一种电力网络事件和入侵的检测方法技术

本发明专利技术提供了一种电力网络事件和入侵的检测方法，通过WAMS对电力网络进行实时近监测，完成有效数据的捕获；对捕获的数据进行预处理，并使用特征选择算法提取部分特征；采用K‑means算法进行聚类；针对K‑means算法聚类所得的每个簇采用GC‑Forest对电力网络事件和入侵分类；对分类后的结果利用熵计算判断是否发生未知事件或入侵，若未发生未知事件或入侵，则结束对电力网络事件和入侵的检测。本发明专利技术解决了仅使用同步相量数据无法检测到所有的电力网络事件或攻击的问题，以及如何针对新的事件及攻击以更加自动化、智能化的方法来构造精准的电力网络事件及入侵检测的问题。本发明专利技术方法灵活，具有通用性和应用性。

A Detection Method for Power Network Events and Intrusions

The invention provides a detection method for power network events and intrusions, which can capture valid data through WAMS, preprocess captured data and extract some features by using feature selection algorithm, cluster by using K means algorithm, and cluster by using GC Forest for each cluster obtained by K means algorithm. Classification of components and intrusions. Entropy calculation is used to determine whether an unknown event or intrusion occurs. If no unknown event or intrusion occurs, the detection of power network events and intrusions is completed. The invention solves the problem that all power network events or attacks can not be detected by using only synchronous phasor data, and how to construct accurate power network events and intrusion detection in a more automatic and intelligent way for new events and attacks. The method of the invention is flexible, universal and applicable.

【技术实现步骤摘要】
一种电力网络事件和入侵的检测方法
本专利技术属于电力网络
，具体地说，是涉及一种电力网络事件和入侵的检测方法。
技术介绍
电力传输系统是网络化的网络物理系统，它将大量电力从发电机输送到配电系统，通过配电系统为家庭和企业提供电力系统负载。传统的配电系统通过增加电压水平来传输在发电机产生的电能，然后通过逐渐降低电压水平将其传递给家庭和企业用户，传统的电力传输系统存在效率低下、无法整合多种发电源、成本高昂以及无法精确控制等问题。为解决这些问题，智能电网应运而生，智能电网基于通信和信息技术，对发电、输送和消耗各阶段进行全面控制，它使用双向信息流来创建一个自动化且分布广泛的系统，该系统具有新的功能，如实时控制、运营效率、电网弹性以及多种发电源的更好集成，显著减少了碳排放。但由于智能电网依赖通信基础设施来提供广域监控并且与互联网连接，其破坏可能性显著上升，因此，它吸引了越来越多黑客的关注。网络攻击是电力系统意外事故的另一种形式，针对电力系统的攻击可以利用控制设备和通信链路中的漏洞来破坏控制，测量信号和中断监控，破坏控制和测量信号的网络攻击可以伪装成电力系统干扰或控制动作。此外，电力传输系统是网络化的网络物理系统，受到天气和设备故障等相关突发事件的影响，电力系统干扰(例如传输线故障)或电力网络攻击(例如数据注入攻击)可以引发一系列反应，如果没有及时检测这些网络事件或攻击并采取行动，则会导致级联停电甚至更严重的后果。如何检测和应对这些攻击与突发事件对研究人员提出了巨大的挑战。无论是电力网络事件还是入侵的检测，都需要近实时监测数据的提供，才有实现的基础。检测广域监测系统(WAMS)能够提供跨电网的近实时监测和可视化能力，其通过高速网络将电压、电流和频率测量进行时间同步测量，以改善电力系统态势感知。与传统的监控和数据采集(SCADA)系统相比，同步相位系统可以每秒测量一次现场传感器，最多可以测量120个样本/秒，同步相量测量可以识别快速移动的电力系统事件。一些电力系统事件涉及快速变化的行为，可能只持续几毫秒，较慢的速度测量系统可能会错过这些事件，WAMS使算法或运算符能够在宏级别检测事件，提供相对较高的测量频率和时间同步特性可创建大量数据，并支持各种应用。仅使用同步相量数据还不足以检测所有电力网络事件或攻击，例如，有的网络攻击可以通过首先注入错误的测量值然后使继电器跳闸来模拟真实的故障，仅使用同步相量数据不能检测到这种攻击。其他电力系统组件(如继电器和断路器)的状态也可通过同步相量系统作为时间同步数据，将同步相量数据与诸如中继状态日志和网络事件监视器日志之类的其他系统日志相结合可以扩展由同步相量系统提供的态势感知能力以检测电力网络事件或攻击，然而，这又产生了如何合并异构数据源以训练和使用这样的分类器的挑战。此外，越来越多的新型智能设备接入电力传输系统造成新型电力网络事件增多，而在大数据时代下，各种新型网络攻击不停出现，如何针对系统未知的事件或攻击进行检测，并实时进行迭代对研究人员提出了新的挑战。现有技术中，传统的电力网络事件和入侵检测有基于规则的检测与基于异常的检测。而近年，有大量机器学习算法用于电力网络事件和入侵检测，例如朴素贝叶斯(NaiveBayes)，支持向量机(SVM)，决策树(DecisionTree)等等，它们通过行为模型的训练，完成检测系统的创建。这些系统的构建大多通过WAMS先对实时数据进行收集，特征提取，然后利用数据挖掘技术，进行模式匹配，从而以离线的方式对目前已知的攻击进行识别。该方法能够实现对电力网络事件或入侵的分类，将每一项事件或攻击提取出来，然而考虑特征过于单一，不适用于多事件或攻击的检测，该系统只能针对已知事件或攻击完成分类，无法检测未知事件或攻击及已知事件或攻击的变体，对于未知事件或攻击，只能在所服务的系统遭到攻击或事件发生很久后，才能手动提取攻击，并重新训练，这难以满足如今智能设备层出不穷与大数据的现实环境。
技术实现思路
针对现有技术中的上述不足，本专利技术提供的一种电力网络事件和入侵的检测方法解决了如今大部分仅使用同步相量数据无法检测到所有的网络事件或攻击的问题，以及如何针对新的事件及攻击以更加自动化、智能化的方法来构造精准的网络事件及入侵检测模型检测的问题。为了达到以上目的，本专利技术采用的技术方案为：本方案提供一种基于电力网络事件和入侵的检测方法，包括如下步骤：(S1)利用广域监测系统WAMS对电力网络进行实时监测，并提取有效数据；(S2)将所提取的有效数据进行预处理，并使用特征选择算法提取部分特征；(S3)根据所提取的部分特征利用K-means算法进行聚类，得到一级簇；(S4)根据得到的一级簇利用GC-Forest分类器进行分类；(S5)根据分类结果利用信息熵计算一级簇的信息熵值；(S6)将得到一级簇的信息熵值与预设的阈值进行对比，并根据对比结果判断是否发生未知电力网络事件和入侵，若未发生，则结束对电力网络事件和入侵的检测，反之，则进入步骤(S7)；(S7)根据K-means算法对所述一级簇进行聚类，得到二级簇；(S8)将所述二级簇进行标记，并对广域监测系统进行更新，进而返回步骤(S4)。进一步地，所述(S2)中的使用特征选择算法提取部分特征，其具体为将部分标记数据T1＝{ψ1,ψ2...ψn}以及部分未标记数据T2＝{Φ1,Φ2...Φm}合并为数据集T，其中，n为部分标记数据的总个数，m为部分未标记数据的总个数。再进一步地，所述(S3)包括如下步骤：(a1)将数据集T聚类成不同的K个簇{C1,C2...CK}，其中，C为簇，K为簇的总个数；(a2)根据不同的K个簇给每个簇赋予不同的中心，并将每个数据点赋给距离类最近的中心；(a3)将每个簇所关联的中心点移动到平均值的位置，并更新中心点；(a4)重复步骤(a1)到(a3)，直至中心点不再变化，从而完成聚类，得到一级簇。再进一步地，所述(a2)中距离的计算公式为：其中，d(x,y)为样本x与聚类中心y的欧氏距离，xi为某样本的第i个特征值，yi为某聚类中心的第i个特征值，K为簇的总个数。再进一步地，所述(S4)的具体步骤如下：(b1)将一级簇中每个检测单元的数据通过滑动窗口进行多粒度扫描，得到特征向量；(b2)将得到的特征向量作为级联森林的第一级输入数据，并对级联森林中所有树木的每个类别进行平均估算，得到级联森林的估计值；(b3)将级联森林的估计值进行平均估算，并选择最大值的类别判断当前级别是否足够，若是则完成电力网络事件和入侵的分类，反之则进入步骤(b4)；(b4)将森林的估计值与一级簇中每个检测单元的数据连接到新的特征向量中，并作为级联森林的下一级输入，再返回步骤(b2)。再进一步地，所述(S5)中一级簇的信息熵值的计算公式如下：其中，Info(D)为一级簇的信息熵值，D表示K-means聚类层产生的某个一级簇，pi为簇中随机变量x分别属于各个类的概率，i＝1,2...m，m为GC-forest模块预测特征向量中元素的数目，即已知的事件或攻击数。再进一步地，所述(S6)中预设的阈值为1.8。再进一步地，所述(S6)中的根据对比结果判断是否发生未知电力网络事件和入侵的具体方法为：判断一级簇的信息熵值是否大于或等于预设的阈值本文档来自技高网...

【技术保护点】
1.一种基于电力网络事件和入侵的检测方法，其特征在于，包括如下步骤：(S1)利用广域监测系统WAMS对电力网络进行实时监测，并提取有效数据；(S2)将所提取的有效数据进行预处理，并使用特征选择算法提取部分特征；(S3)根据所提取的部分特征利用K‑means算法进行聚类，得到一级簇；(S4)根据得到的一级簇利用GC‑Forest分类器进行分类；(S5)根据分类结果利用信息熵计算一级簇的信息熵值；(S6)将得到一级簇的信息熵值与预设的阈值进行对比，并根据对比结果判断是否发生未知电力网络事件和入侵，若未发生，则结束对电力网络事件和入侵的检测，反之，则进入步骤(S7)；(S7)根据K‑means算法对所述一级簇进行聚类，得到二级簇；(S8)将所述二级簇进行标记，并对广域监测系统进行更新，进而返回步骤(S4)。

【技术特征摘要】
1.一种基于电力网络事件和入侵的检测方法，其特征在于，包括如下步骤：(S1)利用广域监测系统WAMS对电力网络进行实时监测，并提取有效数据；(S2)将所提取的有效数据进行预处理，并使用特征选择算法提取部分特征；(S3)根据所提取的部分特征利用K-means算法进行聚类，得到一级簇；(S4)根据得到的一级簇利用GC-Forest分类器进行分类；(S5)根据分类结果利用信息熵计算一级簇的信息熵值；(S6)将得到一级簇的信息熵值与预设的阈值进行对比，并根据对比结果判断是否发生未知电力网络事件和入侵，若未发生，则结束对电力网络事件和入侵的检测，反之，则进入步骤(S7)；(S7)根据K-means算法对所述一级簇进行聚类，得到二级簇；(S8)将所述二级簇进行标记，并对广域监测系统进行更新，进而返回步骤(S4)。2.根据权利要求1所述的电力网络事件和入侵的检测方法，其特征在于，所述(S2)中的使用特征选择算法提取部分特征，其具体为将部分标记数据T1＝{ψ1,ψ2...ψn}以及部分未标记数据T2＝{Φ1,Φ2...Φm}合并为数据集T，其中，n为部分标记数据的总个数，m为部分未标记数据的总个数。3.根据权利要求1所述的电力网络事件和入侵的检测方法，其特征在于，所述(S3)包括如下步骤：(a1)将数据集T聚类成不同的K个簇{C1,C2...CK}，其中，C为簇，K为簇的总个数；(a2)根据不同的K个簇给每个簇赋予不同的中心，并将每个数据点赋给距离类最近的中心；(a3)将每个簇所关联的中心点移动到平均值的位置，并更新中心点；(a4)重复步骤(a1)到(a3)，直至中心点不再变化，从而完成聚类，得到一级簇。4.根据权利要求3所述的电力网络事件和入侵的检测方法，其特征在于，所述(a2)中距离的计算公式为：其中，d(x,y)为样本x与聚类中心y的欧氏距离，xi...

【专利技术属性】
技术研发人员：廖丹，章苇杭，金海陆，李慧，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：四川,51