【技術實現步驟摘要】
本專利技術屬于電力調度行為檢測領域,特別涉及一種基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法和系統。
技術介紹
1、為了確保規模日趨龐大的電力網絡安全穩定運行、全局經濟優化調度、重大事故協同處置、可再生能源有效消納的目標,電力調度控制系統正在逐步向著智能化發展。傳統的電力調度模式采取的是“由上至下”單向控制方式,這可能導致誤操作以及虛假數據注入攻擊(false?datainjectionattacks,fdia)隱患。fdia是指攻擊者將精心偽造的遙控指令注入電力系統的控制信道,企圖干擾或破壞電力設施的正常運行的隱蔽性極強的電力工控系統網絡安全威脅。
2、針對fdia威脅,當前主要存在兩種檢測方式:一種方式是基于收集真實業務的數據流量,并將其轉換為數值形式(向量化),接著使用這些向量化的數據集來訓練機器學習分類器,一旦模型訓練完成,就可以用來監測實時數據流,以識別潛在的fdia行為。另一種方式是使用滑動窗口的方式采集歷史數據構建一個標準的操作基線,隨后,在實際運行過程中,以同樣的滑動窗口方式獲取實時數據特征,將其與標準基線進行比較,在接受范圍內則認為無攻擊,若超出預警范圍則判斷系統正在被實施虛假數據注入攻擊。
3、然而,傳統方法通常基于特定場景下的正常業務流量來訓練機器學習模型,作為正樣本。電力調度系統因其龐大的規模和復雜多變的情況而異,例如,不同的變電站或同一變電站在不同時間段內,其流量特征可能大相徑庭。因此,通過這種方式訓練出的模型往往泛化能力較弱,容易產生較高的誤報率。由于硬件資源的約束,傳統算
技術實現思路
1、為了解決現有技術中存在的不足,本專利技術提供了一種基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法和系統,以解決對不同類型數據異常檢測的技術問題。
2、為解決上述技術問題,本專利技術采用如下的技術方案。
3、本專利技術首先公開了一種基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,該方法包括以下步驟:
4、監控iec104協議中電力調度系統網絡邊界設備的每個信息對象的歷史數據,根據所述信息對象的遙控指令數據包的時間間隔提取各個調度業務;
5、基于馬爾可夫鏈算法為每個信息對象構建基于其所有歷史遙控指令的狀態遷移矩陣,所述狀態遷移矩陣記錄有狀態間的所有可能的轉換及其概率分布;當接收到新的調度業務時,利用所述狀態遷移矩陣計算該調度業務屬于正常行為的概率,如果計算出的概率低于預設的安全閾值,則確定所述調度業務存在異常行為;
6、根據異常行為檢測結果更新相應的狀態遷移矩陣。
7、本專利技術進一步包括以下優選方案:
8、所述監控iec104協議中電力調度系統網絡邊界設備的每個信息對象的歷史數據,根據所述信息對象的遙控指令數據包的時間間隔提取各個調度業務,進一步包括:
9、將源ip、目的ip和信息對象地址組成三元組,設置時間閾值t,當三元組相同的數據包之間的時間間隔大于t時,則提取一次完整的調度業務。
10、在基于馬爾可夫鏈算法為每個信息對象構建基于其所有歷史遙控指令的狀態遷移矩陣之前,還包括:
11、將iec?104協議中的每一個遙控指令數據包作為一個節點,篩選出用于表示每一節點的狀態的信息,包括指令編號、傳送原因、命令、輸出持續時間、是否執行狀態。
12、所述利用所述狀態遷移矩陣計算該遙控指令屬于正常行為的概率,如果計算出的概率低于預設的安全閾值,則確定所述遙控指令存在異常行為,進一步包括:
13、假設當前遙控指令由n個數據包組成,計算任意兩個相鄰數據包a到b的轉移概率
14、用count(a|b)表示在前一個包是b情況下,下一個包是a的數量,count(a)表示數據包a的總數量;
15、計算調度業務初始包是a的概率pa:
16、
17、使用預先建立的狀態遷移矩陣p計算當前業務正常的概率:
18、
19、其中oi表示第i個調度業務;ci={o1,o2,o3,...,on},ci為三元組集合,ci={{e}|e∈ek};ek為遙控流量;
20、設置異常閾值θ,當計算出的概率小于所述異常閾值θ時,確定當前遙控指令存在異常。
21、本專利技術同時公開了一種利用前述基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測系統,包括:
22、監控模塊,用于監控iec104協議中電力調度系統網絡邊界設備的每個信息對象的歷史數據,根據所述信息對象的遙控指令數據包的時間間隔提取各個調度業務;
23、異常檢測模塊,用于基于馬爾可夫鏈算法為每個信息對象構建基于其所有歷史遙控指令的狀態遷移矩陣,所述狀態遷移矩陣記錄有狀態間的所有可能的轉換及其概率分布;當接收到新的調度業務時,利用所述狀態遷移矩陣計算該調度業務屬于正常行為的概率,如果計算出的概率低于預設的安全閾值,則確定所述調度業務存在異常行為;
24、更新模塊,用于根據異常行為檢測結果更新相應的狀態遷移矩陣。
25、相應地,本申請還公開了一種終端,包括處理器及存儲介質;
26、所述存儲介質用于存儲指令;
27、所述處理器用于根據所述指令進行操作以執行根據前述基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法的步驟。
28、相應地,本申請還公開了一種計算機可讀存儲介質,其上存儲有計算機程序,該程序被處理器執行時實現前述基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法的步驟。
29、本專利技術的有益效果在于,與現有技術相比,本專利技術提供了一種基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法和系統,有效緩解了由于人工收集業務流量建立基線導致的覆蓋業務場景有限,容易造成誤報的問題;避免了傳統方法中因時間窗口限制導致的長期數據相關性缺失,解決了傳統方式只能針對連續數值型測量值建模的缺陷,增強了對不同類型數據異常檢測的能力;通過檢索概率轉移矩陣,找出節點在歷史記錄中出現可能性最大的情況,為異常檢測結果提供了更高的可解釋性,幫助運維人員更好地理解和分析異常的原因。
本文檔來自技高網...【技術保護點】
1.一種基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,所述監控IEC104協議中電力調度系統網絡邊界設備的每個信息對象的歷史數據,根據所述信息對象的遙控指令數據包的時間間隔提取各個調度業務,進一步包括:
3.根據權利要求2所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,在基于馬爾可夫鏈算法為每個信息對象構建基于其所有歷史遙控指令的狀態遷移矩陣之前,還包括:
4.根據權利要求3所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,所述利用所述狀態遷移矩陣計算該遙控指令屬于正常行為的概率,如果計算出的概率低于預設的安全閾值,則確定所述遙控指令存在異常行為,進一步包括:
5.一種基于馬爾可夫鏈的電力調度邊界數據行為異常檢測系統,其特征在于,包括:
6.根據權利要求5所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測系統,其特征在于,所述監控模塊,進一步用于:
7.根
8.根據權利要求7所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測系統,其特征在于,所述異常檢測模塊,進一步用于:
9.一種終端,包括處理器及存儲介質;其特征在于:
10.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,該程序被處理器執行時實現權利要求1-4任一項所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法的步驟。
...【技術特征摘要】
1.一種基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,所述監控iec104協議中電力調度系統網絡邊界設備的每個信息對象的歷史數據,根據所述信息對象的遙控指令數據包的時間間隔提取各個調度業務,進一步包括:
3.根據權利要求2所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,在基于馬爾可夫鏈算法為每個信息對象構建基于其所有歷史遙控指令的狀態遷移矩陣之前,還包括:
4.根據權利要求3所述的基于馬爾可夫鏈的電力調度邊界數據行為異常檢測方法,其特征在于,所述利用所述狀態遷移矩陣計算該遙控指令屬于正常行為的概率,如果計算出的概率低于預設的安全閾值,則確定所述遙控指令存在異...
【專利技術屬性】
技術研發人員:王丹,計士禹,劉錦利,何紀成,楊銘宇,徐萌,彭俏君,張廣文,劉新龍,盧楷,馬添鑫,王洋,石賀,趙梓辰,閆嘯,修增哲,劉壯,宋佳瑞,玄朋輝,李航,王炎,任浩,邢世龍,包鵬,
申請(專利權)人:北京科東電力控制系統有限責任公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。