【技术实现步骤摘要】
一种电网终端异常检测方法
[0001]本专利技术涉及电网信息安全检测
,具体涉及一种电网终端异常检测方法
。
技术介绍
[0002]电网中遥测量
、
遥信量等主要业务特征码的特征值主要是离散变量,对于离散变量,正常值应为该变量取值范围内的某个离散值,异常数据属于离群点,因此可以将对常量和离散变量的异常数据检测转换为对离群点的检测
。
当前,针对离群点的检测算法主要基于统计
、
距离
、
密度以及聚类四类方法
。
工业环境中的数据分布难以进行统计分布建模并且呈现局部集中分布等特点,相比于基于统计
、
距离和密度的离群点检测算法,基于聚类的检测算法可以避免选择统计分布模型,充分考虑到数据的局部特性,并且聚类算法的时间和空间复杂度是线性或接近线性的,能更好的满足工控系统对实时性要求
。
[0003]目前,网络攻击已成为新型武器,敌对势力利用网络攻击成功破坏电力等国家关键基础设施已成为现实,电网智能终端攻击一般针对电力特有的协议和特定的业务逻辑,具有攻击目标明确
、
操作隐蔽
、
潜伏时间长等特点,且一般通过集团式甚至是国家级实施攻击
。
目前电网智能终端系统在攻击检测方面主要是借鉴传统
IT
系统已较成熟技术,检测网络侧的安全事件,无法检测到如伪造控制指令等针对系统业务指令级的异常安全事件
。
技术实现思路
[0 ...
【技术保护点】
【技术特征摘要】
1.
一种电网终端异常检测方法,其特征在于,包括:对接收到的电网终端报文进行协议逐层解析,提取网络层数据和应用层指令级特征;对电网终端报文进行
IP
识别,提取流量特征,通过单类支持向量机
OCSVM
实现电网终端的流量异常检测;通过提取应用层指令级特征,提取出能识别协议特征的关键字段,分别与语法语义规则和攻击特征库进行匹配,实现畸形报文和攻击报文的检测;提取出业务指令行为特征值,通过基于聚类学习的聚类检测模型检测出违规业务指令
。2.
根据权利要求1所述的一种电网终端异常检测方法,其特征在于,所述语法语义规则根据协议规范设计;所述攻击特征库采用
snort
网络攻击规则库
。3.
根据权利要求1所述的一种电网终端异常检测方法,其特征在于,通过基于聚类学习的聚类检测模型检测违规业务指令的实现方法为:从大量训练报文样本中,提取业务指令行为特征值,包括业务指令特征码
、
业务指令频次,并提供给聚类算法进行学习;通过
K
‑
Means
聚类算法对各样本特征进行学习,使同一类的业务指令行为特征聚集到相同的聚类中,实现对业务指令行为特征的分类,形成多类业务指令行为聚类族,进而得到训练好的聚类检测模型;在监测阶段,对实时采集的电网终端报文进行业务指令行为特征值提取,然后通过训练好的聚类检测模型对提取的业务指令行为特征值进行分析,判断是否发生业务特征异常
。4.
根据权利要求3所述的一种电网终端异常检测方法,其特征在于,针对电网智能终端业务指令的频次聚类分析,包括以下步骤:1)确定聚类分析对象:对电网智能终端不同业务指令的特征码和频次进行聚类分析;2)构造特征向量:构造针对业务指令频次的五维特征向量
<IP
,类型标识,传送原因,信息对象地址,单位时间业务指令频次
>
,所述五维特征向量表示某
IP<...
【专利技术属性】
技术研发人员:张坤三,张永记,郭敬东,罗富财,沈立翔,吴丽进,郭蔡炜,纪文,何金栋,
申请(专利权)人:国网福建省电力有限公司漳州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。