CN114745152A - 基于iec61850 goose报文运行态势模型的入侵检测方法和系统 - Google Patents

Abstract

本发明涉及智能电网安全技术领域，公开了一种基于IEC61850 GOOSE报文运行态势模型的入侵检测方法和系统，通过采集某时间段的相关智能变电站系统正常运行过程中GOOSE报文事件行为特征属性项的数据，利用特定的机器无监督学习技术，建立起智能变电站的正常运行态势下事件行为特征属性项的合规运行模型，通过基于特征属性项的合规运行模型的实时GOOSE报文检测，实现对IEC61850的GOOSE报文的异常入侵的检测。与现有技术相比，本发明解决了IEC62351在实际使用过程中的局限性和不适用性。

Description

基于IEC61850 GOOSE报文运行态势模型的入侵检测方法和 系统

技术领域

本发明涉及智能电网安全技术领域，具体涉及一种基于IEC61850 GOOSE报文运行态势模型的入侵检测方法和系统。

背景技术

IEC61850是基于通用网络通信平台的智能电网系统的国际标准，它为基于IEC61850的智能电网各类电网智能设备提供了一个健壮的结构，制定了智能设备的面向对象的建模的方法。由于IEC61850中制定的标准化数据对象和建模方法，确保遵循标准的不同智能电网厂商和设备之间的相互操作性。其中，IEC61850标准中开发的消息交换协议，可用于不同目的设备间数据交换，如设备定期消息更新或事件触发消息。IEC61850使得智能电网的集成变得简单，减少了各类智能电网系统的开支。

IEC61850标准在设计的初始阶段，电网是一个非常封闭的专用网络，不向第三方连接开放，外部连接的可能性很小，所以标准设计之初没有考虑标准的安全规范。当数据在智能变电站系统中内部运行，安全功能对于智能电子设备并不是必须的，而一旦数据要在外部运行，比如IEC61850智能变电站和调度控制中心交互时，数据的安全性就变的愈来愈重要。

针对IEC61850的安全缺陷，后来发布的IEC62351协议标准实现了对IEC61850标准中的各类通讯协议的安全加固，使得IEC61850中各个协议具有了这些基本的安全功能。这种加固主要包括：1、通过数字签名，提供节点的双向身份认证；2、通过加密，提供传输层认证、加密密钥的机密性；3、通过加密，提供传输层及以上层次消息的机密性，防止窃听；4、通过消息鉴别码，提供传输层及以上层次消息的完整性；5、通过定义传输序列号有效性，防止传输层的重放和欺骗。由此可见，IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上，而IEC 62351对智能电网的入侵检测没有任何解决方案。从理论上讲，如果黑客成功地穿透了IEC 62351措施设置的第一道防线后，目前智能电网系统中没有任何系统能够实现对此类入侵的检测。

同时在实际智能电网生产环境中，IEC62351安全加固方法无法适用于的IEC61850中的GOOSE实时性要求极高的报文要求。目前智能电网中通常的IED设备采用的都是低功耗的CPU，这类CPU的计算功能并不是很强大，而对GOOSE报文的加解密和数字认证过程会极大地占用IED设备的CPU的使用时间，导致IED设备的运行效率极度下降，使得IED设备对GOOSE报文的响应时间无法在规定的时间内完成，从而影响了整个智能电网变电站的正常运行。

发明内容

发明目的：针对现有技术中存在的问题，本发明提供一种基于IEC61850 GOOSE报文运行态势模型的入侵检测方法和系统，解决了IEC62351在实际使用过程中的局限性和不适用性，通过采集某时间段的相关智能变电站系统正常运行过程中GOOSE报文事件行为特征属性项的数据，利用特定的机器无监督学习技术，建立起智能变电站的正常运行状态下事件行为特征属性项的合规运行模型，实现对IEC61850智能变电站系统中的GOOSE报文中的入侵行为的实时检测。

技术方案：本发明提供了一种基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，包括如下步骤：

步骤1：GOOSE报文采集还原，将二进制GOOSE报文流转换为可被解析的帧结构的GOOSE报文；

步骤2：对GOOSE报文中的事件特征属性项的合规稳定运行状态采用无监督的自动学习，构造基于GOOSE事件报文属性项的合规运行模型；

步骤3：利用所述合规运行模型完成对智能变电站系统中的GOOSE报文的合规性检测。

进一步地，所述步骤2中事件特征属性为“stNum”、“sqNum”值，提取GOOSE消息报文中的事件特征属性“stNum”、“sqNum”值和发生时间“Time”，建立基于“stNum”、“sqNum”以及“Time”的GOOSE消息事件合规运行的关联模型。

进一步地，所述步骤1中获取GOOSE报文并处理的过程为：

入侵检测系统监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出GOOSE报文的二进制数据流；

GOOSE报文二进制数据流进入一个报文数据队列，基于GOOSE报文结构，逐字节还原成ASCII码，实现GOOSE二进制数据流到GOOSE报文的帧还原，将二进制GOOSE数据流还原成一帧帧可解析的GOOSE报文。

进一步地，所述步骤2中构造属性项合规运行模型的具体过程为：

步骤2.1：对步骤1解析的GOOSE报文，利用正则表达式提取每帧GOOSE报文中的APDU部的属性项事件时标Time、状态序号stNum和稳态情况下报文发出的帧数sqNum；

步骤2.2：利用从每帧GOOSE报文中提取的事件行为属性项(Time、stNum和sqNum)和它们的值，形成一条{Time:对应值，stNum:对应值，sqNum:对应值}格式的GOOSE报文行为事件记录；

步骤2.3：采集至少大于一周的时间周期的智能变电站运行的GOOSE报文数据，在确保该时段智能变电站处于正常合规运行状态下，通过对该时段GOOSE报文持续采集和处理，形成干净的GOOSE报文行为事件记录集，该记录集作为一个学习集，用来对该智能变电站GOOSE报文合规行为事件的学习，建立该变电站基于变电站事件行为的合规运行模型；

步骤2.4：合规行为事件记录集合中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集；

步骤2.5：利用基于分片选择的孤立森林算法完成对合规行为事件数据集的训练学习，学习的结果是根据各属性项值建立属性项合规运行模型树，各个合规模型树组成一个合规模型森林，合规模型森林中的每一个合规树用于异常报文的检测。

进一步地，所述步骤2.5中利用基于分片选择的孤立森林算法完成对合规行为事件数据集的训练学习的具体过程为：

1)对于{Time:对应值，stNum:对应值，sqNum:对应值}三维属性项数据集中的n条数据，先从这n条数据中抽取一批子样本ψ；

2)从样本中随机选择两列特征，将两列特征值映射在一个超平面上形成为一列复合属性映射值，再根据此映射值建立合规孤立树，其中映射规则为：

其中，f(x)为映射值，Q为所有特征属性，j为随机选出的属性，c_j为[-1,1]间随机选取的值，X′为子样本集，X′_j为X′的第j个特征属性值。

进一步地，所述步骤2.5中根据各属性项值建立属性项合规运行模型树的具体过程为：

首先将映射值作为起始节点，并根据Sd-gain理论选择一个最优分割点P，根据Sd-gain理论对每个样本进行二叉划分，将样本中小于最优分割点P的样本划到左分支，样本中大于最优分割点P的划到右分支，然后在左右两个分支重复这样的二叉划分操作，直到达到满足如下条件：

条件1：数据本身不可再分割；

条件2：二叉树达到限定的最大深度，最大深度为log₂(ψ)，其中ψ为二次取样的子样本个数。

进一步地，其特征在于，所述合规事件行为的合规运行模型树的集合由100棵属性项合规树构成。

进一步地，所述步骤3中利用所述合规运行模型完成对智能变电站系统中的GOOSE报文的合规性检测的具体操作为：

步骤3.1：实时检测的每一个GOOSE报文实例X遍历每一个学习训练构成的GOOSE事件属性项合规运行模型树，对每一个GOOSE报文实例X进行映射，将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值，再进行二叉划分，将检测集中小于最优分割点P的样本传递给左分支，大于最优分割点P的样本向下移动到右分支。

步骤3.2：对于每一个报文实例X，遍历完建立起来的m个合规模型树得到m个路径长度，通过运用统计学的方法计算得出m个路径长度平均路径长度，根据平均路径长短计算出该GOOSE报文实例X的异常得分；

步骤3.3：对于异常GOOSE报文通知告警。

本发明还公开一种基于IEC61850 GOOSE报文运行态势模型的入侵检测系统，包括：

GOOSE报文采集还原模块，用于对GOOSE报文采集还原，将二进制GOOSE报文流转换为可被解析的帧结构的GOOSE报文；

GOOSE报文事件行为学习模块，用于对GOOSE报文中的事件特征属性项的合规稳定运行状态无监督自动学习，构造属性项合规运行模型；

GOOSE报文事件的实时入侵检测模块，用于利用所述合规运行模型完成对智能变电站系统中的GOOSE报文的合规性检测。

有益效果：

1、本发明中利用机器学习技术，建立这两个特征属性项的合规运行模型，基于关键属性项的合规运行模型，实现对可能入侵报文的实时检测。对某个时间段的智能电网系统中GOOSE报文中的“stNum”和“sqNum”事件特征属性项的合规稳定运行状态的学习，可构造出该智能变电站基于“stNum”和“sqNum”的属性项合规运行模型，利用事件属性项合规运行模型，实现GOOSE报文异常行为的检测。

2、本发明解决了IEC62351在实际使用过程中的局限性和不适用性，通过采集某时间段的相关智能变电站系统正常运行过程中GOOSE报文事件行为特征属性项的数据，利用特定的机器无监督学习技术，建立起智能变电站的正常运行状态下事件行为特征属性项的合规运行模型，实现对IEC61850智能变电站系统中的GOOSE报文中的入侵行为的实时检测。

3、本发明设置合规运行模型树的集合由100棵属性项合规树构成，由于GOOSE事件属性项合规模型里达到100棵树后，属性项合规运行模型树的数量再增加，异常检测的结果不会有进一步的提升，所以设置100棵属性项合规树，即能满足异常检测精度，也不存在浪费能源的情况。

附图说明

图1为本发明IEC61850-GOOSE正常报文传输和突发事件报文传输的示意图；

图2为本发明IEC61850-GOOSE报文帧结构示意图；

图3为本发明IEC61850-GOOSE报文事件合规运行模型学习过程；

图4为本发明IEC61850的GOOSE报文入侵检测系统工作示意图；

图5为本发明特征属性项合规模型树建立过程示意图；

图6为本发明GOOSE报文异常检测过程示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

参见附图1至附图6，本发明公开一种基于IEC61850 GOOSE报文运行态势模型的入侵检测方法和系统。

IEC61850智能电网或变电站系统利用GOOSE报文完成站内不同IED智能设备间以及与站外调度系统间的数据通讯和交互，GOOSE作为通用面向对象变电站事件(GenericObject-Oriented变电站事件，GOOSE)消息，是用来交换智能电网或变电站系统中发生的各类事件一种处理方式。当智能变电站系统中发生预定的事件时，会触发GOOSE消息，并向需要对该事件进行警报和响应的用户发送消息，智能变电站中GOOSE消息会以突发的形式发送，直到稳定为循环消息，如图1所示的GOOSE正常报文传输和突发事件报文传输的示意图。

图1中GOOSE报文传输示意图中的GOOSE报文编号代表着突发事件分属于不同事件的GOOSE消息以及属于同一事件且彼此重复的GOOSE消息，根据IEC61850标准中GOOSE报文中定义，GOOSE报文(如图2中IEC61850-GOOSE报文帧结构示意图)是通过“stNum”和“sqNum”两个事件特征属性项数据状态的变化来追踪GOOSE中事件的变化，其中“stNum”参数用于跟踪事件的变化，而“sqNum”用来记录在单个事件序列号“stNum”下的GOOSE报文发出的消息帧数。其中，属于同一事件并且在同一序列中重复的GOOSE消息，它们具有相同的“stNum”，而“sqNum”的值则随着这一事件发出的消息数量的增加而增大。当智能变电站系统中发生新事件时(参见图1),“stNum”因事件变化重置为1，配对的“sqNum”也会被重置为1，意味着发生了一个新事件，并且该事件的第一个消息以sqNum＝1的形式发送。这两个参数是IEC61850智能变电站系统事件中的关键特征属性项，反应了智能变电站系统中事件的产生和变化。

因为GOOSE报文中的“stNum”和“sqNum”特征属性项用于跟踪与同一事件相关联的消息序列，以及单个事件发生的状态变更，本发明利用这两个属性参数的状态变化来检测智能变电站系统安全正常运行状态，检测各类企图入侵的恶意GOOSE报文。由于GOOSE报文的最初用途是将跳闸信号从继电器发送到断路器，这意味着只有在系统中出现故障时才会发出新的事件GOOSE消息，因此在一个健康稳定运行的智能变电站系统中，变电站内部的突发事件通常不会频繁发生，可以理解为GOOSE报文中对应的“stNum”值不会频繁变化，而GOOSE消息报文中的“sqNum”值则随着时间伴随着消息报文发送量的增加而出现频繁递增的变化，“sqNum”的值在一个正常稳态的事件中往往会随时间推移不断增大。而当智能变电站系统被入侵后，入侵者通常会在较短时间内通过注入恶意GOOSE报文改变智能变电站的正常运行行为，从而达到威胁智能电网和智能变电站的安全运行的目的。此类GOOSE报文入侵行为表现为GOOSE报文事件发生间隔非常短，GOOSE消息的发送非常频繁，可以观察到在这种入侵过程中，GOOSE消息报文中的“stNum”值短时间变化非常频繁，从而导致“sqNum”值则在较短时间和较小的数值范围内急剧变化，造成原因是由于报文入侵行为在短时间内产生大量入侵事件，导致智能变电站系统的稳态运行模式发生改变到突发运行模式，“sqNum”的值会随着“stNum”的变化而急剧变化。

当智能变电站系统受到GOOSE报文入侵，短时间段产生大量事件，当标识事件变化的“stNum”改变时，每个新的GOOSE消息序列以sqNum＝1开始时，也可以观察到“stNum”值的频繁重置，而“sqNum”的值变化通常也在一到两位数之间急剧改变。GOOSE报文入侵发生时通常智能变电站网络中会充斥着新的GOOSE序列的突发型消息，它以循环消息为主的智能变电站稳定运行状态相反。由此可见，短时间突发性的入侵GOOSE报文的事件行为模式和正常稳态的GOOSE报文事件行为模式完全不同。

基于上面的分析，本发明公开的基于IEC61850 GOOSE报文运行态势模型的入侵检测系统包括GOOSE报文采集还原模块，用于对GOOSE报文采集还原，将二进制GOOSE报文流转换为可被解析的帧结构的GOOSE报文；GOOSE报文事件行为学习模块，用于对GOOSE报文中的事件特征属性项的合规稳定运行状态无监督自动学习，构造属性项合规运行模型；GOOSE报文事件的实时入侵检测模块，用于利用所述合规运行模型完成对智能变电站系统中的GOOSE报文的合规性检测。

通过对某个时间段的智能电网系统中GOOSE报文中的“stNum”和“sqNum”事件特征属性项的合规稳定运行状态的学习，可构造出该智能变电站基于“stNum”和“sqNum”的属性项合规运行模型，利用事件属性项合规运行模型，实现GOOSE报文异常行为的检测。通过提取相关智能变电站某时间段网络中的GOOSE消息报文中的事件特征属性“stNum”、“sqNum”值和发生时间“Time”，建立该智能变电站基于“stNum”、“sqNum”以及“Time”的GOOSE消息事件合规运行的关联模型，提供给入侵检测系统的实时检测模块，完成基于实时GOOSE报文中“stNum”和“sqNum”特征属性项行为的异常检测。

根据图4的IEC61850的GOOSE报文入侵检测系统工作示意图，本发明基于IEC61850GOOSE报文运行态势模型的入侵检测方法的具体的实施检测步骤如下：

步骤1：GOOSE报文采集还原，这个步骤是将二进制GOOSE报文流转换为可被解析的帧结构的GOOSE报文，具体步骤如下：

步骤1.1：入侵检测系统监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出GOOSE报文的二进制数据流；

步骤1.2：GOOSE报文二进制数据流进入一个报文数据队列，基于GOOSE报文结构(见图2)，逐字节还原成ASCII码，实现GOOSE二进制数据流到GOOSE报文的帧还原，将二进制GOOSE数据流还原成一帧帧可解析的GOOSE报文。

步骤2：GOOSE报文学习训练过程，当基于GOOSE报文的入侵检测系统应用于某个具体的IEC61850智能变电站中时，首先GOOSE报文事件行为学习模块通过对一个时间段变电站正常运行时的GOOSE报文中的事件行为中的特征属性状态的学习，建立起该变电站的GOOSE报文事件行为的合规运行模型。

其中，GOOSE报文事件行为学习建模包括以下几个步骤项(参见图3)：

步骤2.1：从采集模块获取可被解析的GOOSE帧报文，利用正则表达式提取每帧GOOSE报文中的APDU部的属性项Time(事件时标)、stNum(状态序号)和sqNum(稳态情况下报文发出的帧数)；

步骤2.2：利用从每帧GOOSE报文中提取的事件行为属性项(Time、stNum和sqNum)和它们的值，形成一条{Time:对应值，stNum:对应值，sqNum:对应值}格式的GOOSE报文行为事件记录；

步骤2.3：采集至少大于一周的时间周期的智能变电站运行的GOOSE报文数据，在确保该时段智能变电站处于正常合规运行状态下，通过对该时段GOOSE报文持续采集和处理，形成干净的GOOSE报文行为事件记录集，该记录集可作为一个学习集，提供给入侵检测系统的学习模块用来对该智能变电站GOOSE报文合规行为事件的学习，用于建立该变电站基于变电站事件行为的合规运行模型；

步骤2.4：合规行为事件记录集中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集。根据GOOSE报文定义，行为事件记录中的stNum和sqNum两个属性项为数字属性项，无需转换。而Time(事件发生时间)为时间属性项，时间属性项数字化规则是数字周几+发生到秒的时间，例如:2021-07-2915:32:12数字化后为4153212，其中4对应2021-07-29周四，153212对应发生时间15:32:12秒；

步骤2.5：GOOSE入侵检测系统的学习模块利用基于分片选择的孤立森林算法完成对合规行为事件数据集的训练学习，学习的结果是根据各属性项值建立属性项合规运行模型树，各个合规模型树组成一个合规模型森林，合规模型森林中的每一颗合规树用于异常报文的检测。

在属性项合规模型学习训练阶段，对于{Time:对应值，stNum:对应值，sqNum:对应值}三维属性项数据集中的n条数据，先从这n条数据中抽取一批子样本，假设子样本个数为ψ，每建立完成一棵树都要重新抽取子样本集。首先从样本中随机选择两列特征，将两列特征值映射在一个超平面上形成为一列复合属性映射值，再根据此映射值建立合规孤立树，其中映射规则为：

其中，f(x)为映射值，Q为所有特征属性，j为随机选出的属性，c_j为[-1,1]间随机选取的值，X′为子样本集，X′_j为X′的第j个特征属性值。具体步骤如图3所示的IEC61850的GOOSE报文合规事件行为学习建模过程。

步骤2.6：GOOSE入侵检测系统的建模过程本质是建立属性项{Time，stNum，sqNum}的属性项合规模型树的过程，图5是简单的建立一棵属性项合规模型树的可视化过程，这里随机选取图五子样本1映射后的4个数据进行展示，首先将映射值作为起始节点，并根据Sd-gain理论选择一个最优分割点P，Sd-gain理论即当一个超平面能清晰地将两个不同的分布分开时，这两个分布的内部离散程度是最小的。根据这一理论对每个样本进行二叉划分，将样本中小于该最优分割点P的样本划到左分支，样本中大于该最优分割点P的划到右分支。然后在左右两个分支重复这样的二叉划分操作。直到达到满足如下条件：

条件1：数据本身不可再分割；

条件2：二叉树达到限定的最大深度，最大深度为log₂(ψ)。

如图6特征属性项合规模型树的建立过程示意图。

由于GOOSE事件属性项合规模型里达到100棵树后，属性项合规运行模型树的数量再增加，异常检测的结果不会有进一步的提升，所以本发明中的合规事件行为的合规运行模型树的集合默认由100棵属性项合规树构成。

步骤3：GOOSE报文实时入侵检测模块利用学习模块建立起来的事件行为属性项的合规模型树，实现对当前运行的智能变电站中产生的GOOSE报文异常入侵检测，发现异常的入侵报文并告警。

GOOSE报文行为事件的异常检测步骤如下(参见图6)：

步骤3.1：实时检测的每一个GOOSE报文实例X都需要遍历每一个学习训练构成的GOOSE事件属性项合规运行模型树(属性项合规运行树集合)，对每一个GOOSE报文实例X进行和学习模块一样的映射，将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值，接着进行二叉划分，将检测集中小于最优分割点P的样本传递给左分支，大于最优分割点P的样本向下移动到右分支。

步骤3.2：接下来对于每一个报文实例X，遍历完建立起来的m个合规模型树(最多100棵)可以得到m个路径长度，接着通过运用统计学的方法计算得出m个路径长度平均路径长度，当平均路径越短，异常程度越大，越会被判定为异常实例点，并且可以根据平均路径长短计算出该GOOSE报文实例X的异常得分。

步骤3.3：对于异常GOOSE报文通知告警系统，完成告警操作。

上述实施方式只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，包括如下步骤：

步骤1：GOOSE报文采集还原，将二进制GOOSE报文流转换为可被解析的帧结构的GOOSE报文；

步骤2：对GOOSE报文中的事件特征属性项的合规稳定运行状态采用无监督的自动学习，构造基于GOOSE事件报文属性项的合规运行模型；

步骤3：利用所述合规运行模型完成对智能变电站系统中的GOOSE报文的合规性检测。

2.根据权利要求1所述的基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，所述步骤2中事件特征属性项为“stNum”、“sqNum”值，提取GOOSE消息报文中的事件特征属性“stNum”、“sqNum”值和发生时间“Time”，建立基于“stNum”、“sqNum”以及“Time”的GOOSE消息事件合规运行的关联模型。

3.根据权利要求1所述的基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，所述步骤1中获取GOOSE报文并处理的过程为：

入侵检测系统监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出GOOSE报文的二进制数据流；

GOOSE报文二进制数据流进入一个报文数据队列，基于GOOSE报文结构，逐字节还原成ASCII码，实现GOOSE二进制数据流到GOOSE报文的帧还原，将二进制GOOSE数据流还原成一帧帧可解析的GOOSE报文。

4.根据权利要求1所述的基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，所述步骤2中构造属性项合规运行模型的具体过程为：

步骤2.1：对步骤1解析的GOOSE报文，利用正则表达式提取每帧GOOSE报文中的APDU部的属性项事件时标Time、状态序号stNum和稳态情况下报文发出的帧数sqNum；

步骤2.2：利用从每帧GOOSE报文中提取的事件行为属性项(Time、stNum和sqNum)和它们的值，形成一条{Time:对应值，stNum:对应值，sqNum:对应值}格式的GOOSE报文行为事件记录；

步骤2.3：采集至少大于一周的时间周期的智能变电站运行的GOOSE报文数据，在确保该时段智能变电站处于正常合规运行状态下，通过对该时段GOOSE报文持续采集和处理，形成干净的GOOSE报文行为事件记录集，该记录集作为一个学习集，用来对该智能变电站GOOSE报文合规行为事件的学习，建立该变电站基于变电站事件行为的合规运行模型；

步骤2.4：合规行为事件记录集合中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集；

步骤2.5：利用基于分片选择的孤立森林算法完成对合规行为事件数据集的训练学习，学习的结果是根据各属性项值建立属性项合规运行模型树，各个合规模型树组成一个合规模型森林，合规模型森林中的每一颗合规树用于异常报文的检测。

5.根据权利要求4所述的基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，所述步骤2.5中利用基于分片选择的孤立森林算法完成对合规行为事件数据集的训练学习的具体过程为：

1)对于{Time:对应值，stNum:对应值，sqNum:对应值}三维属性项数据集中的n条数据，先从这n条数据中抽取一批子样本ψ；

2)从样本中随机选择两列特征，将两列特征值映射在一个超平面上形成为一列复合属性映射值，再根据此映射值建立合规孤立树，其中映射规则为：

其中，f(x)为映射值，Q为所有特征属性，j为随机选出的属性，c_j为[-1,1]间随机选取的值，X′为子样本集，X′_j为X′的第j个特征属性值。

6.根据权利要求5所述的基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，所述步骤2.5中根据各属性项值建立属性项合规运行模型树的具体过程为：

首先将映射值作为起始节点，并根据Sd-gain理论选择一个最优分割点P，根据Sd-gain理论对每个样本进行二叉划分，将样本中小于最优分割点P的样本划到左分支，样本中大于最优分割点P的划到右分支，然后在左右两个分支重复这样的二叉划分操作，直到达到满足如下条件：

条件1：数据本身不可再分割；

条件2：二叉树达到限定的最大深度，最大深度为log₂(ψ)，其中ψ为二次取样的子样本个数。

7.根据权利要求4或5或6所述的基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，所述合规事件行为的合规运行模型树的集合由100棵属性项合规树构成。

8.根据权利要求7所述的基于IEC61850 GOOSE报文运行态势模型的入侵检测方法，其特征在于，所述步骤3中利用所述合规运行模型完成对智能变电站系统中的GOOSE报文的合规性检测的具体操作为：

步骤3.1：实时检测的每一个GOOSE报文实例X遍历每一个学习训练构成的GOOSE事件属性项合规运行模型树，对每一个GOOSE报文实例X进行映射，将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值，再进行二叉划分，将检测集中小于最优分割点P的样本传递给左分支，大于最优分割点P的样本向下移动到右分支。

步骤3.2：对于每一个报文实例X，遍历完建立起来的m个合规模型树得到m个路径长度，通过运用统计学的方法计算得出m个路径长度平均路径长度，根据平均路径长短计算出该GOOSE报文实例X的异常得分；

步骤3.3：对于异常GOOSE报文通知告警。

9.一种基于IEC61850 GOOSE报文运行态势模型的入侵检测系统，其特征在于，包括：

GOOSE报文采集还原模块，用于对GOOSE报文采集还原，将二进制GOOSE报文流转换为可被解析的帧结构的GOOSE报文；

GOOSE报文事件行为学习模块，用于对GOOSE报文中的事件特征属性项的合规稳定运行状态无监督自动学习，构造属性项合规运行模型；

GOOSE报文事件的实时入侵检测模块，用于利用所述合规运行模型完成对智能变电站系统中的GOOSE报文的合规性检测。

Images