一种电力工控系统入侵检测方法、装置及存储介质制造方法及图纸

本发明专利技术公开了一种电力工控系统入侵检测方法、装置及存储介质。其中，方法包括：获取电力工控系统的电力工控系统数据；利用预先训练的随机森林分类模型对电力工控系统数据进行分类，确定电力工控系统数据的分类结果，其中分类结果用于指示电力工控系统是否存在入侵行为，随机森林分类模型通过网格搜索超参数优化方法根据超参数的重要性顺序进行优化。化方法根据超参数的重要性顺序进行优化。化方法根据超参数的重要性顺序进行优化。

【技术实现步骤摘要】
一种电力工控系统入侵检测方法、装置及存储介质


[0001]本专利技术涉及电力工控系统
，并且更具体地，涉及一种电力工控系统入侵检测方法、装置及存储介质。

技术介绍

[0002]电力工控系统的目标和组成架构与传统信息技术有着根本的不同，具体表现为1)处理真实设备2)设备种类繁多3)业务流程固定4)首要目标是保障系统的稳定运行5)私有协议众多。将传统的网络入侵检测方法直接应用于电力工控入侵检测存在检测效果差、未有效的针对电力工控系统特点等问题，因此不能直接套用传统信息系统领域的入侵检测技术。
[0003]目前，电力工控入侵检测技术主要有三种类型：误用检测、异常检测和混合检测。误用检测通过提取已发生的攻击特征识别已知攻击。这种方法存在不能识别零日攻击等新型攻击，且管理员需要经常更新特征规则数据库，这在要求长时间稳定运行的电力工控系统中是非常不合适的。异常检测首先学习正常的网络和系统行为，然后通过计算实际运行情况和正常行为的偏差来识别异常，这种方法的缺点是会产生较高的误报率，而电力工控系统需要高准确率确保电力系统的稳定运行。

技术实现思路

[0004]针对现有技术的不足，本专利技术提供一种电力工控系统入侵检测方法、装置及存储介质。
[0005]根据本专利技术的一个方面，提供了一种电力工控系统入侵检测方法，包括：
[0006]获取电力工控系统的电力工控系统数据；
[0007]利用预先训练的随机森林分类模型对电力工控系统数据进行分类，确定电力工控系统数据的分类结果，其中分类结果用于指示电力工控系统是否存在入侵行为，随机森林分类模型通过网格搜索超参数优化方法根据超参数的重要性顺序进行优化。
[0008]可选地，还包括：对电力工控系统数据进行预处理，并且
[0009]对电力工控系统数据进行预处理的操作，包括：
[0010]将电力工控系统数据中带有缺失值的数据进行删除；
[0011]将电力工控系统数据中的inf值设为1000；
[0012]通过预先设置的标准化公式对电力工控系统数据进行标准化处理；
[0013]通过预先设置的归一化方法对电力工控系统数据进行归一化处理。
[0014]可选地，通过如下方法训练随机森林分类模型：
[0015]获取历史电力工控系统数据集；
[0016]将第一预设百分比的历史电力工控系统数据集作为训练数据集，并将第二预设百分比的历史电力工控系统数据集作为测试数据集；
[0017]构建随机森林分类模型的超参数配置空间；
[0018]利用超参数配置空间中的超参数组合构建随机森林分类器；
[0019]通过训练数据集训练随机森林分类器；
[0020]根据超参数组合以及随机森林分类器，确定随机森林分类模型。
[0021]可选地，还包括：对历史电力工控系统数据集进行预处理，并且
[0022]对历史电力工控系统数据集进行预处理的操作，包括：
[0023]将历史电力工控系统数据集中带有缺失值的数据进行删除；
[0024]将历史电力工控系统数据集中的inf值设为1000；
[0025]通过预先设置的标准化公式对历史电力工控系统数据集进行标准化处理；
[0026]通过预先设置的归一化方法对历史电力工控系统数据集进行归一化处理。
[0027]可选地，还包括：
[0028]通过随机森林分类器对测试数据集进行分类，确定随机森林分类器的评估指标；
[0029]在评估指标超出预先设置的评估阈值的情况下，判断随机森林分类器不合格。
[0030]可选地，还包括：
[0031]采用roc_auc分数作为评估指标的评价标准。
[0032]可选地，还包括：
[0033]通过预先设定的泛函方差分析得到超参数组合中超参数重要性排序；
[0034]根据超参数组合中超参数重要性排序依次对每个超参数进行网格搜索优化，确定最优超参数组合；
[0035]将最优超参数组合替换随机森林分类器中的超参数组合，确定最优随机森林分类器；
[0036]根据最优随机森林分类器，确定随机森林分类模型。
[0037]可选地，通过预先设定的泛函方差分析得到超参数组合中超参数重要性排序的操作，包括：
[0038]通过泛函方差分析将随机森林分类器中每棵树预测值的方差分解为多个超参数的方差贡献之和；
[0039]根据超参数组合中多个超参数的方差贡献值，确定超参数组合中超参数重要性排序。
[0040]根据本专利技术的另一个方面，提供了一种电力工控系统入侵检测装置，包括：
[0041]第一获取模块，用于获取电力工控系统的电力工控系统数据；
[0042]第一确定模块，用于利用预先训练的随机森林分类模型对电力工控系统数据进行分类，确定电力工控系统数据的分类结果，其中分类结果用于指示电力工控系统是否存在入侵行为，随机森林分类模型通过网格搜索超参数优化方法根据超参数的重要性顺序进行优化。
[0043]根据本专利技术的又一个方面，提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行本专利技术上述任一方面所述的方法。
[0044]根据本专利技术的又一个方面，提供了一种电子设备，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现本专利技术上述任一方面所述的方法。
[0045]从而，通过本申请提供的一种随机森林分类模型的电力工控系统入侵检测方法，
由于新型攻击会产生流量特征，流量特征送入决策树分类产生结果，可以判断是否为攻击行为。并且本专利技术的随机森林分类模型通过一种改进网格搜索超参数优化算法，通过确定超参数的重要性，对单个超参数进行网格搜索，将计算速度提高至O(n
×
m)，满足电力工控系统入侵检测快速性需求。
附图说明
[0046]通过参考下面的附图，可以更为完整地理解本专利技术的示例性实施方式：
[0047]图1是本专利技术一示例性实施例提供的电力工控系统入侵检测方法的流程示意图；
[0048]图2是本专利技术一示例性实施例提供的入侵检测方法流程图；
[0049]图3是本专利技术一示例性实施例提供的随机森林分类器模型示意图；
[0050]图4是本专利技术一示例性实施例提供的改进网格搜索优化算法示意图；
[0051]图5是本专利技术一示例性实施例提供的分类器模型评估指标示意图；
[0052]图6是本专利技术一示例性实施例提供的电力工控系统入侵检测装置的结构示意图；
[0053]图7是本专利技术一示例性实施例提供的电子设备的结构。
具体实施方式
[0054]下面，将参考附图详细地描述根据本专利技术的示例实施例。显然，所描述的实施例仅仅是本专利技术的一部分实施例，而不是本专利技术的全部实施例，应理解，本专利技术不受这里描述的示例实施例的限制。...

【技术保护点】

【技术特征摘要】
1.一种电力工控系统入侵检测方法，其特征在于，包括：获取电力工控系统的电力工控系统数据；利用预先训练的随机森林分类模型对所述电力工控系统数据进行分类，确定所述电力工控系统数据的分类结果，其中所述分类结果用于指示电力工控系统是否存在入侵行为，所述随机森林分类模型通过网格搜索超参数优化方法根据超参数的重要性顺序进行优化。2.根据权利要求1所述的方法，其特征在于，还包括：对所述电力工控系统数据进行预处理，并且对所述电力工控系统数据进行预处理的操作，包括：将所述电力工控系统数据中带有缺失值的数据进行删除；将所述电力工控系统数据中的inf值设为1000；通过预先设置的标准化公式对所述电力工控系统数据进行标准化处理；通过预先设置的归一化方法对所述电力工控系统数据进行归一化处理。3.根据权利要求1所述的方法，其特征在于，还包括：通过如下方法训练所述随机森林分类模型：获取历史电力工控系统数据集；将第一预设百分比的所述历史电力工控系统数据集作为训练数据集，并将第二预设百分比的所述历史电力工控系统数据集作为测试数据集；构建所述随机森林分类模型的超参数配置空间；利用所述超参数配置空间中的超参数组合构建随机森林分类器；通过所述训练数据集训练所述随机森林分类器；根据所述超参数组合以及所述随机森林分类器，确定所述随机森林分类模型。4.根据权利要求3所述的方法，其特征在于，还包括：对所述历史电力工控系统数据集进行预处理，并且对所述历史电力工控系统数据集进行预处理的操作，包括：将所述历史电力工控系统数据集中带有缺失值的数据进行删除；将所述历史电力工控系统数据集中的inf值设为1000；通过预先设置的标准化公式对所述历史电力工控系统数据集进行标准化处理；通过预先设置的归一化方法对所述历史电力工控系统数据集进行归一化处理。5.根据权利要求3所述的方法，其特征在于，还包括：通过所述随机森林分类器对所述测试数据集进行分类，确定所述随机森林分类器的评估指标；在所述评估指标超出预先设置的评估阈值的情况下，判断所述随机森林分类器不合格。6.根据权利要求5所述的方法，其特征在于，还包括：采用roc_auc分数作为所述评估指标的评价标准。7.根据权利要求3所述的方法，其特征在于，还包括：通过预先设定的泛函方差分析得到所述超参数组合中超参数重要性排序；根据所述超参数组合中超参数重要性排序依次对每个超参数进行网格搜索优化，确定最优超参数组合；
将所述最优超参数组合替换所述随机森林分类器中的所述超参数组合，确定最优随机森林分类器；根据所述最优随机森林分类器，确定所述随机森林分类模型。8.根据权利要求7所述的方法，其特征在于，通过预先设定的泛函方差分析得到所述超参数组合中超参数重要性排序的操作，包括：通过所述泛函方差分析将所述随机森林分类器中每棵树预测值的方差分解为多个超参数的方差贡献之和；根据所述超参数组合中多个超参数的方差贡献值，确定所述超参数组合中超参数重要性排序。9.一种电力工控系统入侵检测装置，其特征在于，包括：第一获取模块，用于获取电力工控系统的电力工控系统数据；第一确定模块，用于利用预先训练的随机森林分类模型对所述电力工控系统数据进行分类，确定所述电力工控系统数据的分类结果，其中所述分类结果用于指示电力工控系统是否存在入侵行为，所述随机森林分类模型通过网格搜索超参数优化方法根据超参数的重要性顺序进行优化。10.根据权利要求9所述的装置，其特征在于，还包括：第...

【专利技术属性】
技术研发人员：朱宁远，朱朝阳，周亮，朱亚运，张晓娟，蔺子卿，
申请(专利权)人：国网上海市电力公司国家电网有限公司，
类型：发明
国别省市：