【技术实现步骤摘要】
一种基于频率特征分析的电力系统网络流量异常检测方法
[0001]本专利技术涉及电力系统网络流量检测
,特别涉及一种基于频率特征分析的电力系统网络流量异常检测方法。
技术介绍
[0002]电网是关键信息基础设施的一种,一旦这些设施受到攻击,国民经济和人民生活的损失是不可估量的。因此,检测电网的异常流量是非常必要的。
[0003]随着深度学习的快速发展,以神经网络为代表的复杂模型被广泛用于流量异常检测。由于电网中的设备种类很少,它们之间的通信采用特殊的协议。电网流量的特点是确定的,正常流量和异常流量的区别在电网流量中是比较明显的。
[0004]针对这一特点,研究人员提出了许多不同的模型用于电网流量的异常检测,或者将常用的物联网流量异常检测方法可用于电网流量的异常检测。常用的物联网流量异常检测方法例如为基于签名的检测方法、基于机器学习的检测方法以及基于深度学习的检测方法,但是现有的这些物联网流量异常检测方法应用于电网流量会存在或多或少的不足之处,例如,基于签名的检测方法在匹配签名和流量数据包的有效载荷时,计算成本很高;基于机器学习的检测方法无法实时检测到入侵流量;而基于深度学习的检测方法也存在诸如计算成本高、超参数调优复杂等问题。
[0005]故急需一种成本低、能在线检测的电力系统网络流量异常检测方法。
技术实现思路
[0006]本专利技术所要解决的技术问题在于,提供一种基于频率特征分析的电力系统网络流量异常检测方法,且有成本低、稳定性好、精度高,且检测实时性强的特点。>[0007]为解决所述技术问题,本专利技术提供了一种基于频率特征分析的电力系统网络异常流量检测方法,其包括如下的步骤:
[0008]步骤S10,获取电力系统中至少一待检测数据包,并提取每一所述待检测数据对应的传输层的有效载荷作为待测载荷,所述待测载荷包括多个字节;
[0009]步骤S11,对每一所述待测载荷的中预定位置的标志字节进行格式检查,如果所述待测载荷存在格式异常,则将当前待检测数据包确定为异常数据包;
[0010]步骤S12,如果所述待测载荷格式正常,则获取每一字节的字节值,计算获得各字节值的频率分布,形成一待测特征向量样本,将每一所述待测特征向量样本与预先设定的多个正常样本、异常样本形成样本空间,并进行K最邻近分类算法(K
‑
Nearest Neighbor,KNN)分类,确定所述待测特征向量样本的分类结果;
[0011]步骤S13,根据所述分类结果确定每一所述待测数据包是否异常。
[0012]优选地,所述步骤S11进一步包括:
[0013]检测所述待测载荷的中预定位置的标志字节的内容是否与对应的固定值相同,如不同,则确定为所述待测载荷存在格式异常,所述预定位置的标志字节为第一字节、第四字
节和最后一个字节,每一字节预先对应一固定值。
[0014]优选地,所述步骤S12进一步包括:
[0015]步骤S120,计算获得每一所述待测载荷中每一字节的字节值,字节值的取值范围为[0,255];
[0016]步骤S121,根据下述公式计算获得每一所述待测载荷中各字节值的频率分布,形成对应的待测特征向量样本:
[0017]Frequency
i
=count(i)/len(Payload),i∈[0,255]ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
[0018]BF={Frequency0,
…
,Frequency255}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
[0019]其中,Frequency
i
表示待测载荷中取值等于i的字节的频率,count(i)表示待测载荷中取值等于i的字节的数量,len(Payload)为待测载荷中字节总数量,BF为待测特征向量样本;
[0020]步骤S122,将每一所述待测特征向量样本与预先设定的多个同维度的正常样本、异常样本形成样本空间如下:
[0021]S=[BF1,BF2,...BF
i
...]m
×
n
,i∈[0,n]ꢀꢀ
(3)
[0022]其中,S为代表样本空间,m代表特征维度,n代表样本S中样本的总数量;
[0023]步骤S123,采用下述公式分别计算每一待测特征向量样本与其他样本之间的距离ρ,根据计算出的所有距离进行升序排序,以每一所述待测特征向量样本K个最近的样本为参考,确定每一所述待测特征向量样本的分类结果:
[0024][0025]其中,K为预设值。
[0026]优选地,所述步骤S12进一步包括:
[0027]步骤S120,计算获得每一所述待测载荷中每一字节的字节值,字节值的取值范围为[0,255];
[0028]步骤S121,根据下述公式计算获得每一所述待测载荷中各字节值的频率分布,形成对应的待测特征向量样本:
[0029]Frequency
i
=count(i)/len(Payload),i∈[0,255]ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
[0030]BF={Frequency0,
…
,Frequency255}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)
[0031]其中,Frequency
i
表示待测载荷中取值等于i的字节的频率,count(i)表示待测载荷中取值等于i的字节的数量,len(Payload)为待测载荷中字节总数量,BF为待测特征向量样本;
[0032]步骤S125,将获得的每一待测特征向量样本进行降维处理,减少至128维;
[0033]步骤S126,将降维后的每一待测特征向量样本与预先设定的多个同维度的正常样本、异常样本形成样本空间如下:
[0034]S=[BF1,BF2,...BF
i
...]m
×
n
,i∈[0,n]ꢀꢀ
(3)
[0035]其中,S为代表样本空间,m代表特征维度,n代表样本S中样本的总数量;
[0036]步骤S127,采用下述公式分别计算每一待测特征向量样本与其他样本之间的距离
ρ,并根据计算出的所有距离进行升序排序,以每一所述待测特征向量样本K个最近的样本为参考,确定每一所述待测特征向量样本的分类结果:
[0037][0038]i∈[0,n],j∈[0,n],i≠j
[0039]其中,K为预设值。
[0040]优选地,所述步骤S13进一步包括:
[0041]当待测特征向量样本的分类中异常向量样本多于正常向量样本,则将其对应的待检测数据包确定为异常数据包;否则,将其对应的待检测数据包确定为正常数据包。
[0042]实施本专利技术实施例,具有如下有益效果:
...
【技术保护点】
【技术特征摘要】
1.一种基于频率特征分析的电力系统网络异常流量检测方法,其特征在于,包括如下的步骤:步骤S10,获取电力系统中至少一待检测数据包,并提取每一所述待检测数据对应的传输层的有效载荷作为待测载荷,所述待测载荷包括多个字节;步骤S11,对每一所述待测载荷的中预定位置的标志字节进行格式检查,如果所述待测载荷存在格式异常,则将当前待检测数据包确定为异常数据包;步骤S12,如果所述待测载荷格式正常,则获取每一字节的字节值,计算获得各字节值的频率分布,形成一待测特征向量样本,将每一所述待测特征向量样本与预先设定的多个正常样本、异常样本形成样本空间,并进行KNN分类,确定所述待测特征向量样本的分类结果;步骤S13,根据所述分类结果确定每一所述待测数据包是否异常。2.如权利要求1所述的方法,其特征在于,所述步骤S11进一步包括:检测所述待测载荷的中预定位置的标志字节的内容是否与对应的固定值相同,如不同,则确定为所述待测载荷存在格式异常,所述预定位置的标志字节为第一字节、第四字节和最后一个字节,每一字节预先对应一固定值。3.如权利要求2所述的方法,其特征在于,所述步骤S12进一步包括:步骤S120,计算获得每一所述待测载荷中每一字节的字节值,字节值的取值范围为[0,255];步骤S121,根据下述公式计算获得每一所述待测载荷中各字节值的频率分布,形成对应的待测特征向量样本:Frequency
i
=count(i)/len(Payload),i∈[0,255]
ꢀꢀꢀꢀ
(1)BF={Frequency0,
…
,Frequency255}
ꢀꢀꢀꢀ
(2)其中,Frequency
i
表示待测载荷中取值等于i的字节的频率,count(i)表示待测载荷中取值等于i的字节的数量,len(Payload)为待测载荷中字节总数量,BF为待测特征向量样本;步骤S122,将每一所述待测特征向量样本与预先设定的多个同维度的正常样本、异常样本形成样本空间如下:S=[BF1,BF2,..BF
i
...]
m
×
n
,i∈[0,n]
ꢀꢀꢀꢀ
(3)其中,S为代...
【专利技术属性】
技术研发人员:陈晓伟,刘涛,李伟华,何智帆,梁洪浩,李思鉴,孙文龙,樊明睿,陆月明,
申请(专利权)人:深圳供电局有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。