[发明专利]一种基于四遥逻辑关系图的电力系统恶意行为识别方法

说明书

技术领域

本发明涉及电力系统恶意行为检测领域，尤其涉及一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法。电力系统中核心的通信和控制技术是四“遥”，就是由遥测、遥信、遥控和遥调四部分组成。

背景技术

工业控制系统包括了监控和数据采集系统，分布式控制系统，可编程控制器等。这些控制系统广泛运用于工业、能源、交通、水利以及市政等，重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。随着工业化与信息化的深度融合，在享受信息共享与管理便利的同时，来自信息网络的安全威胁将逐步成为工业控制系统所面临的最大安全威胁。

恶意行为是指在未明确提示用户或未经用户许可的情况下，在用户计算机、网络或其他终端上安装运行，侵犯用户合法权益、执行恶意任务的病毒、蠕虫、特洛伊木马、恶意代码等程序，通过破坏软件进程和系统数据来实施控制，致使计算机系统和网络不能可靠正常地运行，网络服务中断等的行为。计算机系统恶意行为的种类有：执行恶意任务的病毒、蠕虫、特洛伊木马等恶意软件和带有攻击意图所编写的一段程序，如：陷门、逻辑炸弹等。网络恶意行为的种类有：信息探测行为（如端口和漏洞扫描）、信息欺骗行为（如ARP欺骗和IP劫持）、信息淹没行为（如SYN Flood和DDOS攻击）、信息伪传递行为（溢出攻击、IMCP木马、HTTP隧道木马）。

工业控制系统恶意行为可分为两类：第一类是针对高级持续性威胁（Advanced Persistent Threat ，简称APT）及其他工业网络外部威胁的恶意行为。高级持续性威胁（APT）是指：针对特定组织或国家，出于商业或政治动机，使用复杂精美的恶意软件及技术以利用系统中的漏洞，隐匿而持久的监控特定目标并进行电脑入侵，从而获取数据或者进行攻击。第二类是针对工业控制系统软件漏洞、操作系统安全漏洞、网络通信协议安全漏洞、管理流程漏洞等内部的恶意行为。恶意代码（诸如病毒、特洛伊木马、蠕虫等）、黑客等利用这些漏洞对工业控制系统进行恶意攻击，造成工业控制系统造成严重损坏。

当前，国内大型科技公司及著名高校和研究院对恶意行为的检测识别方法所申请的专利有：百度在线网络技术（北京）有限公司申请的“利用IP地址实现恶意行为的检测”；哈尔滨工业大学深圳研究生院申请的“一种基于内核对象行为本体的恶意代码检测方法”；深圳市腾讯计算机系统有限公司申请的“通过对比已存储的恶意操作路径集合和待执行的操作所在的路径，判断待执行的操作是否为恶意行为的检测方法”；腾讯科技（深圳）有限公司申请的“通过检测是否有事件被触发并判断事件是否符合行为列表中正常行为的检测方法”。而在工业控制领域，对恶意行为的检测识别方法所申请的专利有：浙江大学申请的“截获并识别通信数据报文，来判断与检测是否存在针对本地内部控制程序的恶意操作”。

电力系统中核心的通信和控制技术是四“遥”，就是由遥测、遥信、遥控和遥调四部分组成。遥测是指远程测量，远方测量电压、电流、功率、负荷、潮流等电力系统运行状态；遥信是指远程信号，远方监视电气开关和设备、机械设备的工作状态和运转情况状态等；遥控是指远程控制，通过接受由PLC、SCADA、DCS等控制系统所发出的控制命令来远方控制电气设备及电气化机械设备的分合起停等工作；遥调是指远程调节，对远程的控制量设备进行远程调试，如调节发电机输出功率等。

但是当前电力系统中的恶意行为检测还是基于计算机领域的技术，并没有用系统分析的方法把电力系统中最基本的通信和控制因素考虑进去，本发明公布了一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法。

发明内容

在此本发明公布了一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法，电力系统中核心通信和控制的四“遥”技术，分别为遥测、遥信、遥控和遥调，该方法采用的逻辑关系图是在电力系统处于不同工况下运行时，记录各种遥测信号的正常波动范围、与遥信的设备状态、运行逻辑，从而形成的电力系统状态关系图。用这个来判定那些不良数据在识别过程中无法检测到的恶意行为。该方法不是采用传统的计算机数据包的过滤技术，而是把电力系统中的四“遥”作为一个系统，采用逻辑关系图的方法判定和识别恶意行为。

其具体步骤如下：

步骤1：遥测数据采集，采集如电压、电流、功率、负荷、潮流等电力系统运行状态；