CN115694967B - 基于设备状态和正常行为模型的智能电网入侵检测方法 - Google Patents

基于设备状态和正常行为模型的智能电网入侵检测方法 Download PDF

Info

Publication number
CN115694967B
CN115694967B CN202211334545.7A CN202211334545A CN115694967B CN 115694967 B CN115694967 B CN 115694967B CN 202211334545 A CN202211334545 A CN 202211334545A CN 115694967 B CN115694967 B CN 115694967B
Authority
CN
China
Prior art keywords
abnormal
behavior model
normal behavior
normal
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211334545.7A
Other languages
English (en)
Other versions
CN115694967A (zh
Inventor
刘颖彤
孙金莉
林瑨
杨郡
张杨忆
谢慧辉
白海
徐超
朱彤
郭莎莎
吴頔
李韬睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Super High Voltage Co Of State Grid Hubei Electric Power Co ltd
Original Assignee
Super High Voltage Co Of State Grid Hubei Electric Power Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Super High Voltage Co Of State Grid Hubei Electric Power Co ltd filed Critical Super High Voltage Co Of State Grid Hubei Electric Power Co ltd
Priority to CN202211334545.7A priority Critical patent/CN115694967B/zh
Publication of CN115694967A publication Critical patent/CN115694967A/zh
Application granted granted Critical
Publication of CN115694967B publication Critical patent/CN115694967B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Alarm Systems (AREA)

Abstract

本发明提供一种基于设备状态和正常行为模型的智能电网入侵检测方法,包括:通过获取正常状态和异常状态下特定物联网终端设备的数据信息;通过RIPPER算法构建智能电网基于这些特定设备状态信息的正常行为模型;通过利用正常行为模型对原正常行为数据集进行过滤,将其中筛选成异常序列的数据集重新作为RIPPER算法的正常数据集输入,得到的正常行为模型与初步行为模型一起作为新正常行为模型,再在运行中,将实时设备状态数据与正常行为模型比对,若适配为异常状态,则通过异常阈值判断是否触发告警机制,该基于设备状态和正常行为模型的智能电网入侵检测方法实现了智能电网中实时、高效、独立的入侵检测效果。

Description

基于设备状态和正常行为模型的智能电网入侵检测方法
技术领域
本发明涉及机器学习技术领域,具体为一种基于设备状态和正常行为模型的智能电网入侵检测方法。
背景技术
随着工业变革的推进,电力系统作为重大国民基础设施首当其冲要向着智能化转变。然而,智能电网的发展必然面临从未有过的网络安全威胁。其中包括电网系统本身暴露面增加带来的安全问题,以及物联网设备的终端安全问题。
智能电网包含众多智能终端,并且随着电网规模的扩大,终端数量仍在迅速增加。这些终端设备中包含的状态数据,不仅可以反映其本身的安全状态,也可以反映其所在的电力系统是否处于安全隐患中。现有的入侵检测方法中存在两个问题,一是误报率或者检出率仍然还有提升空间,二是传统的防护方法多依赖人工规则或特征库,要么要求实时更新,要么受专家知识面的影响。
发明内容
针对现有技术存在的不足,本发明目的是提供一种基于设备状态和正常行为模型的智能电网入侵检测方法,以解决上述背景技术中提出的问题,本发明降低了误报率,入侵检测过程具有实时、高效、独立的效果。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种基于设备状态和正常行为模型的智能电网入侵检测方法,包括以下步骤:(1)数据收集中台收集智能电网中不同设备在正常和异常两种状态下的行为数据,得到正常行为数据集NormalSet和异常行为数据集AbnormalSet;(2)将步骤(1)中得到的正常行为数据集NormalSet和异常行为数据集AbnormalSet经n-gram模型进行数据处理后,通过机器学习算法RIPPER算法,训练得到正常行为模型;(3)根据步骤(2)中得到的正常行为模型M,对智能电网中实时运行的设备状态数据进行判断,若不匹配正常行为模型中任何规则,则认为当前状态为异常,进入步骤(4)进行异常度计算。否则,继续监控设备实时状态数据;(4)进行异常度η计算,判断是否超过设定的异常阈值ηv,若超过则进入告警程序,过程结束,否则返回步骤(3)。
进一步的,在步骤(2)中,所述n-gram模型采用的是n=k的模型,将NormalSet=n1n2...ni...nn-1nn按照时间顺序处理成若干长度为k的短序列,即
Figure SMS_1
将AbnormalSet=a1a2...ai...an-1an按照时间顺序处理成若干长度为k的短序列,即
Figure SMS_2
进一步的,将N和中短序列与其对应的类型(正常或异常)组成新的短序列,共同构成集合X=∑{x1,x2,...,xi,...,xk,c}i,其中{x1,x2,...,xi,...,xk}∈N∪A,c∈Class={正常,异常}。
进一步的,设定待定正常行为模型Mpre为空,集合X经过RIPPER算法计算,得到包含指向正常类型和异常类型的两种规则集
Figure SMS_3
取其中c=正常的规则构成新增正常行为模型Mnew,使得待定正常行为模型构成与新增正常行为模型的并集Mpre=Mpre∪Mnew
进一步的,通过待定正常行为模型Mpre计算N中被定义为正常序列的比例pnor。并判断其是否大于或等于设定阈值pv,若大于或等于,则正常行为模型M=Mpre,过程结束。若小于,将得到集合N中所有序列通过待定正常行为模型Mpre判断后,被定义为异常序列的集合Setabnor,使得Setabnor与集合A构成新的集合。
进一步的,令X=X′,N=Setabnor,并重复RIPPER算法进行计算。
进一步的,在步骤(3)中,状态采集器收集到的最新k条状态作为当前的实时设备状态数据。
进一步的,在步骤(4)中,异常度表示异常序列的出现频率,计算公式为
Figure SMS_4
其中pabnormal表示T时间内出现异常序列的个数。T的单位为ms,为常量,且pabnormal=pabnormal+1。
进一步的,计算pabnormal序列中与当前时间相差大于T ms的序列个数ptimeout,使得pabnormal=pabnormal-ptimeout
进一步的,计算异常度
Figure SMS_5
若η≥ηv,则过程结束,进入告警程序。否则返回步骤(3)/>
Figure SMS_6
本发明的有益效果:
1.该基于设备状态和正常行为模型的智能电网入侵检测方法通过获取正常状态和异常状态下特定物联网终端设备的数据信息,通过RIPPER算法构建智能电网基于这些特定设备状态信息的正常行为模型,再在运行中,将实时设备状态数据与正常行为模型比对,若适配为异常状态,则通过异常阈值判断是否触发告警机制,实现了智能电网中实时、高效、独立的入侵检测效果。
2.该基于设备状态和正常行为模型的智能电网入侵检测方法降低了入侵检测的误报率,通过计算异常序列出现的频率,判断其是否超过设定阈值,智能化程度高,能自动实现防护和检出过程。
附图说明
图1为本发明一种基于设备状态和正常行为模型的智能电网入侵检测方法的流程图;
图2为本发明一种基于设备状态和正常行为模型的智能电网入侵检测方法的具体行为数据表。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
请参阅图1至图2,本发明提供一种技术方案:一种基于设备状态和正常行为模型的智能电网入侵检测方法,包括以下步骤:
(1)数据收集中台收集智能电网中不同设备在正常和异常两种状态下的行为数据,得到正常行为数据集NormalSet和异常行为数据集AbnormalSet;具体而言,智能电网设备包括前端、配电接入点和智能电表。具体行为数据见图2。
本实施例,(2)将步骤(1)中得到的正常行为数据集NormalSet和异常行为数据集AbnormalSet经n=6的n-gram模型,即6-gram模型进行数据处理后,通过机器学习算法RIPPER算法,训练得到正常行为模型;
(2-1)将NormalSet=n1n2...ni...nn-1nn按照时间顺序处理成若干长度为6的短序列,即
Figure SMS_7
(2-2)将AbnormalSet=a1a2...ai...an-1an按照时间顺序处理成若干长度为6的短序列,即
Figure SMS_8
(2-3)将N和中短序列与其对应的类型(正常或异常)组成新的短序列,共同构成集合X=∑{x1,x2,x3,x4,x5,x6,c}i,其中{x1,x2,x3,x4,x5,x6}∈N∪A,c∈Class={正常,异常};
(2-4)设定待定正常行为模型Mpre为空;
(2-5)集合X经过RIPPER算法计算,得到包含指向正常类型和异常类型的两种规则集
Figure SMS_9
取其中c=正常的规则构成新增正常行为模型Mnew,使得待定正常行为模型构成与新增正常行为模型的并集Mpre=Mpre∪Mnew
(2-6)通过待定正常行为模型Mpre计算N中被定义为正常序列的比例pnor。并判断其是否大于或等于设定阈值pv,若大于或等于,则正常行为模型M=Mpre,过程结束。若小于,则进入步骤(2-7);
具体而言,正常序列的比例阈值pnor关系到正常行为模型的误报率,比例越大,误报率越低。一般智能电网中考虑系统的稳定性,会将其设定得较高,一般而言,可以设定pnor=90%。
(2-7)得到集合N中所有序列通过待定正常行为模型Mpre判断后,被定义为异常序列的集合Setabnor,使得Setabnor与集合A构成新的集合。
(2-8)令X=X′,N=Setabnor,返回步骤(2-5)。
本实施例,(3)根据步骤(2)中得到的正常行为模型M,对智能电网中实时运行的设备状态数据进行判断,若不匹配正常行为模型中任何规则,则认为当前状态为异常,进入步骤(4)进行异常度计算。否则,继续监控设备实时状态数据,具体来说,是将状态采集器收集到的最新6条状态作为当前的实时设备状态数据。
本实施例,(4)进行异常度η计算,判断是否超过设定的异常阈值ηv,若超过则进入告警程序,过程结束。否则返回步骤(3)。
具体而言,异常度表示异常序列的出现频率,计算公式为
Figure SMS_10
其中pabnormal表示T时间内出现异常序列的个数。T的单位为s,为常量,一般而言,范围在30s~3000s之间。
(4-1)pabnormal=pabnormal+1;
(4-2)计算pabnormal序列中与当前时间相差大于T s的序列个数ptime out,使得pabnormal=pabnormal-ptimeout
(4-3)计算异常度
Figure SMS_11
若η≥ηv,则过程结束,进入告警程序。否则返回步骤(3)。
异常阈值ηv关系到告警的频率及漏报率,ηv越大,报警频率越低,但漏报率高,相反则报警频率高,漏报率低。一般而言,可以设定ηv在1次每秒到10次每秒之间。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。

Claims (2)

1.一种基于设备状态和正常行为模型的智能电网入侵检测方法,其特征在于:包括以下步骤:(1)数据收集中台收集智能电网中不同设备在正常和异常两种状态下的行为数据,得到正常行为数据集NormalSet和异常行为数据集AbnormalSet;(2)将步骤(1)中得到的正常行为数据集NormalSet和异常行为数据集AbnormalSet经n-gram模型进行数据处理后,通过机器学习算法RIPPER算法,训练得到正常行为模型;(3)根据步骤(2)中得到的正常行为模型M,对智能电网中实时运行的设备状态数据进行判断,若不匹配正常行为模型中任何规则,则认为当前状态为异常,进入步骤(4)进行异常度计算,否则,继续监控设备实时状态数据;(4)进行异常度η计算,判断是否超过设定的异常阈值ηv,若超过则进入告警程序,过程结束,否则返回步骤(3),在步骤(2)中,所述n-gram模型采用的是n=k的模型,令k取值为6,将NormalSet=n1n2...ni...nn-1nn按照时间顺序处理成若干长度为k的短序列,即
Figure FDA0004209700930000011
将AbnormalSet=a1a2...ai...an-1an按照时间顺序处理成若干长度为k的短序列,即/>
Figure FDA0004209700930000012
将N和中短序列与其对应的类型正常或异常组成新的短序列,共同构成集合X=∑{x1,x2,...,xi,...,xk,c}i,其中{x1,x2,...,xi,...,xk}∈N∪A,c∈Class={正常,异常},设定待定正常行为模型Mpre为空,集合X经过RIPPER算法计算,得到包含指向正常类型和异常类型的两种规则集/>
Figure FDA0004209700930000021
取其中c=正常的规则构成新增正常行为模型Mnew,使得待定正常行为模型构成与新增正常行为模型的并集Mpre=Mpre∪Mnew,通过待定正常行为模型Mpre计算N中被定义为正常序列的比例pnor,并判断其是否大于或等于设定阈值pv,若大于或等于,则正常行为模型M=Mpre,过程结束,若小于,将得到集合N中所有序列通过待定正常行为模型Mpre判断后,被定义为异常序列的集合Setabnor,使得Setabnor与集合A构成新的集合,N=Setabnor,并重复RIPPER算法进行计算,在步骤(4)中,异常度表示异常序列的出现频率,计算公式为/>
Figure FDA0004209700930000022
其中pabnormal表示T时间内出现异常序列的个数,T的单位为ms,为常量,且pabnormal=pabnormal+1,计算pabnormal序列中与当前时间相差大于T ms的序列个数ptimeout,使得pabnormal=pabnormal-ptimeout,计算异常度/>
Figure FDA0004209700930000031
若η≥ηv,则过程结束,进入告警程序,否则返回步骤(3)/>
Figure FDA0004209700930000032
异常阈值ηv在1次每秒到10次每秒之间。
2.根据权利要求1所述的一种基于设备状态和正常行为模型的智能电网入侵检测方法,其特征在于:在步骤(3)中,状态采集器收集到的最新k条状态作为当前的实时设备状态数据。
CN202211334545.7A 2022-10-28 2022-10-28 基于设备状态和正常行为模型的智能电网入侵检测方法 Active CN115694967B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211334545.7A CN115694967B (zh) 2022-10-28 2022-10-28 基于设备状态和正常行为模型的智能电网入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211334545.7A CN115694967B (zh) 2022-10-28 2022-10-28 基于设备状态和正常行为模型的智能电网入侵检测方法

Publications (2)

Publication Number Publication Date
CN115694967A CN115694967A (zh) 2023-02-03
CN115694967B true CN115694967B (zh) 2023-06-20

Family

ID=85046052

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211334545.7A Active CN115694967B (zh) 2022-10-28 2022-10-28 基于设备状态和正常行为模型的智能电网入侵检测方法

Country Status (1)

Country Link
CN (1) CN115694967B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850558A (zh) * 2016-12-24 2017-06-13 国网江苏省电力公司信息通信分公司 基于季节模型时间序列的智能电表状态异常检测方法
CN110853268A (zh) * 2019-11-01 2020-02-28 江苏安防科技有限公司 一种基于管廊系统海量数据分析实现入侵检测漏洞实时扫描的方法
WO2020143226A1 (zh) * 2019-01-07 2020-07-16 浙江大学 一种基于集成学习的工业控制系统入侵检测方法
CN114697081A (zh) * 2022-02-28 2022-07-01 国网江苏省电力有限公司淮安供电分公司 基于iec61850 sv报文运行态势模型的入侵检测方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850558A (zh) * 2016-12-24 2017-06-13 国网江苏省电力公司信息通信分公司 基于季节模型时间序列的智能电表状态异常检测方法
WO2020143226A1 (zh) * 2019-01-07 2020-07-16 浙江大学 一种基于集成学习的工业控制系统入侵检测方法
CN110853268A (zh) * 2019-11-01 2020-02-28 江苏安防科技有限公司 一种基于管廊系统海量数据分析实现入侵检测漏洞实时扫描的方法
CN114697081A (zh) * 2022-02-28 2022-07-01 国网江苏省电力有限公司淮安供电分公司 基于iec61850 sv报文运行态势模型的入侵检测方法和系统

Also Published As

Publication number Publication date
CN115694967A (zh) 2023-02-03

Similar Documents

Publication Publication Date Title
CN112858919B (zh) 一种基于聚类分析的电池系统在线故障诊断方法和系统
CN109977535B (zh) 一种线损异常诊断方法、装置、设备及可读存储介质
CN109544399B (zh) 基于多源异构数据的输电设备状态评价方法及装置
CN114137916B (zh) 基于数据分析的电路板生产用监督管控系统
CN108020781B (zh) 一种断路器故障诊断方法
CN114386537B (zh) 基于CatBoost的锂电池故障诊断方法、装置及电子设备
CN105301453B (zh) 一种局部放电在线监测预警方法
CN117491787B (zh) 一种芯片生产设备电磁干扰检测系统
CN116562618A (zh) 一种获得动态安全评估模型的方法
CN115796708B (zh) 一种工程建设用的大数据智能质检方法、系统和介质
CN110633450A (zh) 一种双氧水装置报警系统报警阈值优化方法
CN115600879A (zh) 一种断路器异常预警方法、系统及相关装置
CN115694967B (zh) 基于设备状态和正常行为模型的智能电网入侵检测方法
CN114186849A (zh) 一种计及二次系统影响的电力系统连锁故障风险评估方法及其系统
CN116545115B (zh) 一种低压配电柜故障监测系统及其方法
CN116204846B (zh) 一种基于可见图的配电网传感器数据异常快速定位方法
CN111537819A (zh) 一种配电自动化监测方法、系统、终端及存储介质
CN112149731A (zh) 基于id3算法的电力系统故障分类方法及系统
CN111934903A (zh) 一种基于时序演化基因的Docker容器故障智能预测方法
CN116151808A (zh) 一种基于风险评估的配电设备状态检修方法
CN113285847A (zh) 一种智能换流站监测系统的通信网络异常检测方法及系统
CN118501596B (zh) 一种基于数据分析的智能用电监测系统
CN112561230A (zh) 基于电气特征的环保设备状态监测方法
CN111313355A (zh) 一种人工监督下的监控信号事件规则更新的方法
CN111934338B (zh) 一种柔性直流电网线路保护的运行评价方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant