[发明专利]一种融合业务特征的电力网络异常行为检测方法及装置

权利要求书

1.一种融合业务特征的电力网络异常行为检测方法，其特征在于，包括以下步骤：

S1、采集电力网络流量数据，根据启动符进行电力网络流量的协议分类；

S2、针对步骤S1中得到的不同类型协议进行流量字段级深度解析，按照不同电力业务类型将流量分为遥测类业务、遥信类业务、遥控遥调类业务；

S3、结合步骤S2解析得到的遥测类业务流量数据，对流量中单一信息体地址对应的设备数据进行值域跳变分析，利用信息熵计算出第k帧流量中单一信息体地址i对应数据的信息熵值S_k,i，利用所述信息熵值S_k,i判断第k帧流量是否异常；

结合步骤S2解析得到的遥测类业务流量数据，对流量中所有信息体地址对应的设备数据进行值域跳变分析，利用单一信息体地址信息熵S_k,i计算出第k帧流量所包含的所有信息体地址前后帧流量数据的信息熵均值S_k，利用所述信息熵均值S_k判断第k帧流量是否为异常流量；

结合步骤S2解析得到的遥信类业务流量数据，计算周期内遥信流量数据中单一信息体地址i的变位次数B_i，判断变位次数B_i是否超出单一设备变位频次阈值，若超出，则判定为异常流量数据；若未超出，则为正常流量数据；计算遥信流量数据中所有信息体地址设备变位次数B，判断变位次数B是否超出设备总变位频次阈值，若超出，则判定为异常流量数据；若未超出，则为正常流量数据；变位次数B_i的计算公式为：其中，S表示设定的时间周期长度；_k,i表示第k帧流量中信息体地址为i的设备是否发生变位，若是，B_k,i＝1；否则，B_k,i＝0；所有信息体地址设备变位次数B的计算公式为：

I表示在时间周期S内所有信息体地址的总数；

结合步骤S2解析得到的遥控遥调类业务流量数据，提取出典型遥控遥调类业务时序逻辑模型M_g，构建恶意遥控遥调时序逻辑模型，实现电力业务特征的时序模型提取；分别计算当前遥控遥调流量的时序逻辑数据X与典型遥控遥调时序逻辑模型M_g之间的相似度，以及当前遥控遥调流量的时序逻辑数据X与恶意遥控遥调时序逻辑模型N_y之间的相似度，若相似度结果高于相应的业务相似度基线，则认为是电力网络异常流量；否则，为正常流量；

相似度结果R_X计算公式为：L_M＝min{d(X,M₁),(X,M₂),…,(X,_G)}，L_N＝min{d(X,N₁),(X,N₂),…,(X,_Y)}；表示所有恶意攻击业务时序逻辑模型的总数量；G表示所有典型业务时序逻辑模型的总数量；d(X,M₁),(X,M₂),…,(X,_G)表示当前业务流量的时序逻辑模型与所有正常典型业务时序逻辑模型之间的相似度距离，d(X,N₁),(X,N₂),…,(X,_Y)表示当前业务流量的时序逻辑模型与所有恶意攻击业务时序逻辑模型之间的相似度距离；业务相似度基线是指当前遥控遥调流量的时序逻辑数据X与典型遥控遥调时序逻辑模型M_g之间的相似度；相似度结果是指当前遥控遥调流量的时序逻辑数据X与恶意遥控遥调时序逻辑模型N_y之间的相似度；

所述恶意遥控遥调时序逻辑模型的表达式如下：其中，N_y表示攻击行为y的恶意遥控遥调时序逻辑模型；表示攻击行为y在时刻t时的数据信息；表示攻击行为y在时刻t流量中的传送原因、数据类型、字节长度数据，表示攻击行为y在时刻t流量持续的时间长度；

典型遥控遥调时序逻辑模型M_g的表达式为：其中，M_g表示典型业务g的时序逻辑模型；表示典型业务g在时刻t的数据信息；表示典型业务g在时刻t流量中的传送原因、数据类型及字节长度组成的向量，表示典型业务g在时刻t流量持续的时间长度，即与下一帧典型业务g流量之间的时长；

当前遥控遥调流量的时序逻辑数据X的表达式为：X＝×[x¹,x²,x³,…,x^t]；其中，X表示当前业务的时序逻辑模型；x^t表示当前业务在时刻t的数据信息；x^t＝(p^t,q^t)，p^t用来表示当前业务在时刻t流量中的传送原因、数据类型及字节长度组成的向量，q^t表示当前业务在时刻t流量持续的时间长度，即与下一帧业务流量之间的时长。