CN115277079A - 一种电力终端信息攻击监测方法和系统 - Google Patents

一种电力终端信息攻击监测方法和系统 Download PDF

Info

Publication number
CN115277079A
CN115277079A CN202210715701.8A CN202210715701A CN115277079A CN 115277079 A CN115277079 A CN 115277079A CN 202210715701 A CN202210715701 A CN 202210715701A CN 115277079 A CN115277079 A CN 115277079A
Authority
CN
China
Prior art keywords
power terminal
power consumption
state
power
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210715701.8A
Other languages
English (en)
Other versions
CN115277079B (zh
Inventor
安致嫄
王春迎
盛磊
孟慧平
党芳芳
刘岩
远方
吴利杰
刘慧方
冯浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210715701.8A priority Critical patent/CN115277079B/zh
Publication of CN115277079A publication Critical patent/CN115277079A/zh
Application granted granted Critical
Publication of CN115277079B publication Critical patent/CN115277079B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/12Computing arrangements based on biological models using genetic models
    • G06N3/126Evolutionary algorithms, e.g. genetic algorithms or genetic programming
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00002Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by monitoring
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00006Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Biophysics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Molecular Biology (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Genetics & Genomics (AREA)
  • Physiology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种电力终端信息攻击监测方法和系统,属于电力系统终端技术领域,具体包括:实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA‑GRU算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则继续基于通信报文进行分类结果判断;实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO‑SVM算法以及基于BBO‑Adaboost算法的分类预测模型中,输出分类结果;根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态,从而进一步提升识别的准确率。

Description

一种电力终端信息攻击监测方法和系统
技术领域
本发明属于电力系统终端技术领域,具体涉及一种电力终端信息攻击监测方法和系统。
背景技术
在电力成产的过程中,DTU(数据终端单元)、RTU(远程终端单元)、FTU馈线终端单元)、智能电表、智能电表集中器、继电保护装置等电力终端起着至关重要的作用,电力终端通过监测、控制、保护的作用影响着电力的生产过程,RTU可以通过开闭当前线路来对电力生产进行影响,同时监测当前线路的电压、电流情况,实时对电力生产进行保护和控制。如今造成大规模影响的APT攻击一般是通过入侵电力终端设备,将其作为攻击的跳板,进而对电力生产内网进行渗透,实现对电力生产的大规模破坏。
硕士论文《智能电网电力终端安全防护策略研究》中作者欧阳轩提出了一种基于电力终端旁路信号的安全监测方法,在电力终端设备级层面对其进行防护。该方法通过采集电力终端历史正常工作的功耗信息(正样本)和受到攻击时的功耗信息(负样本),对它们进行特征工程,提取能表征出电力终端工作状态的特征组合,再通过LSTM神经网络对特征进行学习,训练电力终端安全监测模型,实现对电力终端的设备级安全监测,但是其仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准确,在电气设备故障时的电力终端的信息量会徒增,此时的功耗量也会陡增,导致误识别的概率极大,或者仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,此时会导致不必要的功耗损失。
因此,基于上述技术问题需要设计一种电力终端信息攻击监测方法和系统。
发明内容
为了解决上述技术问题,本发明提供一种电力终端信息攻击监测方法,其特征在于,具体包括:
S1实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA-GRU算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则转入S2步骤;
S2实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果;
S3根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
通过首先采用基于GA-GRU算法的预测模型,判断此时的电力终端的状态是否正常,通过功耗的方式首先确定初始的电力终端的状态,当判断此时的电力终端的功耗状态处于非正常状态时,再基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而解决了原有的仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准确的问题,同时解决了仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,导致不必要的功耗损失的问题,将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果,根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态,从而能够实现对电力终端信息攻击状态的监测。
通过采用于GA-GRU算法的预测模型,判断此时的电力终端的状态是否正常,在保留了GRU算法处理时序信息的优势的前提下,通过GRU算法内部结构的改造以及GA算法对GRU算法初始值的寻优,进一步的提升了整体的预测效率,通过首先对电力终端的功耗状态的判断,当电力终端处于异常状态后,再进行基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而在实现对电力终端攻击状态的准确判定的基础上,进一步的降低了功耗,综合功耗以及通信报文特征,进一步的提升了预测精度,通过采用基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型,输出分类结果,并根据分类结果确定此时的电力终端是否正处于遭受攻击状态,从而进一步结合了SVM算法能够处理非线性特征的相互作用以及泛化能力强的优点以及Adaboost算法很好的利用了弱分类器进行级联以及较好的精度的优点,从而进一步的提升了整体的预测精度,通过采用PSO算法对SVM算法的初始值进行优化,采用BBO算法对Adaboost算法的初始值进行优化,从而进一步提升了预测模型的效率,使得整体的预测效率和预测精度都有较大的提升。
进一步的技术方案在于,所述功耗特征量具体包括:1分钟内功耗平均值,实时功耗值,实时功耗偏度值。
通过采用较少的功耗特征量,在保证了预测精度的基础上,极大的提高了整体的预测效率。
进一步的技术方案在于,所述基于GA-GRU算法的预测模型的具体步骤为:
S21将所述功耗特征量输入到基于GA-GRU算法的预测模型之中,得到一分钟后的功耗预测值;
S22确定所述一分钟后的功耗预测值与一分钟后的功耗实测值之间的差值;
S23当所述差值大于第一功耗阈值时,此时缩短预测频率,基于所述预测模型预测得到30s后的功耗预测值,并确定30s后的功耗预测值与30s后的功耗实测值之间的30s差值,当所述30s差值大于第一功耗阈值后,基于所述通信报文特征量确定此时的电力设备的状态,当所述30s差值小于第一功耗阈值或者所述差值小于第一功耗阈值时,继续返回S21进行功耗值的预测。
通过采用GA-GRU算法预测得到一分钟后的功耗预测值,根据与实测值之间的差值进行对比,从而在具有较少的异常量的基础上实现了对电力终端异常情况的监测,并通过第一功耗阈值的设定,当大于第一功耗阈值时,缩短预测的频率,从而可以在较短的时间内判断电力终端的异常状态,进一步提升了整体的速度,也使得整体的判断效果变得更加可靠。
进一步的技术方案在于,当所述差值大于第二功耗阈值时,此时直接基于所述通信报文特征量确定此时的电力设备的状态,所述第二功耗阈值大于所述第一功耗阈值。
通过第二功耗阈值的设定,当功耗量的变化较大时,能够在第一时间进行通信报文特征量的判断,从而极大的提升了整体的速度。
进一步的技术方案在于,采用所述GA算法对GRU算法的隐含层的数量进行寻优。
进一步的技术方案在于,所述通信报文特征量具体包括:固定源IP地址到固定目的IP地址中的报文数量;固定源IP地址到固定目的IP地址中平均连接持续时间;固定源IP地址到固定目的IP地址下不同目标主机服务类型下的用户登录成功次数。
进一步的技术方案在于,所述基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型的具体步骤为:
S31将实时提取的电力终端的通信报文特征量送入到基于PSO-SVM算法,得到PSO-SVM分类结果;
S32将实时提取的电力终端的通信报文特征量送入到基于BBO-Adaboost算法,得到BBO-Adaboost分类结果;
S33基于所述PSO-SVM分类结果和所述BBO-Adaboost分类结果得到此时的分类结果。
通过基于所述PSO-SVM分类结果和所述BBO-Adaboost分类结果得到此时的分类结果,而不仅仅采用一种算法求得最终的结果,从而使得整体的预测结果变得更加的准确,避免了由于单种算法误判导致的电力终端的状态的错误判断。
进一步的技术方案在于,所述PSO-SVM分类结果、BBO-Adaboost分类结果、所述分类结果取值均为0或1,其中0为正常状态,1为信息攻击状态。
进一步的技术方案在于,若根据所述分类结果确定此时的电力终端正处于遭受攻击状态,此时输入警告信息,由工作人员确定是否此时的电力终端处于遭受攻击状态。
另一方面,本发明还提供一种电力终端信息攻击监测系统,采用上述的一种电力终端信息攻击监测方法,具体包括:
功耗预测模块,通信报文预测模块,结果输出模块;
所述功耗预测模块负责实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA-GRU算法的预测模型之中,判断此时电力终端的状态是否正常;
所述通信报文预测模块负责实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果;
所述结果输出模块负责根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
通过参照附图详细描述其示例实施方式,本发明的上述和其它特征及优点将变得更加明显。
图1是本发明中一种电力终端信息攻击监测方法的流程图;
图2是本发明中基于GA-GRU算法的预测模型的具体步骤的流程图;
图3是本发明中基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型的具体步骤的流程图;
图4是本发明中一种电力终端信息攻击监测系统的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式;相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。图中相同的附图标记表示相同或类似的结构,因而将省略它们的详细描述。
用语“一个”、“一”、“该”、“所述”用以表示存在一个或多个要素/组成部分/等;用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等。
在电力成产的过程中,DTU(数据终端单元)、RTU(远程终端单元)、FTU馈线终端单元)、智能电表、智能电表集中器、继电保护装置等电力终端起着至关重要的作用,电力终端通过监测、控制、保护的作用影响着电力的生产过程,RTU可以通过开闭当前线路来对电力生产进行影响,同时监测当前线路的电压、电流情况,实时对电力生产进行保护和控制。如今造成大规模影响的APT攻击一般是通过入侵电力终端设备,将其作为攻击的跳板,进而对电力生产内网进行渗透,实现对电力生产的大规模破坏。
硕士论文《智能电网电力终端安全防护策略研究》中作者欧阳轩提出了一种基于电力终端旁路信号的安全监测方法,在电力终端设备级层面对其进行防护。该方法通过采集电力终端历史正常工作的功耗信息(正样本)和受到攻击时的功耗信息(负样本),对它们进行特征工程,提取能表征出电力终端工作状态的特征组合,再通过LSTM神经网络对特征进行学习,训练电力终端安全监测模型,实现对电力终端的设备级安全监测,但是其仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准确,在电气设备故障时的电力终端的信息量会徒增,此时的功耗量也会陡增,导致误识别的概率极大,或者仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,此时会导致不必要的功耗损失。
实施例1
如图1所示,本实施例1提供了一种电力终端信息攻击监测方法,其特征在于,具体包括:
S1实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA-GRU算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则转入S2步骤;
S2实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果;
S3根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
通过首先采用基于GA-GRU算法的预测模型,判断此时的电力终端的状态是否正常,通过功耗的方式首先确定初始的电力终端的状态,当判断此时的电力终端的功耗状态处于非正常状态时,再基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而解决了原有的仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准确的问题,同时解决了仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,导致不必要的功耗损失的问题,将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果,根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态,从而能够实现对电力终端信息攻击状态的监测。
通过采用于GA-GRU算法的预测模型,判断此时的电力终端的状态是否正常,在保留了GRU算法处理时序信息的优势的前提下,通过GRU算法内部结构的改造以及GA算法对GRU算法初始值的寻优,进一步的提升了整体的预测效率,通过首先对电力终端的功耗状态的判断,当电力终端处于异常状态后,再进行基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而在实现对电力终端攻击状态的准确判定的基础上,进一步的降低了功耗,综合功耗以及通信报文特征,进一步的提升了预测精度,通过采用基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型,输出分类结果,并根据分类结果确定此时的电力终端是否正处于遭受攻击状态,从而进一步结合了SVM算法能够处理非线性特征的相互作用以及泛化能力强的优点以及Adaboost算法很好的利用了弱分类器进行级联以及较好的精度的优点,从而进一步的提升了整体的预测精度,通过采用PSO算法对SVM算法的初始值进行优化,采用BBO算法对Adaboost算法的初始值进行优化,从而进一步提升了预测模型的效率,使得整体的预测效率和预测精度都有较大的提升。
在另外的一种可能的实施例中,所述功耗特征量具体包括:1分钟内功耗平均值,实时功耗值,实时功耗偏度值。
通过采用较少的功耗特征量,在保证了预测精度的基础上,极大的提高了整体的预测效率。
在另外的一种可能的实施例中,如图2所示,所述基于GA-GRU算法的预测模型的具体步骤为:
S21将所述功耗特征量输入到基于GA-GRU算法的预测模型之中,得到一分钟后的功耗预测值;
S22确定所述一分钟后的功耗预测值与一分钟后的功耗实测值之间的差值;
S23当所述差值大于第一功耗阈值时,此时缩短预测频率,基于所述预测模型预测得到30s后的功耗预测值,并确定30s后的功耗预测值与30s后的功耗实测值之间的30s差值,当所述30s差值大于第一功耗阈值后,基于所述通信报文特征量确定此时的电力设备的状态,当所述30s差值小于第一功耗阈值或者所述差值小于第一功耗阈值时,继续返回S21进行功耗值的预测。
通过采用GA-GRU算法预测得到一分钟后的功耗预测值,根据与实测值之间的差值进行对比,从而在具有较少的异常量的基础上实现了对电力终端异常情况的监测,并通过第一功耗阈值的设定,当大于第一功耗阈值时,缩短预测的频率,从而可以在较短的时间内判断电力终端的异常状态,进一步提升了整体的速度,也使得整体的判断效果变得更加可靠。
在另外的一种可能的实施例中,当所述差值大于第二功耗阈值时,此时直接基于所述通信报文特征量确定此时的电力设备的状态,所述第二功耗阈值大于所述第一功耗阈值。
通过第二功耗阈值的设定,当功耗量的变化较大时,能够在第一时间进行通信报文特征量的判断,从而极大的提升了整体的速度。
在另外的一种可能的实施例中,采用所述GA算法对GRU算法的隐含层的数量进行寻优。
在另外的一种可能的实施例中,所述通信报文特征量具体包括:固定源IP地址到固定目的IP地址中的报文数量;固定源IP地址到固定目的IP地址中平均连接持续时间;固定源IP地址到固定目的IP地址下不同目标主机服务类型下的用户登录成功次数。
在另外的一种可能的实施例中,如图3所述,所述基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型的具体步骤为:
S31将实时提取的电力终端的通信报文特征量送入到基于PSO-SVM算法,得到PSO-SVM分类结果;
S32将实时提取的电力终端的通信报文特征量送入到基于BBO-Adaboost算法,得到BBO-Adaboost分类结果;
S33基于所述PSO-SVM分类结果和所述BBO-Adaboost分类结果得到此时的分类结果。
通过基于所述PSO-SVM分类结果和所述BBO-Adaboost分类结果得到此时的分类结果,而不仅仅采用一种算法求得最终的结果,从而使得整体的预测结果变得更加的准确,避免了由于单种算法误判导致的电力终端的状态的错误判断。
在另外的一种可能的实施例中,所述PSO-SVM分类结果、BBO-Adaboost分类结果、所述分类结果取值均为0或1,其中0为正常状态,1为信息攻击状态。
在另外的一种可能的实施例中,若根据所述分类结果确定此时的电力终端正处于遭受攻击状态,此时输入警告信息,由工作人员确定是否此时的电力终端处于遭受攻击状态。
实施例2
在实施例1的基础上,本实施例2还提供一种电力终端信息攻击监测系统,采用上述的一种电力终端信息攻击监测方法,具体包括:
功耗预测模块,通信报文预测模块,结果输出模块;
所述功耗预测模块负责实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA-GRU算法的预测模型之中,判断此时电力终端的状态是否正常;
所述通信报文预测模块负责实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果;
所述结果输出模块负责根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。

Claims (10)

1.一种电力终端信息攻击监测方法,其特征在于,具体包括:
S1实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA-GRU算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则转入S2步骤;
S2实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果;
S3根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
2.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述功耗特征量具体包括:1分钟内功耗平均值,实时功耗值,实时功耗偏度值。
3.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述基于GA-GRU算法的预测模型的具体步骤为:
S21将所述功耗特征量输入到基于GA-GRU算法的预测模型之中,得到一分钟后的功耗预测值;
S22确定所述一分钟后的功耗预测值与一分钟后的功耗实测值之间的差值;
S23当所述差值大于第一功耗阈值时,此时缩短预测频率,基于所述预测模型预测得到30s后的功耗预测值,并确定30s后的功耗预测值与30s后的功耗实测值之间的30s差值,当所述30s差值大于第一功耗阈值后,基于所述通信报文特征量确定此时的电力设备的状态,当所述30s差值小于第一功耗阈值或者所述差值小于第一功耗阈值时,继续返回S21进行功耗值的预测。
4.根据权利要求3所述的电力终端信息攻击监测方法,其特征在于,当所述差值大于第二功耗阈值时,此时直接基于所述通信报文特征量确定此时的电力设备的状态,所述第二功耗阈值大于所述第一功耗阈值。
5.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,采用所述GA算法对GRU算法的隐含层的数量进行寻优。
6.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述通信报文特征量具体包括:固定源IP地址到固定目的IP地址中的报文数量;固定源IP地址到固定目的IP地址中平均连接持续时间;固定源IP地址到固定目的IP地址下不同目标主机服务类型下的用户登录成功次数。
7.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型的具体步骤为:
S31将实时提取的电力终端的通信报文特征量送入到基于PSO-SVM算法,得到PSO-SVM分类结果;
S32将实时提取的电力终端的通信报文特征量送入到基于BBO-Adaboost算法,得到BBO-Adaboost分类结果;
S33基于所述PSO-SVM分类结果和所述BBO-Adaboost分类结果得到此时的分类结果。
8.根据权利要求7所述的电力终端信息攻击监测方法,其特征在于,所述PSO-SVM分类结果、BBO-Adaboost分类结果、所述分类结果取值均为0或1,其中0为正常状态,1为信息攻击状态。
9.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,若根据所述分类结果确定此时的电力终端正处于遭受攻击状态,此时输入警告信息,由工作人员确定是否此时的电力终端处于遭受攻击状态。
10.一种电力终端信息攻击监测系统,采用权利要求1-9任意一项所述的一种电力终端信息攻击监测方法,具体包括:
功耗预测模块,通信报文预测模块,结果输出模块;
所述功耗预测模块负责实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA-GRU算法的预测模型之中,判断此时电力终端的状态是否正常;
所述通信报文预测模块负责实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果;
所述结果输出模块负责根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
CN202210715701.8A 2022-06-22 2022-06-22 一种电力终端信息攻击监测方法和系统 Active CN115277079B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210715701.8A CN115277079B (zh) 2022-06-22 2022-06-22 一种电力终端信息攻击监测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210715701.8A CN115277079B (zh) 2022-06-22 2022-06-22 一种电力终端信息攻击监测方法和系统

Publications (2)

Publication Number Publication Date
CN115277079A true CN115277079A (zh) 2022-11-01
CN115277079B CN115277079B (zh) 2023-11-24

Family

ID=83761723

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210715701.8A Active CN115277079B (zh) 2022-06-22 2022-06-22 一种电力终端信息攻击监测方法和系统

Country Status (1)

Country Link
CN (1) CN115277079B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160078367A1 (en) * 2014-10-15 2016-03-17 Brighterion, Inc. Data clean-up method for improving predictive model training
CN109088744A (zh) * 2018-06-28 2018-12-25 广东电网有限责任公司 电力通信网络异常入侵检测方法、装置、设备及存储介质
CN109670302A (zh) * 2018-12-19 2019-04-23 浙江工业大学 一种基于svm的虚假数据注入攻击的分类方法
CN111383128A (zh) * 2020-03-09 2020-07-07 中国电力科学研究院有限公司 一种用于监测电网嵌入式终端设备运行状态的方法及系统
CN112333194A (zh) * 2020-11-09 2021-02-05 国网上海市电力公司 基于gru-cnn的综合能源网络安全攻击检测方法
CN112398862A (zh) * 2020-11-18 2021-02-23 深圳供电局有限公司 一种基于gru模型的充电桩攻击聚类检测方法
CN112491849A (zh) * 2020-11-18 2021-03-12 深圳供电局有限公司 一种基于流量特征的电力终端漏洞攻击防护方法
CN112866189A (zh) * 2020-12-14 2021-05-28 南方电网科学研究院有限责任公司 基于电力终端攻击行为特征的攻击建模分析方法
US20210329023A1 (en) * 2020-04-20 2021-10-21 Prince Mohammad Bin Fahd University Multi-tiered security analysis method and system
CN113595998A (zh) * 2021-07-15 2021-11-02 广东电网有限责任公司 基于Bi-LSTM的电网信息系统漏洞攻击检测方法及装置
CN113902052A (zh) * 2021-09-06 2022-01-07 国网江西省电力有限公司萍乡供电分公司 一种基于ae-svm模型的分布式拒绝服务攻击网络异常检测方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160078367A1 (en) * 2014-10-15 2016-03-17 Brighterion, Inc. Data clean-up method for improving predictive model training
CN109088744A (zh) * 2018-06-28 2018-12-25 广东电网有限责任公司 电力通信网络异常入侵检测方法、装置、设备及存储介质
CN109670302A (zh) * 2018-12-19 2019-04-23 浙江工业大学 一种基于svm的虚假数据注入攻击的分类方法
CN111383128A (zh) * 2020-03-09 2020-07-07 中国电力科学研究院有限公司 一种用于监测电网嵌入式终端设备运行状态的方法及系统
US20210329023A1 (en) * 2020-04-20 2021-10-21 Prince Mohammad Bin Fahd University Multi-tiered security analysis method and system
CN112333194A (zh) * 2020-11-09 2021-02-05 国网上海市电力公司 基于gru-cnn的综合能源网络安全攻击检测方法
CN112398862A (zh) * 2020-11-18 2021-02-23 深圳供电局有限公司 一种基于gru模型的充电桩攻击聚类检测方法
CN112491849A (zh) * 2020-11-18 2021-03-12 深圳供电局有限公司 一种基于流量特征的电力终端漏洞攻击防护方法
CN112866189A (zh) * 2020-12-14 2021-05-28 南方电网科学研究院有限责任公司 基于电力终端攻击行为特征的攻击建模分析方法
CN113595998A (zh) * 2021-07-15 2021-11-02 广东电网有限责任公司 基于Bi-LSTM的电网信息系统漏洞攻击检测方法及装置
CN113902052A (zh) * 2021-09-06 2022-01-07 国网江西省电力有限公司萍乡供电分公司 一种基于ae-svm模型的分布式拒绝服务攻击网络异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
夏卓群;曾悠优;尹波;徐明;: "电力网络中基于物理信息的虚假数据入侵检测方法", 信息网络安全, no. 04 *

Also Published As

Publication number Publication date
CN115277079B (zh) 2023-11-24

Similar Documents

Publication Publication Date Title
CN102957208B (zh) 配电变压器智能监控装置及其控制方法
CN114819415B (zh) 一种基于数据分析的电力设备故障预测系统
CN107656467A (zh) 一种基于物联网配电管理系统及其在线监控的方法
CN102623761B (zh) 一种电池组管理系统及其管理方法
CN111884870B (zh) 一种预测网络亚健康状态的方法、装置、终端及存储介质
CN103227662B (zh) 一种基于状态控制的电力通信设备安全检测方法及系统
CN114626827B (zh) 一种基于数字孪生的配电自动化防误操作方法
CN106841881A (zh) 用电模块的分析方法及装置
CN209676004U (zh) 一种输配电线路安全运行的无线监控探测器及系统
CN111654104A (zh) 一种配电房运行状态故障监测系统
CN111934273A (zh) 基于物联网海计算技术的智能微型断路器及设置方法
CN204376460U (zh) 一种bms电池管理系统的远程监控系统
CN115277079A (zh) 一种电力终端信息攻击监测方法和系统
CN208272608U (zh) 过流保护继电器电路及过流保护继电器
CN2894007Y (zh) 一种智能化配电柜
CN206698022U (zh) 监控设备及配电监控系统
CN111751655B (zh) 配电线路的故障自愈方法、装置、计算机设备和存储介质
CN204516008U (zh) 一种防拆的自动报警系统
CN110601261B (zh) 基于感控逻辑的微网控制器业务逻辑一致性分析方法
CN112751421A (zh) 一种数字计算增强的高可靠性低压配电安全监控系统
Dai et al. A microgrid controller security monitoring model based on message flow
CN204179031U (zh) 在线监测控制的液动断路器
CN104635647A (zh) 一种变电站无线监测控制系统
CN215870906U (zh) 一种数字计算增强的高可靠性低压配电安全监控系统
CN117791597B (zh) 基于机器学习的配电网故障自愈方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant