CN116614257A - 基于二次融合终端的威胁感知方法及装置 - Google Patents

基于二次融合终端的威胁感知方法及装置 Download PDF

Info

Publication number
CN116614257A
CN116614257A CN202310432312.9A CN202310432312A CN116614257A CN 116614257 A CN116614257 A CN 116614257A CN 202310432312 A CN202310432312 A CN 202310432312A CN 116614257 A CN116614257 A CN 116614257A
Authority
CN
China
Prior art keywords
fusion
power
behavior
abnormal
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310432312.9A
Other languages
English (en)
Inventor
陈伟
马金辉
王吉文
李端超
李圆智
王璨
沈新村
杨文涛
王松
章莉
吴俊�
欧阳亨威
文涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd
State Grid Anhui Electric Power Co Ltd
Huainan Power Supply Co of State Grid Anhui Electric Power Co Ltd
Xuancheng Power Supply Co of State Grid Anhui Electric Power Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd
State Grid Anhui Electric Power Co Ltd
Huainan Power Supply Co of State Grid Anhui Electric Power Co Ltd
Xuancheng Power Supply Co of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd, State Grid Anhui Electric Power Co Ltd, Huainan Power Supply Co of State Grid Anhui Electric Power Co Ltd, Xuancheng Power Supply Co of State Grid Anhui Electric Power Co Ltd filed Critical Electric Power Research Institute of State Grid Anhui Electric Power Co Ltd
Priority to CN202310432312.9A priority Critical patent/CN116614257A/zh
Publication of CN116614257A publication Critical patent/CN116614257A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00006Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
    • H02J13/00016Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment using a wired telecommunication network or a data transmission bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例涉及一种基于二次融合终端的威胁感知方法及装置,包括:采集电力一次终端中的电力业务数据并确定电力业务特征;采集电力二次融合终端上的网络流量并确定网络流量特征;将电力业务特征和网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对融合特征进行检测,得到异常行为分类和攻击行为分类;对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为;若是,则基于融合特征更新融合特征识别模型,以对网络流量进行威胁感知。由此,实现精准、快速的基于二次融合终端的可更新迭代的威胁感知。

Description

基于二次融合终端的威胁感知方法及装置
技术领域
本发明实施例涉及网络流量识别领域,尤其涉及一种基于二次融合终端的威胁感知方法及装置。
背景技术
随着智能电网信息空间与物理空间耦合的不断加深,近年来,由网络攻击导致的电网物理系统故障越发常见,严重影响了电力系统的正常运行。如2015年,攻击者通过获取变电站监控系统服务器的操作权限进行了恶意倒闸操作,导致乌克兰电网80000个用户停电;2016年以色列电力供应系统受到重大网络攻击,迫使电力供应系统离线运行。电网中用于并网的各类智能二次融合终端和装置作为沟通信息系统与物理系统的桥梁,当其遭受通过篡改、伪造与重放电力业务数据包实施的攻击时,将直接影响电力系统的正常运行,造成如断路器异常开断、定值修改等问题,从而引发电力事故。因此,如何有效识别二次融合终端可能遭受的恶意攻击成为亟待解决的问题。
目前,针对电网二次融合终端网络攻击识别的研究主要有以下两种思路。一类研究是将传统信息网络的网络攻击识别系统直接应用于电网二次融合终端的网络攻击识别,通过异常检测方法利用识别非电力业务数据包流量中的网络攻击,这种方法成熟度较高,但和电力并网的场景融合度不高,很难检测电力系统中独有的攻击。另一类研究利用电力专有协议流量特征、规则或数据包不同字段的相关性等方式来实现电网二次融合终端的网络攻击识别,这类方法和电网的融合度较高,但由于二次融合终端种类繁多,协议复杂,针对协议进行分析需要大量的专家经验,耗时耗力。且由于攻击变化快,未知攻击层出不穷,这两种方法都很难对未知攻击进行检测。
发明内容
鉴于此,为解决上述技术问题或部分技术问题,本发明实施例提供一种基于二次融合终端的威胁感知方法及装置。
第一方面,本发明实施例提供一种基于二次融合终端的威胁感知方法,包括:
采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征;
采集电力二次融合终端上的网络流量并确定网络流量特征;
将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类;
对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为;
若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。
在一个可能的实施方式中,所述方法还包括:
对所述电力一次终端进行实时监测,采集电力一次终端中的电力业务数据;
基于数据采样间隔计算电力业务数据的多种电力业务特征;
将所述多种电力业务特征按采样时间顺序排列,得到电力业务特征集合。
在一个可能的实施方式中,所述方法还包括:
采集所述电力二次融合终端的原始网络数据包,并根据采样间隔提取所述原始网络数据包的交互特征;
将所述交互特征按采样时间顺序排列,得到网络数据包特征集合。
在一个可能的实施方式中,所述方法还包括:
将相同采样间隔的网络数据包特征集合和电力业务特征集合通过融合特征算法进行特征融合,得到多个融合特征向量;
将多个采样间隔得到的融合特征向量进行拼接,得到融合特征矩阵。
在一个可能的实施方式中,所述方法还包括:
预先建立基于自动编码器和卷积神经网络的融合特征识别模型;
基于所述融合特征识别模型对所述融合特征矩阵进行检测,识别正常网络流量和异常网络流量;
对所述异常网络流量进行分类,得到异常行为分类和攻击行为分类。
在一个可能的实施方式中,所述方法还包括:
对分类的异常行为对应的电力设备进行监测,构建第一行为链,得到已知业务行为数据库;
对分类的异常行为对应的异常流量进行畸变数据包检测,筛选格式符合规范的数据包,标记为攻击行为;
对其他异常流量进行预处理,并进行行为分析,构建第二行为链;
将所述第二行为链和已知业务行为数据库进行关联比对,识别其中的攻击行为;
将识别为攻击行为的异常流量作为融合特征识别模型的训练数据集。
在一个可能的实施方式中,所述方法还包括:
基于识别为攻击行为的异常流量作为融合特征识别模型的训练数据集,训练迭代融合特征识别模型;
基于所述迭代融合特征识别模型对网络流量进行威胁感知。
第二方面,本发明实施例提供一种基于二次融合终端的威胁感知装置,包括:
业务探针模块,用于采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征;
所述业务探针模块,还用于采集电力二次融合终端上的网络流量并确定网络流量特征;
攻击检测模块,用于将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类;
攻击分析模块,用于对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为;
模型迭代模块,用于若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。
第三方面,本发明实施例提供一种服务器,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的基于二次融合终端的威胁感知程序,以实现上述第一方面中所述的基于二次融合终端的威胁感知方法。
第四方面,本发明实施例提供一种存储介质,包括:所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述第一方面中所述的基于二次融合终端的威胁感知方法。
本发明实施例提供的基于二次融合终端的威胁感知方案,通过采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征;采集电力二次融合终端上的网络流量并确定网络流量特征;将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类;对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为;若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。相比于现有的针对电网二次融合终端网络攻击识别的方法和电力并网的场景融合度低或者协议复杂、耗时、很难对未知攻击进行检测的问题,由本方案,通过融合模型对融合特征进行检测确定攻击行为,并通过每一次检测更新迭代融合模型,实现精准、快速的基于二次融合终端的可更新迭代的威胁感知。
附图说明
图1为本发明实施例提供的一种基于二次融合终端的威胁感知方法的流程示意图;
图2为本发明实施例提供的一种基于二次融合终端的威胁感知方法的架构图;
图3为本发明实施例提供的一种基于自动编码器和卷积神经网络的半监督电力融合特征识别模型示意图;
图4为本发明实施例提供的一种基于二次融合终端的威胁感知装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本发明实施例的限定。
图1为本发明实施例提供的一种基于二次融合终端的威胁感知方法的流程示意图,如图1所示,该方法具体包括:
S11、采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征。
本发明实施例结合图2所示的基于二次融合终端的威胁感知方法的架构图进行说明,本威胁感知方法的系统架构主要包括:业务探针模块,攻击检测模块,攻击分析模块和模型迭代模块。其中,模型迭代模块部署于云端的物联管理平台中,负责训练设计好的融合特征识别模型,并下发至攻击检测模块中。业务探针模块部署于二次融合终端,采集电力一次终端中的电力业务数据并计算电力业务特征。攻击检测模块部署于智能融合终端,捕获二次融合终端上的网络流量,并计算网络流量特征,然后将二次融合终端上报的电力业务特征和网络流量特征进行融合,输入给攻击检测模块进行攻击检测,输出异常行为和攻击行为的分类。针对异常行为,通过更新路由策略,将其转发至攻击分析模块。攻击分析模块也部署于物联管理平台,通过对正常业务行为建模构建正常业务行为数据库,然后对转发来的异常行为进行业务分析,构建异常行为链,通过将异常行为链和正常行为数据库进行相似度分析判断是否是攻击行为,若为攻击行为,则将该行为的融合特征输出给模型迭代模块。最后攻击迭代模块根据接收的新的攻击信息,定期更新融合特征识别模型,实现基于二次融合终端的可更新迭代的威胁感知。
具体的,进行电力业务特征设计和网络流量特征设计,制定融合特征提取算法。融合特征提取算法包括以下内容:
通过对电力一次终端进行实时监测,收集电力业务数据,根据采样间隔计算电力业务数据对应的电力业务特征:
步骤1:计算在采样间隔内电力终端的配变特征,包括:配变低压侧三相电压,配变低压侧零序电压,配变出线三相电流,配变出线零序电流,共4种;
步骤2:计算在采样间隔内电力终端的功率特征,包括:总有功功率,总无功功率,总功率因数,总视在功率,总分相有功功率,总分相无功功率,总分相无功因数,总分相视在功率,共8种;
步骤3:计算在采样间隔内评估业务稳定性的特征,包括:三相电压不平衡度平均值,三相电流不平衡度平均值,电压偏差平均值,频率偏差平均值,电压谐波含有率(2-19次),电流谐波有效值(2-19次),电压、电流总谐波畸变率,电压合格率,配变负载率,共9种;
步骤4:计算在采样间隔内电力终端所处环境特征,包括:温度平均值,湿度平均值,环境瓦斯浓度平均值,共3种。
步骤5:将上述24种电力业务特征,按顺序排列,形成电力业务特征集合(PowerService Features,PSF),其中psfi是上述每一个特征的数值:
PSF={psf1,psf2,psf3…psf24} (1)
S12、采集电力二次融合终端上的网络流量并确定网络流量特征。
采集电力二次融合终端的原始网络数据包,并根据采样间隔提取原始网络数据包的交互特征,具体包括:
步骤1:在采样的时间间隔内,根据时间戳对原始网络数据包进行截取,形成待提取待处理网络数据包。
步骤2:提取待处理网络数据包,根据网络数据包中的源目IP地址,将网络数据包划分为上行包和下行包。上行包是由二次融合终端发往智能融合终端的网络包,即目的IP是智能融合终端的IP。下行包是由智能融合终端发往二次融合终端的网络包,即源IP是智能融合终端的IP。
步骤3:对上行包和下行包分别计算网络包级特征,包括:上行-包到达时间间隔(平均值,最小值,最大值,标准差),下行-包到达时间间隔(平均值,最小值,最大值,标准差),上行-包数量总和,下行-包数量总和,上行-每秒包数,下行-每秒包数,上行-包长度(总计,平均值,最小值,最大值,标准差),下行-包长度总计,平均值,最小值,最大值,标准差),上行-包头部占总长度的比例,下行-包头部占总长度的比例,上行包速率,下行包速率共计26种。
步骤4:将上述特征按顺序排列形成包特征集合(Packet Features,PF),其中每一个pfi是上述每一个特征的值:
PF={pf1,pf2,pf3…pf26} (2)
S13、将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类。
将相同采样间隔的网络数据包特征集合(PF)和电力业务特征集合(PSF)通过融合特征算法进行特征融合,形成多个融合特征向量Fusion features(FF):
FF={pf,psf}={pf1,pf2,pf3…pf26,psf1,psf2,psf3…psf24}
={ff1,ff2…ff50} (3)
进一步的,将多个采样间隔获得的融合特征向量进行拼接,形成最终的融合特征矩阵(Fusion Features Matrix,FFM),供融合特征识别模型进行训练和检测:
进一步的,设计基于自动编码器和卷积神经网络的半监督电力融合特征识别模型。如图3所示,该模型由编码器,解码器和分类器堆叠形成。编码器的输入是FFM,输出降维后的融合特征;分类器接收降维后的融合特征,输出识别的攻击类别标签;解码器接收降维后的融合特征,输出还原的FFM。通过编码器,以无标记样本实现基于异常的未知流量检测;通过分类器,以有标记样本实现有监督的已知流量分类。具体的:
步骤1:设计编码器,编码器由2个1维卷积层,1个最大池化层,2个1维卷积层,1个展平层,1个全连接层串联而成。其中卷积层和全连接层的激活函数均为ReLU。编码器对融合特征中的高维特征进行学习输出降维后的融合特征。
步骤2:设计分类器,分类器由1个全连接层,1个转置层,2个1维卷积层,1个最大池化层,2个1维卷积层,1个最大池化层,1个展平层,1个全连接层串联而成。其中最后一层全连接层的激活函数使用Softmax,其余全连接成和卷积层激活函数使用ReLU。分类器对编码器降维后的融合特征进行学习,输出攻击行为的分类标签。
步骤3:设计解码器,解码器由1个全连接层,1个转置层,2个1维卷积层,1个上采样层,3个1维卷积层串联而成。其中卷积层和全连接层的激活函数均为ReLU。解码器对编码器降维后的容和特征进行学习,并尝试进行还原,输出和FF维度相同的还原向量。
步骤4:设计训练方法,设置总训练轮数,采用交替训练的方法实现模型的训练目标。模型的训练目标有两个。第一是利用有标记样本,通过有监督学习,实现对已知攻击的分类。第二是利用无标记样本,通过无监督学习,基于异常还原损失实现对未知攻击的检测。
步骤5:设计检测方法。首先设置阈值,使用无监督训练最后一轮结束时的MSE损失作为判断异常流量和正常流量的阈值。当进行检测时,首先进行异常流量检测,通过计算输入和模型输出的MSE损失,和阈值进行对比。若超过阈值则可以确定为异常流量,若未超过阈值则确定为正常流量。当检测出异常流量后,再将异常流量导入到分类模型进行分类,输出分类标签。
其中,步骤4具体包括如下步骤:
步骤41:首先进行无监督训练,设置无监督训练轮数。利用无标记样本训练编码器和解码器,使用MSE作为损失函数,如公式(5)所示。其中是解码器输出的还原FF,yi是输入给编码器的原始FF。利用Adam优化器优化,在每一轮训练中,调整编码器和解码器中神经元的权重,直到满足无监督训练轮数后停止。
步骤42:然后进行有监督训练,设置有监督训练轮数。结合已知的攻击行为,对FFM补充攻击标签yn,形成有标记的FFMy。其中若ffn不存在标签yn,则为未知攻击。
利用标记后的FFMy,训练编码器和分类器,使用交叉熵作为损失函数,如公式(7)所示。其中是第n个ff经过分类器输出的预测标签,yn是第n个ff的真实标签。利用Adam优化器优化,在每一轮训练中,固定编码器中神经元的权重只调整分类器中神经元的权重,直到满足有监督训练轮数后停止。
步骤43:不断重复步骤41和步骤42直到达到总训练轮数后停止。
S14、对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为。
S15、若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。
设计异常行为分析算法。该算法主要包括三个关键步骤:行为链构建,畸变数据包检测,相似度分析。
首先对需要监测的电力设备构建行为链,形成已知业务行为数据库。然后对检测出的异常流量进行畸变数据包检测,剔除其格式不符合规范的数据包,直接标记为攻击行为。然后,对剩余的异常流量进行预处理,再进行行为分析,构建行为链。接着将异常行为链和已知行为数据库进行关联比对,识别其中的攻击行为,最后形成新的融合模型训练数据集。其具体步骤如下:
步骤1:行为链构建。行为链是一个字典格式的数据形式,里面存储了当前设备涉及的业务和对应的控制器的状态,其中包含三个键值对。第一个键值对的键为"Device_IP",其值是边缘电力设备的网络IP。第二个键值对的键为"Service_Name",其值是该电力设备涉及的电力业务名称。业务名称应按首字母顺序排列形成数组。如:"变压器":["电压控制","电流控制",…]。第三个键值对的键为"Control_State",其值是当前设备中各个控制器在"Service_Name"对应业务时的状态,如(8)所示。
Item={"Device_IP":"ip","Service_Name":"[service1,service2,
…,servicen]",
"Control_State":"[state_list1,state_list2,…state_listn]"}(8)
控制器状态需要单独处理,包含控制器状态编码和控制状态序列生成两个步骤,具体如下:
控制器状态编码:由于不同的电力设备中存在不同的控制器,且控制器的状态也不一样,所以需要制定统一的表示形式。首先需要列出当前电力设备存在的控制器,按其首字母顺序形成控制器数组,如(9)所示:
Controllerlist=[controller1,controller2,…controllern] (9)
如电压器控制器数组=[刀开关,断路器……]。
然后对其中每一种控制器状态进行数值编码。将其控制状态的名称按照首字母排序,然后从1开始递增赋值,形成控制器状态编码字典。
Controller_state_dirtct={"state_name1":"1","state_name2":"2",……,"state_namen":"n"}(10)
如断路器包含4种状态,运行,热备用,冷备用,停止,则其控制状态字典为:断路器状态编码字典={"冷备用":"1","热备用":"2","停止":"3","运行":"4"}。
如刀开关包含2种状态,打开,关闭,则其控制状态字典为:刀开关状态编码字典={"打开":"1","关闭":"2"}。
控制状态序列生成:在进行控制器状态编码后,需要对当前电力设备中涉及的电力业务进行控制状态生成。结合业务的实际情况,遍历当前电力设备中的控制器数组,根据此业务在具体实施时,需要该控制器处于的状态结合控制器状态编码字典生成控制器状态序列。
state_list=[controller1state,controller2state,…,controllernstate](11)
如在变压器在进行电压控制时,需要刀开关关闭,断路器运行,则在进行电压控制时变压器对应的状态数组为:state_list=[2,4],其中2指的是刀开关需要处于的状态——关闭,4指的是断路器需要处于的状态——运行。
如在变压器在进行电流控制时,需要刀开关打开,断路器冷备用,则在进行电流控制时变压器对应的状态数组为:state_list=[1,1],其中第一个1指的是刀开关需要处于的状态——打开,第二个1指的是断路器需要处于的状态——冷备用。
在遍历该电力设备所涉及的所有业务后,和所有控制器需要处于的状态后,完成行为链的构建。如上述举例的变压器最后形成的行为链为:Item={"Device_IP":"192.168.1.1","Service_Name":"["电压控制","电流控制",…,servicen]","Control_State":"[[2,4],[1,1],…state_listn]"}。
其中不涉及的控制器的状态用0表示。
步骤2:畸变数据包检测。由于针对电力设备的攻击中,伪造数据包形成畸变数据包或者是篡改数据包的内容修改关键控制器的状态对于电网的威胁更大。因此对转发来的异常流量更关心对控制相关流量的检测。首先,检测数据包中的目的IP,筛选出目的IP是电力设备的数据包。然后,进行数据包头部解析,读取ethtype字段,过滤出基于GOOSE协议的控制数据包和基于SV协议的控制数据包。并通过解析目的端口和源端口的值,过滤出基于MMS协议的数据包。然后对这些控制数据包内容按照IEC 61850协议规范进行检查。检测数据包内各字段内容是否完整,数据包内容顺序是否符合协议要求,数据包内各字段的值大小是否满足协议的取值范围。筛选出不符合规范要求的数据包,直接标记成恶意攻击。将剩余的数据包进行相似度分析。
步骤3:相似度分析。对于畸变检测后的数据包,首先对数据包进行整理。将目的IP相同的数据包放进同一个数组。然后,对每个IP数组进行遍历,解析报文中的控制命令,提取其针对控制器的命令。按照S501的方法构建行为链,得到其"Control_Stateabnormal"键值对。若不存在对该电力设备中某个控制器的操作,则将此控制器的状态值都设置为0。然后遍历数据库中正常业务的行为链,通过相似度评分计算,阈值设定,将低于阈值的异常流量识别为恶意攻击。
其中,相似度评分计算:利用余弦相似度计算每一个正常业务中"Control_Statenormal"里state_list和异常流量的"Control_Stateabnormal"里对应state_list的相似度。如公式(12):
其中xi是Control_Statenormal中state_list里的每个值,yi是Control_Stateabnormal中对应state_list里的每个值。若Control_Stateabnormal中某个state_list的值全为0,则跳过计算其和正常业务中对应控制器状态的相似度。
在计算完每一组state_list的相似度后,使用公式(13)进行求和得出该正常业务行为链和异常流量行为链的相似度。其中n是参与计算的state_list的数量。
阈值设定:由于不同的业务重要度不一样,当一个电力设备承载的重要业务较多,则该设备应当对攻击更敏感,即阈值设置的应该更高(只要和正常业务有一点相似就判断为攻击)。因此,首先需要对每一个业务进行重要度打分,分值范围是0~10。分值越高说明该业务越重要。然后,利用业务评分计算当前设备的阈值,如公式(14)。其中P(servicei),就是当前电力设备承载的每一个业务的重要度评分。
当识别出攻击流量后,通过其行为链,对其攻击类型进行标记,形成新的数据集。
进一步的,模型迭代模块基于识别为攻击行为的异常流量作为融合特征识别模型的训练数据集,训练迭代融合特征识别模型并下发至攻击检测模块,基于迭代融合特征识别模型对网络流量进行威胁感知,最终实现基于二次融合终端的可更新迭代的威胁感知。
本发明实施例提供的基于二次融合终端的威胁感知方法,通过采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征;采集电力二次融合终端上的网络流量并确定网络流量特征;将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类;对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为;若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。相比于现有的针对电网二次融合终端网络攻击识别的方法和电力并网的场景融合度低或者协议复杂、耗时、很难对未知攻击进行检测的问题,由本方法,通过融合模型对融合特征进行检测确定攻击行为,并通过每一次检测更新迭代融合模型,实现精准、快速的基于二次融合终端的可更新迭代的威胁感知。
图4示出了本发明实施例的一种基于二次融合终端的威胁感知装置的结构示意图。如图4所示,该装置包括:
业务探针模块401,用于采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
所述业务探针模块401,还用于采集电力二次融合终端上的网络流量并确定网络流量特征。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
攻击检测模块402,用于将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
攻击分析模块403,用于对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
模型迭代模块404,用于若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。详细说明参见上述方法实施例对应的相关描述,此处不再赘述。
本发明实施例提供的基于二次融合终端的威胁感知装置,用于执行上述实施例提供的基于二次融合终端的威胁感知方法,其实现方式与原理相同,详细内容参见上述方法实施例的相关描述,不再赘述。
图5示出了本发明实施例的一种电子设备,如图5所示,该电子设备可以包括处理器501和存储器502,其中处理器501和存储器502可以通过总线或者其他方式连接,图5中以通过总线连接为例。
处理器501可以为中央处理器(Central Processing Unit,CPU)。处理器501还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器502作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中所提供方法所对应的程序指令/模块。处理器501通过运行存储在存储器502中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器502可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器501所创建的数据等。此外,存储器502可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器502可选包括相对于处理器501远程设置的存储器,这些远程存储器可以通过网络连接至处理器501。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器502中,当被处理器501执行时,执行上述方法实施例中的方法。
上述电子设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (10)

1.一种基于二次融合终端的威胁感知方法,其特征在于,包括:
采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征;
采集电力二次融合终端上的网络流量并确定网络流量特征;
将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类;
对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为;
若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。
2.根据权利要求1所述的方法,其特征在于,所述采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征,包括:
对所述电力一次终端进行实时监测,采集电力一次终端中的电力业务数据;
基于数据采样间隔计算电力业务数据的多种电力业务特征;
将所述多种电力业务特征按采样时间顺序排列,得到电力业务特征集合。
3.根据权利要求1所述的方法,其特征在于,所述采集电力二次融合终端上的网络流量并确定网络流量特征,包括:
采集所述电力二次融合终端的原始网络数据包,并根据采样间隔提取所述原始网络数据包的交互特征;
将所述交互特征按采样时间顺序排列,得到网络数据包特征集合。
4.根据权利要求2或3所述的方法,其特征在于,所述将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,包括:
将相同采样间隔的网络数据包特征集合和电力业务特征集合通过融合特征算法进行特征融合,得到多个融合特征向量;
将多个采样间隔得到的融合特征向量进行拼接,得到融合特征矩阵。
5.根据权利要求4所述的方法,其特征在于,所述通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类,包括:
预先建立基于自动编码器和卷积神经网络的融合特征识别模型;
基于所述融合特征识别模型对所述融合特征矩阵进行检测,识别正常网络流量和异常网络流量;
对所述异常网络流量进行分类,得到异常行为分类和攻击行为分类。
6.根据权利要求5所述的方法,其特征在于,所述对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为,包括:
对分类的异常行为对应的电力设备进行监测,构建第一行为链,得到已知业务行为数据库;
对分类的异常行为对应的异常流量进行畸变数据包检测,筛选格式符合规范的数据包,标记为攻击行为;
对其他异常流量进行预处理,并进行行为分析,构建第二行为链;
将所述第二行为链和已知业务行为数据库进行关联比对,识别其中的攻击行为;
将识别为攻击行为的异常流量作为融合特征识别模型的训练数据集。
7.根据权利要求6所述的方法,其特征在于,所述基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知,包括:
基于识别为攻击行为的异常流量作为融合特征识别模型的训练数据集,训练迭代融合特征识别模型;
基于所述迭代融合特征识别模型对网络流量进行威胁感知。
8.一种基于二次融合终端的威胁感知装置,其特征在于,包括:
业务探针模块,用于采集电力一次终端中的电力业务数据并确定所述电力业务数据对应的电力业务特征;
所述业务探针模块,还用于采集电力二次融合终端上的网络流量并确定网络流量特征;
攻击检测模块,用于将所述电力业务特征和所述网络流量特征通过融合特征算法进行融合,得到融合特征,并通过预训练的融合特征识别模型对所述融合特征进行检测,得到异常行为分类和攻击行为分类;
攻击分析模块,用于对分类的异常行为进行业务分析,构建异常行为链,将异常行为链和预先建立的已知行为数据库进行相似度分析,判断分类的异常行为是否为攻击行为;
模型迭代模块,用于若是,则基于判断为攻击行为的融合特征更新所述融合特征识别模型,以基于所述融合特征识别模型对网络流量进行威胁感知。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器用于执行所述存储器中存储的基于二次融合终端的威胁感知程序,以实现权利要求1~7中任一项所述的基于二次融合终端的威胁感知方法。
10.一种存储介质,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1~7中任一项所述的基于二次融合终端的威胁感知方法。
CN202310432312.9A 2023-04-18 2023-04-18 基于二次融合终端的威胁感知方法及装置 Pending CN116614257A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310432312.9A CN116614257A (zh) 2023-04-18 2023-04-18 基于二次融合终端的威胁感知方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310432312.9A CN116614257A (zh) 2023-04-18 2023-04-18 基于二次融合终端的威胁感知方法及装置

Publications (1)

Publication Number Publication Date
CN116614257A true CN116614257A (zh) 2023-08-18

Family

ID=87680833

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310432312.9A Pending CN116614257A (zh) 2023-04-18 2023-04-18 基于二次融合终端的威胁感知方法及装置

Country Status (1)

Country Link
CN (1) CN116614257A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574135A (zh) * 2024-01-16 2024-02-20 国网浙江省电力有限公司丽水供电公司 一种电网攻击事件检测方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117574135A (zh) * 2024-01-16 2024-02-20 国网浙江省电力有限公司丽水供电公司 一种电网攻击事件检测方法、装置、设备及存储介质
CN117574135B (zh) * 2024-01-16 2024-03-26 国网浙江省电力有限公司丽水供电公司 一种电网攻击事件检测方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN110909811B (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
CN110717665B (zh) 基于调度控制系统故障辨识及趋性分析系统和方法
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及系统
CN111585948B (zh) 一种基于电网大数据的网络安全态势智能预测方法
CN108737410B (zh) 一种基于特征关联的有限知工业通信协议异常行为检测方法
CN112700252B (zh) 一种信息安全性检测方法、装置、电子设备和存储介质
CN105867347B (zh) 一种基于机器学习技术的跨空间级联故障检测方法
Nakhodchi et al. Steeleye: An application-layer attack detection and attribution model in industrial control systems using semi-deep learning
CN109143848A (zh) 基于fcm-gasvm的工业控制系统入侵检测方法
CN114553475A (zh) 一种基于网络流量属性有向拓扑的网络攻击检测方法
CN116614257A (zh) 基于二次融合终端的威胁感知方法及装置
GB2622512A (en) Internet-of-vehicles intrusion detection method and device based on improved convolutional neural network
CN115396204A (zh) 一种基于序列预测的工控网络流量异常检测方法及装置
CN112804123A (zh) 一种用于调度数据网的网络协议识别方法及系统
CN112019529B (zh) 新能源电力网络入侵检测系统
CN116934304A (zh) 智能配电房设备运行维护管理系统及其方法
CN115905959A (zh) 基于缺陷因子的电力断路器关联性故障分析方法及装置
CN116170208A (zh) 一种基于半监督isodata算法的网络入侵实时检测方法
CN114615088A (zh) 一种终端业务流量异常检测模型建立方法及异常检测方法
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN112448919B (zh) 网络异常检测方法、装置和系统、计算机可读存储介质
CN116756548B (zh) 应用于低压配电物联网的断路器管理方法及系统
CN117805607B (zh) 发电厂直流系统直流级差配合试验方法
Sivakumar et al. Intrusion Detection System for Securing the SCADA Industrial Control System

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination