基于GBDT算法的攻击识别方法及光伏并网接口装置制造方法及图纸

本发明专利技术提供了一种基于GBDT算法的攻击识别方法，包括获取光伏并网接口装置的信息数据流；对信息数据流进行预处理；将进行预处理后的信息数据流采用GBDT模型进行分类，输出分类结果，所述分类包括正常类以及恶意攻击类；当分类结果中存在攻击类时，则根据攻击类中数据的归类发出相应的报警提示以及生成日志记录进行保存同时还对信息数据流进行拦截；当分类结果均为正常类时，则对信息数据流进行转发。本发明专利技术还公开了一种光伏并网接口装置。与现有技术相比，保证光伏发电系统的安全可靠运行。

Attack identification method based on gbdt algorithm and photovoltaic grid connection interface device

【技术实现步骤摘要】
基于GBDT算法的攻击识别方法及光伏并网接口装置
本专利技术涉及一种电网系统，特别涉及一种基于GBDT算法的攻击识别方法及光伏并网接口装置。
技术介绍
分布式发电系统能够满足人们对电力系统供电可靠性、安全性以及高容量的需求。在分布式发电系统中，光伏发电因其可再生、无污染、利用灵活以及安全可靠等特点，在近些年来得到了快速的发展，许多国家已将光伏发电技术作为可持续发展战略中的重要研究内容。光伏发电单元具有规模小、数量多、光照不稳定性以及间歇性等特点，其对于供电系统而言是一个不可控因素。光伏并网接口装置作为光伏发电中的重要设备，其能实现对光伏发电单元的切入切出控制、对光伏发电单元的运行状态信息采集以及构成光伏发电单元与站内运行监测系统等上层控制器之间的通信桥梁。光伏并网接口装置内集成了测量、保护、监测等基础功能模块。然而，这些基础功能并未体现光伏并网接口装置的通信中心的地位。光伏并网接口装置对下需要与各光伏发电单元交互信息，对上需要与本地光伏监测系统以及上层调控主站通信。这些交互的信息关系到光伏发电站甚至整个电网的安全稳定运行。然而，现阶段光伏并网接口装置的信息安全管理机制不够完善，也不具备容侵容错的功能，因此，及时检测光伏并网接口装置的运行状态，以使得其接收和发送的数据正常，从而保证光伏发电站以及整个电网的稳定运行。然而，站内光伏监控系统容易受到光伏并网接口装置输出状态的威胁，系统管理员根据站内光伏监测系统中获得的光伏发电系统的各项实时数据，通过采集到的值进行光伏发电系统的运行状态估计以及根据估计值来评估系统当前状态，并做出相应的决策和下达相应的指令来控制整个光伏发电系统的稳定运行。然而，如果光伏并网接口装置受到了恶意数据攻击，或者攻击者成功篡改了光伏并网接口装置的输出状态值，使得站内光伏监控系统得到一个错误的光伏发电系统状态估计，进而导致管理员做出错误的决策，危及整个光伏发电系统的安全稳定运行。因此，传统光伏并网接口装置存在安全漏洞：1、传统光伏并网接口装置内置的状态监控模块局限于对并网开关跳合位情况、PT(电压互感器)或CT(电流互感器)断线情况、功率和电流越限等情况进行监视，并未考虑对恶意数据攻击情况进行监视；2、传统光伏并网接口装置缺少主动攻击识别模块，不能应对信息入侵的快速性，以及通信的延时性。因而，当光伏并网接口装置的异常状态信息上传至站内光伏监控系统时，攻击者已对光伏并网接口装置进行更深层的攻击，或已经逐步入侵上层系统，危及整个光伏发电系统的安全稳定运行。。
技术实现思路
本专利技术的目的在于提供一种基于GBDT算法的攻击识别方法及光伏并网接口装置，要解决的技术问题是提高光伏发电系统的信息安全性以及运行可靠性。为解决上述问题，本专利技术采用以下技术方案实现：一种基于GBDT算法的攻击识别方法，包括如下步骤：步骤一、获取光伏并网接口装置的信息数据流；步骤二、对信息数据流进行预处理；步骤三、将进行预处理后的信息数据流采用GBDT模型进行分类，输出分类结果，所述分类包括正常类以及恶意攻击类；步骤四、当分类结果中存在攻击类时，则根据攻击类中数据的归类发出相应的报警提示以及生成日志记录进行保存同时还对信息数据流进行拦截；当分类结果均为正常类时，则对信息数据流进行转发。进一步地，所述步骤四还包括将分类结果、报警提示和/或日志记录发送至上层。进一步地，所述预处理包括特征提取、数值化以及归一化处理。进一步地，所述步骤三将进行预处理后的信息数据流采用GBDT模型进行检测前，先对GBDT模型进行分类训练，得到已训练好的GBDT分类模型，模型训练包括如下步骤：一、建立样本集，所述样本集包括正样本以及负样本，所以正样本为正常的信息数据流，负样本为受到恶意攻击的信息数据流，所述恶意攻击包括Dos攻击，未授权访问攻击、接口端非正常探测、木马病毒攻击，运行状态、气象等消息伪造或篡改等攻击类型的数据流；二、输入给定的训练集T＝{(x1,y1)，(x2,y2)，…，(xn,yn)}；迭代次数M；一个可微的损失函数表示样本x是否属于第k类，1代表是，0代表否；pk(x)表示样本x属于第k类的概率；xi(i＝1，2，…，n)为输入样本，yi(i＝1，2，…，n)为输入样本xi对应的输出值，也即分类标签(表明该样本是正常或何种攻击类型的标签)；fk(x)为弱学习器，k＝1,2,...,K，K表示共有分类的类别的总数：正常类，Dos攻击，未授权访问攻击，接口端非正常探测，木马病毒攻击，消息篡改攻击；(1)根据样本集(含正负样本)中设定的标签值yi，对弱学习器模型进行初始化：fk(x)＝0，k＝1,2,...,K(K为分类数，K＝6)；(2)设置迭代次数m＝1,2，…，M：(2.1)计算样本点属于每个类别的概率：其中，exp(fk(x))表示对fk(x)求指数；K为分类数目；(2.2)对于每一个分类类型k＝1,2,...,K：(2.2.1)计算残差：rki＝yki-Pk(xi)，其中，i＝1，2，…，n为样本数；yki为第i个样本对应的第k类取值；Pk(xi)为样本xi属于k类的概率；(2.2.2)以概率伪残差{(x1,rk1)，……，(xn,rkn)}重新训练拟合一个分类树；(2.2.3)计算乘子：其中，K为类别数；cmkj为m次迭代、第k类生成的树的叶子节点乘子；Rmkj为m次迭代、第k类生成的树的叶子节点区域，j＝1,2，…，J为叶子节点数；m＝1,2，…，M为迭代次数；xi(i＝1，2，…，n)为输入样本；rki为第i个样本第k类伪残差；(2.2.4)通过以下计算公式更新学习器：其中，fk,m(x)为样本x的m次迭代、第k类得到的学习器；fk,m-1(x)为样本x的m-1次迭代、第k类得到的学习器；I为叶子特征的集合；Rmkj为m次迭代、第k类生成的树的叶子节点区域，j＝1,2，…，J为叶子节点数；(3)输出强分类器FMk(x)：其中，FMk(x)为样本x的M次迭代、第k类得到的强分类器；cmkj为m次迭代、第k类生成的树的叶子节点乘子；Rmkj为m次迭代、第k类生成的树的叶子节点区域，j＝1,2，…，J为叶子节点数；m＝1,2，…，M为迭代次数；I为叶子特征的集合；最后得到的FMk(x)用来得到第k类的相应的概率PMk(x)：将概率转换为类别：其中为最终的输出类别，c(k,k')表示当真实值为k'时，预测为第k类时的联合代价，即概率最大的类别即为预测的类别，最终得到已训练好的GBDT模型。本专利技术还提供了一种光伏并网接口装置，包括主控制模块、显示模块、输入输出模块、交流采集模块、通信模块、电源模块以及攻击检测模块，所述主控制模块分别与显示模块、输出模块、通信模块、存储模块、电源模块以及攻击检测模块连接，攻击检测模块还与通信模块、电源模块、交流采集模块以及输入模本文档来自技高网...

【技术保护点】
1.一种基于GBDT算法的攻击识别方法，其特征在于：包括如下步骤：/n步骤一、获取光伏并网接口装置的信息数据流；/n步骤二、对信息数据流进行预处理；/n步骤三、将进行预处理后的信息数据流采用GBDT模型进行分类，输出分类结果，所述分类包括正常类以及恶意攻击类；/n步骤四、当分类结果中存在攻击类时，则根据攻击类中数据的归类发出相应的报警提示以及生成日志记录进行保存同时还对信息数据流进行拦截；当分类结果均为正常类时，则对信息数据流进行转发。/n

【技术特征摘要】
1.一种基于GBDT算法的攻击识别方法，其特征在于：包括如下步骤：
步骤一、获取光伏并网接口装置的信息数据流；
步骤二、对信息数据流进行预处理；
步骤三、将进行预处理后的信息数据流采用GBDT模型进行分类，输出分类结果，所述分类包括正常类以及恶意攻击类；
步骤四、当分类结果中存在攻击类时，则根据攻击类中数据的归类发出相应的报警提示以及生成日志记录进行保存同时还对信息数据流进行拦截；当分类结果均为正常类时，则对信息数据流进行转发。


2.根据权利要求1所述的基于GBDT算法的攻击识别方法，其特征在于：所述步骤四还包括将分类结果、报警提示和/或日志记录发送至上层。


3.根据权利要求1所述的基于GBDT算法的攻击识别方法，其特征在于：所述预处理包括特征提取、数值化以及归一化处理。


4.根据权利要求1所述的基于GBDT算法的攻击识别方法，其特征在于：所述步骤三将进行预处理后的信息数据流采用GBDT模型进行检测前，先对GBDT模型进行分类训练，得到已训练好的GBDT分类模型，模型训练包括如下步骤：
一、建立样本集，所述样本集包括正样本以及负样本，所以正样本为正常的信息数据流，负样本为受到恶意攻击的信息数据流，所述恶意攻击包括Dos攻击，未授权访问攻击、接口端非正常探测、木马病毒攻击，运行状态、气象等消息伪造或篡改等攻击类型的数据流；
二、输入给定的训练集T＝{(x1,y1)，(x2,y2)，…，(xn,yn)}；迭代次数M；一个可微的损失函数yk＝{0，1}，表示样本x是否属于第k类，1代表是，0代表否；pk(x)表示样本x属于第k类的概率；xi(i＝1，2，…，n)为输入样本，yi(i＝1，2，…，n)为输入样本xi对应的输出值，也即分类标签(表明该样本是正常或何种攻击类型的标签)；fk(x)为弱学习器，k＝1,2,...,K，K表示共有分类的类别的总数：正常类，Dos攻击，未授权访问攻击，接口端非正常探测，木马病毒攻击，消息篡改攻击；
(1)根据样本集(含正负样本)中设定的标签值yi，对弱学习器模型进行初始化：fk(x)＝0，k＝1,2,...,K(K为分类数，K＝6)；
(2)设置迭代次数m＝1,2，…，M：
(2.1)计算样本点属于每个类别的概率：



其中，exp(fk(x))表示对fk(x)求指数；K为分类数目；
(2.2)对于每一个分类类型k＝1,2,...,K：
(2.2.1)计算残差：
rki＝yki-Pk(xi)，
其中，i＝1，2，…，n为样本数；yki为第i个样本对应的第k类取值；Pk(xi)为样本xi属于k类的概率；
(2.2.2)以概率伪残差{(x1,rk1)，……，(xn,rkn)}重新训练拟合一个分类树；
(2.2.3)计算乘子：



其中，K为类别数；cmkj为m次迭代、第k类生成的树的叶子节点乘子；Rmkj为m次迭代、第k类生成的树的叶子节点区域；j＝1,2，…，J为叶子节点数；m＝1,2，…，M为迭代次数；xi(i＝1，2，…，n)为输入样本；rki为第i个样本第k类伪残差；
(2.2.4)通过以下计算公式更新学习器：



其中，fk,m(x)为样本x的m次迭代、第k类得到的学习器；fk,m-1(x)为样本x的m-1次迭代、第k类得到的学习器；I为叶子特征的集合；Rmkj为m次迭代、第k类生成的树的叶子节点区域，j＝1,2，…，J为叶子节点数；
(3)输出强分类器FMk(x)：



其中，FMk(x)为样本x的M次迭代、第k类得到的强分类器；cmkj为m次迭代、第k类生成的树的叶子节点乘子；Rmkj为m次迭代、第k类生成的树的叶子节点区域，j＝1,2，…，J为叶子节点数；m＝1,2，…，M为迭代次数；I为叶子特征的集合；
最后得到的FMk(x)用来得到第k类的相应的概率PMk(x)：



将概率转换为类别：



其中为最终的输出类别，c(k,k')表示当真实值为k'时，预测为第k类时的联合代价，即概率最大的类别即为预测的类别，最终得到已训练好的GBDT模型。


5.一种光伏并网接口装置，其特征在于：包括主控制模块、显示模块、输入输出模块、交流采集模块、通信模块、电源模块以及攻击检测模块，所述主控制模块分别与显示模块、输出模块、通信模块、存储模块、电源模块以及攻击检测模块连接，攻击检测模块还与通信模块、电源模块、交流采集模块以及输入模块连接，其中：
主控制模块用于经通信模块与上层以及下层连接通信，并接收攻击检测模块发送的信息数据流、分类结果、报警提示后发送至显示模块进行显示；同时还接收攻击检测模块发送的报警提示、日志记录、分类结果，并通过通信模块向上层发送攻击报警信息；
显示模块用于显示信息以及报警提示并输出显示；

【专利技术属性】
技术研发人员：吴海涛，徐成斌，贺生国，代尚林，陈锐，乔中伟，李伟华，梁洪浩，陈远生，占捷文，王乾刚，朱小帆，丁凯，黄植炜，肖声远，何鸿雁，习伟，匡晓云，于杨，姚浩，简淦杨，杨祎巍，
申请(专利权)人：深圳供电局有限公司，长园深瑞继保自动化有限公司，南方电网科学研究院有限责任公司，
类型：发明
国别省市：广东;44