[发明专利]基于IEC61850 SV报文运行态势模型的入侵检测方法和系统

权利要求书

1.一种基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，包括如下步骤：

步骤1：SV报文采集还原，将二进制SV报文流转换为可被解析的帧结构的SV报文；

步骤2：收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据，将所述数据提供给机器学习算法训练学习，构建基于SV报文测量值的数据合规模型；

步骤3：利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。

2.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述SV报文中的各类测量值数据包括每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值，其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit。

3.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述步骤1中的获取SV报文并处理的过程为：

1)监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出SV报文的二进制数据流；

2)SV报文二进制数据流进入一个报文数据队列，根据SV报文结构逐字节还原成ASCII码，实现SV报文二进制数据流到SV报文的帧还原，完成二进制数据流转换成一帧帧可解析的SV报文。

4.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述步骤2构建基于SV报文测量值的数据合规模型的具体步骤为：

步骤2.1：利用正则表达式提取每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值，其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit；

步骤2.2：利用从每帧SV报文中提取的数据对象及测量值(Data、instMag)，形成一条{Data1，v＝对应值；Data2：v＝对应值；Data3，v＝对应值；……}格式的SV报文测量值数据记录集；

步骤2.3：采集一段时间周期的智能变电站运行的SV报文测量值的数据，在确保该时段智能变电站处于正常合规运行，对该时段SV报文测量值持续采集和处理，形成干净的SV报文测量数据记录集作为学习集，完成对该智能变电站测量数据合规态势模型构建；

步骤2.4：合规测量值数据记录集合中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集；

步骤2.5：利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习，根据数据对象的测量值建立测量值的数据合规模型树，各数据合规模型树组成一个测量值数据合规模型集合，即合规模型森林，所述合规模型森林中的每一个数据合规树用于异常报文的检测。

5.根据权利要求4所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述步骤2.5中利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习的具体过程为：

1)对于{Data1，v＝对应值；Data2：v＝对应值；Data3，v＝对应值；……}二维属性项数据集中的n条数据，先从这n条数据中抽取一批子样本，子样本个数为ψ；

2)从样本中随机选择两列特征，将两列特征值映射在一个超平面上形成为一列复合属性映射值，再根据此映射值建立合规孤立树，其中映射规则为：

其中，f(x)为映射值，Q为所有特征属性，j为随机选出的属性，c_j为[-1,1]间随机选取的值，X′为子样本集，X_j′为X′的第j个特征属性值。