CN114938287A - 一种融合业务特征的电力网络异常行为检测方法及装置 - Google Patents
一种融合业务特征的电力网络异常行为检测方法及装置 Download PDFInfo
- Publication number
- CN114938287A CN114938287A CN202210345334.7A CN202210345334A CN114938287A CN 114938287 A CN114938287 A CN 114938287A CN 202210345334 A CN202210345334 A CN 202210345334A CN 114938287 A CN114938287 A CN 114938287A
- Authority
- CN
- China
- Prior art keywords
- flow
- service
- data
- remote
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种融合业务特征的电力网络异常行为检测方法及装置,根据协议启动符对电力网络流量进行协议分类。通过对流量数据进行字段级的深度解析,实现流量的遥测类业务、遥信类业务以及遥控遥调类业务的划分。利用流量数据信息熵跳变阈值,实现遥测类业务流量中的数据跳变异常检测。建立起基于业务时序逻辑模型相似度的遥控遥调类业务异常流量检测模型,利用欧几里得距离计算出实时业务流量的相似度结果,完成遥控遥测类业务的异常流量检测。本发明克服了现有电力网络流量异常检测方法侧重于网络层攻击特征的局限性,能够有效辨识隐藏于复杂业务逻辑中的定制化攻击行为,提升了异常行为检测的准确率。
Description
技术领域
本发明涉及电力系统技术领域,特别是一种融合业务特征的电力网络异常行为检测方法及装置。
背景技术
随着物联网的飞速发展,传统电力系统网络正快速转型为物理网络与信息网络高度耦合的智能电网。与此同时,智能变电站作为智能电网中的核心构成部分之一,得到了快速的建设与发展,国内越来越多的智能变电站已被投入使用之中,这也给电力系统网络安全带来了潜在风险。近年来,国内外发生了多起由网络攻击引起的电网安全事故,严重威胁到社会稳定及国家安全。
考虑到网络攻击的实现手段通常是由篡改或注入虚假工控数据流量实现的,因此如何对电力工控流量进行准确的异常攻击流量检测是解决问题的核心。但是现有的电力系统网络异常流量检测方法缺乏对变电站业务的深层考虑,仅能实现一些网络层攻击特征的异常流量检测,无法识别隐藏于电力业务逻辑之中的定制化网络攻击。因此,亟需一种融合电力业务特征的电网异常行为检测方法,实现电力业务特征层面的电力网络异常流量检测,进而提升电力系统网络的安全性与可靠性。
发明内容
本发明所要解决的技术问题是,针对现有技术不足,提供一种融合业务特征的电力网络异常行为检测方法及装置,克服现有异常流量检测方法仅考虑网络层流量统计特征的局限性,实现了针对电力业务的高度定制化攻击行为的有效检测。
为解决上述技术问题,本发明所采用的技术方案是:一种融合业务特征的电力网络异常行为检测方法,包括以下步骤:
S1、采集电力网络流量数据,根据启动符进行电力网络流量的协议分类;
S2、针对步骤S1中得到的不同类型协议进行流量字段级深度解析,按照不同电力业务类型将流量分为遥测类业务、遥信类业务、遥调/遥控类业务;
S3、结合步骤S2解析得到的遥测类业务流量数据,对流量中单一信息体地址对应的设备数据进行值域跳变分析,利用信息熵计算出第k帧流量中单一信息体地址i对应数据的信息熵值Sk,i,利用所述信息熵值Sk,i判断第k帧流量是否异常;
结合步骤S2解析得到的遥测类业务流量数据,对流量中所有信息体地址对应的设备数据进行值域均值跳变分析,利用单一信息体地址信息熵Sk,i计算出第k帧流量所包含的所有信息体地址前后帧流量数据的信息熵均值Sk,利用所述信息熵均值Sk判断第k帧流量是否为异常流量;
结合步骤S2解析得到的遥信类业务流量数据,计算周期内遥信流量数据中单一信息体地址i的变位次数Bi,判断变位次数Bi是否超出单一设备变位频次阈值,若超出,则判定为异常流量数据;若未超出,则为正常流量数据;计算遥信流量数据中所有信息体地址设备变位次数B,判断变位次数B是否超出设备总变位频次阈值,若超出,则判定为异常流量数据;若未超出,则为正常流量数据;
结合步骤S2解析得到的遥控遥调类业务流量数据,提取出典型遥控/遥调类业务时序逻辑模型Mg,构建恶意遥控遥调时序逻辑模型,实现电力业务特征的时序模型提取;计算当前遥控遥调流量的时序逻辑数据X与典型遥控遥调时序逻辑模型Mg的相似性,以及当前遥控遥调流量的时序逻辑数据X与恶意遥控遥调时序逻辑模型Ny之间的相似度,若相似度结果高于相应的业务相似度基线,则认为是电力网络异常流量;否则,为正常流量。
本发明将电力业务划分为遥测类业务、遥信类业务以及遥控/遥调类业务,首先利用流量数据信息熵跳变阈值,实现遥测类业务流量中的数据跳变异常检测。其次通过计算遥信类业务数据中所有信息体地址设备变位次数,实现遥信类业务数据异常流量检测。最后建立起基于业务时序逻辑模型相似度的遥控遥调类业务异常流量检测模型,计算出实时业务流量的相似度结果,完成遥控遥测类业务的异常流量检测。综上,本发明能够弥补现有电力网络流量异常检测方法侧重于网络层攻击特征的局限性,可以有效辨识隐藏于复杂业务逻辑中的定制化攻击行为,实现基于电力业务特征的电力网络异常流量检测。
步骤S2的具体实现过程包括:
1)对每一类协议的流量数据进行字段级的深度解析;
2)结合步骤1)解析得到的各字段含义,确定出各电力业务类型所对应的字段数值范围;
3)根据所述字段数值范围,将流量分为遥测业务、遥信业务、遥调/遥控业务。
目前常见的防火墙、隔离装置、入侵监测等安全保护产品均缺乏对电力业务的深层考虑,并且现有的电力异常流量检测方法仅能辨识一些网络层面的异常行为,无法识别隐藏于业务逻辑之中的定制化网络攻击。本发明通过对协议流量进行字段级指令解析,并按照电力业务类型对其分为遥测业务、遥信业务、遥调/遥控业务三大类,方便区分不同电力业务的流量特征,为实现基于电力业务的异常流量检测打下基础。
步骤S3中,第k帧流量中信息体地址i对应信息体数据的信息熵值Sk,i的计算公式为:
利用所述信息熵值Sk,i判断第k帧流量是否异常的具体实现过程包括:计算各个遥测信息体地址对应的数据跳变阈值,即熵值参数的正常取值范围,第k帧流量中信息体地址i对应数据信息熵的跳变阈值Tk,i的计算公式为:Tk,i=Gk,i±3θk,i;其中,Gk,i表示第k帧流量中信息体地址i对应数据信息熵的估计值;θk,i表示第k帧流量中信息体地址i对应数据信息熵的标准差;
判断所述信息熵值Sk,i是否超出正常信息熵阈值范围Tk,i∈[Gk,i-3θk,i,Gk,i+3θk,i],若是,则判定第k帧流量为异常流量;否则,为正常流量。
本发明通过计算遥测业务类流量中第k帧流量内每一个信息体地址i∈[1,N]所对应的信息体数据信息熵,并提取前a帧同一信息体地址对应的信息体数据计算出实时的数据信息熵跳变阈值范围,进而实现单帧单设备信息体数据的异常流量检测。该步骤可以有效发掘攻击者恶意篡改单一信息体设备数据所产生的异常攻击流量,从而实现对高级定制化攻击的准确识别。
本发明综合考虑检测精度和算法复杂程度,将a设定为20。
步骤S2中,利用所述信息熵均值Sk判断第k帧流量是否为异常流量的具体实现过程包括:判断信息熵均值Sk是否超出正常信息熵阈值范围[Gk-3θk,Gk+3θk],若是,则判定第k帧流量为异常流量;否则,为正常流量; Gk表示第k帧流量中所有信息体地址对应数据信息熵均值的估计值;θk表示第k帧流量中所有信息体地址对应数据信息熵均值的标准差;N为每一帧遥测流量中携带的信息体数据的数量。
本发明通过计算遥测业务类流量中第k帧流量内所有信息体地址对应的信息体数据信息熵均值,并提取前a帧遥测类业务流量计算出实时的数据信息熵跳变均值阈值范围,进而实现单帧所有设备信息数据的异常流量检测。该步骤可以有效发现攻击者大面积篡改遥测数据所产生的异常攻击流量,从而实现对高级定制化攻击的准确识别。
本发明通过计算遥信业务类流量中一定时间周期内单一信息体地址设备对应的变位频次数据以及所有设备的总变位频次数据,并判断是否超出单一设备变位频次最大值以及所有设备变位频次最大值,进而实现遥信业务流量的异常检测。该步骤可以有效辨识攻击者恶意篡改遥信数据使得单一重要设备的频繁开断及多设备的频繁变位所造成的异常流量,提升遥信类业务攻击流量检测的准确率。
所述恶意遥控遥调时序逻辑模型的表达式如下:其中,Ny表示攻击行为y的恶意遥控遥调时序逻辑模型;表示攻击行为y在时刻t时的数据信息;其中 表示攻击行为y在时刻t流量中的传送原因、数据类型及字节长度,表示攻击行为y在时刻t流量持续的时间长度;
典型遥控遥调时序逻辑模型Mg的表达式为:其中,Mg表示典型业务g的时序逻辑模型;表示典型业务g在时刻t的数据信息;其中 用来表示典型业务g在时刻t流量中的传送原因、数据类型及字节长度组成的向量,表示典型业务g在时刻t流量持续的时间长度,即与下一帧典型业务g流量之间的时长;
当前遥控遥调流量的时序逻辑数据X的表达式为:x=[x1,x2,x3,…,xt];其中,X表示当前业务的时序逻辑模型;xt表示当前业务在时刻t的数据信息;其中
xt=(pt,qt),pt用来表示当前业务在时刻t流量中的传送原因、数据类型及字节长度组成的向量,qt表示当前业务在时刻t流量持续的时间长度,即与下一帧业务流量之间的时长;
LM=min{d(X,M1),d(X,M2),…,d(X,MG)},LN=min{d(X,N1),d(X,N2),…,d(X,NY)};
X表示当前业务的时序逻辑模型;Ny表示攻击行为y的恶意遥控遥调时序逻辑模型,Y表示所有恶意攻击业务时序逻辑模型的总数量;Mg表示典型业务g的时序逻辑模型,G表示所有典型业务时序逻辑模型的总数量。
本发明结合历史遥控遥调类业务流量数据分别构建了正常典型业务时序逻辑模型以及攻击时序逻辑模型,并形成当前待检测遥控遥调类业务的时序逻辑模型。进一步计算了当前业务时序逻辑模型与正常典型业务时序逻辑模型以及恶意攻击时序逻辑模型之间的最小距离,得到当前业务逻辑与所有业务逻辑模型的相似度结果,进而实现基于业务逻辑相似度的异常流量检测。该步骤可以实现业务流量指令级细粒度的相似度分析,并通过判别当前业务时序逻辑模型与何种业务时序模型最相似实现异常流量检测。
为进一步便于识别异常行为,本发明的方法还包括:基于步骤S3计算出的遥测类业务流量数据信息熵值Sk,i以及Sk、变位次数以及相似度结果,形成相应的异常行为告警信号。
一种计算机装置,包括存储器、处理器及存储在存储器上的计算机程序;所述处理器执行所述计算机程序,以实现本发明所述方法的步骤。
与现有技术相比,本发明所具有的有益效果为:
(1)本发明针对现有电力系统异常流量检测方法缺乏与电力业务深度融合的问题,提出了一种结合电力业务特征的电力系统网络异常流量检测方法。通过将电力业务划分为遥测类业务、遥信类业务以及遥控/遥调类业务,实现基于电力业务特征的电力网络异常流量检测。
(2)本发明基于遥信变位频次的遥信类业务流量检测,实现了遥测遥信高隐身攻击数据的有效检测。
(3)本发明建立了一种基于业务时序逻辑模型的遥控遥调类业务异常流量检测模型,利用欧几里得距离计算实时流量的时序逻辑业务模型与正常及攻击业务时序逻辑模型之间的相似度,实现了遥控遥调类业务的异常流量检测,克服了现有异常检测方法难以辨识隐藏于电力业务逻辑中的攻击行为的局限性,提升了异常行为检测的准确率。
附图说明
图1是本发明实施例1的实施流程图。
图2是本发明实施例1的IEC 104协议字段级解析图。
图3是本发明实施例2融合业务特征的电力网络异常行为检测系统的结构示意图。
图4是本发明实施例遥2测类业务异常流量检测模块的系统单元图。
图5是本发明实施例遥2信类业务异常流量检测模块的系统单元图。
图6是本发明实施例遥2控遥调类业务异常流量检测模块的系统单元图。
具体实施方式
图1为本发明实施例1提供的融合业务特征的电力网络异常行为检测方法的流程图,具体的实施步骤如下:
步骤S1:首先采集电力网络流量数据,并根据启动符进行电力网络流量的协议分类;
步骤S2:针对步骤S1中得到的不同协议进行流量字段级深度解析,按照不同电力业务类型将流量分为遥测业务、遥信业务、遥调/遥控业务三大类,以区分不同电力业务的流量特征;
步骤S3:结合步骤S2中解析所得到的遥测类业务流量数据,对流量中单一信息体地址对应的设备数据进行值域跳变分析,利用信息熵计算出第k帧流量中单一信息体地址i对应数据的信息熵值Sk,i;
步骤S4:结合步骤S2中解析所得到的遥测类业务流量数据,对流量中所有信息体地址对应的设备数据进行值域均值跳变分析,利用信息熵计算出第k帧流量所包含的所有信息体地址前后帧流量数据的信息熵均值Sk;
步骤S5:结合步骤S2中解析所得到的遥信类业务流量数据,计算周期内遥信流量数据中单一信息体地址i的变位次数Bi,判断是否超出单一设备变位频次阈值,若超出,则判定为异常流量数据;若未超出,则为正常流量数据;进一步计算遥信流量数据中所有信息体地址设备变位次数B,判断是否超出设备总变位频次阈值,若超出,则判定为异常流量数据;若未超出,则为正常流量数据;
步骤S6:结合步骤S2中解析所得到的遥控遥调类业务流量数据,提取出典型遥控遥调类业务时序逻辑模型Mg,并结合专家知识及历史数据构建相应的恶意遥控遥调时序逻辑模型Ny,实现电力业务特征的时序模型提取;进一步利用相似度模型计算当前遥控遥调流量的时序逻辑数据X与典型遥控遥调时序逻辑模型Mg以及恶意遥控遥调时序逻辑模型Ny两者之间的相似度,实现基于电力业务时序特征的异常流量检测;
步骤S7:基于步骤S3-S6中所计算出的流量信息熵、变位频次以及相似度结果,形成相应的异常行为告警信号,实现不同电力业务的异常流量检测。
进一步的,步骤S2的具体执行步骤包括:
S2-1:根据步骤S1采集的电力网络流量数据,按照启动字符对协议类型进行分类,如IEC 104、IEC 103、IEC 102等;
S2-2:针对每一类协议的流量数据,对其进行字段级的深度解析,以IEC 104协议格式为例,其字段级格式解析如图2所示,其特征在于:
第1个字节:启动字符(68H);
第2个字节:APDU的长度(最大不超过253);
第3-6字节:控制域(用于区分U帧、I帧、S帧);
第7个字节:类型标识(用于区分数据类型);
第8个字节:可变结构限定词(用于表示信息体对象个数);
第9-10个字节:传送原因;
第11-12个字节:应用服务数据单元公共地址(一般用于表示变电站站地址);
第13及以后字节:信息体(包含信息体地址以及信息体数据信息);
S2-3:结合步骤S2-2中解析得到的各字段含义,确定出各电力业务类型所对应的字段数值范围,以IEC 104协议格式数据为例,其特征在于:
遥测业务类流量数据:类型标识字段十进制数值取值范围为9,11,13,15,21,34-37等。
遥信业务类流量数据:类型标识字段十进制数值取值范围为1,3,20,30,31等。
遥调/遥控业务类流量数据:类型标识字段十进制数值取值范围为45-64等。
S2-4:根据上述流量字段级的深度解析结果,按照不同电力业务类型将流量分为遥测业务、遥信业务、遥调/遥控业务三大类,以区分不同电力业务的流量特征。
目前常见的防火墙、隔离装置、入侵监测等安全保护产品均缺乏对电力业务的深层考虑,并且现有的电力异常流量检测方法仅能辨识一些网络层面的异常行为,无法识别隐藏于业务逻辑之中的定制化网络攻击。步骤S2则是通过对协议流量进行字段级指令解析,并按照电力业务类型对其分为遥测业务、遥信业务、遥调/遥控业务三大类,方便区分不同电力业务的流量特征,为实现基于电力业务的异常流量检测打下基础。
进一步的,步骤S3包括:
步骤S3-1:结合步骤S2中提取得到的遥测类业务流量数据,对第k帧流量中单个信息体地址i对应数据进行值域跳变异常检测。
步骤S3-2:根据每一帧遥测流量中第8个字节(可变结构限定词)确定出该帧流量(第k帧)中携带信息体数据的数量N,并记录所有信息体地址。进一步针对每一个信息体地址(记为i∈[1,N])对应的数据进行信息熵计算,其计算公式如下:
其中,Sk,i表示第k帧流量中信息体地址i对应信息体数据的信息熵值;xk,i表示第k帧流量中信息体地址i对应的信息体数据;表示信息体地址i的前a帧流量所对应的信息体数据之和,其中a为大于1的常数,该常数由人为设定。a值选取越大检测精度越高但会增加算法复杂程度,因此需要综合考虑检测精度和算法复杂程度,拟设定a值为20,即信息体地址i对应的前20个数据之和;
步骤S3-3:结合上述设定的a值,计算各个遥测信息体地址对应的数据跳变阈值,即熵值参数的正常取值范围,其跳变阈值Tk,i的计算方法如下:
Tk,i=Gk,i±3θk,i (4)
其中,Gk,i表示第k帧流量中信息体地址i对应数据信息熵的估计值;θk,i表示第k帧流量中信息体地址i对应数据信息熵的标准差;Tk,i表示第k帧流量中信息体地址i对应数据信息熵的跳变阈值;
步骤S3-4:结合步骤S3-3中所计算的信息熵跳变阈值,进一步计算出待检测的第k帧流量所对应的信息熵数值Sk,i,并对其进行基线阈值比较,若其范围超出正常信息熵阈值范围Tk,i∈[Gk,i-3θk,i,Gk,i+3θk,i],则判定第k帧流量为异常流量;否则,为正常流量。
步骤S3通过计算遥测业务类流量中第k帧流量内每一个信息体地址i∈[1,N]所对应的信息体数据信息熵,并提取前a帧同一信息体地址对应的信息体数据计算出实时的数据信息熵跳变阈值范围,进而实现单帧单设备信息体数据的异常流量检测。该步骤可以有效发掘攻击者恶意篡改单一信息体设备数据所产生的异常攻击流量,从而实现对高级定制化攻击的准确识别。
进一步的,步骤S4包括:
步骤S4-1:结合步骤S2中提取得到的遥测类业务流量数据,以及步骤S3计算出来的所有单一信息体地址i∈[1,N]对应的信息熵值Sk,i,对其进行第k帧流量中所有信息体地址对应的数据进行值域均值跳变异常检测。
步骤S4-2:根据每一帧遥测流量中第8个字节(可变结构限定词)确定出该帧流量(第k帧)中携带信息体数据的数量N,并记录所有信息体地址。进一步计算出所有信息体地址对应的数据信息熵均值Sk,其计算公式如下:
其中,Sk表示第k帧流量中所有信息体地址所对应信息体数据的信息熵均值;Sk,i的计算方法见步骤S3。
步骤S4-3:结合上述设定的a值计算单帧遥测业务流量中所有信息体地址数据对应的数据跳变均值阈值,即熵值均值参数的正常取值范围,其跳变均值阈值计算方法如下:
Tk=Gk±3θk (8)
其中,Gk表示第k帧流量中所有信息体地址对应数据信息熵均值的估计值;θk表示第k帧流量中所有信息体地址对应数据信息熵均值的标准差;Tk表示第k帧流量中所有信息体地址对应数据信息熵的跳变均值阈值;
步骤S4-4:结合步骤S4-3中所计算的信息熵跳变均值阈值Tk,根据计算出待检测的第k帧流量所对应的信息熵均值Sk,并对其进行基线阈值比较,若其范围超出正常信息熵阈值范围Tk∈[Gk-3θk,Gk+3θk],则判定第k帧流量为异常流量;否则,为正常流量。
步骤S4通过计算遥测业务类流量中第k帧流量内所有信息体地址对应的信息体数据信息熵均值,并提取前a帧遥测类业务流量计算出实时的数据信息熵跳变均值阈值范围,进而实现单帧所有设备信息数据的异常流量检测。该步骤可以有效发现攻击者大面积篡改遥测数据所产生的异常攻击流量,从而实现对高级定制化攻击的准确识别。
进一步的,步骤S5包括:
步骤S5-1:结合步骤S2中提取得到的遥信类业务流量数据,对其进行一段时间内该类业务流量中所有信息体地址对应的变位数据进行异常检测。
步骤S5-2:计算一定时间周期内的各个信息体地址i对应的变位频次数据,计算公式如下:
其中,S表示设定的时间周期长度,本发明设定为1小时;Bi表示在时间周期S内信息体地址i的设备发生变位的频次总数;Bk,i表示第k帧流量中信息体地址为i的设备是否发生变位,若是,Bk,i=1;否则,Bk,i=0。
步骤S5-3:计算一定时间周期S内的所有信息体地址i∈[1,I]对应的变位频次总和,计算公式如下:
其中,I表示在时间周期S内所有信息体地址的总数;B表示在时间周期S内所有信息体地址设备发生变位的频次总数;Bi的计算方法见步骤S5-2。
步骤S5-5:判断当前时间周期S内所有遥信业务流量数据中的单一设备变位频次以及所有设备变位频次是否超出相应的最大值,实现异常流量的检测。若则认为遥信流量中存在单一设备频繁变位异常;否则,为正常流量。若B>Bmax,则认为遥信流量中存在多设备频繁变位异常;否则,为正常流量。
步骤S5通过计算遥信业务类流量中一定时间周期内单一信息体地址设备对应的变位频次数据以及所有设备的总变位频次数据,并判断是否超出单一设备变位频次最大值以及所有设备变位频次最大值,进而实现遥信业务流量的异常检测。该步骤可以有效辨识攻击者恶意篡改遥信数据使得单一重要设备的频繁开断及多设备的频繁变位所造成的异常流量,提升遥信类业务攻击流量检测的准确率。
进一步的,步骤S6包括:
步骤S6-1:结合步骤S2中提取得到的遥调遥控类业务流量数据,挖掘其典型业务的时序逻辑规则特征,建立遥调遥控典型业务的时序逻辑模型,进而实现恶意攻击流量的检测。
步骤S6-1-1:基于海量历史遥控遥调等典型业务的流量数据,提取出正常业务指令的时序逻辑特征,形成不同业务下的典型遥控遥调时序逻辑模型。典型遥控遥调时序逻辑模型的表达式如下:
其中,Mg表示典型业务g的时序逻辑模型;表示典型业务g在时刻t的数据信息;其中 用来表示典型业务g在时刻t流量中的传送原因、数据类型及字节长度组成的向量,表示典型业务g在时刻t流量持续的时间长度,即与下一帧典型业务g流量之间的时长;
步骤S6-1-2:类似地,结合历史检测出的恶意遥控遥调类攻击流量数据以及专家制定的典型业务攻击数据,提取出恶意攻击行为的指令时序逻辑特征,形成不同攻击场景业务下的恶意时序逻辑模型。恶意时序逻辑模型的表达式如下:
其中,Ny表示攻击行为y的恶意时序逻辑模型;表示攻击行为y在时刻t时的数据信息;其中 用来表示攻击行为y在时刻t流量中的传送原因、数据类型及字节长度组成的向量,表示攻击行为y在时刻t流量持续的时间长度,即与下一帧攻击行为y流量之间的时长;
步骤S6-1-3:根据当前实时遥控遥调类业务的实时流量数据,形成待检测的遥调遥控类业务的实时时序逻辑模型。当前遥控遥调流量的时序逻辑模型的表达式如下:
X=[x1,x2,x3,…,xt] (13)
其中,X表示当前业务的时序逻辑模型;xt表示当前业务在时刻t的数据信息;其中xt=(pt,qt),pt用来表示当前业务在时刻t流量中的传送原因、数据类型及字节长度组成的向量,qt表示当前业务在时刻t流量持续的时间长度,即与下一帧业务流量之间的时长;
步骤S6-2:结合步骤S6-1中所建立的遥控遥调类正常典型业务时序逻辑模型Mg、恶意攻击时序逻辑模型Ny,分别计算与当前业务时序逻辑模型X之间的逻辑相似度,进而实现异常流量的检测。
步骤S6-3:利用欧几里得距离公式计算当前业务流量的时序逻辑模型与所有正常典型业务时序逻辑模型之间的相似度距离,并找出最小相似度距离LM,计算公式如下:
LM=min{d(X,M1),d(X,M2),…,d(X,MG)} (16)
其中,G表示所有典型业务时序逻辑模型的总数量;LM表示当前业务时序逻辑模型与所有正常典型业务中的最小相似度距离;
步骤S6-4:类似地,利用欧几里得距离公式计算当前业务流量的时序逻辑模型与所有恶意攻击业务时序逻辑模型之间的相似度距离,并找出最小相似度距离LN,计算公式如下:
LN=min{d(X,N1),d(X,N2),…,d(X,NY)} (19)
其中,Y表示所有恶意攻击业务时序逻辑模型的总数量;LN表示当前业务时序逻辑模型与所有恶意攻击业务中的最小相似度距离;
步骤S6-5:基于步骤S6-3与步骤S6-4所得的最小相似度距离,计算当前业务时序逻辑模型与所有时序模型的相似度结果RX,计算公式如下:
其中,RX表示当前业务时序逻辑模型与所有时序模型的相似度;
步骤S6-6:结合上述步骤计算结果,实现恶意业务逻辑指令流量检测。规则如下:
若当前业务时序逻辑模型与恶意攻击业务逻辑模型的最小距离LN小于与正常业务逻辑模型的最小距离LM,则意味着当前业务逻辑指令与恶意指令更接近,此时相似度值RX较大。若与恶意攻击业务逻辑模型的最小距离LN大于正常业务逻辑模型的最小距离LM,则意味着当前业务逻辑指令与正常指令更接近,此时相似度值RX较小。因此,可以按照不同的电力业务制定不同的业务相似度基线(如RX=0.3),进而实现恶意业务逻辑指令流量的检测。因此,若RX高于相应的相似度基线,则认为是电力网络异常流量;否则,为正常流量。
步骤S6结合历史遥控遥调类典型业务流量数据分别构建了正常典型业务时序逻辑模型以及攻击时序逻辑模型,并形成当前待检测遥控遥调类业务的时序逻辑模型。进一步计算了当前业务时序逻辑模型与正常典型业务时序逻辑模型以及恶意攻击时序逻辑模型之间的最小距离,进一步得到当前业务逻辑与所有业务逻辑模型的相似度结果,进而实现基于业务逻辑相似度的异常流量检测。该步骤可以实现业务流量指令级细粒度的相似度分析,并通过判别当前业务时序逻辑模型与何种业务时序模型最相似实现异常流量检测。
步骤S7中,结合步骤S3-S6中的遥测类业务异常检测、遥信类业务异常检测以及遥控遥调类业务异常检测模型的异常流量检测结果,生成相应的异常流量告警信号。
本发明依托海量电力系统网络流量数据,通过对电力业务流量进行协议解析,并按照电力业务类型划分为遥测类业务、遥信类业务以及遥控遥调类业务,实现结合业务特征的电力网络异常流量的检测。本发明通过结合电力业务特征实现差异化异常流量检测方法的建模,克服了现有异常检测方法仅考虑网络层面统计特征的局限性,实现了深度定制化电力业务攻击行为的有效检测。
图3是本发明实施例2提供的融合业务特征的电力网络异常行为检测系统的结构示意图,该系统适用于执行本发明任意实施例提供的方法,包括:数据读取模块100,遥测类业务异常流量检测模块200,遥信类业务异常流量检测模块300,遥控遥调类业务异常流量检测模块400。
所述数据读取模块100,用于读取电力系统网络流量数据,包括流量的协议解析以及深层字段级指令解析,将流量分为遥测类、遥信类、遥控遥调类业务流量三类。
所述的遥测类业务异常流量检测模块200,用于确定流量数据信息熵跳变阈值范围,实现遥测类业务流量的异常检测。
所述的遥信类业务异常流量检测模块300,用于计算流量数据中设备变位频次,实现遥信类业务流量的异常检测。
所述的遥控遥调类业务异常流量检测模块400,用于计算实时流量数据的业务逻辑模型相似度,实现遥控遥调类业务流量的异常检测。
所述数据读取模块100输出端分别与所述遥测类业务异常流量检测模块200、遥信类业务异常流量检测模块300、遥控遥调类业务异常流量检测模块400相连,用于输入解析之后的遥测类、遥信类、遥控遥调类业务流量数据。
如图4,进一步的,所述遥测类业务异常流量检测模块200包括:数据获取单元201,第一计算单元202,第二计算单元203。
所述数据获取单元201的输出端与所述第一计算单元202输入端相连,用于输入解析之后的遥测类业务流量数据。
所述第一计算单元202的输出端与第二计算单元203的输入端相连,用于输入各个信息体地址所对应的数据信息熵Sk,i以及数据信息熵的跳变阈值Tk,i数据。
在一个实施例中,数据获取单元201,读取解析之后的遥测类业务流量数据,该单元将各参数信息传递给第一计算单元202、第二计算单元203。
所述第一计算单元202,用于计算各个信息体地址对应的信息体数据信息熵值Sk,i以及信息熵跳变阈值Tk,i数据。
在一个实施例中,根据解析之后的遥测类业务流量数据xk,i,计算Sk,i以及Tk,i。在求解完毕后,该单元将Sk,i以及Tk,i传递给第二计算单元203。
所述第二计算单元203,用于计算所有信息体地址对应的信息体数据信息熵均值Sk以及信息熵均值跳变阈值Tk数据。
在一个实施例中,根据数据Sk,i以及Tk,i,计算得到Sk以及k。在求解完毕后,该单元实现遥测类业务流量的异常检测。
如图5,进一步的,所述遥信类业务异常流量检测模块300包括:数据获取单元301,第一计算单元302,第二计算单元303。
所述数据获取单元301的输出端与所述第一计算单元302输入端相连,用于输入解析之后的遥信类业务流量数据。
在一个实施例中,数据获取单元301,读取解析之后的遥信类业务流量数据,该单元将各参数信息传递给第一计算单元302、第二计算单元303。
所述第二计算单元303,用于计算所有信息体地址对应的设备总体变位频次值B以及最大变位频次总和值Bmax数据。
如图6,进一步的,所述遥控遥调类业务异常流量检测模块400包括:数据获取单元401,第一计算单元402,第二计算单元403,第三计算单元404。
所述数据获取单元401的输出端与所述第一计算单元402输入端相连,用于输入解析之后的遥控遥调类业务流量数据。
所述第一计算单元402的输出端与第二计算单元403的输入端相连,用于输入正常典型业务时序逻辑模型Mg、恶意攻击时序逻辑模型Ny以及实时业务逻辑模型X数据。
在一个实施例中,数据获取单元401,读取解析之后的遥控遥调类业务流量数据,该单元将各参数信息传递给第一计算单元402、第二计算单元403、第三计算单元404。
所述第一计算单元402,用于计算正常典型业务时序逻辑模型Mg、恶意攻击时序逻辑模型Ny以及实时业务逻辑模型X数据。
在一个实施例中,根据解析之后的遥控遥调类业务流量数据,计算Mg、Ny以及。在求解完毕后,该单元将Mg、Ny以及传递给第二计算单元403。
所述第二计算单元403,用于计算实时业务时序逻辑模型X与正常典型业务时序逻辑模型Mg以及恶意攻击时序逻辑模型Ny之间的最小距离数据LM以及LN。
在一个实施例中,根据数据Mg、Ny以及,计算得到LM以及LN。在求解完毕后,该单元将LM以及LN传递给第三计算单元404。
所述第三计算单元404,用于计算当前业务时序逻辑模型与所有时序模型的相似度结果RX数据。
在一个实施例中,根据数据LM以及LN,计算得到RX。在求解完毕后,该单元实现遥控遥调类业务流量的异常检测。
Claims (10)
1.一种融合业务特征的电力网络异常行为检测方法,其特征在于,包括以下步骤:
S1、采集电力网络流量数据,根据启动符进行电力网络流量的协议分类;
S2、针对步骤S1中得到的不同类型协议进行流量字段级深度解析,按照不同电力业务类型将流量分为遥测类业务、遥信类业务、遥调/遥控类业务;
S3、结合步骤S2解析得到的遥测类业务流量数据,对流量中单一信息体地址对应的设备数据进行值域跳变分析,利用信息熵计算出第k帧流量中单一信息体地址i对应数据的信息熵值Sk,i,利用所述信息熵值Sk,i判断第k帧流量是否异常;
结合步骤S2解析得到的遥测类业务流量数据,对流量中所有信息体地址对应的设备数据进行值域均值跳变分析,利用单一信息体地址信息熵Sk,i计算出第k帧流量所包含的所有信息体地址前后帧流量数据的信息熵均值Sk,利用所述信息熵均值Sk判断第k帧流量是否为异常流量;
结合步骤S2解析得到的遥信类业务流量数据,计算周期S内遥信流量数据中单一信息体地址i的变位次数Bi,判断变位次数Bi是否超出单一设备变位频次阈值,若超出,则判定为异常流量数据;若未超出,则为正常流量数据;计算遥信流量数据中所有信息体地址设备变位次数B,判断变位次数B是否超出设备总变位频次阈值,若超出,则判定为异常流量数据;若未超出,则为正常流量数据;
结合步骤S2解析得到的遥控遥调类业务流量数据,提取出典型遥控/遥调类业务时序逻辑模型Mg,构建恶意遥控遥调时序逻辑模型,实现电力业务特征的时序模型提取;分别计算当前遥控遥调流量的时序逻辑数据X与典型遥控遥调时序逻辑模型Mg之间的相似度,以及当前遥控遥调流量的时序逻辑数据X与恶意遥控遥调时序逻辑模型Ny之间的相似度,若相似度结果高于相应的业务相似度基线,则认为是电力网络异常流量;否则,为正常流量。
2.根据权利要求1所述的融合业务特征的电力网络异常行为检测方法,其特征在于,步骤S2的具体实现过程包括:
1)对每一类协议的流量数据进行字段级的深度解析;
2)结合步骤1)解析得到的各字段含义,确定出各电力业务类型所对应的字段数值范围;
3)根据所述字段数值范围,将流量分为遥测业务、遥信业务、遥调/遥控业务。
3.根据权利要求1所述的融合业务特征的电力网络异常行为检测方法,其特征在于,步骤S3中,利用所述信息熵值Sk,i判断第k帧流量是否异常的具体实现过程包括:
计算各个遥测信息体地址对应的数据跳变阈值,即熵值参数的正常取值范围,第k帧流量中信息体地址i对应数据信息熵的跳变阈值Tk,i的计算公式为:Tk,i=Gk,i±3θk,i;其中,Gk,i表示第k帧流量中信息体地址i对应数据信息熵的估计值;θk,i表示第k帧流量中信息体地址i对应数据信息熵的标准差;
4.根据权利要求3所述的融合业务特征的电力网络异常行为检测方法,其特征在于,a设定为20。
7.根据权利要求1所述的融合业务特征的电力网络异常行为检测方法,其特征在于,所述恶意遥控遥调时序逻辑模型的表达式如下:其中,Ny表示攻击行为y的恶意遥控遥调时序逻辑模型;表示攻击行为y在时刻t时的数据信息; 表示攻击行为y在时刻t流量中的传送原因、数据类型、字节长度数据,表示攻击行为y在时刻t流量持续的时间长度;
典型遥控遥调时序逻辑模型Mg的表达式为:其中,Mg表示典型业务g的时序逻辑模型;表示典型业务g在时刻t的数据信息; 表示典型业务g在时刻t流量中的传送原因、数据类型及字节长度组成的向量,表示典型业务g在时刻t流量持续的时间长度,即与下一帧典型业务g流量之间的时长;
当前遥控遥调流量的时序逻辑数据X的表达式为:X=[x1,x2,x3,…,xt];其中,X表示当前业务的时序逻辑模型;xt表示当前业务在时刻t的数据信息;xt=(pt,qt),pt用来表示当前业务在时刻t流量中的传送原因、数据类型及字节长度组成的向量,qt表示当前业务在时刻t流量持续的时间长度,即与下一帧业务流量之间的时长;
8.根据权利要求1所述的融合业务特征的电力网络异常行为检测方法,其特征在于,还包括:
基于步骤S3计算出的遥测类业务流量数据信息熵值Sk,i以及Sk、变位次数以及相似度结果,形成相应的异常行为告警信号。
9.一种计算机装置,包括存储器、处理器及存储在存储器上的计算机程序;其特征在于,所述处理器执行所述计算机程序,以实现权利要求1~8之一所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序/指令;其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1~8之一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210345334.7A CN114938287B (zh) | 2022-04-02 | 2022-04-02 | 一种融合业务特征的电力网络异常行为检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210345334.7A CN114938287B (zh) | 2022-04-02 | 2022-04-02 | 一种融合业务特征的电力网络异常行为检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114938287A true CN114938287A (zh) | 2022-08-23 |
CN114938287B CN114938287B (zh) | 2023-09-05 |
Family
ID=82863325
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210345334.7A Active CN114938287B (zh) | 2022-04-02 | 2022-04-02 | 一种融合业务特征的电力网络异常行为检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114938287B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116112266A (zh) * | 2023-02-13 | 2023-05-12 | 山东云天安全技术有限公司 | 一种识别会话数据的方法、电子设备及存储介质 |
CN117149846A (zh) * | 2023-08-16 | 2023-12-01 | 湖北中恒电测科技有限公司 | 一种基于数据融合的电力数据分析方法和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102866289A (zh) * | 2012-09-05 | 2013-01-09 | 山东康威通信技术股份有限公司 | 一种电力电缆护层接地电流故障分析方法 |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
US20200329054A1 (en) * | 2019-04-09 | 2020-10-15 | Arbor Networks, Inc. | Automatic detection of malicious packets in ddos attacks using an encoding scheme |
CN112651435A (zh) * | 2020-12-22 | 2021-04-13 | 中国南方电网有限责任公司 | 一种基于自学习的电力网络探针流量异常的检测方法 |
CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
-
2022
- 2022-04-02 CN CN202210345334.7A patent/CN114938287B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102866289A (zh) * | 2012-09-05 | 2013-01-09 | 山东康威通信技术股份有限公司 | 一种电力电缆护层接地电流故障分析方法 |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
US20200329054A1 (en) * | 2019-04-09 | 2020-10-15 | Arbor Networks, Inc. | Automatic detection of malicious packets in ddos attacks using an encoding scheme |
CN112651435A (zh) * | 2020-12-22 | 2021-04-13 | 中国南方电网有限责任公司 | 一种基于自学习的电力网络探针流量异常的检测方法 |
CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
Non-Patent Citations (7)
Title |
---|
周璇等: "基于信息熵的建筑空调异常日用能模式检测方法", 《建筑科学》 * |
周璇等: "基于信息熵的建筑空调异常日用能模式检测方法", 《建筑科学》, no. 12, 15 December 2019 (2019-12-15) * |
姜红红;张涛;赵新建;钱欣;赵天成;高莉莎;: "基于大数据的电力信息网络流量异常检测机制", 电信科学, no. 03 * |
李大中等: "基于EMD和GA-SVM的超声检测缺陷信号识别", 《中国测试》 * |
李大中等: "基于EMD和GA-SVM的超声检测缺陷信号识别", 《中国测试》, no. 01, 31 January 2016 (2016-01-31) * |
田书欣等: "《基于同步相量测量装置的配电网安全态势感知方法》", 《中国电机工程学报》 * |
田书欣等: "《基于同步相量测量装置的配电网安全态势感知方法》", 《中国电机工程学报》, 4 November 2020 (2020-11-04) * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116112266A (zh) * | 2023-02-13 | 2023-05-12 | 山东云天安全技术有限公司 | 一种识别会话数据的方法、电子设备及存储介质 |
CN116112266B (zh) * | 2023-02-13 | 2023-09-01 | 山东云天安全技术有限公司 | 一种识别会话数据的方法、电子设备及存储介质 |
CN117149846A (zh) * | 2023-08-16 | 2023-12-01 | 湖北中恒电测科技有限公司 | 一种基于数据融合的电力数据分析方法和系统 |
CN117149846B (zh) * | 2023-08-16 | 2024-05-24 | 上海永天科技股份有限公司 | 一种基于数据融合的电力数据分析方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114938287B (zh) | 2023-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110035090B (zh) | 一种智能电网虚假数据注入攻击检测方法 | |
CN114938287A (zh) | 一种融合业务特征的电力网络异常行为检测方法及装置 | |
CN114124478B (zh) | 电力系统工控流量异常检测方法及系统 | |
CN113094707B (zh) | 一种基于异质图网络的横向移动攻击检测方法及系统 | |
CN108388233B (zh) | 一种工控现场设备隐蔽攻击检测方法 | |
CN115037632A (zh) | 一种网络安全态势感知分析系统 | |
CN117671887B (zh) | 一种基于大数据的智慧安防预警管理方法和系统 | |
CN114362368A (zh) | 智能变电站网络流量异常行为监测方法与系统 | |
CN113687610B (zh) | 一种gan-cnn电力监测系统终端信息防护法方法 | |
CN114760087B (zh) | 软件定义工业互联网中的DDoS攻击检测方法及系统 | |
CN111400114A (zh) | 基于深度递归网络大数据计算机系统故障检测方法及系统 | |
CN115062706A (zh) | 森林火灾监测方法及装置、存储介质、电子设备 | |
CN103529337A (zh) | 设备故障与电气量信息间非线性相关关系的识别方法 | |
CN113361608A (zh) | 一种基于横向对比特征和神经网络的隐蔽窃电检测方法 | |
CN111314310B (zh) | 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法 | |
Rizvi et al. | Real-time ZIP load parameter tracking using adaptive window and variable elimination with realistic synthetic synchrophasor data | |
CN113919239B (zh) | 一种基于时空特征融合的内部威胁智能检测方法和系统 | |
CN115311563A (zh) | 面向森林火灾的经验模型自演化的轻量化烟雾检测方法 | |
CN114745152A (zh) | 基于iec61850 goose报文运行态势模型的入侵检测方法和系统 | |
Leao et al. | Machine learning-based false data injection attack detection and localization in power grids | |
Peng et al. | Research on abnormal detection technology of real-time interaction process in new energy network | |
CN117749450B (zh) | 一种基于数据分析的卫星数据传输安全监管系统 | |
Hao et al. | Data traffic characterization in intelligent electric substations using FARIMA based threshold model | |
Wei et al. | SOM-based intrusion detection for SCADA systems | |
Tian et al. | An abnormal traffic detection method in smart substations based on coupling field extraction and DBSCAN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |