基于随机森林算法攻击识别方法及储能协调控制装置制造方法及图纸

本发明专利技术提供了一种基于随机森林算法攻击识别方法包括：获取储能协调控制装置的所有数据流；采用随机森林模型对数据流进行实时检测，输出检测分类结果并根据检测分类结果判断数据流中是否存在攻击行为，当检测分类结果中数据流存在攻击行为时，对正常数据流进行转发；对问题数据流进行攻击分类并拦截，同时发出攻击报警以及生成日志记录后结束；所述攻击报警包括显示攻击行为的类型；当检测分类结果中数据流不存在攻击行为时，对正常的数据流进行转发。本发明专利技术还提供了一种储能协调控制装置。与现有技术相比，提高储能协调控制装置的信息安全性。

Attack identification method and energy storage coordination control device based on Stochastic Forest algorithm

【技术实现步骤摘要】
基于随机森林算法攻击识别方法及储能协调控制装置
本专利技术涉及一种电网控制，特别涉及一种基于随机森林算法攻击识别方法及储能协调控制装置。
技术介绍
面对能源危机、金融危机以及气候危机，人们认识到新能源发展的重要性。各国对新能源的投资大幅度增长，新能源产能也急剧扩大，可再生能源发电是新能源发展的核心。但是由于风能、太阳能和海洋能等可再生能源发电受季节、气象和地域条件的影响，具有明显的不连续、不稳定性。发出的电力波动较大、可调节性差、发电与用电有时差。当电网接入的新能源发电容量过多时，电网的稳定性也会受到影响。通过配套大规模的储能系统，可以解决发电与用电的时差矛盾及间歇式可再生能源发电直接并网对电网冲击，调节电能品质。由于储能系统还有稳定电网电压、频率的功能，因此储能系统接入电网时，需及时准确的获取其运行状态信息，储能系统运行状态数据经储能协调控制装置上传至上级调度中心。但是随着电网的智能化和信息化，各种网络攻击手段层出不穷，依赖于网络的信息交互方式存在着各种安全风险，攻击者可以通过对其内的通信协议进行解析，或实现对其的窃听攻击、Dos攻击以及篡改敏感数据等，导致储能协调控制装置获取错误的调度中心下发数据。错误的数据导致储能系统输出功率错误，可能在调节电网电压、频率时起到了相反的调节效果，造成电网电压、频率失衡，带来很大的经济损失，甚至有因设备不正常工作导致的人员伤亡；攻击者也可以通过以该储能协调控制装置为跳板，逐步入侵上层调度中心。现有的储能协调控制装置可能存在的安全隐患。在一般情况下，一个或多个安全漏洞就会使攻击者有机可乘，攻击者可以以该安全漏洞为突破口，通过制造大量无用数据或反复发送请求等手段去占用被攻击者的网络资源或干扰被攻击者的正常通信。在储能协调控制装置中，黑客很容易根据已知的安全漏洞对其发布各种各样的攻击。比如，攻击者可以通过制造大量的无用数据，造成储能协调控制装置的网络拥塞，使得其无法正常与上下级通信；攻击者可以利用储能协调控制装置传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复连接请求，使得储能协调控制装置无法及时的处理其他正常的请求；攻击者可以向储能协调控制装置注入木马，并将其作为跳板逐步入侵上层调度中心；攻击者还可以根储能协调控制装置传输协议缺陷，反复发送畸形的攻击数据，比如篡改储能系统输出功率，引发电网电压振荡或调度中心错误的分配大量系统资源，直接影响电网的安全稳定运行。图1所示现有的储能协调控制装置及系统结构图。由图中可以看出，储能协调控制装置是连接上层调度中心以及下层储能电站监控系统以及其他智能设备的通信桥梁，其对下采集PCS工作状态、PCS充放电功率、SOC值等，接收来自下层的控制器的相关遥信数据，以及对下转发相关遥调、启停命令；对上实时传达储能系统输入输出有功无功，用电量以及并网点电压、电流、功率等数据。储能协调控制装置涉及到开放的运行环境，容易受到各种各样的攻击。储能协调控制装置是储能系统中的非常重要的多源协调控制设备，除内置保护、控制、电能质量监测等功能之外，还是与下层和上层通信的重要桥梁。因而储能协调控制装置获取的数据的真实性和可靠性，以及其运行的安全性和稳定性关系到整配电网系统的安全可靠运行。从近些年来世界上发生的许多由于网络攻击或网络信息安全事件发起的大停电事故以及网络攻击干扰电网正常运行的案例可以看出，储能系统存在的安全漏洞已日益凸显，且由于网络攻击导致的停电事故近年来呈上升趋势，所以全方位的提升电网的安全性能迫在眉睫。
技术实现思路
本专利技术的目的在于提供一种基于随机森林算法攻击识别方法及储能协调控制装置，要解决的技术问题是提高储能协调控制装置的信息安全性。为解决上述问题，本专利技术采用以下技术方案实现：一种基于随机森林算法攻击识别方法，包括如下步骤：步骤一、获取储能协调控制装置的所有数据流，所述数据流为是否受到攻击的特征数据流或影响因子，所述数据流包括电网数据，包括公共连接点的电压、电流、频率、功率因数、谐波、三相电压不平衡度、电压波动和闪变、暂时过电压和瞬态过电压，PCS的上传数据输出有功功率及无功功率、电池的SOC、最大可充功率、最大可放功率、额定功率、工作状态；步骤二、采用随机森林模型对数据流进行实时检测，输出检测分类结果并根据检测分类结果判断数据流中是否存在攻击行为，是则进入步骤三，否则进入步骤四；所述检测分类结果包括正常数据流和/或问题数据流；正常数据流中包括至少一种电网数据；问题数据流中包括至少一种存在攻击行为的电网数据；步骤三、当检测分类结果中数据流存在攻击行为时，对正常数据流进行转发；对问题数据流进行攻击分类并拦截，同时发出攻击报警以及生成日志记录后结束；所述攻击报警包括显示攻击行为的类型；步骤四、当检测分类结果中数据流不存在攻击行为时，对正常的数据流进行转发。进一步地，所述步骤三中对问题数据流进行分类具体为：当问题数据流中的电网数据存在某一类攻击行为时，将该电网数据归入相应的分类中，所述分类包括：Dos攻击、DDos攻击、未授权访问攻击、接口端非正常探测、木马攻击、电气量和气象等数据伪造和篡改攻击类型。进一步地，所述步骤二中随机森林模型采用以下方法获得：一、将数据流作为训练样本，建立N个训练样本集以及M个特征，所述N为训练样本集的个数，M为特征的数目，构建至少一棵树对训练样本集进行训练；二、确定特征值通过判断m个特征在单棵树中的重要程度以及计算m个特征在所有树(森林)中的重要程度，然后对m个特征的重要程度进行排序，去除重要程度低的部分特征，得到新的特征集；三、对随机森林模型进行更新迭代，在随机森林模型中找出最优的随机森林模型作为最终的随机森林模型。进一步地，所述确定特征值包括：(1)通过随机改变某一特征的属性值来判断该特征在这棵树中是否起到了作用或该特征在这棵树中无效；所述属性值为特征的属性，(2)比较改变前和改变后的测试集误差率，将测试集误差率的差距作为该特征在该树中的重要程度，通过对一棵树中的m个特征计算一次，以获得m个特征在该树中的重要程度；误差率采用下式获得：其中，i指特征的编号，TP：正确预测到的正例的数量，TN：正确预测到的负例的数量，FP：把负例预测成正例的数量，FN：把正例预测成负例的数量；所述正例为是，负例为不是。(3)计算各特征在森林中的重要程度，则取这个特征值在多棵树中的重要程度的均值作为该特征在森林中的重要程度；其中，MDA表示平均精确率减少----Meandecreaseaccuracy；Ai中A表示特征，i表示该特征的编号：nsum表示特征Ai在森林中出现的次数，OOBerrta表示第t棵树中Ai属性值改变之后的袋外误差率，OOBerrtb表示第t棵树中正常Ai值的袋外误差率；所述袋外误差率采用下式获得：其中，i指特征的编号，TP：正确预测到的正例的数量，TN：正确预测到的负例的数量，FP：把负例预测成正例的数量，FN：把正例预测本文档来自技高网...

【技术保护点】
1.一种基于随机森林算法攻击识别方法，其特征在于：包括如下步骤：/n步骤一、获取储能协调控制装置的所有数据流，所述数据流为是否受到攻击的特征数据流或影响因子，所述数据流包括电网数据，包括公共连接点的电压、电流、频率、功率因数、谐波、三相电压不平衡度、电压波动和闪变、暂时过电压和瞬态过电压，PCS的上传数据输出有功功率及无功功率、电池的SOC、最大可充功率、最大可放功率、额定功率、工作状态；/n步骤二、采用随机森林模型对数据流进行实时检测，输出检测分类结果并根据检测分类结果判断数据流中是否存在攻击行为，是则进入步骤三，否则进入步骤四；所述检测分类结果包括正常数据流和/或问题数据流；正常数据流中包括至少一种电网数据；问题数据流中包括至少一种存在攻击行为的电网数据；/n步骤三、当检测分类结果中数据流存在攻击行为时，对正常数据流进行转发；对问题数据流进行攻击分类并拦截，同时发出攻击报警以及生成日志记录后结束；所述攻击报警包括显示攻击行为的类型；；/n步骤四、当检测分类结果中数据流不存在攻击行为时，对正常的数据流进行转发。/n

【技术特征摘要】
1.一种基于随机森林算法攻击识别方法，其特征在于：包括如下步骤：
步骤一、获取储能协调控制装置的所有数据流，所述数据流为是否受到攻击的特征数据流或影响因子，所述数据流包括电网数据，包括公共连接点的电压、电流、频率、功率因数、谐波、三相电压不平衡度、电压波动和闪变、暂时过电压和瞬态过电压，PCS的上传数据输出有功功率及无功功率、电池的SOC、最大可充功率、最大可放功率、额定功率、工作状态；
步骤二、采用随机森林模型对数据流进行实时检测，输出检测分类结果并根据检测分类结果判断数据流中是否存在攻击行为，是则进入步骤三，否则进入步骤四；所述检测分类结果包括正常数据流和/或问题数据流；正常数据流中包括至少一种电网数据；问题数据流中包括至少一种存在攻击行为的电网数据；
步骤三、当检测分类结果中数据流存在攻击行为时，对正常数据流进行转发；对问题数据流进行攻击分类并拦截，同时发出攻击报警以及生成日志记录后结束；所述攻击报警包括显示攻击行为的类型；；
步骤四、当检测分类结果中数据流不存在攻击行为时，对正常的数据流进行转发。


2.根据权利要求1所述的基于随机森林算法攻击识别方法，其特征在于：所述步骤三中对问题数据流进行分类具体为：当问题数据流中的电网数据存在某一类攻击行为时，将该电网数据归入相应的分类中，所述分类包括：Dos攻击、DDos攻击、未授权访问攻击、接口端非正常探测、木马攻击、电气量和气象等数据伪造和篡改攻击类型。


3.根据权利要求1所述的基于随机森林算法攻击识别方法，其特征在于：所述步骤二中随机森林模型采用以下方法获得：
一、将数据流作为训练样本，建立N个训练样本集以及M个特征，所述N为训练样本集的个数，M为特征的数目，构建至少一棵树对训练样本集进行训练；
二、确定特征值
通过判断m个特征在单棵树中的重要程度以及计算m个特征在所有树中的重要程度，然后对m个特征的重要程度进行排序，去除重要程度低的部分特征，得到新的特征集；
三、对随机森林模型进行更新迭代，在随机森林模型中找出最优的随机森林模型作为最终的随机森林模型。


4.根据权利要求3所述的基于随机森林散发攻击识别方法，其特征在于：所述确定特征值包括：
(1)通过随机改变某一特征的属性值来判断该特征在这棵树中是否起到了作用或该特征在这棵树中无效；所述属性值为特征的属性，
(2)比较改变前和改变后的测试集误差率，将测试集误差率的差距作为该特征在该树中的重要程度，通过对一棵树中的m个特征计算一次，以获得m个特征在该树中的重要程度；
误差率采用下式获得：



其中，i指特征的编号，TP：正确预测到的正例的数量，TN：正确预测到的负例的数量，FP：把负例预测成正例的数量，FN：把正例预测成负例的数量；所述正例为是，负例为不是；
(3)计算各特征在森林中的重要程度，则取这个特征值在多棵树中的重要程度的均值作为该特征在森林中的重要程度；



其中，MDA表示平均精确率减少----Meandecreaseaccuracy；Ai中A表示特征，i表示该特征的编号：nsum表示特征Ai在森林中出现的次数，OOBerrta表示第t棵树中Ai属性值改变之后的袋外误差率，OOBerrtb表示第t棵树中正常Ai值的袋外误差率；
所述袋外误差率采用下式获得：



其中，i指特征的编号，TP：正确预测到的正例的数量，TN：正确预测到的负例的数量，FP：把负例预测成正例的数量，FN：把正例预测成负例的数量。
(4)在得到所有特征在森林中的重要程度后，将所有的特征按照重要程度进行排序，去除森林中重要程度低的部分特征，得到新的特征集，从而完成一次迭代。


5.根据权利要求4所述的基于随机森林散发攻击识别方法，其特征在于：所述确定特征值中还包括：重复(1)-(4)，逐步去除相对较差的特征，每次都会生成新的随机森林模型，直到剩余的特征数为m为止，然后再这些随机森林模型中找出最优的随机森林模型作为最终的随机森林模型来进行数据流的实时检测。


6.一种储能协调控制装置，其特征在于：包括：通信模块、CPU模块、HMI液晶屏、随机森林检测模块、测量模块、日志模块、对时模块、打印模块、滤波模块，所述CPU模块分别与通信模块、HMI液晶屏、随机森林检测模块、测量模块、日志模块、对时模块、打印模块、滤波模块连接；
所述通...

【专利技术属性】
技术研发人员：吕志宁，徐成斌，肖声远，宁柏锋，陈锐，刘威，梁洪浩，汪伟，祖连兴，丁凯，朱小帆，贺生国，何鸿雁，黄植炜，习伟，匡晓云，姚浩，于杨，简淦杨，杨祎巍，陈远生，占捷文，王乾刚，
申请(专利权)人：深圳供电局有限公司，长园深瑞继保自动化有限公司，南方电网科学研究院有限责任公司，
类型：发明
国别省市：广东;44