一种电网终端异常检测方法技术

本发明专利技术涉及一种电网终端异常检测方法，包括：对接收到的电网终端报文进行协议逐层解析，提取网络层数据和应用层指令级特征；对电网终端报文进行

【技术实现步骤摘要】
一种电网终端异常检测方法


[0001]本专利技术涉及电网信息安全检测
，具体涉及一种电网终端异常检测方法
。

技术介绍

[0002]电网中遥测量
、
遥信量等主要业务特征码的特征值主要是离散变量，对于离散变量，正常值应为该变量取值范围内的某个离散值，异常数据属于离群点，因此可以将对常量和离散变量的异常数据检测转换为对离群点的检测
。
当前，针对离群点的检测算法主要基于统计
、
距离
、
密度以及聚类四类方法
。
工业环境中的数据分布难以进行统计分布建模并且呈现局部集中分布等特点，相比于基于统计
、
距离和密度的离群点检测算法，基于聚类的检测算法可以避免选择统计分布模型，充分考虑到数据的局部特性，并且聚类算法的时间和空间复杂度是线性或接近线性的，能更好的满足工控系统对实时性要求
。
[0003]目前，网络攻击已成为新型武器，敌对势力利用网络攻击成功破坏电力等国家关键基础设施已成为现实，电网智能终端攻击一般针对电力特有的协议和特定的业务逻辑，具有攻击目标明确
、
操作隐蔽
、
潜伏时间长等特点，且一般通过集团式甚至是国家级实施攻击
。
目前电网智能终端系统在攻击检测方面主要是借鉴传统
IT
系统已较成熟技术，检测网络侧的安全事件，无法检测到如伪造控制指令等针对系统业务指令级的异常安全事件
。

技术实现思路

[0004]本专利技术的目的在于提供一种电网终端异常检测方法，该方法可以同时对电网终端的网络侧和业务指令级异常安全事件进行检测，提高了电网终端的安全性
。
[0005]为了实现上述目的，本专利技术采用的技术方案是：一种电网终端异常检测方法，包括：对接收到的电网终端报文进行协议逐层解析，提取网络层数据和应用层指令级特征；对电网终端报文进行
IP
识别，提取流量特征，通过单类支持向量机
OCSVM
实现流量异常检测；通过提取应用层指令级特征，提取出能识别协议特征的关键字段，分别与语法语义规则和攻击特征库进行匹配，实现畸形报文和攻击报文的检测；提取出业务指令行为特征值，通过基于聚类学习的聚类检测模型检测出违规业务指令
。
[0006]进一步地，所述语法语义规则根据协议规范设计；所述攻击特征库采用
snort
网络攻击规则库
。
[0007]进一步地，通过基于聚类学习的聚类检测模型检测违规业务指令的实现方法为：从大量训练报文样本中，提取业务指令行为特征值，包括业务指令特征码
、
业务指令频次，并提供给聚类算法进行学习；通过
K
‑
Means
聚类算法对各样本特征进行学习，使同一类的业务指令行为特征聚集到相同的聚类中，实现对业务指令行为特征的分类，形成多类业务指令行为聚类族，进而
得到训练好的聚类检测模型；在监测阶段，对实时采集的电网终端报文进行业务指令行为特征值提取，然后通过训练好的聚类检测模型对提取的业务指令行为特征值进行分析，判断是否发生业务特征异常
。
[0008]进一步地，针对电网智能终端业务指令的频次聚类分析，包括以下步骤：1）确定聚类分析对象：对电网智能终端不同业务指令的特征码和频次进行聚类分析；2）构造特征向量：构造针对业务指令频次的五维特征向量
<IP
，类型标识，传送原因，信息对象地址，单位时间业务指令频次
>
，所述五维特征向量表示某
IP
的电网智能终端单位时间内传送某类业务指令的特征码和特征码频次；3）训练样本数据采集：采集正常网络数据样本流量，解析识别业务指令类型，并统计单位时间内出现频次；4）构建训练向量集：根据五维向量结构，生成包含
n
个五维数据点的数据集
X={x1,x2,
…
,x
n
}
；5）聚类并构建聚类检测模型：通过
K
‑
Means
聚类算法将数据集中数据对象组织为
K
个划分
C={C
k
, i=1
…
k}
，每个划分代表一类
c
k
，每个类
c
k
有一个类别中心
μ
i
，选取欧氏距离作为相似性和距离判断准则，计算该类内各点到聚类中心的聚类平方和；从而构造得到聚类检测模型；6）业务指令频次在线检测：利用训练完成建立的聚类检测模型对检测向量进行分类，如果检测向量不属于任何类族，则判断发生异常
。
[0009]进一步地，该方法针对多源异构的电网终端高维安全监测大数据对象，主要处理文本原始数据
、
图像原始数据以及日志数据；针对原始文本数据
、
图像原始数据，首先提取其特征，构成特征矩阵，然后通过主成分分析对原始变量的相关矩阵或协方差矩阵内部结构进行分析，将多个变量转换为少数几个综合变量即主成分，从而达到降维目的；针对日志数据，根据日志中不同事件单元的序列相邻关系，构建关联网络，并在此基础上基于深度随机游走的网络嵌入模型，学习日志中关键元素的低维向量表达，并基于此计算日志中关键元素之间的关联性以及聚集特性，从而自动发现特定的行为模式和异常行为离群点；通过对电网智能终端数据进行处理，可发现其异常行为
。
[0010]与现有技术相比，本专利技术具有以下有益效果：提供了一种电网终端异常检测方法，该方法不仅可以对网络层流量异常
、
畸形报文和攻击报文进行监测，还提出了一种基于聚类学习的指令级特征检测方法，可以对业务特征异常进行检测，提高了电网终端异常检测的全面性，提高了电网终端的安全性
。
附图说明
[0011]图1是本专利技术实施例的方法实现原理框图；图2是本专利技术实施例中基于聚类学习检测违规业务指令的实现流程图；图3是本专利技术实施例中针对电网智能终端业务指令的频次聚类分析的实现流程图；图4是本专利技术实施例中对电网终端数据进行处理的实现流程图
。
具体实施方式
[0012]下面结合附图及实施例对本专利技术做进一步说明
。
[0013]应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明
。
除非另有指明，本文使用的所有技术和科学术语具有与本申请所属
的普通技术人员通常理解的相同含义
。
[0014]需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式
。
如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和
/
或“包括”时本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种电网终端异常检测方法，其特征在于，包括：对接收到的电网终端报文进行协议逐层解析，提取网络层数据和应用层指令级特征；对电网终端报文进行
IP
识别，提取流量特征，通过单类支持向量机
OCSVM
实现电网终端的流量异常检测；通过提取应用层指令级特征，提取出能识别协议特征的关键字段，分别与语法语义规则和攻击特征库进行匹配，实现畸形报文和攻击报文的检测；提取出业务指令行为特征值，通过基于聚类学习的聚类检测模型检测出违规业务指令
。2.
根据权利要求1所述的一种电网终端异常检测方法，其特征在于，所述语法语义规则根据协议规范设计；所述攻击特征库采用
snort
网络攻击规则库
。3.
根据权利要求1所述的一种电网终端异常检测方法，其特征在于，通过基于聚类学习的聚类检测模型检测违规业务指令的实现方法为：从大量训练报文样本中，提取业务指令行为特征值，包括业务指令特征码
、
业务指令频次，并提供给聚类算法进行学习；通过
K
‑
Means
聚类算法对各样本特征进行学习，使同一类的业务指令行为特征聚集到相同的聚类中，实现对业务指令行为特征的分类，形成多类业务指令行为聚类族，进而得到训练好的聚类检测模型；在监测阶段，对实时采集的电网终端报文进行业务指令行为特征值提取，然后通过训练好的聚类检测模型对提取的业务指令行为特征值进行分析，判断是否发生业务特征异常
。4.
根据权利要求3所述的一种电网终端异常检测方法，其特征在于，针对电网智能终端业务指令的频次聚类分析，包括以下步骤：1）确定聚类分析对象：对电网智能终端不同业务指令的特征码和频次进行聚类分析；2）构造特征向量：构造针对业务指令频次的五维特征向量
<IP
，类型标识，传送原因，信息对象地址，单位时间业务指令频次
>
，所述五维特征向量表示某
IP<...

【专利技术属性】
技术研发人员：张坤三，张永记，郭敬东，罗富财，沈立翔，吴丽进，郭蔡炜，纪文，何金栋，
申请(专利权)人：国网福建省电力有限公司漳州供电公司，
类型：发明
国别省市：