一种智能变电站过程层网络流量异常检测方法与流程

本发明涉及智能电网信息安全领域，具体涉及适用于智能变电站过程层异常流量的检测方法。
背景技术：
：承载goose、sv报文等关键信息流传输的过程层网络是智能变电站乃至电网控制的基础，其实时性、可靠性直接影响着智能变电站乃至电网的安全可靠运行。因此，对过程层网络信息流的实时监控与异常流量检测，对维持智能变电站乃至整个电网平稳、安全运行至关重要。利用变电站过程层中配备的网络分析仪，可以实时获取过程层中所有ied端口的流量信息。通过分析这些流量信息，可以对过程层各设备运行状态进行监控。更进一步地，通过对正常流量模式的建模，可以对过程层中潜在的异常流量进行检测。对于智能变电站过程层网络，其复杂程度远不如公共网络，当变电站处于稳定运行状态下，其sv报文与心跳goose报文，具有周期性，并且报文路径也可以通过解析scd文件获取。并且，对于智能变电站过程层网络而言，由于存在必须的报文如心跳、定期量测，因此存在基本的最小阈值流量。同时由于所有参与者为具有主动发报及按协议确定的智能装置，因此其网络流量存在明确的最大流量峰值。因此，阈值检测可作为智能变电站过程层网络异常流量检测方法。然而，智能变电站过程层网络存在事件驱动的正常突发流量。此时，阈值检测将难以适用。技术实现要素：本发明所要解决的技术问题就是提供一种智能变电站过程层网络流量异常检测方法，可以有效识别正常突发流量与异常流量。为解决上述技术问题，本发明采用如下技术方案：一种智能变电站过程层网络流量异常检测方法，包括以下步骤：步骤s1，获取过程层网络流量；步骤s2，最小及最大流量检测，将获取的网络流量与最小及最大流量阈值进行比较，对于小于最小流量阈值以及大于最大流量阈值的流量数据，直接判断为异常流量；步骤s3，利用满足阈值的流量数据，计算当前时刻差分序列方差vds(t)与流量异常指数c(t)：式中，vds(t)为t时刻差分序列方差，vds(t-1)为t-1时刻差分序列方差，t为时刻，w(t)为t时刻差分值，low为常量，s(t)为当前时刻流量值，为当前时刻平均流量值，smin和smax分别表示阈值的最小值与最大值；步骤s4，判断t时刻流量异常程度是否大于0，若等于0，则为正常流量，将连续攻击计数e清零，并回到步骤s1开始检测下一时刻流量；若大于0，则进入步骤s5；步骤s5，判断t时刻差分序列方差vds(t)是否大于或等于t-1时刻差分序列方差vds(t-1)，若是，认为t时刻可能存在攻击，连续攻击计数e加1，进入步骤s6；若否，则可能为突发流量，等待对下一时刻的判断结果，连续攻击计数e保持不变，回到步骤s1开始检测下一时刻流量；步骤s6，如果t时刻连续攻击系数e等于或大于阈值em，则认为t时刻存在攻击，程序告警。可选的，采用网络分析仪获取过程层网络流量。本发明采用的技术方案，引入基于差分序列方差检测方法，对阈值检测方法进行了极大的优化；可对变电站过程层中存在的突发流量与异常流量进行识别；响应速度快，满足变电站高响应性的要求；适用面广，通过设置相应的参数，可应用于各类智能变电站过程层网络中。本发明的具体技术方案及其有益效果将会在下面的具体实施方式中结合附图进行详细的说明。附图说明下面结合附图和具体实施方式对本发明作进一步描述：图1是为t1-1型变电站结构图；图2是本发明流程图；图3为交换机24端口流量曲；图4为交换机24端口异常流量发生时刻附近的流量曲线；图5为交换机24端口差分序列方差曲线；图6为交换机24端口流量异常指数曲线。具体实施方式下面结合本发明实施例的附图对本发明实施例的技术方案进行解释和说明，但下述实施例仅为本发明的优选实施例，并非全部。基于实施方式中的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得其他实施例，都属于本发明的保护范围。基于差分序列方差的ddos攻击检测方法，被证明在公共网络可以有效识别ddos攻击产生的异常流量。因此，通过借鉴差分序列方差检测方法，结合相应的参数的配置，可应用于智能变电站过程层网络，用来识别正常突发流量与异常流量。如图2所示，一种智能变电站过程层网络流量异常检测方法，包括以下步骤：步骤s1，获取过程层网络流量；步骤s2，最小及最大流量检测，将获取的网络流量与最小及最大流量阈值进行比较，对于小于最小流量阈值以及大于最大流量阈值的流量数据，直接判断为异常流量；步骤s3，利用满足阈值的流量数据，计算当前时刻差分序列方差vds(t)与流量异常指数c(t)：式中，vds(t)为t时刻差分序列方差，vds(t-1)为t-1时刻差分序列方差，t为时刻，w(t)为t时刻差分值，low为常量，s(t)为当前时刻流量值，为当前时刻平均流量值，smin和smax分别表示阈值的最小值与最大值；步骤s4，判断t时刻流量异常程度是否大于0，若等于0，则为正常流量，将连续攻击计数e清零，并回到步骤s1开始检测下一时刻流量；若大于0，则进入步骤s5；步骤s5，判断t时刻差分序列方差vds(t)是否大于或等于t-1时刻差分序列方差vds(t-1)，若是，认为t时刻可能存在攻击，连续攻击计数e加1，进入步骤s6；若否，则可能为突发流量，等待对下一时刻的判断结果，连续攻击计数e保持不变，回到步骤s1开始检测下一时刻流量；步骤s6，如果t时刻连续攻击系数e等于或大于阈值em，则认为t时刻存在攻击，程序告警。其中，步骤s1过程层网络流量获取源为网络分析仪，包含交换机各端口的流量信息。low为常量，low的值根据历史数据选择设置。假设当前时刻为t，则当前时刻流量值指网络分析仪获取到的t时刻流量；当前时刻平均流量指0时刻至t时刻总流量的平均值。阈值的最小值与最大值需要根据智能变电站网络结构、报文路径以及报文大小进行计算，一旦智能变电站通信网络配置完成，则阈值的最大值与最小值将保持不变。c(t)即为t时刻的流量异常程度的计算。本发明选取t1-1型结构变电站二号间隔对其进行验证。如图1所示，t1-1型变电站包含1个muied，1个断路器ied以及1个保护控制relayied和1个测控m&cied。(1)参数选择本算例选取low参数为2.322，em参数为2。(2)运行数据结果利用基于差分序列方差改进阈值检测方法，可以有效且迅速的识别异常流量。经计算，检测结果的平均延迟为1.8s，漏检率为0％，同时准确率达到了100％，明显优于改进前的检测方法。以下结合图3至图6对本发明作进一步说明。图3给出了变电站过程层在运行时，交换机24端口的流量输出曲线，可以看出：1)过程层流量存在明显的最小值；2)过程层频繁的产生突发流量，难以使用阈值检测进行区分。以下部分将进行定量的分析。参考图4和图5所示，通过图5可以观测到，异常流量刚发生的时刻，差分序列的方差将会呈现增长的趋势；通过图6可知，此时计算获得的异常流量指数将会大于0。当异常流量持续时，差分序列方差将一直呈现增长的趋势，同时，异常流量指数也将一直大于0。当异常流量结束时，差分序列方差将趋于平缓并且计算获得的异常流量指数变为0。表1给出了基于差分序列方差改进阈值检测方法与基于阈值检测方法的性能对比。检测方法正确率漏检率平均延时基于差分序列方差改进阈值检测方法100％0％1.8s基于阈值检测方法37.5％40％4.5s表1可以看出，基于差分序列方差改进阈值检测方法正确率要比基于阈值检测方法高62.5％；漏检率也低40％。另外，平均检测延迟也少60％。本发明对阈值检测技术的改进，即在阈值检测的基础上，增加了基于差分序列方差检测方案。对于满足阈值检测的异常流量，利用基于差分序列方差检测方法，可以做到有效的识别。并通过对比，表明后者的性能明显优于前者。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，熟悉该本领域的技术人员应该明白本发明包括但不限于附图和上面具体实施方式中描述的内容。任何不偏离本发明的功能和结构原理的修改都将包括在权利要求书的范围中。当前第1页12