一种智能电网安全监控方法、装置及存储介质与流程

1.本发明涉及电网监控技术领域，尤其是涉及一种智能电网安全监控方法、装置及存储介质。


背景技术：

2.智能电网是典型的信息物理融合系统，其信息物理的深度融合使得攻击者可以利用信息和物理系统的漏洞进行关联耦合，通过入侵信息网络控制物理系统。
3.面对这一新型安全威胁，现有的智能电网安全监控方法通常为采集智能电网系统中各个设备的运行信息，直接根据设备的运行信息判断是否出现攻击事件。现有的智能电网安全监控方法依据单一指标判断智能电网中的设备是否出现攻击事件，没有全面考虑攻击事件相关的因素，无法准确检测攻击事件，导致智能电网安全监控的效果较差。


技术实现要素：

4.本发明提供了一种智能电网安全监控方法、装置及存储介质，以解决现有的智能电网安全监控方法依据单一指标判断智能电网中的设备是否出现攻击事件，没有全面考虑攻击事件相关的因素，无法准确检测攻击事件，导致智能电网安全监控的效果较差的技术问题。
5.本发明的一个实施例提供了一种智能电网安全监控方法，包括：
6.获取智能电网系统中待监控设备的通信流量，基于所述通信流量计算得到所述待监控设备的信息网络异常度；
7.获取所述待监控设备的电力测量数据，基于所述电力测量数据计算得到电力系统异常度；
8.根据所述信息网络异常度和所述电力系统异常度，计算得到电网系统异常度；
9.通过比对所述电网系统异常度和预设的安全阈值的大小关系，检测并定位攻击事件。
10.进一步的，所述基于所述通信流量计算得到所述待监控设备的信息网络异常度，包括：
11.根据预设的检测规则，检测得到所述通信流量中的异常通信流量，并标记所述异常通信流量的时间戳和威胁程度系数；
12.基于所述时间戳，设定所述待监控设备的监控时段；
13.选取待监控设备在所述监控时段内的所有异常通信流量，对所有所述异常通信流量的威胁程度系数进行归一化处理，得到归一化威胁程度系数；
14.根据所述归一化威胁程度系数计算得到待监控设备的信息网络异常度。
15.进一步的，所述对所有所述异常通信流量的威胁程度系数进行归一化处理，得到归一化威胁程度系数，包括：
16.根据以下公式计算得到归一化威胁程度系数：
17.c
max
＝max{c
ij
|1≤i≤m,1≤j≤mi}
[0018][0019]
其中，i表示第i个设备，m表示设备的总体数量，j表示第j条异常通信流量，c
ij
表示第i个设备的第j条异常通信流量的威胁程度系数，c
max
表示最大的威胁程度系数，mi表示第i个设备的异常通信流量的数量，表示归一化威胁程度系数。
[0020]
进一步的，所述根据所述归一化威胁程度系数计算得到待监控设备的信息网络异常度，包括：
[0021]
根据以下公式计算得到信息网络异常度：
[0022]
τ
ij
＝t
ij-t(1≤i≤m,1≤j≤mi)
[0023][0024][0025]
其中，t
ij
表示第i个设备的第j条异常通信流量的时间戳，τ
ij
表示第i个设备的第j条异常通信流量发生的延迟，a
ij
表示第i个设备第j条报警的信息网络异常度权重，和分别为函数e-x
中的x取值为τ
ij
和τ
ik
的函数，ci表示第i个设备的信息网络异常度。
[0026]
进一步的，所述基于所述电力测量数据计算得到电力系统异常度，包括：
[0027]
根据以下公式计算得到电力系统异常度：
[0028][0029][0030]
其中，ri表示最大标准化残差检验得到的第i个设备的电力量测数据的残差；，c表示最大标准化残差检验设定的阈值，pi表示第i个设备的电力系统异常度。
[0031]
进一步的，所述根据所述信息网络异常度和所述电力系统异常度，计算得到电网系统异常度，包括：
[0032]
采用以下公式计算得到电网系统异常度：
[0033]
si＝ci+pi[0034]
其中，si表示第i个设备的电网系统异常度，ci表示第i个设备的信息网络异常度，pi表示第i个设备的电力系统异常度。
[0035]
进一步的，所述通过比对所述电网系统异常度和预设的安全阈值的大小关系，检测并定位攻击事件，包括：
[0036]
若所述电网系统异常度大于或等于所述预设的安全阈值，则判断所述电网系统异常度对应的设备存在攻击事件；若所述电网系统异常度小于所述预设的安全阈值，则判断所述电网系统异常度对应的设备不存在攻击事件。
[0037]
本发明的一个实施例提供了一种智能电网安全监控装置，包括：
[0038]
信息网络异常度计算模块，用于获取智能电网系统中待监控设备的通信流量，基
于所述通信流量计算得到所述待监控设备的信息网络异常度；
[0039]
电力系统异常度计算模块，用于获取所述待监控设备的电力测量数据，基于所述电力测量数据计算得到电力系统异常度；
[0040]
电网系统异常度计算模块，用于根据所述信息网络异常度和所述电力系统异常度，计算得到电网系统异常度；
[0041]
攻击事件定位模块，用于通过比对所述电网系统异常度和预设的安全阈值的大小关系，检测并定位攻击事件。
[0042]
本发明的一个实施例提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上述的智能电网安全监控方法。
[0043]
本发明实施例基于所述通信流量计算得到所述待监控设备的信息网络异常度，基于所述电力测量数据计算得到电力系统异常度，并结合了智能电网中信息层面的指标信息网络异常度和物理层面的指标电力系统异常度，以计算得到电网系统异常度，从而全面考了智能电网中与攻击事件相关的因素以进行安全监控，能够有效提高智能电网安全监控的准确性。
附图说明
[0044]
图1是本发明实施例提供的智能电网安全监控方法的流程示意图；
[0045]
图2是本发明实施例提供的智能电网安全监控方法的另一流程示意图；
[0046]
图3是本发明实施例提供的智能电网安全监控装置的结构示意图。
具体实施方式
[0047]
下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
[0048]
在本技术的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本技术的描述中，除非另有说明，“多个”的含义是两个或两个以上。
[0049]
在本技术的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。
[0050]
请参阅图1，本发明的一个实施例提供了一种智能电网安全监控方法，包括：
[0051]
s1、获取智能电网系统中待监控设备的通信流量，基于通信流量计算得到待监控设备的信息网络异常度；
[0052]
在本发明实施例中，可以采用流量分析技术和入侵检测技术监测得到信息网络中
的异常流量，并通过检测智能电网系统中的潜在威胁事件，生成信息网络异常度。
[0053]
s2、获取待监控设备的电力测量数据，基于电力测量数据计算得到电力系统异常度；
[0054]
在本发明实施例中，可以利用电力测量数据对智能电网系统的电压幅值、电流相位等状态量进行估计，并采用最大标准化残差检测和定位电力系统中的异常数据，从而生成相应的报警信息，该报警信息携带有异常数据和对应的设备i d，且还生成电力系统异常度，以用于后续对电网系统异常度进行计算。
[0055]
s3、根据信息网络异常度和电力系统异常度，计算得到电网系统异常度；
[0056]
在本发明实施例中，可以将信息网络异常度和电力系统异常度进行拓扑重叠处理，计算得到电网系统异常度。
[0057]
可以理解的是，信息网络异常度为信息层面的指标，电力系统异常度为物理层面的指标，本发明实施例结合了智能电网中，信息层面的指标和物理层面的指标，以计算得到电网系统异常度，从而全面考了智能电网中与攻击事件相关的因素以进行安全监控，能够有效提高智能电网安全监控的准确性。
[0058]
s4、通过比对电网系统异常度和预设的安全阈值的大小关系，检测并定位攻击事件。
[0059]
在本发明实施例中，预设的安全阈值可以根据实际的需要进行设置以及调整，例如，根据某一时间段设备已经存在攻击事件的历史数据，确定安全阈值的大小，具体的，可以根据该时间段内，设备发生攻击事件时的平均电网系统异常度，确定预设的安全阈值。
[0060]
在一个实施例中，基于通信流量计算得到待监控设备的信息网络异常度，包括：
[0061]
s11、根据预设的检测规则，检测得到通信流量中的异常通信流量，并标记异常通信流量的时间戳和威胁程度系数；
[0062]
在本发明实施例中，可以根据智能电网系统的特性和需求，设定用于检测异常通信流量的检测规则。在检测得到通信流量中的异常通信流量后，对这些异常流量对应的时间戳和威胁程度系数进行标记，同时还标记该异常通信流量对应的设备i p，以准确识别异常的设备。
[0063]
s12、基于时间戳，设定待监控设备的监控时段；
[0064]
在本发明实施例中，设定待监控设备的监控时段可以为：
[0065]
假设异常通信流量检测从t时刻开始，并且每隔t秒进行一次。本发明实施例考虑到信息网络攻击影响的持续性，选取时间段t
→
t+at作为监控时段，对该监控时段的异常通信流量记录进行分析，其中参数a是可调参数，用于控制时间段的长度。
[0066]
s13、选取待监控设备在监控时段内的所有异常通信流量，对所有异常通信流量的威胁程度系数进行归一化处理，得到归一化威胁程度系数；
[0067]
在本发明实施例中，将所有的威胁程度系数进行归一化处理，得到归一化威胁程度系数，能够提高威胁程度系数计算的精确度。
[0068]
s14、根据归一化威胁程度系数计算得到待监控设备的信息网络异常度。
[0069]
在本发明实施例中，基于归一化威胁程度系数计算得到待监控设备的信息网络异常度，考虑了威胁程度系数与信息网络异常的相关关系，使得计算得到的信息网络异常度能够准确反映待监控设备的威胁程度。
[0070]
在一个实施例中，对所有异常通信流量的威胁程度系数进行归一化处理，得到归一化威胁程度系数，包括：
[0071]
根据以下公式计算得到归一化威胁程度系数：
[0072]cmax
＝max{c
ij
|1≤i≤m,1≤j≤mi}
[0073][0074]
其中，i表示第i个设备，m表示设备的总体数量，j表示第j条异常通信流量，c
ij
表示第i个设备的第j条异常通信流量的威胁程度系数，c
max
表示最大的威胁程度系数，mi表示第i个设备的异常通信流量的数量，表示归一化威胁程度系数。
[0075]
在一个实施例中，根据归一化威胁程度系数计算得到待监控设备的信息网络异常度，包括：
[0076]
根据以下公式计算得到信息网络异常度：
[0077]
τ
ij
＝t
ij-t(1≤i≤m,1≤j≤mi)
[0078][0079][0080]
其中，t
ij
表示第i个设备的第j条异常通信流量的时间戳，τ
ij
表示第i个设备的第j条异常通信流量发生的延迟，a
ij
表示第i个设备第j条报警的信息网络异常度权重，和分别为函数e-x
中的x取值为τ
ij
和τ
ik
的函数，ci表示第i个设备的信息网络异常度。
[0081]
在一个实施例中，基于电力测量数据计算得到电力系统异常度，包括：
[0082]
根据以下公式计算得到电力系统异常度：
[0083][0084][0085]
其中，ri表示最大标准化残差检验得到的第i个设备的电力量测数据的残差；，c表示最大标准化残差检验设定的阈值，pi表示第i个设备的电力系统异常度。
[0086]
在一个实施例中，根据信息网络异常度和电力系统异常度，计算得到电网系统异常度，包括：
[0087]
采用以下公式计算得到电网系统异常度：
[0088]
si＝ci+pi[0089]
其中，si表示第i个设备的电网系统异常度，ci表示第i个设备的信息网络异常度，pi表示第i个设备的电力系统异常度。
[0090]
在一个实施例中，通过比对电网系统异常度和预设的安全阈值的大小关系，检测并定位攻击事件，包括：
[0091]
若电网系统异常度大于或等于预设的安全阈值，则判断电网系统异常度对应的设备存在攻击事件；若电网系统异常度小于预设的安全阈值，则判断电网系统异常度对应的设备不存在攻击事件。
[0092]
在本发明实施例中，当电网系统异常度pi大于或等于安全威胁阈值ts时，判定第i个设备存在攻击事件，当电网系统异常度pi小于安全威胁阈值ts时，判定第i个设备不存在攻击事件。本发明结合信息网络异常度和电力系统异常度计算设备的电网系统异常度，并基于电网系统异常度能够准确确定智能电网中每一待监控设备是否存在攻击事件，在某一设备攻击事件时，基于该设备i p能够快速定位出现攻击事件的设备位置，从而能够有效提高智能电网的安全监控效果。
[0093]
实施本发明实施例，具有以下有益效果：
[0094]
本发明实施例基于通信流量计算得到待监控设备的信息网络异常度，基于电力测量数据计算得到电力系统异常度，并结合了智能电网中信息层面的指标信息网络异常度和物理层面的指标电力系统异常度，以计算得到电网系统异常度，从而全面考了智能电网中与攻击事件相关的因素以进行安全监控，能够有效提高智能电网安全监控的准确性。
[0095]
请参阅图3，基于与上述实施例相同的发明构思，本发明的一个实施例提供了一种智能电网安全监控装置，包括：
[0096]
信息网络异常度计算模块10，用于获取智能电网系统中待监控设备的通信流量，基于通信流量计算得到待监控设备的信息网络异常度；
[0097]
电力系统异常度计算模块20，用于获取待监控设备的电力测量数据，基于电力测量数据计算得到电力系统异常度；
[0098]
电网系统异常度计算模块30，用于根据信息网络异常度和电力系统异常度，计算得到电网系统异常度；
[0099]
攻击事件定位模块40，用于通过比对电网系统异常度和预设的安全阈值的大小关系，检测并定位攻击事件。
[0100]
在本发明实施例中，信息网络异常度计算模块10还用于：
[0101]
根据预设的检测规则，检测得到通信流量中的异常通信流量，并标记异常通信流量的时间戳和威胁程度系数；
[0102]
基于时间戳，设定待监控设备的监控时段；
[0103]
选取待监控设备在监控时段内的所有异常通信流量，对所有异常通信流量的威胁程度系数进行归一化处理，得到归一化威胁程度系数；
[0104]
根据归一化威胁程度系数计算得到待监控设备的信息网络异常度。
[0105]
在本发明实施例中，对所有异常通信流量的威胁程度系数进行归一化处理，得到归一化威胁程度系数，包括：
[0106]
根据以下公式计算得到归一化威胁程度系数：
[0107]cmax
＝max{c
ij
|1≤i≤m,1≤j≤mi}
[0108][0109]
其中，i表示第i个设备，m表示设备的总体数量，j表示第j条异常通信流量，c
ij
表示第i个设备的第j条异常通信流量的威胁程度系数，c
max
表示最大的威胁程度系数，mi表示第i个设备的异常通信流量的数量，表示归一化威胁程度系数。
[0110]
在本发明实施例中，根据归一化威胁程度系数计算得到待监控设备的信息网络异常度，包括：
[0111]
根据以下公式计算得到信息网络异常度：
[0112]
τ
ij
＝t
ij-t(1≤i≤m,1≤j≤mi)
[0113][0114][0115]
其中，t
ij
表示第i个设备的第j条异常通信流量的时间戳，τ
ij
表示第i个设备的第j条异常通信流量发生的延迟，a
ij
表示第i个设备第j条报警的信息网络异常度权重，和分别为函数e-x
中的x取值为τ
ij
和τ
ik
的函数，ci表示第i个设备的信息网络异常度。
[0116]
在本发明实施例中，电力系统异常度计算模块20还用于：
[0117]
根据以下公式计算得到电力系统异常度：
[0118][0119][0120]
其中，ri表示最大标准化残差检验得到的第i个设备的电力量测数据的残差；，c表示最大标准化残差检验设定的阈值，pi表示第i个设备的电力系统异常度。
[0121]
在本发明实施例中，电网系统异常度计算模块30还用于：
[0122]
采用以下公式计算得到电网系统异常度：
[0123]
si＝ci+pi[0124]
其中，si表示第i个设备的电网系统异常度，ci表示第i个设备的信息网络异常度，pi表示第i个设备的电力系统异常度。
[0125]
在本发明实施例中，攻击事件定位模块40还用于：
[0126]
若电网系统异常度大于或等于预设的安全阈值，则判断电网系统异常度对应的设备存在攻击事件；若电网系统异常度小于预设的安全阈值，则判断电网系统异常度对应的设备不存在攻击事件。
[0127]
本发明的一个实施例提供了一种计算机可读存储介质，计算机可读存储介质包括存储的计算机程序，其中，在计算机程序运行时控制计算机可读存储介质所在设备执行如上述的智能电网安全监控方法。
[0128]
以上是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。