电力工控网络流量异常检测方法与流程

本发明涉流量异常检测，属于网络检测领域。

背景技术：

1、电力cps通过使用量测、通信、控制等技术，能够全面采集并分析实时电网运行数据，实现电力信息的集成、共享以及电气设备的监视、控制等功能。各类智能电气设备和通信链路的激增，也给电力系统带来了一定的网络安全隐患。电力工控系统作为电力cps的重要组成部分，以各类通信协议为载体进行流量信息的传输和互，这使得电力工控系统面临着数据窃取及篡改等风险。因此，如何有效地对电力工控流量进行异常行为检测对电力系统的安全稳定运行具有重要意义。

2、目前，针对电力工控流量的异常行为检测问题，国内外学者做了大量研究。利用通用网络特征指标以及通用面向对象变电站事件报文的常规行为模式进行异常检测。现有有将智能变电站流量数据的频域特征进行提取，并与时域特征融合，构建时-频域混合特征集进而识别异常流量。现有有利用机器学习的方法对电力工控异常流量数据进行检测。还有针对电力工控系统数据的时序特征提出基于高斯混合聚类的异常检测方法。

3、上述已有异常行为检测方法侧重于网络层流量特征的统计分析，存在检测准确率低、误报率高、耗费时间长的问题。

技术实现思路

1、本发明的目的是为了解决异常行为检测方法，存在检测准确率低、误报率高、耗费时间长的问题，提出了电力工控网络流量异常检测方法。

2、电力工控网络流量异常检测方法，所述方法包括以下内容：

3、步骤1、利用交换机镜像端口对电力工控系统通信过程中的流量数据进行实时捕获；

4、步骤2、将每帧流量数据应用层、传输层、网络层、数据链路层、物理层进行分离，提取出应用层报文，对应用层报文进行解析，获取应用层报文各字段；

5、步骤3、利用报文长度字段模型检测应用层报文各字段长度是否为预设长度，如果是，执行步骤4，如果否，判定该字段异常，发出告警信息；

6、步骤4、利用报文特征检测模型检测应用层报文各字段的业务类型，并将应用层报文各字段的内容与预存的业务类型的内容比较，判断二者是否一致，如果是，判定各字段正常，如果否，判定各字段异常。

7、优选地，应用层报文各字段的帧格式包括启动字符、长度、控制域、链路地址域和帧校验。

8、优选地，步骤4中，应用层报文各字段的业务类型包括3种，分别为u帧、i帧和s帧。

9、优选地，步骤4中，还包括：

10、若判定该字段异常，发出告警信息。

11、本发明的有益效果是：

12、随着信息通信技术在电力工控系统中的广泛应用，电力工控系统遭受网络攻击的风险不断增加。电力工控系统的信息传输和交互以通信协议的流量数据为载体，流量数据的应用层报文在传输过程中存在被窃取及篡改等风险。本发明首先对电力工控流量进行应用层报文的提取及解析，并结合报文字段特征以及典型电力业务特征建立起电力工控流量正常行为模型。其次，依据正常行为模型对流量数据进行单字段异常检测，实现流量异常行为的识别。本发明准确率高、误报率低、耗费时间短，能够有效辨识电力工控系统流量异常行为，提升电力系统的安全性。

技术特征：

1.电力工控网络流量异常检测方法，其特征在于，所述方法包括以下内容：

2.根据权利要求1所述的电力工控网络流量异常检测方法，其特征在于，应用层报文各字段的帧格式包括启动字符、长度、控制域、链路地址域和帧校验。

3.根据权利要求1所述的电力工控网络流量异常检测方法，其特征在于，步骤4中，应用层报文各字段的业务类型包括3种，分别为u帧、i帧和s帧。

4.根据权利要求1所述的电力工控网络流量异常检测方法，其特征在于，步骤4中，还包括：

5.根据权利要求1所述的电力工控网络流量异常检测方法，其特征在于，步骤1中，具体为：

技术总结
电力工控网络流量异常检测方法，属于网络检测领域。本发明为了解决异常行为检测方法，存在检测准确率低的问题。步骤1、利用交换机镜像端口对电力工控系统通信过程中的流量数据进行实时捕获；步骤2、将每帧流量数据的应用层与其他网路层分离，提取出应用层报文，对应用层报文进行解析，获取应用层报文各字段；步骤3、利用报文长度字段模型检测应用层报文各字段长度是否为预设长度，如果是，执行步骤4，如果否，判定该字段异常，发出告警信息；步骤4、利用报文特征检测模型检测应用层报文各字段的内容与预存的业务类型的内容是否一致，如果是，判定各字段正常，如果否，判定各字段异常。本发明用于检测网络异常。

技术研发人员：郭袅,滕为军,邵薇霖,柳新全,王金栋
受保护的技术使用者：国网黑龙江省电力有限公司管理培训中心
技术研发日：
技术公布日：2024/4/17