一种电力网络中异常指令的检测方法及系统与流程

本发明涉及计算机信息安全技术领域，具体涉及工业计算机控制安全技术领域，特别是涉及一种电力网络中异常指令的检测方法及系统。

背景技术：

“两票三制”，是一种用于水电站、火力发电厂和变电站工作的安全制度，其中，“两票”指的是操作票和工作票，“三制”指的是交接班制、巡回检查制和设备定期试验轮换制。“两票三制”是电业安全生产保证体系中最基本的制度之一，是我国电力行业多年运行实践中总结出来的经验，对任何人为责任事故的分析，均可以在“两票三制”的执行问题上找到原因。

电力网络的异常指令包括有突发异常指令和顺序异常指令，二者与指令发生的前后顺序与概率紧密相关。目前，很多电力网络陆续已加入了自动化技术，来实现电力设备的监控、保护、控制和生产自动化，也相继出现了很多智能管理操作票和工作票的系统，将“顺序控制”引入并推广至电网内部，以配合“两票三制”提高电站的安全性。其中，“顺序控制”是按照编码程序的预先规定的顺序，在输入信号的作用下，根据五防要求以及网络闭锁、电气闭锁等要求，在执行时各个间隔单元自动的有秩序的进行操作。“顺序控制”技术使得传统倒闸操作方式的单一性被打破，通过顺序控制，在操作过程中减少人为操作，将降低人为误操作的概率，缩短倒闸操作的时间，让整个电力网络安全可靠地运行。

然而，“顺序控制”只能在一定程度上保证异常事故的发生，其无法对电力网络的异常指令做到实时检测，以及无法检测出电力网络在遭受攻击时，黑客对电力网络发出的有顺序的异常指令等。

技术实现要素：

本发明的目的在于提供一种电力网络中异常指令的检测方法及系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种电力网络中异常指令的检测方法，包括以下步骤：

采集电力网络正常时以“源设备到目的设备”为指令传输路径的正常指令报文；

获取正常指令报文中源设备与目的设备之间所涉及的正常操作指令；

统计正常操作指令发生的概率及顺序；

在单位时间窗口内，采集电力网络中以“源设备到目的设备”为指令传输路径的实时指令报文；

获取实时指令报文中源设备与目的设备之间所涉及的实时操作指令；

根据正常操作指令发生的概率及顺序，计算得到实时操作指令的发生概率；

根据实时操作指令的发生概率判断实时操作指令是否为异常指令。

本发明实施例采用的一种优选方案，所述的步骤中，通过马尔科夫算法统计正常操作指令发生的概率及顺序。

本发明实施例采用的另一种优选方案，所述的步骤中，根据正常操作指令发生的概率及顺序，并利用马尔科夫转移矩阵法，计算得到实时操作指令的发生概率。

本发明实施例采用的另一种优选方案，所述的步骤中，若实时操作指令的发生概率为零，则该实时操作指令为突发异常指令；若实时操作指令的发生概率大于零，但小于阈值，则该实时操作指令为顺序异常指令；所述的阈值为电力网络正常时实时操作指令的发生概率的最小值。

本发明实施例采用的另一种优选方案，所述的检测方法还包括以下步骤：

根据实时操作指令的类型、指令触发后的设备状态情况以及受指令影响的设备数量，对异常指令的严重性进行评估。

本发明实施例还提供一种电力网络中异常指令的检测系统，其包括：

第一采集模块，用于采集电力网络正常时以“源设备到目的设备”为指令传输路径的正常指令报文；

第一获取模块，用于获取正常指令报文中源设备与目的设备之间所涉及的正常操作指令；

统计模块，用于统计正常操作指令发生的概率及顺序；

第二采集模块，用于在单位时间窗口内，采集电力网络中以“源设备到目的设备”为指令传输路径的实时指令报文；

第二获取模块，用于获取实时指令报文中源设备与目的设备之间所涉及的实时操作指令；

计算模块，用于根据正常操作指令发生的概率及顺序，计算得到实时操作指令的发生概率；

判断模块，用于根据实时操作指令的发生概率判断实时操作指令是否为异常指令。

本发明实施例采用的另一种优选方案，所述的统计模块通过马尔科夫算法统计正常操作指令发生的概率及顺序。

本发明实施例采用的另一种优选方案，所述的计算模块根据正常操作指令发生的概率及顺序，并利用马尔科夫转移矩阵法，计算得到实时操作指令的发生概率。

本发明实施例采用的另一种优选方案，所述的检测系统还包括：

评估模块，用于根据实时操作指令的类型、指令触发后的设备状态情况以及受指令影响的设备数量，对异常指令的严重性进行评估。

本发明实施例的提供的上述技术方案，相比于现有技术，具有以下技术效果：

（1）本发明实施例提供的检测方法及系统，通过使用马尔科夫模型，利用指令间的状态转移矩阵来计算指令前后发生的概率，并通过阈值来判定实时操作指令是否为顺序异常指令或突发异常指令，从而可以实现对电力网络中的异常指令进行实时检测，以提高电力网络的安全性。

（2）本发明实施例还通过根据实时操作指令的类型、指令触发后的设备状态情况以及受指令影响的设备数量，对异常指令的严重性进行评估，从而可以对异常指令的严重性进行判断，以便于对异常指令进行不同程度的处理。

附图说明

图1为实施例1提供的一种马尔科夫转移矩阵的示意图。

图2为实施例2提供的一种电力网络中异常指令的检测系统的结构示意图。

具体实施方式

下面的具体实施例是结合本说明书中提供的附图对本申请的技术方案作出的具体、清楚的描述。其中，说明书的附图只是为了用于将本申请的技术方案呈现得更加清楚明了，并不代表实际生产或使用中的形状或大小，以及也不能将附图的标记作为所涉及的权利要求的限制。

实施例1

该实施例提供了一种电力网络中异常指令的检测方法，其包括以下步骤：

（1）采集电力网络正常时以“源设备到目的设备”为指令传输路径的正常指令报文；具体的，先在电力网络正常时，将涉及到指令传输的报文进行入库备用；然后通过解析报文字段，根据“源设备”和“目的设备”两个维度过滤出所有的指令报文，提取出以“源设备到目的设备”为主线的一系列报文，即可完成对正常指令报文的采集。

（2）获取正常指令报文中源设备与目的设备之间所涉及的正常操作指令；具体的，依照马尔科夫模型，针对每个正常指令报文，罗列出源设备和目的设备两个通信设备间所涉及到的所有操作指令，作为马尔科夫转移矩阵的状态栏，如附图1所示。

（3）通过马尔科夫算法统计正常操作指令发生的概率及顺序；具体的，先解析上述正常指令报文，根据实际报文中时间的先后，监测出具体发生的指令，然后利用马尔科夫算法统计正常操作指令发生的顺序，从而计算正常操作发生的前后概率，填入到马尔科夫转移矩阵中，如附图1所示。

（4）在单位时间窗口内，采集电力网络中以“源设备到目的设备”为指令传输路径的实时指令报文；具体的，在单位时间窗口（默认为1分钟）内，采用与正常指令报文一样的采集方法对实时指令报文进行采集。

（5）获取实时指令报文中源设备与目的设备之间所涉及的实时操作指令；具体的，采用和正常操作指令一样的获取方法获取实时指令报文中的实时操作指令。

（6）根据正常操作指令发生的概率及顺序，并利用马尔科夫转移矩阵法，计算得到实时操作指令的发生概率。具体的，先解析“源设备到目的设备”的实时指令报文，监测出具体发生的指令顺序，然后，利用马尔科夫转移矩阵法，根据马尔科夫转移矩阵中的概率计算该实时操作指令的转移概率，即为实时操作指令的发生概率。譬如，参照附图1，“指令a到指令b到指令a”发生的概率为0.075*0.15；“指令c到指令b到指令a”的概率为0.25*0.15。

（7）根据实时操作指令的发生概率判断实时操作指令是否为异常指令；具体的，若实时操作指令的发生概率为零，则该实时操作指令为突发异常指令；若实时操作指令的发生概率大于零，但小于阈值，则该实时操作指令为顺序异常指令；其中，阈值为电力网络正常时实时操作指令的发生概率的最小值。

（8）根据实时操作指令的类型、指令触发后的设备状态情况以及受指令影响的设备数量，对异常指令的严重性进行评估。

具体的，实时操作指令的类型包括有单项令、综合令和逐项令三种，其中，综合令是指发令人说明操作任务、要求、操作对象的起始和终结状态，具体操作步骤和操作顺序项目由受令人拟定的调度命令。单项令是指由值班调度员下达的单一操作命令。单项令适用于：断合开关、拉合刀闸、拉合地刀的单一操作；串补运行状态和旁路状态的相互转换；单套保护装置、安全自动装置的投退；发电机组启停、解并列及有功、无功功率调整。逐项令是指根据一定的逻辑关系，按顺序下达的综合令或单项令。对此，按照指令的难易程度对不同类型的实时操作指令进行打分，即为x1，x1分值越大表示指令越复杂，其出错的概率越高，譬如可以将单项令异常的x1分值定为1，综合令异常的x1分值定为2，逐项令异常的x1分值定为3。

另外，指令触发后的设备状态情况包括运行、热备用、冷备用、检修、投入、退出和投信号七种，按照设备运行状态来判断系统的稳定性来打分，记为x2，x2分值越大表示该设备运行状态越有可能影响整个系统的运行。其中运行的x2分值为1，热备用、冷备用、投入和投信号的x2分值都为2，检修和退出的x2分值为3。

同样的，对受指令影响的设备数量进行打分，记为x3，x3分值越大表示受指令影响的设备数量越多，即表示发出的指令越危险。其中，一个设备受到影响的x3分值为1，二个设备受到影响的x3分值为2，三个及以上设备受到影响的x3分值为3。

由前所述，可以计算得到x1、x2以及x3三者的和，记为y，则y值的大小就表示异常指令的严重性大小。其中，当3≤y≤4时，异常指令的严重性等级为1级；当4＜y＜8时，异常指令的严重性等级为2级；当8≤y≤9时，异常指令的严重性等级为3级（等级越高，异常指令越严重）。

实施例2

参照附图2，该实施例提供了一种电力网络中异常指令的检测系统，其包括：第一采集模块、第一获取模块、统计模块、第二采集模块、第二获取模块、计算模块、判断模块和评估模块。具体的，第一采集模块，用于采集电力网络正常时以“源设备到目的设备”为指令传输路径的正常指令报文；第一获取模块，用于获取正常指令报文中源设备与目的设备之间所涉及的正常操作指令；统计模块，通过马尔科夫算法统计正常操作指令发生的概率及顺序；第二采集模块，用于在单位时间窗口内，采集电力网络中以“源设备到目的设备”为指令传输路径的实时指令报文；第二获取模块，用于获取实时指令报文中源设备与目的设备之间所涉及的实时操作指令；计算模块，用于根据正常操作指令发生的概率及顺序，并利用马尔科夫转移矩阵法，计算得到实时操作指令的发生概率；判断模块，用于根据实时操作指令的发生概率判断实时操作指令是否为异常指令；评估模块，用于根据实时操作指令的类型、指令触发后的设备状态情况以及受指令影响的设备数量，对异常指令的严重性进行评估。其中，该系统的对电力网络中异常指令的具体检测方法和实施例1提供的检测方法一致，在这边就不作赘述了。

综上所述，本发明实施例提供的检测方法及系统，通过使用马尔科夫模型，利用指令间的状态转移矩阵来计算指令前后发生的概率，并通过阈值来判定实时操作指令是否为顺序异常指令或突发异常指令，从而可以实现对电力网络中的异常指令进行实时检测，以提高电力网络的安全性。

另外，本发明实施例还通过根据实时操作指令的类型、指令触发后的设备状态情况以及受指令影响的设备数量，对异常指令的严重性进行评估，从而可以对异常指令的严重性进行判断，以便于对异常指令进行不同程度的处理。

需要说明的是，上述实施例只是针对本申请的技术方案和技术特征进行具体、清楚的描述。而对于本领域技术人员而言，属于现有技术或者公知常识的方案或特征，在上面实施例中就不作详细地描述了。

当然，本申请的技术方案不只局限于上述的实施例，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，从而可以形成本领域技术人员可以理解的其他实施方式。