CN107517205B - 基于概率的智能变电站网络异常流量检测模型构建方法 - Google Patents
基于概率的智能变电站网络异常流量检测模型构建方法 Download PDFInfo
- Publication number
- CN107517205B CN107517205B CN201710691297.4A CN201710691297A CN107517205B CN 107517205 B CN107517205 B CN 107517205B CN 201710691297 A CN201710691297 A CN 201710691297A CN 107517205 B CN107517205 B CN 107517205B
- Authority
- CN
- China
- Prior art keywords
- flow
- substation
- abnormal
- network
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 82
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 238000010276 construction Methods 0.000 title description 4
- 238000004891 communication Methods 0.000 claims abstract description 67
- 238000004458 analytical method Methods 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 21
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 16
- 238000004088 simulation Methods 0.000 claims abstract description 12
- 238000013461 design Methods 0.000 claims abstract description 3
- 231100000656 threshold model Toxicity 0.000 claims description 20
- 239000011159 matrix material Substances 0.000 claims description 9
- 230000005856 abnormality Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000007405 data analysis Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 4
- 230000006855 networking Effects 0.000 claims description 4
- 238000012106 screening analysis Methods 0.000 claims description 3
- 230000001105 regulatory effect Effects 0.000 claims description 2
- 238000011156 evaluation Methods 0.000 abstract description 2
- 239000000284 extract Substances 0.000 abstract 1
- 238000004364 calculation method Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 238000006116 polymerization reaction Methods 0.000 description 4
- 239000000523 sample Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 241001123248 Arma Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000005311 autocorrelation function Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000012935 Averaging Methods 0.000 description 1
- 241000408659 Darpa Species 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000001932 seasonal effect Effects 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于概率的智能变电站网络异常流量检测模型构建方法。该方法通过对采集得到的智能变电站站控层通信流量数据进行多次FARIMA模拟,得到站控层正常通信流量阈值模型;并对在站控层流量层面上有所体现的网络异常情况进行重点分析,提取KDD99异常数据流量叠加到原背景流量之中,生成异常网络流量由此作为阈值基准,设计智能变电站通信网络的评估指标与算法分析的电力通信网络的运行状况,本发明以天津某变电站站控层实际采集流量为测试数据给出了详细的算法描述,设计算例对变电站通信网络异常流量进行检测与预警。
Description
技术领域
本发明涉及一种基于概率的智能变电站通信流量异常检测模型构建方法,属于电网信息安全检测领域。
背景技术
快速建设智能化变电站的同时,工控***的网络安全问题也日益受到关注。工业***网络密集程度越高,其衍生的网络安全问题也越严重。例如2015年,乌克兰电力基础设施遭到BlackEnergy等恶意代码的攻击,最后造成长时间停电并制造整个社会混乱。近年来,此类具有信息战水准的网络攻击事件频繁发生;究其原因还是对于工控***的网络安全意识不足。
一旦网络发生异常现象,就有可能使智能终端、保护等设备的功能丧失,进而影响到智能变电站可靠运行,甚至引发连锁的电力安全事故。当出现网络风暴时,大量重复的报文在网络中传播,造成网络阻塞,监控数据异常,设备互操作失效,保护动作的可靠性受到影响,整个变电站最终会出现失控状态;而当出现网络入侵时,IED(Intelligent ElectricDevice)设备被入侵者肆意控制,站控层数据被篡改,造成大规模停电以及危险事故。
变电站的网络安全被认为是电网信息化建设的一个关键问题。异常检测是指在数据网络中发现异常行为的任务;这是计算机网络中广泛采用的一个概念。智能变电站异常检测***能及时响应预警网络异常或者病毒发作,并分析流量异常可能出现的原因,以及智能变电站出现异常运行的概率。
发明内容
针对现有技术存在的不足,本发明目的是提供一种基于概率的智能变电站网络异常流量检测模型构建方法;本发明给出了高效且有创造性的异常网络流量辨识方法以及变电站通信网络指标,并最终实现变电站网络的异常评估以及告警功能。
本发明的目的是通过以下技术方案来实现的:
本发明的基于概率模型的智能变电站网络异常流量检测模型构建方法,包括以下步骤:
(1)基于变电站通信流量数据建立优化的FARIMA(p,d,q)模型,并对模型进行校验;多次运行FARIMA(p,d,q)模型预测目标序列,并设计算法筛选具有智能变电站流量特征的预测值,生成不同置信度下的流量阈值模型;
(2)选取不同置信度下的流量阈值模型,采用异常流量值作为阈值基准设计变电站通信网络异常算法;
(3)根据智能变电站通信网络异常在流量层面上的不同体现,设计不同阈值基准;建立智能变电站通信流量异常检测***。
优选的,所述步骤(1)具体为:
(a)对采集的智能变电站通信流量数据进行数据分析,包括序列长度分析、周期性分析、平稳性分析以及自相关性分析;
(b)建立优化的FARIMA(p,d,q)模型,并对模型进行校验;
(c)比较不同算法的拟合优度以及预测效果;
(d)多次运行FARIMA(p,d,q)模型,设计算法对所有通过FARIMA(p,d,q)模型的具有智能变电站流量特征的预测数据进行筛选分析,即:
式中,maxYj为序列号为j时刻处的最大值;minYj为序列号为j时刻处的最小值,k为通过算法筛选的FARIMA(p,d,q)模拟次数;
从统计学意义上分析不同置信度下的流量阈值模型,其公式如下:
其中P为置信度,α为显著性,Sinside为在流量阈值区间内的序列个数,Stotal为仿真预测的序列总数,由不同的Sinside得到不同置信度下的通信流量模型。
优选的,上述步骤(a)又分为如下步骤:
(a1)基于不同的测量探头原始统计步长,对智能变电站通信流量数据进行采集并均值化处理;根据序列长度选择聚合尺度对原序列进行聚合,其公式如下:
式中,X(i)为原始序列,X(k)为聚合之后的序列,n为聚合周期;
做出聚合后序列的周期图,对序列的波动进行季节性分析;
(a2)对原序列进行平稳性分析以及自相关性分析;平稳性分析采用ADF测试,使用E-VIEWS软件对序列进行计量经济学分析,比较1%,5%,10%level下的t-statistic值与ADF测试值的大小关系确定序列的平稳性;自相关性通过计算序列的自相关函数与偏自相关函数得到,同时计算序列的Hurst参数以判定序列长相关性的程度;其中Hurst参数的计算方法如下:
式中,H为算法估计的序列Hurst值;aggver为绝对值法算出的Hurst值,diffvar为方差时间法算出的Hurst值,Rsm为R/S留数法算出的Hurst值。
优选的,上述步骤(b)又分为如下步骤:
(b1)用FARIMA(p,d,q)序列的定义法来产生FARIMA(p,d,q)的时间序列:
如果序列{Xt}是平稳的,且满足方程:
Φ(B)ΔdXt=Θ(B)εt
则称随机过程{Xt}为服从d∈(-0.5,0.5)的FARIMA(p,d,q)模型;其中d是差分阶数,{εt}是一个白噪声序列;自回归项Φ(B)为:
滑动平均项Θ(B)为:
其中φk是滞后阶数为k的回归系数,θk是滞后阶数为k的滑动系数;p是自回归阶数,q是滑动平均的阶数,p,q均为非负整数;B为延迟算子,Δ=(1-B)为差分算子,Δd=(1-B)d为分数差分算子,其二项式展开为:
其中,
Γ代表GAMMA函数;
(b2)对原序列进行d阶差分滤波,d的计算公式如下:
d=H-0.5
设计滤波器,对原序列进行分形差分滤波,其公式如下:
其中,W(n)是滤波之后的序列,X(n)是待滤波的时间序列,h(n)是分数差分滤波器的单位冲激响应,满足:
对滤波后的序列进行计量经济学分析,并采用AIC信息准则对分形差分之后的序列进行ARMA(p,q)模型定阶,AIC信息准则定义如下:
在上述表达式的右边,第一项反映拟合的优劣,第二项表示模型的复杂性;
(b3)对定阶后的序列进行残差检验;若残差为白噪声,则对拟合序列进行反滤波处理,得到原序列的拟合值或预测值;若残差不为白噪声,则重新采用AIC信息准则对ARMA(p,q)模型进行定阶;
(b4)采用最小二乘法对ARMA的p阶系数φk(k=1,2,…,p)以及MA的q阶系数θk(k=1,2,…,q)进行估计;
(b5)得到FARIMA(p,d,q)的数学表达式。
优选的,上述步骤(c)又分为如下步骤:
(c1)分析拟合序列是否具有智能变电站通信网络流量的自相似性,平稳性,季节性,不规则变动性和多分形性;
(c2)对拟合序列进行拟合优度的测算,其拟合优度计算公式如下:
优选的,所述步骤(2)具体为:
(a)选取具体置信度下的变电站流量阈值模型,分析变电站网络异常情况;通过实际流量与异常流量的叠加产生变电站的异常通信流量数值;
(b)设计智能变电站通信流量异常检测算法,规定正常流量Zt,Zt∈[MinZt,MaxZt];MinZt为t时刻正常流量的最小值,MaxZt为t时刻正常流量的最大值,定义待检测时刻的流量大小为Dt,若存在:Dt>MaxZt或Dt<MinZt;则t时刻的待检测流量Dt存在异常的情况;
定义待测流量异常因数λdetect,表示t时刻待测流量与正常流量之间的偏差:
而当待测流量值处于正常流量阈值区间Dt∈[MinZt,MaxZt]时,λdetect(t)取0,
采用生成的变电站异常通信流量数据设计站控层阈值基准,定义异常流量因数λanomaly,表示t时刻异常流量与正常流量之间的偏差:
其中At为t时刻的异常流量值,max(Xt)为原始流量序列的最大值,min(Xt)为原始序列的最小值;
构造(w×n)阶异常流量偏差矩阵为λ(w×n),w为已检测到的不同种类的变电站网络异常情况总和,n为待测流量步长:
规定ξ为某时刻t时变电站网络出现某瞬时异常的概率;
ξ(w,t)=κσ(λ(w,t))μ
其中μ为变电站结构复杂程度参数,与智能变电站内的IED数量,以太网内监控主机的数目以及采用IEC61850,IEC62351协议的规范程度有关;κ为该主机或交换机在整个变电站网络中的权重;σ为智能变电站网络组网方式系数,
规定变电站网络在某时刻t的可靠性指数为γt,设异常情况为w种:
定义变电站通信网络在待测序列所处时段的脆弱性指数为ν,
优选的,所述步骤(3)具体为:
(a)具体分析变电站网络异常流量的情况,计算智能变电站通信网络的异常流量偏差矩阵,可靠性指数与脆弱性指数。
(b)分析待测流量序列,根据不同的异常流量情况对待测的流量进行分析,由变电站通信网络的可靠性指数与脆弱性指数评估分析变电站通信网络在不同时段内的网络的稳定性,采用不同等级的告警标准对变电站网络异常的情况进行告警,当变电站脆弱性指数为ν满足条件:
对变电站工作人员进行异常告警,式中p代表变电站流量阈值模型的置信度;η代表告警临界值;c代表告警的级别指数,根据变电站网络规模以及变电站负荷重要程度来选择不同的告警级别。
(c)继续采集变电站通信网络流量,更新变电站正常通信流量阈值模型参数,对新的待检测序列进行分析。
本发明的有益效果在于解决了智能变电站网络异常流量的识别与检测工作;生成的流量异常检测模型可以提高电力通信网络的服务质量,对不同种类的异常情况进行辨识,预警工作;同时对设计高性能的网络硬件设备和电网信息安全平台具有指导意义。设计评价变电站通信网络情况的指标,对变电站通信网络情况进行及时跟踪与反馈,便于辅助相关人员开展变电站信息安全检测与分析工作。
附图说明
下面结合附图和实施例对本发明进一步说明;
图1是本发明的方法流程图;
图2(a)是本发明构建的置信度为95%的智能变电站通信流量阈值模型;
图2(b)是本发明构建的置信度为90%的智能变电站通信流量阈值模型;
图3是90%置信度下的变电站通信流量异常检测模型图。
具体实施方式
通过实地采集天津某110kV变电站实际数据流量,建立具有适当参数的流量模型。在实际变电站中,共有56个IED和3台监控机通过LAN(局域网)与双环网络结构相连。采样点是由探头机构通过采集SCADA伺服服务器(IBMX3650)端口数据而来的。测量的智能变电站站控层的聚合流量;这些流量能实现远程控制和高级管理服务。探头测量数据流的原始统计时间步长为1ms,表示数据每毫秒刷新并存储一次。在整个SCN操作周期(即24小时)中记录了8.64×107个数据;通过分析网络流量的特性,发现智能变电站站控层流量也存在很大程度上的自相似特性;因此对流量数据采取聚合方式。其聚合周期为6000ms(1min),聚合后数据量减小为1440个,由0:05分开始到24:05截止。相当于每分钟截取1个数据点,持续一天。其聚合后的序列图与分布图分别如图2(a),图2(b)所示。可以看出序列的分布近似于正态分布,即均值左右的流量值的频率较大。对1440个数据进行均值化处理,方便对其分析。求得序列的均值为:0.9492(Mbit/s)。
对原始数据进行FARIMA(p,d,q)建模分析,最终选择FARIMA(12,0.1944,9)模型对智能变电站站控层数据流量进行建模分析。模型的表达式为:
多次运行FARIMA(p,d,q)模型,对所有通过FARIMA(p,d,q)模型的预测数据进行筛选分析,即:
式中,maxYj为序列号为j时刻处的最大值;minYj为序列号为j时刻处的最小值,k为通过算法筛选的FARIMA(p,d,q)模拟次数。
从统计学意义上分析不同显著性下的流量阈值模型,其公式如下:
其中P为置信度,α为显著性,Sinside为在流量阈值区间内的序列个数,Stotal为仿真预测的序列总数。由不同的Sinside可以得到不同显著性下的通信流量模型。当仿真次数门限较大时,有此时置信度为95%;当仿真次数门限较小时,有此时置信度为90%。
如图2(a)所示为置信度95%的变电站通信流量阈值模型,图2(b)所示为置信度90%的变电站通信流量阈值模型。通过上述模型,我们可以近似得到较短时间间隔内某时刻的正常流量阈值。例如在序列值为25的时刻,当置信区间为95%时其正常流量的区间为[7.7,1.22],当置信区间为90%时其正常流量的区间为[7.2,1.02]。由此我们可以得到站控层正常情况下某时刻通信流量的阈值模型。
设计智能变电站通信流量异常检测算法,规定正常流量Zt,Zt∈[MinZt,MaxZt];MinZt为t时刻正常流量的最小值,MaxZt为t时刻正常流量的最大值。定义待检测时刻的流量大小为Dt,若存在:Dt>MaxZt或Dt<MinZt;则t时刻的待检测流量Dt可能存在异常的情况。
定义待测流量异常因数λdetect,表示t时刻待测流量与正常流量之间的偏差:
而当待测流量值处于正常流量阈值区间Dt∈[MinZt,MaxZt]时,λdetect(t)取0。通过偏差值我们可以分析每时刻网络流量的情况。
采用生成的变电站异常通信流量数据设计站控层阈值基准,定义异常流量因数λanomaly,表示t时刻异常流量与正常流量之间的偏差:
其中At为t时刻的异常流量值,max(Xt)为原始流量序列的最大值,min(Xt)为原始序列的最小值。
构造(w×n)阶异常流量偏差矩阵为λ(w×n),w为已检测到的不同种类的变电站网络异常情况总和,n为待测流量步长:
λ(w×n)矩阵能够及时跟踪与响应变电站每时刻不同种类网络异常的情况;由矩阵可以在流量层面上初步判定变电站网络产生的异常种类,以及网络异常分布的大致时段与异常严重程度。
根据现有变电站常出现的网络异常情况,选取最简单的四种异常情况加以探究;其他未知的网络异常需要获取相关流量特征才能构建基准异常流量进行分析。
选取的四种异常为:
(1)HDoS(High level D-DOS)
高流量型分布式拒绝服务(HDoS)攻击采用的是分布、协作的大规模攻击模式,这种攻击具有隐蔽性,会在短时间内注入攻击流量,使流量在短时间内突增;导致目标主机网络和***资源耗尽,使主机无法为用户提供服务,最终导致带宽过大,服务器无法响应的现象。HDoS对应DARPA2000中的LLDoS1.0攻击场景;在LLDoS1.0攻击场景中,攻击者通过Solaris sadmind服务漏洞攻陷并控制了“Eyrie”空军基地网络中的三台主机,上传了Mstream分布式拒绝服务攻击工具,并对某一美国政府网站发动了分布式拒绝服务攻击。
(2)LDoS(Low level D-DOS)
低流量型分布式拒绝服务(LDoS)攻击采用比普通DDoS更为隐蔽的的方式对注入流量进行脚本化;其流量特点为跟随原流量的趋势,在一段时间之内持续的注入攻击流量;导致目标主机网络性能下降,重要报文被重复发送,最终导致网络拥塞与瘫痪。LDoS对应DARPA2000中的LLDoS2.0.2相同的攻击场景,不同的是攻击者对漏洞主机的发现以及Mstream分布式拒绝服务攻击的上传都采用了更为隐蔽的方法;即攻击流量会一定程度上的跟随原流量的趋势。
(3)网络风暴
网络风暴则是短时间内大量报文的拥塞产生,一般是由变电站网络带宽不足,设备更新测试等原因引起;当网络风暴报文达到50M(变电站过程层交换机正常流量均值的3倍)时,未采取风暴抑制措施的智能终端CSD601的跳合闸回路动作时间已经不能满足要求;因此网络风暴为流量较短时间内小幅度突增。
(4)网络屏蔽
由于工控网络都为基于VPN的工业以太网,因此由于外界原因导致网络环境的改变,也会影响网络的情况。例如强脉冲,强磁场干扰,或者交换机故障等,都会使变电站通信网络发生裂解,出现部分IED设备与监控主机的通信被切断,信道被屏蔽的现象。在流量层面上的反映是流量值的突减,并且持续时间较长。
通过林肯实验室的KDD99异常检测数据集,根据其TCPDUMP包获取除去背景流量的异常数据包,将获取的数据信息记录到pcap格式的文件中,编写脚本筛选异常流量。对采集的异常流量在原流量同层面上进行聚合,最终得到KDD99数据集中的HDoS以及LDoS的异常流量序列值。将异常流量序列值叠加到原变电站站控层通信背景流量中,可以得到变电站在DDoS下的异常通信流量序列;这几种变电站网络异常下的流量进行分析如下表所示。
表1
流量异常种类 | 造成的流量影响 | 产生频率 | 持续时间 | 异常所在变电站层级 |
网络风暴 | 小幅度突增 | 较高 | 较长 | 过程层与站控层 |
HDoS攻击 | 大幅度突增 | 低 | 短 | 站控层 |
LDoS攻击 | 大幅度增加 | 低 | 长 | 站控层 |
网络屏蔽 | 小幅度突减 | 较低 | 较长 | 站控层 |
将四种不同的异常流量放入到智能变电站通信流量阈值模型中生成异常检测模型。
采集一段新的变电站流量作为待测流量进行分析,如图3所示。
为了便于解释说明,对序列号11-20这一段网络流量进行异常检测。
λ(4×10)矩阵第1,2,3,4行分别代表网络屏蔽异常,LDoS异常,HDoS异常以及网络风暴异常的偏差值;每一列对应一个序列号的流量情况。
由公式ξ(w,t)=κσ(λ(w,t))μ可以得出其某时刻某种异常出现的概率。以采集样本通信流量数据的天津津塘路110KV变电站为例,智能变电站内的IED数量为56个,监控主机为3个;变电站内通信设备均采用规范的IEC61850,IEC62351协议构建电力通信网络;且变电站规模较大,为枢纽电站;因此取μ=0.8;其智能变电站抵御流量异常波动的能力越强。κ为该主机或交换机在整个变电站网络中的权重,由于采集数据的交换机处于通信中心的位置,取κ=0.8。σ为智能变电站网络组网方式系数,该变电站采用的光纤以太网的组网方式为环形,因此取σloop=0.5
由此可以得到变电站的异常检测概率矩阵ξ(4,10)为:
由上矩阵可以看出待检测流量在11-20这个时段内的最大异常时刻可能出现在11时刻,对应的异常为网络屏蔽异常;其他异常只可能在20时刻出现。
计算t时刻下变电站的网络可靠性指数,由公式:
判定t时刻下变电站对已经记录在库的几种异常的综合情况,
γt=[0.735 0.939 0.951 0.871 1 0.786 1 1 0.753 0.608]
可靠性指数越高表明变电站网络的通信受异常干扰可能性较小,且网络保持原有的历史特性与规则,达到原有的通信效果。可以看出待测序列所代表的时段内的变电站通信网络的可靠性程度较高。其异常最可能出现在11时刻与20时刻。
计算变电站通信网络在待测序列所处时段的脆弱性指数为ν
该指数能反映天津110KV变电站通信网络的综合脆弱性情况;可以看出其脆弱性较低,网络稳定,电力通信网络处于“坚强”的状态,其网络异常的可能性较低。
采用不同等级的告警标准对变电站网络异常的情况进行告警,变电站流量阈值模型的显著性α为0.1,告警临界值η为0.6,告警级别为4级。当变电站脆弱性指数满足条件:
当ν>0.54时启动告警;算例中ν=0.1357<0.54,因此并未触发异常告警。
Claims (1)
1.一种基于概率模型的智能变电站网络异常流量检测模型构建方法,其特征在于包括以下步骤:
(1)基于变电站通信流量数据建立优化的FARIMA(p,d,q)模型,并对模型进行校验;多次运行FARIMA(p,d,q)模型预测目标序列,并设计算法筛选具有智能变电站流量特征的预测值,生成不同置信度下的流量阈值模型;
(2)选取不同置信度下的流量阈值模型,采用异常流量值作为阈值基准设计变电站通信网络异常算法;
(3)根据智能变电站通信网络异常在流量层面上的不同体现,设计不同阈值基准;建立智能变电站通信流量异常检测***;
所述步骤(1)具体为:
(a)对采集的智能变电站通信流量数据进行数据分析,包括序列长度分析、周期性分析、平稳性分析以及自相关性分析;
(b)建立优化的FARIMA(p,d,q)模型,并对模型进行校验;
(c)比较不同算法的拟合优度以及预测效果;
(d)多次运行FARIMA(p,d,q)模型,设计算法对所有通过FARIMA(p,d,q)模型的具有智能变电站流量特征的预测数据进行筛选分析,即:
式中,maxYj为序列号为j时刻处的最大值;minYj为序列号为j时刻处的最小值,k为通过算法筛选的FARIMA(p,d,q)模拟次数;
从统计学意义上分析不同置信度下的流量阈值模型,其公式如下:
其中P为置信度,α为显著性,Sinside为在流量阈值区间内的序列个数,Stotal为仿真预测的序列总数,由不同的Sinside得到不同置信度下的通信流量模型;
所述步骤(2)具体为:
(a)选取具体置信度下的变电站流量阈值模型,分析变电站网络异常情况;通过实际流量与异常流量的叠加产生变电站的异常通信流量数值;
(b)设计智能变电站通信流量异常检测算法,规定正常流量Zt,Zt∈[MinZt,MaxZt];MinZt为t时刻正常流量的最小值,MaxZt为t时刻正常流量的最大值,定义待检测时刻的流量大小为Dt,若存在:Dt>MaxZt或Dt<MinZt;则t时刻的待检测流量Dt存在异常的情况;
定义待测流量异常因数λdetect,表示t时刻待测流量与正常流量之间的偏差:
而当待测流量值处于正常流量阈值区间Dt∈[MinZt,MaxZt]时,λdetect(t)取0,
采用生成的变电站异常通信流量数据设计站控层阈值基准,定义异常流量因数λanomaly,表示t时刻异常流量与正常流量之间的偏差:
其中At为t时刻的异常流量值,max(Xt)为原始流量序列的最大值,min(Xt)为原始序列的最小值;
构造(w×n)阶异常流量偏差矩阵为λ(w×n),w为已检测到的不同种类的变电站网络异常情况总和,n为待测流量步长:
规定ξ为某时刻t时变电站网络出现某瞬时异常的概率;
ξ(w,t)=κσ(λ(w,t))μ
其中μ为变电站结构复杂程度参数,与智能变电站内的IED数量,以太网内监控主机的数目以及采用IEC61850,IEC62351协议的规范程度有关;κ为该主机或交换机在整个变电站网络中的权重;σ为智能变电站网络组网方式系数,
规定变电站网络在某时刻t的可靠性指数为γt,设异常情况为w种:
定义变电站通信网络在待测序列所处时段的脆弱性指数为ν,
所述步骤(3)具体为:
(a)具体分析变电站网络异常流量的情况,计算智能变电站通信网络的异常流量偏差矩阵,可靠性指数与脆弱性指数;
(b)分析待测流量序列,根据不同的异常流量情况对待测的流量进行分析,由变电站通信网络的可靠性指数与脆弱性指数评估分析变电站通信网络在不同时段内的网络的稳定性,采用不同等级的告警标准对变电站网络异常的情况进行告警,当变电站脆弱性指数为ν满足条件:
对变电站工作人员进行异常告警,式中p代表变电站流量阈值模型的置信度;η代表告警临界值;c代表告警的级别指数,根据变电站网络规模以及变电站负荷重要程度来选择不同的告警级别;
(c)继续采集变电站通信网络流量,更新变电站正常通信流量阈值模型参数,对新的待检测序列进行分析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710691297.4A CN107517205B (zh) | 2017-08-14 | 2017-08-14 | 基于概率的智能变电站网络异常流量检测模型构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710691297.4A CN107517205B (zh) | 2017-08-14 | 2017-08-14 | 基于概率的智能变电站网络异常流量检测模型构建方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107517205A CN107517205A (zh) | 2017-12-26 |
CN107517205B true CN107517205B (zh) | 2020-06-30 |
Family
ID=60723318
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710691297.4A Active CN107517205B (zh) | 2017-08-14 | 2017-08-14 | 基于概率的智能变电站网络异常流量检测模型构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107517205B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108494747B (zh) * | 2018-03-08 | 2020-11-10 | 上海观安信息技术股份有限公司 | 数字化变电站流量异常检测方法、电子设备及计算机存储介质 |
CN110011966B (zh) * | 2019-02-28 | 2022-07-26 | 国网浙江省电力有限公司绍兴供电公司 | 一种智能变电站过程层网络流量异常检测方法 |
CN110867967B (zh) * | 2019-11-27 | 2023-11-10 | 云南电网有限责任公司电力科学研究院 | 一种电力监控***通信的背景流量回放方法 |
CN111092862B (zh) * | 2019-11-29 | 2023-06-02 | 中国电力科学研究院有限公司 | 一种用于对电网终端通信流量异常进行检测的方法及*** |
CN112202736B (zh) * | 2020-09-15 | 2021-07-06 | 浙江大学 | 基于统计学习和深度学习的通信网络异常分类方法 |
CN114928555B (zh) * | 2022-05-12 | 2024-03-26 | 浙江上创智能科技有限公司 | 一种综采工作面的显示方法、装置及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651568A (zh) * | 2009-07-01 | 2010-02-17 | 青岛农业大学 | 一种网络流量预测和异常检测方法 |
EP2461538A3 (en) * | 2010-12-06 | 2013-06-26 | Siemens Corporation | Application layer security proxy for automation and control system networks |
KR101375813B1 (ko) * | 2012-09-13 | 2014-03-20 | 한국전력공사 | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 |
CN105515888A (zh) * | 2015-06-30 | 2016-04-20 | 国家电网公司 | 基于多维熵序列分类的智能变电站通信网络异常检测方法 |
-
2017
- 2017-08-14 CN CN201710691297.4A patent/CN107517205B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651568A (zh) * | 2009-07-01 | 2010-02-17 | 青岛农业大学 | 一种网络流量预测和异常检测方法 |
EP2461538A3 (en) * | 2010-12-06 | 2013-06-26 | Siemens Corporation | Application layer security proxy for automation and control system networks |
KR101375813B1 (ko) * | 2012-09-13 | 2014-03-20 | 한국전력공사 | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 |
CN105515888A (zh) * | 2015-06-30 | 2016-04-20 | 国家电网公司 | 基于多维熵序列分类的智能变电站通信网络异常检测方法 |
Non-Patent Citations (2)
Title |
---|
"An Intrusion Detection System for IEC61850 Automated Substations";Upeka Kanchana Premaratne;《IEEE》;20100920;全文 * |
"智能变电站网络异常分析方法";姜海涛;《电力信息与通信技术》;20170215;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107517205A (zh) | 2017-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107517205B (zh) | 基于概率的智能变电站网络异常流量检测模型构建方法 | |
WO2022057260A1 (zh) | 一种工业控制***通信网络异常分类方法 | |
Ye et al. | Computer intrusion detection through EWMA for autocorrelated and uncorrelated data | |
CN107204876B (zh) | 一种网络安全风险评估方法 | |
Barbosa | Anomaly detection in SCADA systems: a network based approach | |
Yang et al. | Anomaly-based intrusion detection for SCADA systems | |
Valenzuela et al. | Real-time intrusion detection in power system operations | |
US8949668B2 (en) | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model | |
JP6184270B2 (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
US20150304346A1 (en) | Apparatus and method for detecting anomaly of network | |
CN101795215B (zh) | 网络流量异常检测方法及检测装置 | |
Yang et al. | FARIMA model‐based communication traffic anomaly detection in intelligent electric power substations | |
Fernandes Jr et al. | Autonomous profile-based anomaly detection system using principal component analysis and flow analysis | |
WO2012068443A1 (en) | Vector-based anomaly detection | |
CN112187528B (zh) | 基于sarima的工业控制***通信流量在线监测方法 | |
KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
CN113671909A (zh) | 一种钢铁工控设备安全监测***和方法 | |
Yu et al. | Anomaly intrusion detection based upon data mining techniques and fuzzy logic | |
Jarmakiewicz et al. | Development of cyber security testbed for critical infrastructure | |
CN108809706A (zh) | 一种变电站的网络风险监测*** | |
Levonevskiy et al. | Network attacks detection using fuzzy logic | |
Maynard et al. | Using Application Layer Metrics to Detect Advanced SCADA Attacks. | |
Rodriguez et al. | Improving network security through traffic log anomaly detection using time series analysis | |
KR101027242B1 (ko) | 공정 제어 네트워크에서의 장애 예측 방법 및 장치 | |
Ten et al. | Anomaly extraction and correlations for power infrastructure cyber systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |