基于物理系统和信息网络异常数据融合的智能电网攻击检测方法
【专利摘要】本发明提出了一种基于物理系统和信息网络异常数据融合的智能电网攻击检测方法,包括:1)在物理层,基于智能电网中的电力监测数据计算出各个节点电力数据的异常度;2)在信息层,利用入侵检测系统监控通信流量,生成针对异常通信流量的报警事件,以此计算出系统各个节点网络通信的异常度;3)基于节点的编号-网络地址(ID-IP)映射表,将各节点电力数据和网络通信的异常度进行关联,判定各节点是否受到攻击。该方法针对智能电网物理层和信息层紧密联系的特性,将传统的电网异常数据检测方法和信息系统中的攻击检测方法进行有效的结合,能显著提高智能电网中攻击检测的检测精度。
【专利说明】基于物理系统和信息网络异常数据融合的智能电网攻击检测方法
【技术领域】:
[0001]本发明涉及智能电网攻击检测领域,特别涉及一种基于物理系统和信息网络异常数据融合的智能电网攻击检测方法。
【背景技术】:
[0002]智能电网利用信息网络技术对传统电力网络中发电、输电、配电和耗电设备进行实时监测和优化控制,实现了信息和电力的双向流动,实现节能减排、增强稳定性等目标。然而,信息网络技术的引入在给人们带来便利的同时,也引入了新的安全威胁。传统电力网络中,攻击者主要通过破坏电网的物理基础设施实现对电网的破坏和干扰;在智能电网中,攻击者可以通过信息网络,攻击智能电网中的设备,篡改数据,使电网的数据出现错误,从而导致电网的状态监控和决策出现失误,达到攻击的目的,这种攻击方式通过信息层渗透到物理层,具有同时和信息层和物理层有关联的特点。
[0003]因此,人们提出了智能电网攻击的检测方法。目前针对智能电网攻击的检测方法主要分为两类:
[0004]I)传统电网采用的检测方法,即电网的状态估计和标准化残差检测(RN检测)。
[0005]2)信息网络采用的检测方法,即通过入侵检测系统进行攻击检测,根据报警事件进行分析。
[0006]传统的电网采用的RN检测方法,由于节点间的数据相互耦合紧密,导致计算后的误报率很高,很可能会出现攻击了节点i,结果i以外的几个节点检测到攻击,而i节点反而没有检测到攻击。降低RN检测的判定阈值可以降低漏报同时提高误报率,提高RN检测的判定阈值可以降低误报率同时提高漏报率。在误报率和漏报率之间必须有所折中,单纯通过改变RN检测的阈值并不能同时降低误报率和漏报率。
[0007]信息网络采用的入侵检测方法,首先基于通信数据包特征进行匹配分析,产生报警事件,然后通过报警事件的威胁度计算节点的威胁度,通过威胁度的大小确定节点是否受到攻击。入侵检测系统在漏报率和误报率中也需要折中,实际应用中为了尽可能降低漏报率(在实际系统中漏报的威胁比误报的威胁要大得多),使系统具有很高的误报率,过多的攻击报警使得对报警的处理变得很困难。
【发明内容】
:
[0008]本发明的目的在于提供一种基于物理系统和信息网络异常数据融合的智能电网攻击检测方法,以克服上述单独从物理层或信息层进行智能电网攻击检测的局限性。
[0009]本发明的目的通过以下技术方案实现:
[0010]基于物理系统和信息网络异常数据融合的智能电网攻击检测方法,包括如下步骤:
[0011]步骤S1:智能电网控制中心根据从电网各量测节点上报的电力观测数值,进行异常数据检测,得到智能电网各节点在物理层的异常度;
[0012]步骤S2:通过部署在智能电网的入侵检测系统,生成信息层的报警事件,计算这些报警事件的异常度,利用这些报警事件的异常度计算出智能电网各节点在信息层的异常度;
[0013]步骤S3:将各节点在物理层和在信息层的异常度进行标准化,关联匹配,并对匹配后的异常度向量进行判断,判定各节点是否受到攻击。
[0014]本发明进一步的改进在于:步骤SI具体包括以下步骤:
[0015]步骤SlOl:依据电网系统各量测节点的观测值Z,利用加权最小二乘估计的方法对电力系统进行状态估计,计算出电网系统真实状态值的估计i,其估计的目标函数为
【权利要求】
1.基于物理系统和信息网络异常数据融合的智能电网攻击检测方法,其特征在于,包括如下步骤: 步骤S1:智能电网控制中心根据从电网各量测节点上报的电力观测数值,进行异常数据检测,得到智能电网各节点在物理层的异常度; 步骤S2:通过部署在智能电网的入侵检测系统,生成信息层的报警事件,计算这些报警事件的异常度,利用这些报警事件的异常度计算出智能电网各节点在信息层的异常度;步骤S3:将各节点在物理层和在信息层的异常度进行标准化,关联匹配,并对匹配后的异常度向量进行判断,判定各节点是否受到攻击。
2.根据权利要求书I所述的方法,其特征在于,步骤SI具体包括以下步骤: 步骤SlOl:依据电网系统各量测节点的观测值Z,利用加权最小二乘估计的方法对电力系统进行状态估计,计算出电网系统真实状态值的估计i,其估计的目标函数为
3.根据权利要求书I所述的方法,其特征在于,步骤S2具体包括以下步骤: 步骤S201:通过基于规则的入侵检测系统,对入侵检测系统中监控的数据通信进行过滤分析,按照入侵检测系统中预设的规则产生报警事件,并存入报警日志数据库; 步骤 S202:计算报警事件的威胁度:m(ip,j, t) =^?ο--!(Αεαρ'^0), m(ip, j,t)表示网络地址为ip的节点在t时刻的第j号报警事件的威胁度,K为常数,取值为3或5 ;priority (AC (ip, t, j))表示网络地址为ip的节点在t时刻的第j号报警事件的威胁程度,取值为I~5的整数; 步骤S203:根据报警事件的威胁度计算各节点的威胁度: 节点在信息层异常度计算方法为:
4.根据权利要求书3所述的方法,其特征在于,步骤S202中从报警日志数据库中提取出待检测时间段所产生的报警事件的数据进行分析,待分析的数据格式为:〈ip_srC,ip_dst, timestamp, sig_id, sig_name, sig_pripority>,其中 ip_src 表示数据包的网络源地址;ip_dst表示数据包的网络目的地址;timestamp表示时间戳;sig_id表示事件的编号;sig_name描述事件的具体特征;sig_pripority表示事件的威胁程度,取值范围I~5。
5.根据权利要求书4所述的方法,其特征在于,步骤S2中一个ip对应一个物理节点。
6.根据权利要求书I所述的方法,其特征在于,所述步骤S3具体包括以下步骤: 步骤S301、S302:将各节点在物理层的异常度和在信息层的异常度分别进行标准化; 步骤S303:基于节点的编号-网络地址映射表,生成关联后的异常度向量(AP^AC)ld,= 步骤S304:通过显著性检验的方法,构造接受域和拒绝域,对异常度向量t进行攻击检测,输出各节点是否受到攻击的检测结果。
7.根据权利要求书6所述的方法,其特征在于,标准化的方法采用Z-score方法,即对样本X,标准化样本? = μ)/σ,其中μ为样本X的均值,σ为样本X的标准差;节点的物理异常度和信息异常度标准化后分别为和ic(ip,t)。
8.根据权利要求书7所述的方法,其特征在于,步骤S304中,接受域为SI或S2:
S1= ((APi, ACi) APj+AC^QJ
S2= {(APi, ACi) AP^AC^QJ 如果检测样本在接受域之外,系统受到了攻击,否则系统没有受到攻击;其中,关联后的异常度向量简记为(APyACi)。
9.根据权利要求书 8所述的方法,其特征在于,Q1和Ω2的取值均为2.25。
【文档编号】H04L29/06GK103634296SQ201310549061
【公开日】2014年3月12日 申请日期:2013年11月7日 优先权日:2013年11月7日
【发明者】刘烃, 管晓宏, 刘杨, 赵宇辰, 孙鸿, 桂宇虹 申请人:西安交通大学