[发明专利]一种融合业务特征的电力网络异常行为检测方法及装置

说明书

本发明公开了一种融合业务特征的电力网络异常行为检测方法及装置，根据协议启动符对电力网络流量进行协议分类。通过对流量数据进行字段级的深度解析，实现流量的遥测类业务、遥信类业务以及遥控遥调类业务的划分。利用流量数据信息熵跳变阈值，实现遥测类业务流量中的数据跳变异常检测。建立起基于业务时序逻辑模型相似度的遥控遥调类业务异常流量检测模型，利用欧几里得距离计算出实时业务流量的相似度结果，完成遥控遥测类业务的异常流量检测。本发明克服了现有电力网络流量异常检测方法侧重于网络层攻击特征的局限性，能够有效辨识隐藏于复杂业务逻辑中的定制化攻击行为，提升了异常行为检测的准确率。

技术领域

本发明涉及电力系统技术领域，特别是一种融合业务特征的电力网络异常行为检测方法及装置。

背景技术

随着物联网的飞速发展，传统电力系统网络正快速转型为物理网络与信息网络高度耦合的智能电网。与此同时，智能变电站作为智能电网中的核心构成部分之一，得到了快速的建设与发展，国内越来越多的智能变电站已被投入使用之中，这也给电力系统网络安全带来了潜在风险。近年来，国内外发生了多起由网络攻击引起的电网安全事故，严重威胁到社会稳定及国家安全。

考虑到网络攻击的实现手段通常是由篡改或注入虚假工控数据流量实现的，因此如何对电力工控流量进行准确的异常攻击流量检测是解决问题的核心。但是现有的电力系统网络异常流量检测方法缺乏对变电站业务的深层考虑，仅能实现一些网络层攻击特征的异常流量检测，无法识别隐藏于电力业务逻辑之中的定制化网络攻击。因此，亟需一种融合电力业务特征的电网异常行为检测方法，实现电力业务特征层面的电力网络异常流量检测，进而提升电力系统网络的安全性与可靠性。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种融合业务特征的电力网络异常行为检测方法及装置，克服现有异常流量检测方法仅考虑网络层流量统计特征的局限性，实现了针对电力业务的高度定制化攻击行为的有效检测。

为解决上述技术问题，本发明所采用的技术方案是：一种融合业务特征的电力网络异常行为检测方法，包括以下步骤：

S1、采集电力网络流量数据，根据启动符进行电力网络流量的协议分类；

S2、针对步骤S1中得到的不同类型协议进行流量字段级深度解析，按照不同电力业务类型将流量分为遥测类业务、遥信类业务、遥调/遥控类业务；

S3、结合步骤S2解析得到的遥测类业务流量数据，对流量中单一信息体地址对应的设备数据进行值域跳变分析，利用信息熵计算出第k帧流量中单一信息体地址i对应数据的信息熵值S_k,i，利用所述信息熵值S_k,i判断第k帧流量是否异常；

结合步骤S2解析得到的遥测类业务流量数据，对流量中所有信息体地址对应的设备数据进行值域均值跳变分析，利用单一信息体地址信息熵S_k,i计算出第k帧流量所包含的所有信息体地址前后帧流量数据的信息熵均值S_k，利用所述信息熵均值S_k判断第k帧流量是否为异常流量；

结合步骤S2解析得到的遥信类业务流量数据，计算周期内遥信流量数据中单一信息体地址i的变位次数B_i，判断变位次数B_i是否超出单一设备变位频次阈值，若超出，则判定为异常流量数据；若未超出，则为正常流量数据；计算遥信流量数据中所有信息体地址设备变位次数B，判断变位次数B是否超出设备总变位频次阈值，若超出，则判定为异常流量数据；若未超出，则为正常流量数据；