【技术实现步骤摘要】
一种电网CPS网络攻击辨识方法及系统
[0001]本专利技术涉及电网网络攻击辨识
,特别是涉及一种电网CPS网络攻击辨识方法及系统。
技术介绍
[0002]随着信息系统与物理系统的发展,电力系统陆续呈现出电力信息物理系统的特征。作为系统量测、通信、计算和控制功能的重要载体,由于信息侧是电网优化运行的基石,因此收到了攻击者的广泛关注,存在很多的安全风险。电力系统作为关乎国计民生的基础设施,已成为恶意组织或敌对国家攻击的首要目标之一。因此,必须重视和警惕网络攻击乃至“电力战”带来的严重影响,并且急需开展针对性的安全防御理论和方法研究。
[0003]实际系统中针对系统的大规模攻击案例数量很少,产生大型故障的概率也极低,因此电力CPS(信息物理系统,Cyber
‑
Physical Systems)网络攻击数据是高度不平衡的。在此情况下,当使用机器学习算法进行数据挖掘时,由于攻击数据和正常数据在数量上差异巨大,导致分类器对少数类样本关注不足,无法学习到有效特征,难以满足辨识需求。
技术实现思路
<...
【技术保护点】
【技术特征摘要】
1.一种电网CPS网络攻击辨识方法,其特征在于,包括以下步骤:步骤S1,从预先训练的电网量测数据里抽取多个样本,将抽取的样本按事故场景类别进行分类,将分类后的样本组成样本集;步骤S2,从所述样本集中选取多个事故场景类别,每个事故场景的类别中选取两组样本,分别组成样本训练集和样本测试集;步骤S3,将所述样本训练集输入预设的网络攻击辨识模型进行训练,获取网络攻击辨识模型参数;将所述样本测试集输入预设的测试模型进行训练,获取测试参数;将所述网络攻击辨识模型参数与所述测试参数比较,获取比较结果;其中,所述比较结果包括一致或不一致;步骤S4,当比较结果为一致时,通过预设的网络攻击辨识模型对网络攻击进行辨识,获取网络攻击辨识结果。2.如权利要求1所述的方法,其特征在于,在步骤S1中,所述预先训练的电网量测数据的过程包括:步骤S101,获取待训练的目标数据集,从目标数据集中随机采样多个事故场景,在事故场景中选取多个实时量测数据作为一个元任务数据集;步骤S102,从元任务数据集中每类实时量测数据中,随机采样多个实时量测数据作为支持集,将其余各场景的剩余实时量测数据作为查询集;步骤S103,从支持集中每一类事故场景中随机选取一个实时量测数据,将所有事故场景中选取的实时量测数据构成一组训练数据,输入到预设的训练模型进行训练,获得第一训练结果;步骤S104,从查询集中抽取一个实时量测数据,用预设的训练模型判断其所属的事故场景类别,获得第二训练结果;步骤S105,根据所述第一训练结果和所述第二训练结果计算预设的训练模型的准确率,重复迭代步骤S101至步骤S105,并根据获取的多个准确率对预设的训练模型和目标数据集进行更新,获取更新后的训练模型;步骤S106,获取历史记录中的电网量测数据并输入所述更新后的训练模型进行训练,获得预先训练的电网量测数据。3.如权利要求2所述的方法,其特征在于,在步骤S3中,预设的网络攻击辨识模型包括:将输入的样本训练集经过滑动窗口扫描样本集的时间特征,根据样本集中数据的时间特征进行排序。4.如权利要求3所述的方法,其特征在于,在步骤S3中,预设的网络攻击辨识模型还包括:将排序后的样本训练集经过滑动窗口划分,输出为电网时序特征向量;所述电网时序特征向量经过级联森林的第一层中各个弱学习器处理后,输出为网络攻击的概率,并将各个弱学习器的结果进行拼接形成向量后输出。5.如权利要求4所述的方法,其特征在于,在步骤S3中,预设的网络攻击辨识模型还包括:多种并联的基学习器,用以增加算法的多样性;所述基学习器至少包括逻辑回归决策树、分类与回归决策树;所述基学习器内设置根据每个分类器权重进行级联的弱分类器。
6.如权利要求5所述的方法,其特征在于,在步骤S3中,所述获取比较结果具体包括:将所述网络攻击辨识模型参数与所述测试参数之间的差值与预设的阈值比较,当所述网络攻击辨识模型参数与所述测试参数之间的差值大于预...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。