一种融合电网信息物理异常的事件预处理方法技术

本发明专利技术涉及一种融合电网信息物理异常的事件预处理方法。该方法包括：采集、解析、清洗、融合等步骤。本发明专利技术在电网网络安全分析过程中，将电气物理侧异常事件考虑进来，是电网网络安全精准分析的关键，利用预处理后的源网荷系统异常事件进行电网网络安全分析，可更加快速、精确的识别网络攻击，有效提高电网网络安全分析质量和效率，保障电网安全稳定运行。

An Event Preprocessing Method for Integrating Physical Anomalies of Power Grid Information

The present invention relates to an event preprocessing method that integrates physical anomalies of power grid information. The method includes the steps of acquisition, analysis, cleaning and fusion. In the process of network security analysis, the key to accurate analysis of network security is to take the abnormal events of electrical physical side into account. Using the abnormal events of pre-processed source-network-load system for network security analysis, the network attack can be identified more quickly and accurately, the quality and efficiency of network security analysis can be effectively improved, and the safe and stable operation of power grid can be guaranteed. That's ok.

【技术实现步骤摘要】
一种融合电网信息物理异常的事件预处理方法
本专利技术涉及一种融合电网信息物理异常的事件预处理方法，属于电力系统安全

技术介绍
随着全球能源互联网战略的提出，电网互联规模的不断扩大以及信息通信技术在电网中应用程度的加深，电网信息侧与电气物理侧融合的越来越紧密。近年来，为了减小事故的影响范围，实现负荷的精细化切除，国网江苏电力有限公司研发了大规模友好互动源网荷系统，传统电网相比，源网荷系统具有更多的网荷互动终端，与用户侧交互更加频繁，进一步融合了电网信息侧与电气物理侧。该系统涉及多类型、多时间尺度业务环节，任一环节的风险均有可能造成大范围恶性事故，面临的网络安全威胁也进一步加大。一旦遭受恶意攻击，将有可能导致电网在最紧急状态下延时响应、拒绝响应甚至错误响应，从而造成电网故障运行状态无法及时消除，进一步扩大故障范围。近年来，国内外发生了多起由于网络攻击造成的大停电事故：网络攻击已成为新型武器。上述事故发生的原因主要是黑客在入侵电网阶段，没有及时被发现并采取有效的阻止措施，从而使电网错失了力挽狂澜的最佳时期，导致电网故障的迅速扩散，进而引发大面积停电事故。将电网信息侧异常事件与电气物理侧异常事件结合是未来实现电网网络攻击精准监测的关键，有助于提升对网络攻击监测的速度与精度。因此，需要研究电网信息侧异常事件与电气物理侧异常事件预处理技术，对电网信息物理系统多源异构数据进行融合处理，为电网网络安全威胁分析提供数据基础。目前国内外关于数据采集技术主要有Libpcap技术与WinPcap技术。数据预处理流程主要包括数据清洗、数据集成、数据变换以及数据规约。数据预处理技术主要有基于粗糙集理论的约简方法、基于概念树的数据浓缩方法、信息论思想和普化知识发现、基于统计分析的属性选取方法、基于遗传算法的方法以及连续属性离散化方法等。上述方法在各领域应用均取得了一定的效果，但针对源网荷系统的信息侧异常事件与电气物理侧异常事件融合预处理的技术尚未见报道，急需研究源网荷系统多源异常事件预处理技术，保障电网的安全稳定运行。
技术实现思路
本专利技术要解决技术问题是：克服上述技术的缺点，提供一种对源网荷系统信息侧与电气物理侧异常事件进行融合，将其统一融合到源IP、目的IP、时间、事件类型四个维度。实现对源网荷系统多源异常事件的预处理。为了解决上述技术问题，本专利技术提出的技术方案是：一种融合电网信息物理异常的事件预处理方法，包括如下步骤：(1)采集信息侧与电气物理侧的网络日志、流量数据和电气量数据；(2)采用常规日志解析算法和常规流量解析算法，对采集的网络日志、流量数据和电气量数据进行解析，进而得到常规数据和异常数据；(3)采用漏洞一致性和属性一致性规则对异常数据进行清洗，去除异常数据中的重复的异常事件；(4)建立电网信息物理系统多源异常事件融合模型，对源网荷系统信息侧与电气物理侧异常事件的源IP属性、目的IP属性、时间属性以及事件类型属性进行统一；模型为：式中，为源IP统一模型，为目的IP统一模型，xTi(N)为时间属性统一模型，xTy(N)为事件类型模型；(5)将源网荷系统产生信息侧与电气物理侧异常事件的源IP属性进行统一，源IP统一模型为式中，为源IP统一模型，为第N1条网络异常事件源IP地址；为第N2条电气量异常事件源IP地址；(6)将源网荷系统产生信息侧与电气物理侧异常事件的目的IP属性进行统一，目的IP统一模型为式中为目的IP统一模型，为第N1条信息侧异常事件目的IP地址，电气量异常事件目的IP地址设为0；(7)将源网荷系统产生信息侧与电气物理侧异常事件的发生时间进行统一，时间属性统一模型为：xTi(N)＝24DNk2+hNk2+mNk+sN；式中xTi(N)时间属性统一模型，DN、hN、hN、mN、sN分别为事件发生的天、小时、分钟、秒，k＝60，N∈(N1,N2)；(8)将源网荷系统产生信息侧与电气物理侧异常事件的事件类型进行统一，事件类型统一模型为：xTy(N)＝vNvN∈(1,2,3,…,n)；式中xTy(N)表示第N条事件的事件类型的取值；(9)对融合后的源网荷系统异常事件进行统一标准化，标准化公式为：式中x为原始特征数值；μ为均值；σ则为方差。上述方案进一步的改进在于：所述异常事件分为信息侧与电气物理侧两类，其中信息侧异常事件包括终端类异常事件、网络类异常事件以及业务应用层异常事件；电气物理侧异常事件包括电压异常事件、电流异常事件、上报可切负荷量异常事件、拒动事件以及误动事件。上述方案进一步的改进在于：所述终端类异常事件包括终端RTOS系统异常事件、终端通信异常事件、终端配置变更事件、终端业务状态变更事件；所述网络类异常事件主要有：网络拒绝服务事件、网络流量异常事件、扫描事件；所述业务应用层异常事件主要有违规业务指令；所述电压异常事件指主站给某终端下发切负荷指令，但系统监测的该终端母线电压在规定的时间内没有变化；所述电流异常事件指主站给终端下发切负荷指令，但系统监测的该终端线路电流在规定的时间内没有变化；所述上报可切负荷量异常事件指变电站接收到某终端的上报可切负荷量与变电站在该终端监测到的值不一致；所述拒动事件指主站给终端下发切负荷指令，但该终端的功率值在规定时间内没变化；所述误动事件指主站未给终端下发切负荷指令，但系统监测到某终端功率变化超过阈值。上述方案进一步的改进在于：所述网络日志、流量数据和电气量数据包括节点电压、线路电流、可切负荷量数据；由结构化、半结构化以及非结构化数据组成。上述方案进一步的改进在于：采用Sqoop对结构化数据进行采集，用Hadoop分布式文件进行存储；利用Kettle对半结构化和非结构化数据进行采集，用NoSQL数据库进行存储；利用Flume对文档类日志、流量信息进采集，用MongoDB进行存储。上述方案进一步的改进在于：步骤(3)中，在源网荷系统中对于任意两个异常事件，当其攻击类型一致时，则说明二者是由黑客针对同一漏洞进行攻击生成的，满足漏洞一致性规则；当其源IP、目的IP、源端口、目的端口等属相同或相似时，满足属性一致性规则；当任意两个异常事件同时满足漏洞一致性规则和属性一致性规则时，则认为该异常事件是重复事件，并将二者合并为一条异常事件。上述方案进一步的改进在于：步骤(8)中定义终端类异常事件的事件类型为1、网络类异常事件的事件类型为2、业务应用层异常事件的事件类型为3、电压异常事件的事件类型为4、电流异常事件的事件类型为5、上报可切负荷量异常事件的事件类型为6、拒动事件的事件类型为7、误动事件的事件类型为8。本专利技术提供的融合电网信息物理异常的事件预处理方法，在电网网络安全分析过程中，将电气物理侧异常事件考虑进来，是电网网络安全精准分析的关键，利用预处理后的源网荷系统异常事件进行电网网络安全分析，可更加快速、精确的识别网络攻击，有效提高电网网络安全分析质量和效率，保障电网安全稳定运行。附图说明图1为本专利技术的流程示意图。图2为源网荷系统信息侧与电气物理侧事件属性融合图。图3为日志数据部分样例。具体实施方式实施例本实施例的融合电网信息物理异常的事件预处理方法，如图1所示，包括如下步骤：(1)采集信息侧与电气物理侧的网络日志、流量数据和电气量数据；(2)采用常规日志解析算法和本文档来自技高网...

【技术保护点】
1.一种融合电网信息物理异常的事件预处理方法，其特征在于，包括如下步骤：(1)采集信息侧与电气物理侧的网络日志、流量数据和电气量数据；(2)采用常规日志解析算法和常规流量解析算法，对采集的网络日志、流量数据和电气量数据进行解析，进而得到常规数据和异常数据；(3)采用漏洞一致性和属性一致性规则对异常数据进行清洗，去除异常数据中的重复的异常事件；(4)建立电网信息物理系统多源异常事件融合模型，对源网荷系统信息侧与电气物理侧异常事件的源IP属性、目的IP属性、时间属性以及事件类型属性进行统一；模型为：

【技术特征摘要】
1.一种融合电网信息物理异常的事件预处理方法，其特征在于，包括如下步骤：(1)采集信息侧与电气物理侧的网络日志、流量数据和电气量数据；(2)采用常规日志解析算法和常规流量解析算法，对采集的网络日志、流量数据和电气量数据进行解析，进而得到常规数据和异常数据；(3)采用漏洞一致性和属性一致性规则对异常数据进行清洗，去除异常数据中的重复的异常事件；(4)建立电网信息物理系统多源异常事件融合模型，对源网荷系统信息侧与电气物理侧异常事件的源IP属性、目的IP属性、时间属性以及事件类型属性进行统一；模型为：式中，为源IP统一模型，为目的IP统一模型，xTi(N)为时间属性统一模型，xTy(N)为事件类型模型；(5)将源网荷系统产生信息侧与电气物理侧异常事件的源IP属性进行统一，源IP统一模型为式中，为源IP统一模型，为第N1条网络异常事件源IP地址；为第N2条电气量异常事件源IP地址；(6)将源网荷系统产生信息侧与电气物理侧异常事件的目的IP属性进行统一，目的IP统一模型为式中为目的IP统一模型，为第N1条信息侧异常事件目的IP地址，电气量异常事件目的IP地址设为0；(7)将源网荷系统产生信息侧与电气物理侧异常事件的发生时间进行统一，时间属性统一模型为：xTi(N)＝24DNk2+hNk2+mNk+sN；式中xTi(N)时间属性统一模型，DN、hN、hN、mN、sN分别为事件发生的天、小时、分钟、秒，k＝60，N∈(N1,N2)；(8)将源网荷系统产生信息侧与电气物理侧异常事件的事件类型进行统一，事件类型统一模型为：xTy(N)＝vNvN∈(1,2,3,…,n)；式中xTy(N)表示第N条事件的事件类型的取值；(9)对融合后的源网荷系统异常事件进行统一标准化，标准化公式为：式中x为原始特征数值；μ为均值；σ则为方差。2.根据权利要求1所述的融合电网信息物理异常的事件预处理方法，其特征在于：所述异常事件分为信息侧与电气物理侧两类，其中信息侧异常事件包括终端类异常事件、网络类异常事件以及业务应用层异常事件；电气物理侧异常事件包括电压异常事件、电流异常事件、上报可切负荷量异常事件、拒动事件以及误动事件。3.根据权利要求2所述的融合电网信息物理异常的事件预处理方法...

【专利技术属性】
技术研发人员：朱红勤，裴培，费稼轩，章锐，孙佳祎，石聪聪，韩禹，张涛，张小建，黄秀丽，陈伟，
申请(专利权)人：国网江苏省电力有限公司南京供电分公司，国网江苏省电力有限公司，全球能源互联网研究院有限公司，国家电网有限公司，
类型：发明
国别省市：江苏,32