[发明专利]基于神经网络的智能电表异常检测方法

说明书

本发明涉及一种基于神经网络的智能电表异常检测方法，检测方法基于AMI获取智能电表的流量数据，基于网络协议分析对流量数据的字段建立观测测度，通过标准训练数据集和神经网络方法确定检测模型，通过在网闸入口处的旁路手段建立采集接口，实时获取流量测度，并通过检测模型检测出智能电表中流量可能包含的异常行为，这些行为可能是由于设备故障导致的故障流量，或者设备的操作系统被入侵控制后产生的攻击流量，或者采集线路被中间人攻击后注入的攻击流量。该检测方法可以有效的发现未知攻击手段产生的攻击形式，克服了基于规则的方法无法有效对未知攻击类型检测检测的弱点，提高了系统的安全性。

技术领域

本发明涉及智能电网网络安全领域，具体涉及一种基于神经网络的智能电表异常检测方法。

背景技术

智能电网可综合利用各种可用信息，提高电能发、输、配、用全流程智能化水平，以满足对能源节省、环保清洁和安全可靠电力供应的需求。用电侧供需双方的互动化是智能电网的基本特征之一。基于具有双向通信能力的智能电表的高级量测体系是实现信息交互、互动用电方式的基础。

实际电网的高级量测体系中，往往在用户侧安装有数以百万计的智能电表，当前主要依赖电力线载波与台区数据集中器通信，未来可能与家域网融 合，经家庭互联网接口与电力公司用电管理中心通信。为满足互联互通要求，智能电表未来将采用通用通信协议。因用户侧终端设备和部分通信网络以开放形式存在，接入点、可探测路径的显著增加、开放的信息技术和用户参与的特性将导致信息安全事故发生的概率大大提高，信息安全已经发展成为 AMI 体系建设中的关键制约性因素。

智能电表记录和传输用电资费等敏感信息，属于网络攻击的高价值目标。为防止非法用户窃取用户信息或篡改用电数据，传统上多采用数据加密和通信认证等手段，在智能电表中嵌入认证加密通信模块，进行信息安全防护。

当前的智能电表仅需每月上传一次电量数据，并在用电管理系统召测时传回实时数据。因功能需求较简单，智能电表传统上多基于单片机系统实现，仅具备单任务处理能力。随着智能电网的深化发展，当前已出现每 15min 记录和上报电量数据的电表，并在北美得到大量应用。此外，随着电能计量以外其他功能(如双向通信与计费、电能质量检测、用户控制及未来的家庭能量管理等)的集成，传统智能电表的 CPU 处理能力已不敷使用。当前，已出现基于 ARM芯片，并装有 ucLinux、uCOS-II、Vx- Works 等嵌入式操作系统以便CPU 多进程并发资源管理的智能电表。因操作系统或多或少都存在堆栈溢出等 Bug，未来与家域网互联通过家庭网关通信，又将进一步扩大智能电表遭遇恶意软件攻击的风险。位于用户侧的智能电表即使采用了严格的访问控制机制和安全通信机制，仍难以保证操作系统自身的安全漏洞。AMI 系统中入侵智能电表的恶意软件不但可能传播到其他智能电表中，批量控制开关断开造成大量用户停电事故；还可能篡改电能计量值，导致电网公司分析决策错误和直接经济损失。因智能电表计算、存储和通信资源有限，要为其研制专用的杀毒软件并定期更新，尚不具有可行性。因此，即便智能电表遭恶意软件入侵，用户和运营商当前都很难明确判断、准确检查。

传统的对智能电表恶意流量的检测是基于特征的入侵检测方法。基于特征的入侵检测方法假设入侵活动可以用一些报文特征模式（如报文中特定头部字段值，报文负载中特定的字符串或正则表达式特征），当检测到用户对计算机和网络资源的使用符合所列模式时认为检测到入侵行为。基于特征的入侵检测可以准确检测已知的入侵行为，但难以检测未知的新型入侵方法，为此我们设计了基于神经网络的智能电表异常检测方法，通过对正常流量测度的建模，实现对未知攻击导致的流量异常行为检测能力。

发明内容

为了克服基于规则的智能电表入侵检测方法对未知攻击检测能力的技术不足，本发明的目的是提供一种基于神经网络的智能电表异常检测方法，实现对智能电表被植入木马后发起的已知和未知攻击进行检测的功能。

为实现上述技术目的，本发明采用如下技术方案：

一种基于神经网络的智能电表异常检测方法，包括下列步骤：