数据存储模块2中存储的所有 数据,执行如前所述的电网的设备攻击检测方法。
在一个实施例中,所述设备攻击检测系统还包括用户交互模块,所述用户 交互模块包括通信单元、触摸/不可触摸显示屏、输入键盘、虚拟键盘、指示灯、 麦克风或扬声器。
本发明实施例描述了一种电网的设备攻击检测系统,通过对待检测电网的 第一历史运行数据组以及实时运行数据组进行特征选择以实现降维处理,并根 据降维后的历史运行数据组训练预设的结合了KNN算法的决策树模型以用于对 实时运行数据组进行攻击检测,该设备攻击检测系统提升电网中设备攻击行为 检测的便利性和效率;进一步地,本发明实施例描述的一种电网的设备攻击检 测系统还通过将攻击检测所获得的检测结果发送给用户,从而提升了设备攻击 检测的交互性和结果直观性。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进 一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用 于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明 的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明 的保护范围之内。

Claims (10)

1.一种电网的设备攻击检测方法,其特征在于,所述设备攻击检测方法包括:
获取待检测电网的第一历史运行数据组以及实时运行数据组,对所述第一历史运行数据组进行特征选择以获取第二历史运行数据组;
根据所述第二历史运行数据组,对预设的决策树模型进行训练,从而获取设备攻击模型;所述决策树模型基于决策树以及KNN算法构建而成;
根据所述设备攻击模型,对所述实时运行数据组进行攻击行为检测,从而获得检测结果。
2.根据权利要求1所述的电网的设备攻击检测方法,其特征在于,对所述第一历史运行数据组进行特征选择以获取第二历史运行数据组,具体包括:
对所述第一历史运行数据组进行数值归一化处理,从而获得待处理数据组,并对所述待处理数据进行特征分析以获取数据特征集合以及对应的数据特征向量集合;所述数据特征集合中的数据特征与所述数据特征向量集合中的特征向量一一对应;
通过多种预设的聚类算法分别对所述数据特征集合进行聚类分析以对应获得聚类结果,从而获得聚类结果集合,并根据各个聚类结果对应构建关系矩阵;
根据所述关系矩阵以及预设的共联矩阵计算公式,计算得出所述数据特征集合中各个数据特征的共联矩阵;
根据层次聚类算法对所述共联矩阵进行聚类分析,从而获得数据特征簇;
根据预设的选择方法,从所述数据特征簇中选择代表特征,并根据所述代表特征获取对应的第二历史运行数据组。
3.根据权利要求2所述的电网的设备攻击检测方法,其特征在于,根据所述设备攻击模型,对所述实时运行数据组进行攻击行为检测,从而获得检测结果,具体包括:
根据所述代表特征,对所述实时运行数据组进行降维处理,从而获得降维数据组以及对应的第一支持度;
筛选出所述降维数据组中与所述第二历史运行数据组之间相同的第一数据,从而对应确定所述第一数据的第一分类结果;所述降维数据组包括所述第一数据以及除第一数据之外的第二数据;
依次根据各个第二数据的第一支持度,从所述第二历史运行数据组中筛选出若干个第三数据,并依次将各个第二数据以及对应筛选出的第三数据输入所述设备攻击模型中,从而获得第二分类结果;
将所述第一分类结果以及所述第二分类结果作为检测结果输出。
4.根据权利要求3所述的电网的设备攻击检测方法,其特征在于,在根据所述设备攻击模型,对所述实时运行数据组进行攻击行为检测,从而获得检测结果之后,所述设备攻击检测方法还包括:
将所述检测结果发送给用户。
5.一种电网的设备攻击检测装置,其特征在于,所述设备攻击检测装置包括数据获取单元、模型训练单元以及攻击检测单元;其中,
所述数据获取单元用于获取待检测电网的第一历史运行数据组以及实时运行数据组,对所述第一历史运行数据组进行特征选择以获取第二历史运行数据组;
所述模型训练单元用于根据所述第二历史运行数据组,对预设的决策树模型进行训练,从而获取设备攻击模型;所述决策树模型基于决策树以及KNN算法构建而成;
所述攻击检测单元用于根据所述设备攻击模型,对所述实时运行数据组进行攻击行为检测,从而获得检测结果。
6.根据权利要求5所述的电网的设备攻击检测装置,其特征在于,所述数据获取单元还用于:
对所述第一历史运行数据组进行数值归一化处理,从而获得待处理数据组,并对所述待处理数据进行特征分析以获取数据特征集合以及对应的数据特征向量集合;所述数据特征集合中的数据特征与所述数据特征向量集合中的特征向量一一对应;
通过多种预设的聚类算法分别对所述数据特征集合进行聚类分析以对应获得聚类结果,从而获得聚类结果集合,并根据各个聚类结果对应构建关系矩阵;
根据所述关系矩阵以及预设的共联矩阵计算公式,计算得出所述数据特征集合中各个数据特征的共联矩阵;
根据层次聚类算法对所述共联矩阵进行聚类分析,从而获得数据特征簇;
根据预设的选择方法,从所述数据特征簇中选择代表特征,并根据所述代表特征获取对应的第二历史运行数据组。
7.根据权利要求6所述的电网的设备攻击检测装置,其特征在于,所述攻击检测单元还用于:
根据所述代表特征,对所述实时运行数据组进行降维处理,从而获得降维数据组以及对应的第一支持度;
筛选出所述降维数据组中与所述第二历史运行数据组之间相同的第一数据,从而对应确定所述第一数据的第一分类结果;所述降维数据组包括所述第一数据以及除第一数据之外的第二数据;
依次根据各个第二数据的第一支持度,从所述第二历史运行数据组中筛选出若干个第三数据,并依次将各个第二数据以及对应筛选出的第三数据输入所述设备攻击模型中,从而获得第二分类结果;
将所述第一分类结果以及所述第二分类结果作为检测结果输出。
8.根据权利要求7所述的电网的设备攻击检测装置,其特征在于,所述设备攻击检测装置还包括结果输出单元,所述结果输出单元用于将所述检测结果发送给用户。
9.一种电网的设备攻击检测系统,其特征在于,所述设备攻击检测系统包括攻击检测模块以及数据存储模块,所述攻击检测模块与数据存储模块通信连接,所述数据存储模块用于存储所有数据,所述攻击检测模块用于根据所述数据存储模块中存储的所有数据,执行如权利要求1-4任一项所述的电网的设备攻击检测方法。
10.根据权利要求9所述的电网的设备攻击检测系统,其特征在于,所述设备攻击检测系统还包括用户交互模块,所述用户交互模块包括通信单元、触摸/不可触摸显示屏、输入键盘、虚拟键盘、指示灯、麦克风或扬声器。
CN202210152455.XA 2022-02-18 2022-02-18 一种电网的设备攻击检测方法、装置及系统 Pending CN114710313A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210152455.XA CN114710313A (zh) 2022-02-18 2022-02-18 一种电网的设备攻击检测方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210152455.XA CN114710313A (zh) 2022-02-18 2022-02-18 一种电网的设备攻击检测方法、装置及系统

Publications (1)

Publication Number Publication Date
CN114710313A true CN114710313A (zh) 2022-07-05

Family

ID=82167828

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210152455.XA Pending CN114710313A (zh) 2022-02-18 2022-02-18 一种电网的设备攻击检测方法、装置及系统

Country Status (1)

Country Link
CN (1) CN114710313A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116781429A (zh) * 2023-08-24 2023-09-19 国网冀北电力有限公司 一种电力系统隐形攻击的检测方法、装置及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116781429A (zh) * 2023-08-24 2023-09-19 国网冀北电力有限公司 一种电力系统隐形攻击的检测方法、装置及设备
CN116781429B (zh) * 2023-08-24 2023-10-31 国网冀北电力有限公司 一种电力系统隐形攻击的检测方法、装置及设备

Similar Documents

Publication Publication Date Title
CN111314353B (zh) 一种基于混合采样的网络入侵检测方法及系统
CN109978070A (zh) 一种改进的K-means异常值检测方法以及装置
CN112528025A (zh) 基于密度的文本聚类方法、装置、设备及存储介质
CN111339297A (zh) 网络资产异常检测方法、系统、介质和设备
CN113762377B (zh) 网络流量识别方法、装置、设备及存储介质
CN110598065A (zh) 一种数据挖掘方法、装置和计算机可读存储介质
CN110632546B (zh) 基于全网域证据集的电子式互感器可信度评估方法和装置
CN110134719A (zh) 一种结构化数据敏感属性的识别与分类分级方法
CN110672323A (zh) 一种基于神经网络的轴承健康状态评估方法及装置
CN112200238B (zh) 基于声响特征的硬岩拉剪破裂识别方法与装置
CN113542241A (zh) 一种基于CNN-BiGRU混合模型的入侵检测方法及装置
CN110544047A (zh) 一种不良数据辨识方法
CN111444802B (zh) 一种人脸识别方法、装置及智能终端
CN114710313A (zh) 一种电网的设备攻击检测方法、装置及系统
CN108538290A (zh) 一种基于音频信号检测的智能家居控制方法
CN108768772A (zh) 基于代价敏感的自组织网络的故障探测方法
CN112270203A (zh) 一种基于熵权法的风机特征优选方法
CN114238062B (zh) 板卡烧录装置性能分析方法、装置、设备及可读存储介质
CN106709598B (zh) 一种基于单类样本的电压稳定性预测判断方法
CN114818827A (zh) 基于seq2point网络的非侵入式负荷分解方法
CN115598459A (zh) 一种配电网10kV馈线故障停电预测方法
CN114004989A (zh) 一种基于改进K-means算法的电力安全预警数据聚类处理方法
CN209357056U (zh) 一种通过语音将信息录入表格的系统
CN214118451U (zh) 一种基于熵权法的水泵特征优选装置
CN114280352B (zh) 一种基于电流的大仪工时计算方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination