2. 专利技术
  3. 一种电力终端信息攻击监测方法和系统与流程

一种电力终端信息攻击监测方法和系统与流程

专利2024-04-02  89


1.本发明属于电力系统终端技术领域,具体涉及一种电力终端信息攻击监测方法和系统。


背景技术:

2.在电力成产的过程中,dtu(数据终端单元)、rtu(远程终端单元)、ftu馈线终端单元)、智能电表、智能电表集中器、继电保护装置等电力终端起着至关重要的作用,电力终端通过监测、控制、保护的作用影响着电力的生产过程,rtu可以通过开闭当前线路来对电力生产进行影响,同时监测当前线路的电压、电流情况,实时对电力生产进行保护和控制。如今造成大规模影响的apt攻击一般是通过入侵电力终端设备,将其作为攻击的跳板,进而对电力生产内网进行渗透,实现对电力生产的大规模破坏。
3.硕士论文《智能电网电力终端安全防护策略研究》中作者欧阳轩提出了一种基于电力终端旁路信号的安全监测方法,在电力终端设备级层面对其进行防护。该方法通过采集电力终端历史正常工作的功耗信息(正样本)和受到攻击时的功耗信息(负样本),对它们进行特征工程,提取能表征出电力终端工作状态的特征组合,再通过lstm神经网络对特征进行学习,训练电力终端安全监测模型,实现对电力终端的设备级安全监测,但是其仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准确,在电气设备故障时的电力终端的信息量会徒增,此时的功耗量也会陡增,导致误识别的概率极大,或者仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,此时会导致不必要的功耗损失。
4.因此,基于上述技术问题需要设计一种电力终端信息攻击监测方法和系统。


技术实现要素:

5.为了解决上述技术问题,本发明提供一种电力终端信息攻击监测方法,其特征在于,具体包括:
6.s1实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于ga-gru算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则转入s2步骤;
7.s2实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果;
8.s3根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
9.通过首先采用基于ga-gru算法的预测模型,判断此时的电力终端的状态是否正常,通过功耗的方式首先确定初始的电力终端的状态,当判断此时的电力终端的功耗状态处于非正常状态时,再基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而解决了原有的仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准
确的问题,同时解决了仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,导致不必要的功耗损失的问题,将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果,根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态,从而能够实现对电力终端信息攻击状态的监测。
10.通过采用于ga-gru算法的预测模型,判断此时的电力终端的状态是否正常,在保留了gru算法处理时序信息的优势的前提下,通过gru算法内部结构的改造以及ga算法对gru算法初始值的寻优,进一步的提升了整体的预测效率,通过首先对电力终端的功耗状态的判断,当电力终端处于异常状态后,再进行基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而在实现对电力终端攻击状态的准确判定的基础上,进一步的降低了功耗,综合功耗以及通信报文特征,进一步的提升了预测精度,通过采用基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型,输出分类结果,并根据分类结果确定此时的电力终端是否正处于遭受攻击状态,从而进一步结合了svm算法能够处理非线性特征的相互作用以及泛化能力强的优点以及adaboost算法很好的利用了弱分类器进行级联以及较好的精度的优点,从而进一步的提升了整体的预测精度,通过采用pso算法对svm算法的初始值进行优化,采用bbo算法对adaboost算法的初始值进行优化,从而进一步提升了预测模型的效率,使得整体的预测效率和预测精度都有较大的提升。
11.进一步的技术方案在于,所述功耗特征量具体包括:1分钟内功耗平均值,实时功耗值,实时功耗偏度值。
12.通过采用较少的功耗特征量,在保证了预测精度的基础上,极大的提高了整体的预测效率。
13.进一步的技术方案在于,所述基于ga-gru算法的预测模型的具体步骤为:
14.s21将所述功耗特征量输入到基于ga-gru算法的预测模型之中,得到一分钟后的功耗预测值;
15.s22确定所述一分钟后的功耗预测值与一分钟后的功耗实测值之间的差值;
16.s23当所述差值大于第一功耗阈值时,此时缩短预测频率,基于所述预测模型预测得到30s后的功耗预测值,并确定30s后的功耗预测值与30s后的功耗实测值之间的30s差值,当所述30s差值大于第一功耗阈值后,基于所述通信报文特征量确定此时的电力设备的状态,当所述30s差值小于第一功耗阈值或者所述差值小于第一功耗阈值时,继续返回s21进行功耗值的预测。
17.通过采用ga-gru算法预测得到一分钟后的功耗预测值,根据与实测值之间的差值进行对比,从而在具有较少的异常量的基础上实现了对电力终端异常情况的监测,并通过第一功耗阈值的设定,当大于第一功耗阈值时,缩短预测的频率,从而可以在较短的时间内判断电力终端的异常状态,进一步提升了整体的速度,也使得整体的判断效果变得更加可靠。
18.进一步的技术方案在于,当所述差值大于第二功耗阈值时,此时直接基于所述通信报文特征量确定此时的电力设备的状态,所述第二功耗阈值大于所述第一功耗阈值。
19.通过第二功耗阈值的设定,当功耗量的变化较大时,能够在第一时间进行通信报文特征量的判断,从而极大的提升了整体的速度。
20.进一步的技术方案在于,采用所述ga算法对gru算法的隐含层的数量进行寻优。
21.进一步的技术方案在于,所述通信报文特征量具体包括:固定源ip地址到固定目的ip地址中的报文数量;固定源ip地址到固定目的ip地址中平均连接持续时间;固定源ip地址到固定目的ip地址下不同目标主机服务类型下的用户登录成功次数。
22.进一步的技术方案在于,所述基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型的具体步骤为:
23.s31将实时提取的电力终端的通信报文特征量送入到基于pso-svm算法,得到pso-svm分类结果;
24.s32将实时提取的电力终端的通信报文特征量送入到基于bbo-adaboost算法,得到bbo-adaboost分类结果;
25.s33基于所述pso-svm分类结果和所述bbo-adaboost分类结果得到此时的分类结果。
26.通过基于所述pso-svm分类结果和所述bbo-adaboost分类结果得到此时的分类结果,而不仅仅采用一种算法求得最终的结果,从而使得整体的预测结果变得更加的准确,避免了由于单种算法误判导致的电力终端的状态的错误判断。
27.进一步的技术方案在于,所述pso-svm分类结果、bbo-adaboost分类结果、所述分类结果取值均为0或1,其中0为正常状态,1为信息攻击状态。
28.进一步的技术方案在于,若根据所述分类结果确定此时的电力终端正处于遭受攻击状态,此时输入警告信息,由工作人员确定是否此时的电力终端处于遭受攻击状态。
29.另一方面,本发明还提供一种电力终端信息攻击监测系统,采用上述的一种电力终端信息攻击监测方法,具体包括:
30.功耗预测模块,通信报文预测模块,结果输出模块;
31.所述功耗预测模块负责实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于ga-gru算法的预测模型之中,判断此时电力终端的状态是否正常;
32.所述通信报文预测模块负责实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果;
33.所述结果输出模块负责根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
34.本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。
35.为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
36.通过参照附图详细描述其示例实施方式,本发明的上述和其它特征及优点将变得更加明显。
37.图1是本发明中一种电力终端信息攻击监测方法的流程图;
38.图2是本发明中基于ga-gru算法的预测模型的具体步骤的流程图;
39.图3是本发明中基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型的具体步骤的流程图;
40.图4是本发明中一种电力终端信息攻击监测系统的示意图。
具体实施方式
41.现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式;相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。图中相同的附图标记表示相同或类似的结构,因而将省略它们的详细描述。
42.用语“一个”、“一”、“该”、“所述”用以表示存在一个或多个要素/组成部分/等;用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等。
43.在电力成产的过程中,dtu(数据终端单元)、rtu(远程终端单元)、ftu馈线终端单元)、智能电表、智能电表集中器、继电保护装置等电力终端起着至关重要的作用,电力终端通过监测、控制、保护的作用影响着电力的生产过程,rtu可以通过开闭当前线路来对电力生产进行影响,同时监测当前线路的电压、电流情况,实时对电力生产进行保护和控制。如今造成大规模影响的apt攻击一般是通过入侵电力终端设备,将其作为攻击的跳板,进而对电力生产内网进行渗透,实现对电力生产的大规模破坏。
44.硕士论文《智能电网电力终端安全防护策略研究》中作者欧阳轩提出了一种基于电力终端旁路信号的安全监测方法,在电力终端设备级层面对其进行防护。该方法通过采集电力终端历史正常工作的功耗信息(正样本)和受到攻击时的功耗信息(负样本),对它们进行特征工程,提取能表征出电力终端工作状态的特征组合,再通过lstm神经网络对特征进行学习,训练电力终端安全监测模型,实现对电力终端的设备级安全监测,但是其仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准确,在电气设备故障时的电力终端的信息量会徒增,此时的功耗量也会陡增,导致误识别的概率极大,或者仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,此时会导致不必要的功耗损失。
45.实施例1
46.如图1所示,本实施例1提供了一种电力终端信息攻击监测方法,其特征在于,具体包括:
47.s1实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于ga-gru算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则转入s2步骤;
48.s2实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果;
49.s3根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
50.通过首先采用基于ga-gru算法的预测模型,判断此时的电力终端的状态是否正常,通过功耗的方式首先确定初始的电力终端的状态,当判断此时的电力终端的功耗状态
处于非正常状态时,再基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而解决了原有的仅仅采用功耗信息对电力终端的信息攻击进行识别,不够准确的问题,同时解决了仅仅采用机器学习算法对通讯报文信息进行解析,由于正常的通讯报文信息都是正常的,导致不必要的功耗损失的问题,将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果,根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态,从而能够实现对电力终端信息攻击状态的监测。
51.通过采用于ga-gru算法的预测模型,判断此时的电力终端的状态是否正常,在保留了gru算法处理时序信息的优势的前提下,通过gru算法内部结构的改造以及ga算法对gru算法初始值的寻优,进一步的提升了整体的预测效率,通过首先对电力终端的功耗状态的判断,当电力终端处于异常状态后,再进行基于电力终端的通信报文特征量对电力终端是否处于遭受攻击状态进行判断,从而在实现对电力终端攻击状态的准确判定的基础上,进一步的降低了功耗,综合功耗以及通信报文特征,进一步的提升了预测精度,通过采用基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型,输出分类结果,并根据分类结果确定此时的电力终端是否正处于遭受攻击状态,从而进一步结合了svm算法能够处理非线性特征的相互作用以及泛化能力强的优点以及adaboost算法很好的利用了弱分类器进行级联以及较好的精度的优点,从而进一步的提升了整体的预测精度,通过采用pso算法对svm算法的初始值进行优化,采用bbo算法对adaboost算法的初始值进行优化,从而进一步提升了预测模型的效率,使得整体的预测效率和预测精度都有较大的提升。
52.在另外的一种可能的实施例中,所述功耗特征量具体包括:1分钟内功耗平均值,实时功耗值,实时功耗偏度值。
53.通过采用较少的功耗特征量,在保证了预测精度的基础上,极大的提高了整体的预测效率。
54.在另外的一种可能的实施例中,如图2所示,所述基于ga-gru算法的预测模型的具体步骤为:
55.s21将所述功耗特征量输入到基于ga-gru算法的预测模型之中,得到一分钟后的功耗预测值;
56.s22确定所述一分钟后的功耗预测值与一分钟后的功耗实测值之间的差值;
57.s23当所述差值大于第一功耗阈值时,此时缩短预测频率,基于所述预测模型预测得到30s后的功耗预测值,并确定30s后的功耗预测值与30s后的功耗实测值之间的30s差值,当所述30s差值大于第一功耗阈值后,基于所述通信报文特征量确定此时的电力设备的状态,当所述30s差值小于第一功耗阈值或者所述差值小于第一功耗阈值时,继续返回s21进行功耗值的预测。
58.通过采用ga-gru算法预测得到一分钟后的功耗预测值,根据与实测值之间的差值进行对比,从而在具有较少的异常量的基础上实现了对电力终端异常情况的监测,并通过第一功耗阈值的设定,当大于第一功耗阈值时,缩短预测的频率,从而可以在较短的时间内判断电力终端的异常状态,进一步提升了整体的速度,也使得整体的判断效果变得更加可靠。
59.在另外的一种可能的实施例中,当所述差值大于第二功耗阈值时,此时直接基于
所述通信报文特征量确定此时的电力设备的状态,所述第二功耗阈值大于所述第一功耗阈值。
60.通过第二功耗阈值的设定,当功耗量的变化较大时,能够在第一时间进行通信报文特征量的判断,从而极大的提升了整体的速度。
61.在另外的一种可能的实施例中,采用所述ga算法对gru算法的隐含层的数量进行寻优。
62.在另外的一种可能的实施例中,所述通信报文特征量具体包括:固定源ip地址到固定目的ip地址中的报文数量;固定源ip地址到固定目的ip地址中平均连接持续时间;固定源ip地址到固定目的ip地址下不同目标主机服务类型下的用户登录成功次数。
63.在另外的一种可能的实施例中,如图3所述,所述基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型的具体步骤为:
64.s31将实时提取的电力终端的通信报文特征量送入到基于pso-svm算法,得到pso-svm分类结果;
65.s32将实时提取的电力终端的通信报文特征量送入到基于bbo-adaboost算法,得到bbo-adaboost分类结果;
66.s33基于所述pso-svm分类结果和所述bbo-adaboost分类结果得到此时的分类结果。
67.通过基于所述pso-svm分类结果和所述bbo-adaboost分类结果得到此时的分类结果,而不仅仅采用一种算法求得最终的结果,从而使得整体的预测结果变得更加的准确,避免了由于单种算法误判导致的电力终端的状态的错误判断。
68.在另外的一种可能的实施例中,所述pso-svm分类结果、bbo-adaboost分类结果、所述分类结果取值均为0或1,其中0为正常状态,1为信息攻击状态。
69.在另外的一种可能的实施例中,若根据所述分类结果确定此时的电力终端正处于遭受攻击状态,此时输入警告信息,由工作人员确定是否此时的电力终端处于遭受攻击状态。
70.实施例2
71.在实施例1的基础上,本实施例2还提供一种电力终端信息攻击监测系统,采用上述的一种电力终端信息攻击监测方法,具体包括:
72.功耗预测模块,通信报文预测模块,结果输出模块;
73.所述功耗预测模块负责实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于ga-gru算法的预测模型之中,判断此时电力终端的状态是否正常;
74.所述通信报文预测模块负责实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果;
75.所述结果输出模块负责根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。
76.在本技术所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可
以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
77.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
78.另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
79.以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。

技术特征:
1.一种电力终端信息攻击监测方法,其特征在于,具体包括:s1实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于ga-gru算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则转入s2步骤;s2实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果;s3根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。2.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述功耗特征量具体包括:1分钟内功耗平均值,实时功耗值,实时功耗偏度值。3.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述基于ga-gru算法的预测模型的具体步骤为:s21将所述功耗特征量输入到基于ga-gru算法的预测模型之中,得到一分钟后的功耗预测值;s22确定所述一分钟后的功耗预测值与一分钟后的功耗实测值之间的差值;s23当所述差值大于第一功耗阈值时,此时缩短预测频率,基于所述预测模型预测得到30s后的功耗预测值,并确定30s后的功耗预测值与30s后的功耗实测值之间的30s差值,当所述30s差值大于第一功耗阈值后,基于所述通信报文特征量确定此时的电力设备的状态,当所述30s差值小于第一功耗阈值或者所述差值小于第一功耗阈值时,继续返回s21进行功耗值的预测。4.根据权利要求3所述的电力终端信息攻击监测方法,其特征在于,当所述差值大于第二功耗阈值时,此时直接基于所述通信报文特征量确定此时的电力设备的状态,所述第二功耗阈值大于所述第一功耗阈值。5.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,采用所述ga算法对gru算法的隐含层的数量进行寻优。6.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述通信报文特征量具体包括:固定源ip地址到固定目的ip地址中的报文数量;固定源ip地址到固定目的ip地址中平均连接持续时间;固定源ip地址到固定目的ip地址下不同目标主机服务类型下的用户登录成功次数。7.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,所述基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型的具体步骤为:s31将实时提取的电力终端的通信报文特征量送入到基于pso-svm算法,得到pso-svm分类结果;s32将实时提取的电力终端的通信报文特征量送入到基于bbo-adaboost算法,得到bbo-adaboost分类结果;s33基于所述pso-svm分类结果和所述bbo-adaboost分类结果得到此时的分类结果。8.根据权利要求7所述的电力终端信息攻击监测方法,其特征在于,所述pso-svm分类结果、bbo-adaboost分类结果、所述分类结果取值均为0或1,其中0为正常状态,1为信息攻击状态。
9.根据权利要求1所述的电力终端信息攻击监测方法,其特征在于,若根据所述分类结果确定此时的电力终端正处于遭受攻击状态,此时输入警告信息,由工作人员确定是否此时的电力终端处于遭受攻击状态。10.一种电力终端信息攻击监测系统,采用权利要求1-9任意一项所述的一种电力终端信息攻击监测方法,具体包括:功耗预测模块,通信报文预测模块,结果输出模块;所述功耗预测模块负责实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于ga-gru算法的预测模型之中,判断此时电力终端的状态是否正常;所述通信报文预测模块负责实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于pso-svm算法以及基于bbo-adaboost算法的分类预测模型中,输出分类结果;所述结果输出模块负责根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态。

技术总结
本发明提供一种电力终端信息攻击监测方法和系统,属于电力系统终端技术领域,具体包括:实时提取电力终端的功耗特征量,并将所述功耗特征量送入到基于GA-GRU算法的预测模型之中,判断此时电力终端的状态是否正常,若此时的电力终端的状态处于正常状态,继续采用所述预测模型,基于实时提取电力终端的功耗特征量进行电力终端的状态判断,若此时的电力终端的状态处于异常状态,则继续基于通信报文进行分类结果判断;实时提取电力终端的通信报文特征量,并将所述通信报文特征量送入到基于PSO-SVM算法以及基于BBO-Adaboost算法的分类预测模型中,输出分类结果;根据所述分类结果确定此时的电力终端是否正处于遭受攻击状态,从而进一步提升识别的准确率。进一步提升识别的准确率。进一步提升识别的准确率。


技术研发人员:安致嫄 王春迎 盛磊 孟慧平 党芳芳 刘岩 远方 吴利杰 刘慧方 冯浩
受保护的技术使用者:国家电网有限公司
技术研发日:2022.06.22
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-7501.html

专利

最新回复(0)