CN116094736A - 一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法 - Google Patents

Abstract

本发明公开了一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，涉及电网技术领域。本发明通过PLC模拟上位机向PC模拟的厂场站端发送负荷控制指令；抓取模拟厂站端的PC机上的以太端口通信消息，提取通信消息的流特征，从提取出的流特征中筛选出一部分作为训练所需的训练样本集，将训练样本集与报文的信息体组成输入向量，输入到长短期记忆神经网络模型中进行训练和测试，利用训练成功的长短期记忆神经网络生成预测特征，并将预测特征与对应的真实特征对比判断，检测系统网络响应位置是否存在网络入侵。本发明实现在依赖网络流量分析的条件下定性识别针对篡改火力发电控制系统的指令修改和DoS攻击的网络攻击的能力。

Description

一种基于长短时记忆的汽轮机控制系统网络异常流量检测 方法

技术领域

本发明涉及电网技术领域，尤其涉及一种在汽轮机控制系统受到网络攻击时的异常检测方法，更具体地说涉及一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法。

背景技术

随着信息通信技术的发展，发电厂借助先进的信息通信技术提高了发电厂的控制水平，成为了能够实现实时感知、动态控制与信息服务融合的复杂系统。

然而，发电厂的信息通信除了需要通过局域网以完成日常的运行外，还需要与外界网络进行通信，实现供电系统中电力调度环节的高效率运行。但由于通信系统不可避免存在安全漏洞，使得发电厂存在的信息安全问题日益凸显。

现有的网络安全监测方法通常采用电力监控系统通信网络建设者依靠自己的直觉和经验选择异常检测的统计指标。该入侵检测方案扩展性和适应性有限，更新成本高、速度慢。另一种常见的监控模型使用网络流量探针，如简单网络管理协议(SNMP)。但是SNMP的特征识别和自主学习检测网络异常的能力不足，无法及时检测出0-Day漏洞、APT攻击等形式的未知威胁。

发明内容

为了克服上述现有技术中存在的缺陷和不足，本发明提供了一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，本发明的发明目的在于解决现有技术中无法及时检测0-Day漏洞、APT攻击等形式的未知威胁。本发明提供的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，可实现在汽轮机控制系统受到网络攻击并后，定性地识别出此网络入侵行为。实现在依赖网络流量分析的条件下定性识别针对篡改火力发电控制系统的指令修改和DoS攻击的网络攻击的能力。

为了解决上述现有技术中存在的问题，本发明是通过下述技术方案实现的：

一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，该方法包括以下步骤：

S1、通过PLC模拟上位机向PC模拟的厂场站端发送负荷控制指令；

S2、利用Wireshark软件抓取模拟厂站端的PC机上的以太端口通信消息，并保存；

S3、提取S2步骤中保存的通信消息的流特征，从提取出的流特征中筛选出一部分作为训练所需的训练样本集，将训练样本集与报文的信息体组成长短期记忆训练的输入向量；

S4、将S3步骤得到的输入向量输入到长短期记忆神经网络模型中进行训练和测试，利用训练成功的长短期记忆神经网络生成预测特征，并将预测特征与对应的真实特征对比判断，检测系统网络响应位置是否存在网络入侵。

更进一步地，S1步骤中，发送的负荷控制指令是来自国家电网ESO的AGC控制曲线数据的时间序列。

优选的，PLC模拟上位机利用TCP/IP协议将负荷控制指令发送到PC模拟的厂站端。

S2步骤中，利用Wireshark软件抓取模拟厂站端的PC机上的以太端口通信消息，并保存在一个后缀为.pcap的文件中。

S3步骤中，提取S2步骤中保存的通信消息的流特征，具体是指，使用java编码的CICflowMeter提取通信消息的流特征。

S4步骤中，将S3步骤得到的输入向量输入到长短期记忆神经网络模型中进行训练和测试，是指，选用Python编写长短期记忆神经网络模型；在获的输入向量后，将输入向量进一步转换为适合Python LSTM的三位数张量格式，即将输入向量处理为[Batch,200,9]张量格式，其中Batch表示LSTM网络输入的时间相关序列的个数；Step_size为时间序列的长度，即已知LSTM模型展开时输入的时间步长为200；Input_size为输入向量的维数，为9。

采用带有两个隐藏层的LSTM网络，每个隐藏层的节点数为81，取200时间步长数据作为时间序列的Step_size，输出当前时间步长的预测数据；网络的输出向量形式为[batch*200,9]。

所述S4步骤中，长短期记忆神经网络模型每一个细胞表达式为：

f_t＝σ(W_f·[h_t-1,x_t]+b_f)

i_t＝σ(W_i·[h_t-1,x_t]+b_i)

o_t＝σ(W_o·[h_t-1,x_t]+b_o)

h_t＝o_t*tanh(C_t)

其中，σ表示sigmod激活函数；tanh表示双曲正切函数；f_t表示遗忘门的输出；W_f表示遗忘门的权重；b_f表示遗忘门的偏执；h_t-1表示上一个细胞的输出；x_t表示当前细胞的输入；i_t表示输入门的输出；W_i表示输入门的权重；b_i表示输入门的偏执；

表示输入门备选的用来更新的内容；W_C表示更新备选内容的权重；b_C表示更新备选内容的偏执；C_t表示新细胞的状态；C_t-1表示上一个细胞的状态；o_t表示输出门的输出；W_o表示输出门的权重；b_o表示输出门的偏执；h_t表示当前细胞的输出。

所述S4步骤中，利用训练完成的长短时记忆神经网络对测试数据集进行逐点预测，利用预测值与真值之间的误差来判别当前流量是否存在异常；误差E_i和异常A_i的计算公式为：

A_i＝(E_i-μ)ε^-1(E_i-μ)

式中，R_i为当前时步的真实值，Y_i为当前时步的预测值，μ和ε分别为假设误差符合正太分布，并采用最大似然估计计算出的正态分布的均值与方差；当评分异常值超过异常阈值τ时，表示该网络流量异常。

与现有技术相比，本发明所带来的有益的技术效果表现在：

与现有技术相比可有效地实现在汽轮机控制系统受到DoS网络攻击或篡改攻击后，给出预警并为识别网络攻击提供一定依据。

附图说明

图1为根据本发明实施方案示出的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法逻辑图；

图2为根据本发明实施方案示出的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法长短期记忆神经网络模型展开图；

图3为根据本发明实施方案示出的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法长短期记忆神经网络模型细胞逻辑图；

图4为根据本发明实施方案示出的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法长短期记忆神经网络训练损失下降图；

图5为根据本发明实施方案示出的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法检测率效果图。

具体实施方式

下面结合说明书附图及具体实施例，对本发明的技术方案做出进一步详细地阐述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

作为本发明一较佳实施例，参照说明书附图所示，本实施例公开了：

一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，该方法包括以下步骤：

S1、通过PLC模拟上位机向PC模拟的厂场站端发送负荷控制指令；

S2、利用Wireshark软件抓取模拟厂站端的PC机上的以太端口通信消息，并保存；

S3、提取S2步骤中保存的通信消息的流特征，从提取出的流特征中筛选出一部分作为训练所需的训练样本集，将训练样本集与报文的信息体组成长短期记忆训练的输入向量；

S4、将S3步骤得到的输入向量输入到长短期记忆神经网络模型中进行训练和测试，利用训练成功的长短期记忆神经网络生成预测特征，并将预测特征与对应的真实特征对比判断，检测系统网络响应位置是否存在网络入侵。

作为本实施例的一种实施方式，S1步骤中，发送的负荷控制指令是来自国家电网ESO的AGC控制曲线数据的时间序列。

更进一步地，PLC模拟上位机利用TCP/IP协议将负荷控制指令发送到PC模拟的厂站端。

实施例2

作为本发明又一较佳实施例，本实施例公开了一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法为：

步骤1、通过PLC模拟上位机向上位机发送负荷控制指令。发送的数据是来自国家电网ESO的AGC控制曲线数据的时间序列。利用TCP/IP协议将PLC模拟的调度侧数据发送到PC模拟的厂站侧；

步骤2、利用Wireshark软件抓取PC机上的以太端口通信消息，并将其保存在一个后缀为.pcap的文件中；

步骤3、使用Java编码的CICflowMeter提取网络消息的流特征。将每条包含80多个网络流量特征项的流特征筛选出训练所需的部分特征再与报文的信息体组成长短期记忆训练的输入向量；

步骤4、编写长短期记忆神经网络模型并采用步骤3得到的输入向量训练和测试模型。本文选用Python编写LSTM程序。在获得输入向量后，需要将其进一步转换为适合PythonLSTM的三位数张量格式。这里将上述获得的输入特征向量处理为[Batch,200,9]张量格式，其中Batch表示LSTM网络输入的时间相关序列的个数；Step_size为时间序列的长度，即已知LSTM模型展开时输入的时间步长，为200；Input_size为输入向量的维数，为9。这个输入张量可以用python来训练和测试LSTM。构造输入特征后，输入仿真期间的正常网络流量，运行LSTM训练程序训练神经网络参数。本文采用带有两个隐藏层的LSTM网络，每个隐藏层的节点数为81。取200时间步长数据作为时间序列的Step_size，输出当前时间步长的预测数据。因此，网络的输出向量形式为[batch*200,9]。网络的损耗函数表示为:

式中R_i为当前时步的真实值，Y_i为当前时步的预测值。训练一个LSTM神经网络，该神经网络可以根据历史数据预测当前值。本文采用Adam算法对网络参数进行训练。

最后，利用训练完成的神经网络对测试数据集进行逐点预测，利用预测值与真值之间的误差来判别当前流量是否存在异常。误差E_i和异常A_i得分计算公式为：

E_i ²＝||R_i-Y_i||²

A_i＝(E_i-μ)ε^-1(E_i-μ)

式中R_i为当前时步的真实值，Y_i为当前时步的预测值。μ和ε分别为假设误差符合正太分布，并采用最大似然估计计算出的正态分布的均值与方差。在测试阶段，当评分异常值超过异常阈值τ时，表示该网络流量异常。

实施例3

作为本发明又一较佳实施例，本实施例公开了：一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，该方法包括以下步骤：

S1、通过PLC模拟上位机向PC模拟的厂场站端发送负荷控制指令；发送的负荷控制指令是来自国家电网ESO的AGC控制曲线数据的时间序列。PLC模拟上位机利用TCP/IP协议将负荷控制指令发送到PC模拟的厂站端。

S2、利用Wireshark软件抓取模拟厂站端的PC机上的以太端口通信消息，并保存；并保存在一个后缀为.pcap的文件中。

S3、使用java编码的CICflowMeter提取通信消息的流特征，从提取出的流特征中筛选出一部分作为训练所需的训练样本集，将训练样本集与报文的信息体组成长短期记忆训练的输入向量；

S4、将S3步骤得到的输入向量输入到长短期记忆神经网络模型中进行训练和测试，利用训练成功的长短期记忆神经网络生成预测特征，并将预测特征与对应的真实特征对比判断，检测系统网络响应位置是否存在网络入侵；

S4步骤中，将S3步骤得到的输入向量输入到长短期记忆神经网络模型中进行训练和测试，是指，选用Python编写长短期记忆神经网络模型；在获的输入向量后，将输入向量进一步转换为适合Python LSTM的三位数张量格式，即将输入向量处理为[Batch,200,9]张量格式，其中Batch表示LSTM网络输入的时间相关序列的个数；Step_size为时间序列的长度，即已知LSTM模型展开时输入的时间步长为200；Input_size为输入向量的维数，为9。

采用带有两个隐藏层的LSTM网络，每个隐藏层的节点数为81，取200时间步长数据作为时间序列的Step_size，输出当前时间步长的预测数据；网络的输出向量形式为[batch*200,9]。

所述S4步骤中，长短期记忆神经网络模型每一个细胞表达式为：

f_t＝σ(W_f·[h_t-1,x_t]+b_f)

i_t＝σ(W_i·[h_t-1,x_t]+b_i)

o_t＝σ(W_o·[h_t-1,x_t]+b_o)

h_t＝o_t*tanh(C_t)

其中，σ表示sigmod激活函数；tanh表示双曲正切函数；f_t表示遗忘门的输出；W_f表示遗忘门的权重；b_f表示遗忘门的偏执；h_t-1表示上一个细胞的输出；x_t表示当前细胞的输入；i_t表示输入门的输出；W_i表示输入门的权重；b_i表示输入门的偏执；

表示输入门备选的用来更新的内容；W_C表示更新备选内容的权重；b_C表示更新备选内容的偏执；C_t表示新细胞的状态；C_t-1表示上一个细胞的状态；o_t表示输出门的输出；W_o表示输出门的权重；b_o表示输出门的偏执；h_t表示当前细胞的输出。

所述S4步骤中，利用训练完成的长短时记忆神经网络对测试数据集进行逐点预测，利用预测值与真值之间的误差来判别当前流量是否存在异常；误差E_i和异常A_i的计算公式为：

A_i＝(E_i-μ)ε^-1(E_i-μ)

式中，R_i为当前时步的真实值，Y_i为当前时步的预测值，μ和ε分别为假设误差符合正太分布，并采用最大似然估计计算出的正态分布的均值与方差；当评分异常值超过异常阈值τ时，表示该网络流量异常。

如图5所示，为根据本发明实施方案示出的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法检测率效果图，其中DR为检出率，FPR为阳性错误率，表达式本别为：

式中，N_TP为正确检出的异常流量，N_FN为未正确检出的正常流量，N_FP为未正确检出的异常流量，N_TN为正确检出的正常流量。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (9)

1.一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于，该方法包括以下步骤：

S1、通过PLC模拟上位机向PC模拟的厂场站端发送负荷控制指令；

S2、利用Wireshark软件抓取模拟厂站端的PC机上的以太端口通信消息，并保存；

S3、提取S2步骤中保存的通信消息的流特征，从提取出的流特征中筛选出一部分作为训练所需的训练样本集，将训练样本集与报文的信息体组成长短期记忆训练的输入向量；

S4、将S3步骤得到的输入向量输入到长短期记忆神经网络模型中进行训练和测试，利用训练成功的长短期记忆神经网络生成预测特征，并将预测特征与对应的真实特征对比判断，检测系统网络响应位置是否存在网络入侵。

2.如权利要求1所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：S1步骤中，发送的负荷控制指令是来自国家电网ESO的AGC控制曲线数据的时间序列。

3.如权利要求1或2所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：PLC模拟上位机利用TCP/IP协议将负荷控制指令发送到PC模拟的厂站端。

4.如权利要求1所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：S2步骤中，利用Wireshark软件抓取模拟厂站端的PC机上的以太端口通信消息，并保存在一个后缀为.pcap的文件中。

5.如权利要求1所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：S3步骤中，提取S2步骤中保存的通信消息的流特征，具体是指，使用java编码的CICflowMeter提取通信消息的流特征。

6.如权利要求1、2、4或5所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：S4步骤中，将S3步骤得到的输入向量输入到长短期记忆神经网络模型中进行训练和测试，是指，选用Python编写长短期记忆神经网络模型；在获的输入向量后，将输入向量进一步转换为适合Python LSTM的三位数张量格式，即将输入向量处理为[Batch,200,9]张量格式，其中Batch表示LSTM网络输入的时间相关序列的个数；Step_size为时间序列的长度，即已知LSTM模型展开时输入的时间步长为200；Input_size为输入向量的维数，为9。

7.如权利要求6所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：采用带有两个隐藏层的LSTM网络，每个隐藏层的节点数为81，取200时间步长数据作为时间序列的Step_size，输出当前时间步长的预测数据；网络的输出向量形式为[batch*200,9]。

8.如权利要求1、2、4或5所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：所述S4步骤中，长短期记忆神经网络模型每一个细胞表达式为：

f_t＝σ(W_f·[h_t-1,x_t]+b_f)

i_t＝σ(W_i·[h_t-1,x_t]+b_i)

o_t＝σ(W_o·[h_t-1,x_t]+b_o)

h_t＝o_t*tanh(C_t)

其中，σ表示sigmod激活函数；tanh表示双曲正切函数；f_t表示遗忘门的输出；W_f表示遗忘门的权重；b_f表示遗忘门的偏执；h_t-1表示上一个细胞的输出；x_t表示当前细胞的输入；i_t表示输入门的输出；W_i表示输入门的权重；b_i表示输入门的偏执；

表示输入门备选的用来更新的内容；W_C表示更新备选内容的权重；b_C表示更新备选内容的偏执；C_t表示新细胞的状态；C_t-1表示上一个细胞的状态；o_t表示输出门的输出；W_o表示输出门的权重；b_o表示输出门的偏执；h_t表示当前细胞的输出。

9.如权利要求1、2、4或5所述的一种基于长短时记忆的汽轮机控制系统网络异常流量检测方法，其特征在于：所述S4步骤中，利用训练完成的长短时记忆神经网络对测试数据集进行逐点预测，利用预测值与真值之间的误差来判别当前流量是否存在异常；误差E_i和异常A_i的计算公式为：

A_i＝(E_i-μ)ε^-1(E_i-μ)

式中，R_i为当前时步的真实值，Y_i为当前时步的预测值，μ和ε分别为假设误差符合正太分布，并采用最大似然估计计算出的正态分布的均值与方差；当评分异常值超过异常阈值τ时，表示该网络流量异常。

Images