一种源网荷储协同控制系统的网络攻击关联性分析方法

1.本发明属于电力系统数据挖掘领域，涉及一种源网荷储协同控制系统的网络攻击关联性分析方法。


背景技术：

2.在源网荷储协同互动背景下，新型能源系统建设呈现出新能源为主、新设备大量接入、新技术广泛应用的特点，对此建立了源网荷储资源协调控制系统，并通过数据管理融合技术、数据统一服务技术、资源全息感知等技术实现源网荷储各场景中的应用。但由于海量分布的新能源场站高比例、碎片化的接入，导致网络安全防御关口增加，网络防护边界愈发模糊。物联终端新设备的大量接入使数字化威胁逐步渗透电力系统中，攻击暴露面和防护范围显著增加，给以边界为核心的传统防护构架带来了挑战。源网荷储协同场景下多方数据频繁交互，在交互过程中，若负荷侧需求电量等关键数据被黑客篡改，将会影响发电侧、负荷侧调节计划，影响电网安全。目前，关联规则分析技术已经被运用于电力系统领域，关联规则分析法通过对挖掘数据集合中多个变量间的关系，以发现事务集合中不同项之间的联系，并利用这些联系构成的规则，找到相关的行为特征从而帮助决策。通过挖掘异常事件与网络攻击的关联规则，实现对异常事件进行在线匹配，可以及时发现潜在威胁、识别攻击场景并部署对应防护策略。


技术实现要素：

3.为解决上述问题，本发明公开了一种源网荷储协同控制系统的网络攻击关联性分析方法，解决现有技术中对网络攻击场景识别效率较低问题。
4.本发明为实现上述发明目的采用如下技术方案：
5.步骤一：针对源网荷储协同控制系统，获取其运行日志文件，对获取数据进行预处理，过滤与网络攻击场景无关与重复的数据。
6.步骤二：建立源网荷储协同控制系统异常事件要素集合，确定源网荷储协同控制系统遭受的网络攻击类型与遭受攻击后产生的异常事件类型。
7.步骤三：采用fp-growth算法进行关联规则挖掘，对异常事件集合进行两次遍历，获得网络攻击导致的异常事件的数据频繁项集。
8.步骤四：采用灰色关联分析构建源网荷储协同控制系统攻击关联匹配模块，将实时事件进行关联匹配，实现对攻击场景的快速识别。
9.进一步的，步骤一、二中，根据源网荷储协同控制系统遭受多维度攻击时的异常表现形式、攻击场景与攻击对象，构建网络攻击异常事件关键因素集合：
10.x＝{si,ai,oi}
11.式中：si为攻击场景，ai是网络攻击异常表现形式，oi代表数据来源对象。网络攻击场景为测控设备破坏攻击、ddos上行/下行信道攻击、数据篡改上行/下行信道攻击、伪造指令攻击共6种攻击场景，用1-6进行编号。异常事件主要有终端通信异常、终端配置变更、网
络拒绝服务、网络流量异常、违规业务指令、电压异常、电流异常、上报可切负荷异常等共12类异常事件，用a-l进行编号。将每一条涉及网络攻击的日志文件条经处理并排除重复项后，写入网络攻击异常事件数据集。
12.进一步的，所述步骤三中采用fp-growth进行关联规则挖掘：
13.(1)对经过整理后网络攻击导致的异常数据集合进行第1遍扫描，集合中每条数据代表系统遭遇网络攻击的出现异常记录，统计其中所有si或ai元素出现的频数，去除出现频数小于设定的最小支持度的元素，剩下的元素即为满足支持度要求的频繁元素，将这些元素作为根节点，构建fp-tree表头。
14.(2)第二遍扫描数据集，对于数据集中的每条项集，将其频繁元素按照支持度以降序排列，将每条项集中所有元素构成由根节点到叶节点的路径。按支持度的降序排列后前n个元素相同的事务就共享前n个节点。fp-tree中各节点的计数为经过该节点的事务条数，输出得到攻击场景si与网络攻击异常表现形式ai之间满足最小置信度的频繁项集，获得二者之间的关联规则。
15.进一步的，步骤四中建立的源网荷储协同控制系统网络攻击关联匹配模块，实现攻击场景的快速识别。对于源网荷储实时异常事件，将6种网络攻击异常表现形式构成异常事件属性集x＝{x1,x2…
x6}；设置各指标的最优值(或最劣值)构成参考属性集y＝{y1,y2…
y6}为计算属性集中各属性与参考属性之间的关联度，建立了实时比较数列xi(k)与参考数列y(k)。
16.xi＝xi(k)|k＝1,2,
…
,n i＝1,2,
…617.y＝y(k)|k＝1,2,
…
,n
18.其中，k表示不同时刻，i表示属性集中的不同属性。由于各因素列中的数据的量纲存在不同，因此在评估实时异常事件各属性与参考属性之间的关联度之前需要对数据进行无量纲化处理，主要采用以下两种方法，分别为初值化处理和均值化处理：
[0019][0020][0021]
初始化处理通过数列的所有数据xi(k)除以第一个数据xi(1)得到一个新的数据列，可以表示原数据列在不同时刻相对于第一时刻的数据倍数，数据列有共同的起点和无量纲。
[0022]
均值化处理通过数列的所有数据xi(k)除以数据平均值得到一个新的数据列，可以表示原数据列在不同时刻相对于平均值的倍数，数据列有共同的起点和无量纲。
[0023]
利用无量纲化处理后的数据计算各时段下的关联系数ξi(k)：
[0024][0025]
设δi(k)＝|y(k)-xi(k)|,则：
[0026]
[0027]
其中，ρ称为分辨系数，取ρ＝0.5；δi(k)为第k点的绝对差，为二级最大差，为二级最小差，。最后，计算比较数列与参考数列在各个时刻的关联系数平均值，即为实时异常事件各属性与参考属性之间的关联度ri：
[0028][0029]
n为两个序列的长度,对单个属性设定不同的阈值β，通过对比阈值β与对应属性的关联度ri，判断该属性对应的异常表现是否发生，例如，对误动异常的关联度计算，可以设定为：得到实时异常事件对于网络攻击异常表现形式的元素集合，结合网络攻击规则库中的关联规则，实现对攻击场景的快速识别。
[0030]
本发明的有益效果：
[0031]
通过挖掘异常事件与网络攻击的关联规则，实现对异常事件进行在线匹配，可以及时发现潜在威胁、识别攻击场景并部署对应防护策略。
附图说明
[0032]
图1为源网荷储协同控制系统的网络攻击关联性分析方法流程图。
[0033]
图2为基于fp-growth算法的频繁项集挖掘流程。
具体实施方式
[0034]
下面结合附图和具体实施方式，进一步阐明本发明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。需要说明的是，下面描述中使用的词语“前”、“后”、“左”、“右”、“上”和“下”指的是附图中的方向，词语“内”和“外”分别指的是朝向或远离特定部件几何中心的方向。
[0035]
如图1所示，图一为方法的流程图：本方法包括如下步骤
[0036]
步骤一：针对源网荷储协同控制系统，获取其运行日志文件，对获取数据进行预处理，过滤与网络攻击场景无关与重复的数据。
[0037]
步骤二：建立源网荷储协同控制系统异常事件要素集合，确定源网荷储协同控制系统遭受的网络攻击类型与遭受攻击后产生的异常事件类型。
[0038]
步骤三：采用fp-growth算法进行关联规则挖掘，对异常事件集合进行两次遍历，获得网络攻击导致的异常的事件数据频繁项集。
[0039]
步骤四：采用灰色关联分析构建源网荷储协同控制系统攻击关联匹配模块，将实时事件进行关联匹配，实现对攻击场景的快速识别。
[0040]
步骤一与步骤二中，根据源网荷储协同控制系统遭受多维度攻击时的异常表现形式、攻击场景与攻击对象，构建网络攻击异常事件关键因素集合具体方法为：络攻击场景包括测控设备破坏攻击、ddos上行/下行信道攻击、数据篡改上行/下行信道攻击、伪造指令攻击共6种攻击场景，用1-6进行编号。异常事件主要有终端通信异常、终端配置变更、网络拒绝服务、网络流量异常、违规业务指令、电压异常、电流异常、上报可切负荷异常等共12类异
常事件，用a-l进行编号。将每一条涉及网络攻击的日志文件条经处理并排除重复项后，写入网络攻击异常事件数据集。
[0041]
如图2所示，步骤三中，基于fp-growth算法进行关联规则挖掘的流程为：1)对经过整理后网络攻击导致的异常数据集合进行第1遍扫描，集合中每条数据代表系统遭遇网络攻击的出现异常记录，统计其中所有si或ai元素出现的频数，去除出现频数小于设定的最小支持度的元素，剩下的元素即为满足支持度要求的频繁元素，将这些元素作为根节点，构建fp-tree表头。
[0042]
2)第二遍扫描数据集，对于数据集中的每条项集，将其频繁元素按照支持度以降序排列，将每条项集中所有元素构成由根节点到叶节点的路径。按支持度的降序排列后前n个元素相同的事务就共享前n个节点。fp-tree中各节点的计数为经过该节点的事务条数，输出得到攻击场景si与网络攻击异常表现形式ai之间满足最小置信度的频繁项集，获得二者之间的关联规则。
[0043]
步骤四中，首先对于源网荷储实时异常事件，将6种网络攻击异常表现形式构成异常事件属性集x＝{x1,x2…
x6}；设置各指标的最优值(或最劣值)构成参考属性集y＝{y1,y2…
y6}为计算属性集中各属性与参考属性之间的关联度，建立了实时比较数列xi(k)与参考数列y(k)。
[0044]
xi＝xi(k)|k＝1,2,
…
,n i＝1,2,
…6[0045]
y＝y(k)|k＝1,2,
…
,n
[0046]
其中，k表示不同时刻，i表示属性集中的不同属性。由于各因素列中的数据的量纲存在不同，因此在评估实时异常事件各属性与参考属性之间的关联度之前需要对数据进行无量纲化处理，主要采用以下两种方法，分别为初值化处理和均值化处理：
[0047][0048][0049]
初始化处理通过数列的所有数据xi(k)除以第一个数据xi(1)得到一个新的数据列，可以表示原数据列在不同时刻相对于第一时刻的数据倍数，数据列有共同的起点和无量纲。
[0050]
均值化处理通过数列的所有数据xi(k)除以数据平均值得到一个新的数据列，可以表示原数据列在不同时刻相对于平均值的倍数，数据列有共同的起点和无量纲。
[0051]
利用无量纲化处理后的数据计算各时段下的关联系数ξi(k)：
[0052][0053]
设δi(k)＝|y(k)-xi(k)|,则：
[0054][0055]
其中，ρ称为分辨系数，取ρ＝0.5；δi(k)为第k点的绝对差，为
二级最大差，为二级最小差，。最后，计算比较数列与参考数列在各个时刻的关联系数平均值，即为实时异常事件各属性与参考属性之间的关联度ri：
[0056][0057]
n为两个序列的长度,对单个属性设定不同的阈值β，通过对比阈值β与对应属性的关联度ri，判断该属性对应的异常表现是否发生，例如，对误动异常的关联度计算，可以设定为：得到实时异常事件对于网络攻击异常表现形式的元素集合，结合网络攻击规则库中的关联规则，实现对攻击场景的快速识别。
[0058]
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段，还包括由以上技术特征任意组合所组成的技术方案。