一种基于信息物理融合的恶意数据注入攻击的检测方法,属于智能电网信息安全技术领域。方法包括步骤S01,根据监听到的网络层异常数据包,提取网络影响因数矩阵;步骤S02,构建加入影响因数矩阵的物理层状态估计方程;步骤S03,基于步骤S02中的物理层状态估计方程,利用卡方检验方法检测恶意数据注入攻击。本发明专利技术检测精准度高,有利于后续针对性的对电力工控系统进行防御。
A detection method of malicious data injection attack based on information physical fusion
【技术实现步骤摘要】
一种基于信息物理融合的恶意数据注入攻击的检测方法
本专利技术属于智能电网信息安全
,具体涉及一种基于信息物理融合的恶意数据注入攻击的检测方法。
技术介绍
作为信息网络和传统电网的结合的产物,智能电网为电力系统带来了很多新的特性,比如能观性,能控性,鲁棒性和恢复力。然而,由于对信息网络的高度依赖,很多安全问题也随之产生,智能电网的安全性和稳定性存在一定的隐患。比如,攻击者可以发动DoS,数据篡改,恶意控制指令注入等攻击,来渗透通信过程,窃取用户隐私,甚至危害控制系统,给电力系统造成巨大的破坏。因此,需要一种针对这些攻击的检测技术。而这些攻击往往是从信息网络层发起,进一步入侵物理层的,通过精心构造恶意数据,往往能绕过电力系统物理层现有的恶意数据检测系统。信息网络层和物理层的数据融合则给攻击检测提供了一种更优方法。专利技术专利CN201510062192.3公开了一种智能电网恶意数据注入攻击及检测方法,并具体公开了方法首先通过攻击电网中少数的同步相角量测(PMU),将交流模型恶意数据注入攻击,转化为直流模型下的恶意数据注入攻击,构造出一种新的智能电网恶意数据注入攻击方式,然后针对这种新的攻击方式,又提出了两种即基于预测量测和估计量测残差的检测算子,来检测与定位判断电力系统量测信息中可能存在的恶意注入数据,并做出相应的更新数据处理,以确保智能电网运行更加稳定安全可靠。该方法虽然能检测到攻击,但仅仅考虑了物理层状态,基于对同步相角量测(PMU)注入恶意数据攻击的方式进行检测。
技术实现思路
本专利技术针对现有技术存在的问题,提出一种基于信息物理融合的恶意数据注入攻击的检测方法,通过融合信息网络层的流量和电力系统内在的物理定律,拟合一个统一的模型,来对恶意数据注入攻击进行检测,检测精准度高,有利于后续针对性的对电力工控系统进行防御。本专利技术是通过以下技术方案得以实现的:本专利技术提供一种基于信息物理融合的恶意数据注入攻击的检测方法,一种基于信息物理融合的恶意数据注入攻击的检测方法,包括:步骤S01,根据监听到的网络层异常数据包,提取网络影响因数矩阵;步骤S02,构建加入影响因数矩阵的物理层状态估计方程;步骤S03,基于步骤S02中的物理层状态估计方程,利用卡方检验方法检测恶意数据注入攻击。本专利技术利用信息网络层数据流量和物理层电学定律,拟合一个统一的模型,来对恶意数据注入攻击进行检测。通过监听数据包,特征提取,建立状态估计方程,实现对攻击的检测。目前国内在此领域的研究尚未成熟,本专利技术可以填补国内在此领域的空白,提高智能电网的安全性能。作为优选,步骤S01包括:步骤S11,监听网络层数据包,将监听到的网络层异常数据包记录于网络层警报日志;步骤S12,将网络层警报日志中的警报记录根据设备-ip映射表分组,每组存储有对应设备的警报记录;步骤S13,根据设备i的警报记录,计算设备i的影响因数:其中,m是威胁优先级权重系数(),alert(device_i)是设备i的警报集合,priority(k)是警报k的威胁优先级;步骤S14,计算所有设备的影响因数,形成影响因数矩阵。作为优选,所述步骤S13还包括优化设备i的影响因数:。作为优选,所述警报k的威胁优先级为根据设备所对应的攻击事件预先设定的;所述威胁优先级权重系数为根据警报k的威胁优先级所对应的不同类型操作预先设定。作为优选,在进行步骤S01中的网络层异常数据包为由设备信息改写、潜在DoS攻击行为、频繁密码状态确认、设备参数改写所引起的网络层异常数据包。作为优选,步骤S02包括:步骤S21,建立状态估计方程:其中表示设备的读数,代表状态变量,代表计算得到的估计结果,,代表测量误差;步骤S22,利用加权最小二乘法将状态估计方程表示为二次最优化方程:其中是测量逆协方差矩阵;步骤S23,将影响因数矩阵加入到二次最优化方程中:;步骤S24,利用牛顿法求解步骤S23中的二次最优化方程:其中,是雅可比矩阵,是增益矩阵,收敛性依据为:,其中是预定义的阈值。作为优选,步骤S03包括:步骤S31,将步骤S02中的物理层状态估计方程改写成测量误差方程:其中表示第i个测量误差,表示测量误差协方差矩阵的对角线元素,m是测量的总个数;步骤S32,利用卡方检验方法检测恶意数据注入攻击:当为yes时,存在攻击,当为no时,不存在攻击。作为优选,所述设备为智能电表。作为优选,在进行检测方法检测性能验证时,所述网络层异常数据包通过仿真攻击获得,或者通过遍历攻击,改变所有输电线上的有功功率获得。本专利技术具有以下有益效果:本专利技术一种基于信息物理融合的恶意数据注入攻击的检测方法,实现了对恶意数据注入攻击的检测,有利于后续针对性的对电力工控系统进行防御。附图说明图1为本专利技术一种基于信息物理融合的恶意数据注入攻击的检测方法流程图。具体实施方式以下是本专利技术的具体实施例并结合附图,对本专利技术的技术方案作进一步的描述,但本专利技术并不限于这些实施例。如图1,一种基于信息物理融合的恶意数据注入攻击的检测方法,包括:步骤S01,根据监听到的网络层异常数据包,提取网络影响因数矩阵;步骤S02,构建加入影响因数矩阵的物理层状态估计方程;步骤S03,基于步骤S02中的物理层状态估计方程,利用卡方检验方法检测恶意数据注入攻击。本专利技术利用信息网络层数据流量和物理层电学定律,通过监听网络层数据包的流动,提取网络影响因数矩阵,加入到物理层的状态估计方程中,来对目前状态进行更精确的估计,实现对攻击的检测的方法。具体地,所述步骤S01包括:步骤S11,监听网络层数据包,将监听到的网络层异常数据包记录于网络层警报日志;步骤S12,将网络层警报日志中的警报记录根据设备-ip映射表分组,每组存储有对应设备的警报记录;步骤S13,根据设备i的警报记录,计算设备i的影响因数:其中,m是威胁优先级权重系数(),alert(device_i)是设备i的警报集合,priority(k)是警报k的威胁优先级;步骤S14,计算所有设备的影响因数,形成影响因数矩阵。在步骤S11中,网络层警报日志由多条警报记录组成。每条警报记录记录有网络层异常数据包来源的设备ip地址和操作类型,为此,每条警报记录以设备IP地址-操作类型-网络层异常数据包一一对应的方式存储信息。其中,网络层异常数据包为由设备信息改写、潜在DoS攻击行为、频繁密码状态确认(密码破解)、设备参数改写等各种攻击情况所引起的网络层异常数据包。在步骤S12中,所述设备-ip映射表为以设备与ip地址一一对应存储的映射表。通过识别警报记录中的ip地址,确认这个警报记录中的网络层异常本文档来自技高网...
【技术保护点】
1.一种基于信息物理融合的恶意数据注入攻击的检测方法,其特征在于,包括:/n步骤S01,根据监听到的网络层异常数据包,提取网络影响因数矩阵;/n步骤S02,构建加入影响因数矩阵的物理层状态估计方程;/n步骤S03,基于步骤S02中的物理层状态估计方程,利用卡方检验方法检测恶意数据注入攻击。/n
【技术特征摘要】
1.一种基于信息物理融合的恶意数据注入攻击的检测方法,其特征在于,包括:
步骤S01,根据监听到的网络层异常数据包,提取网络影响因数矩阵;
步骤S02,构建加入影响因数矩阵的物理层状态估计方程;
步骤S03,基于步骤S02中的物理层状态估计方程,利用卡方检验方法检测恶意数据注入攻击。
2.根据权利要求1所述的一种基于信息物理融合的恶意数据注入攻击的检测方法,其特征在于,步骤S01包括:
步骤S11,监听网络层数据包,将监听到的网络层异常数据包记录于网络层警报日志;
步骤S12,将网络层警报日志中的警报记录根据设备-ip映射表分组,每组存储有对应设备的警报记录;
步骤S13,根据设备i的警报记录,计算设备i的影响因数:
其中,m是威胁优先级权重系数(),alert(device_i)是设备i的警报集合,priority(k)是警报k的威胁优先级;
步骤S14,计算所有设备的影响因数,形成影响因数矩阵。
3.根据权利要求2所述的一种基于信息物理融合的恶意数据注入攻击的检测方法,其特征在于,所述步骤S13还包括优化设备i的影响因数:
。
4.根据权利要求2所述的一种基于信息物理融合的恶意数据注入攻击的检测方法,其特征在于,所述警报k的威胁优先级为根据设备所对应的攻击事件预先设定的;所述威胁优先级权重系数为根据警报k的威胁优先级所对应的不同类型操作预先设定。
5.根据权利要求1所述的一种基于信息物理融合的恶意数据注入攻击的检测方法,其特征在于,在进行步骤S01中的网络层异常数据包为由设备信息改写、潜在DoS攻击行为...
【专利技术属性】
技术研发人员:许爱东,曹扬,蒋屹新,徐文渊,冀晓宇,曹幸东,
申请(专利权)人:浙江大学,南方电网科学研究院有限责任公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。