一种基于设备状态和正常行为模型的智能电网入侵检测方法与流程

1.本发明涉及机器学习技术领域，具体为一种基于设备状态和正常行为模型的智能电网入侵检测方法。


背景技术：

2.随着工业变革的推进，电力系统作为重大国民基础设施首当其冲要向着智能化转变。然而，智能电网的发展必然面临从未有过的网络安全威胁。其中包括电网系统本身暴露面增加带来的安全问题，以及物联网设备的终端安全问题。
3.智能电网包含众多智能终端，并且随着电网规模的扩大，终端数量仍在迅速增加。这些终端设备中包含的状态数据，不仅可以反映其本身的安全状态，也可以反映其所在的电力系统是否处于安全隐患中。现有的入侵检测方法中存在两个问题，一是误报率或者检出率仍然还有提升空间，二是传统的防护方法多依赖人工规则或特征库，要么要求实时更新，要么受专家知识面的影响。


技术实现要素：

4.针对现有技术存在的不足，本发明目的是提供一种基于设备状态和正常行为模型的智能电网入侵检测方法，以解决上述背景技术中提出的问题,本发明降低了误报率，入侵检测过程具有实时、高效、独立的效果。
5.为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于设备状态和正常行为模型的智能电网入侵检测方法，包括以下步骤：(1)数据收集中台收集智能电网中不同设备在正常和异常两种状态下的行为数据，得到正常行为数据集normalset和异常行为数据集abnormalset；(2)将步骤(1)中得到的正常行为数据集normalset和异常行为数据集abnormalset经n-gram模型进行数据处理后，通过机器学习算法ripper算法，训练得到正常行为模型；(3)根据步骤(2)中得到的正常行为模型m，对智能电网中实时运行的设备状态数据进行判断，若不匹配正常行为模型中任何规则，则认为当前状态为异常，进入步骤(4)进行异常度计算。否则，继续监控设备实时状态数据；(4)进行异常度η计算，判断是否超过设定的异常阈值ηv，若超过则进入告警程序，过程结束，否则返回步骤(3)。
6.进一步的，在步骤(2)中，所述n-gram模型采用的是n＝k的模型，将normalset＝n1n2...ni...n
n-1nn
按照时间顺序处理成若干长度为k的短序列，即将abnormalset＝a1a2...ai...a
n-1an
按照时间顺序处理成若干长度为k的短序列，即
7.进一步的，将n和中短序列与其对应的类型(正常或异常)组成新的短序列，共同构成集合x＝∑{x1，x2，...，xi，...，xk，c}i，其中{x1，x2，...，xi，...，xk}∈n∪a,c∈class＝{正常，异常}。
8.进一步的，设定待定正常行为模型m
pre
为空，集合x经过ripper算法计算，得到包含指向正常类型和异常类型的两种规则集取其中c＝正常的规则构成新增正常行为模型m
new
，使得待定正常行为模型构成与新增正常行为模型的并集m
pre
＝m
pre
∪m
new
。
9.进一步的，通过待定正常行为模型m
pre
计算n中被定义为正常序列的比例p
nor
。并判断其是否大于或等于设定阈值pv，若大于或等于，则正常行为模型m＝m
pre
，过程结束。若小于，将得到集合n中所有序列通过待定正常行为模型m
pre
判断后，被定义为异常序列的集合set
abnor
，使得set
abnor
与集合a构成新的集合。
10.进一步的，令x＝x
′
，n＝set
abnor
，并重复ripper算法进行计算。
11.进一步的，在步骤(3)中，状态采集器收集到的最新k条状态作为当前的实时设备状态数据。
12.进一步的，在步骤(4)中，异常度表示异常序列的出现频率，计算公式为其中p
abnormal
表示t时间内出现异常序列的个数。t的单位为ms，为常量，且p
abnormal
＝p
abnormal
1。
13.进一步的，计算p
abnormal
序列中与当前时间相差大于t ms的序列个数p
timeout
，使得p
abnormal
＝p
abnormal-p
timeout
。
14.进一步的，计算异常度若η≥ηv，则过程结束，进入告警程序。否则返回步骤(3)
15.本发明的有益效果：
16.1.该基于设备状态和正常行为模型的智能电网入侵检测方法通过获取正常状态和异常状态下特定物联网终端设备的数据信息，通过ripper算法构建智能电网基于这些特定设备状态信息的正常行为模型，再在运行中，将实时设备状态数据与正常行为模型比对，若适配为异常状态，则通过异常阈值判断是否触发告警机制，实现了智能电网中实时、高效、独立的入侵检测效果。
17.2.该基于设备状态和正常行为模型的智能电网入侵检测方法降低了入侵检测的误报率，通过计算异常序列出现的频率，判断其是否超过设定阈值，智能化程度高，能自动实现防护和检出过程。
附图说明
18.图1为本发明一种基于设备状态和正常行为模型的智能电网入侵检测方法的流程图；
19.图2为本发明一种基于设备状态和正常行为模型的智能电网入侵检测方法的具体行为数据表。
具体实施方式
20.为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合
具体实施方式，进一步阐述本发明。
21.请参阅图1至图2，本发明提供一种技术方案：一种基于设备状态和正常行为模型的智能电网入侵检测方法，包括以下步骤：
22.(1)数据收集中台收集智能电网中不同设备在正常和异常两种状态下的行为数据，得到正常行为数据集normalset和异常行为数据集abnormalset；具体而言，智能电网设备包括前端、配电接入点和智能电表。具体行为数据见图2。
23.本实施例，(2)将步骤(1)中得到的正常行为数据集normalset和异常行为数据集abnormalset经n＝6的n-gram模型，即6-gram模型进行数据处理后，通过机器学习算法ripper算法，训练得到正常行为模型；
24.(2-1)将normalset＝n1n2...ni...n
n-1nn
按照时间顺序处理成若干长度为6的短序列，即
25.(2-2)将abnormalset＝a1a2...ai...a
n-1an
按照时间顺序处理成若干长度为6的短序列，即
26.(2-3)将n和中短序列与其对应的类型(正常或异常)组成新的短序列，共同构成集合x＝∑{x1，x2，x3，x4，x5，x6，c}i，其中{x1，x2，x3，x4，x5，x6}∈n∪a,c∈class＝{正常，异常}；
27.(2-4)设定待定正常行为模型m
pre
为空；
28.(2-5)集合x经过ripper算法计算，得到包含指向正常类型和异常类型的两种规则集取其中c＝正常的规则构成新增正常行为模型m
new
，使得待定正常行为模型构成与新增正常行为模型的并集m
pre
＝m
pre
∪m
new
；
29.(2-6)通过待定正常行为模型m
pre
计算n中被定义为正常序列的比例p
nor
。并判断其是否大于或等于设定阈值pv，若大于或等于，则正常行为模型m＝m
pre
，过程结束。若小于，则进入步骤(2-7)；
30.具体而言，正常序列的比例阈值p
nor
关系到正常行为模型的误报率，比例越大，误报率越低。一般智能电网中考虑系统的稳定性，会将其设定得较高，一般而言，可以设定p
nor
＝90％。
31.(2-7)得到集合n中所有序列通过待定正常行为模型m
pre
判断后，被定义为异常序列的集合set
abnor
，使得seta
bnor
与集合a构成新的集合。
32.(2-8)令x＝x
′
，n＝set
abnor
，返回步骤(2-5)。
33.本实施例，(3)根据步骤(2)中得到的正常行为模型m，对智能电网中实时运行的设备状态数据进行判断，若不匹配正常行为模型中任何规则，则认为当前状态为异常，进入步骤(4)进行异常度计算。否则，继续监控设备实时状态数据，具体来说，是将状态采集器收集到的最新6条状态作为当前的实时设备状态数据。
34.本实施例，(4)进行异常度η计算，判断是否超过设定的异常阈值ηv，若超过则进入告警程序，过程结束。否则返回步骤(3)。
35.具体而言，异常度表示异常序列的出现频率，计算公式为其中p
abnormal
表示t时间内出现异常序列的个数。t的单位为s，为常量，一般而言，范围在30s～3000s之间。
36.(4-1)p
abnormal
＝p
abnormal
1；
37.(4-2)计算p
abnormal
序列中与当前时间相差大于t s的序列个数p
time out
，使得p
abnormal
＝p
abnormal-p
timeout
；
38.(4-3)计算异常度若η≥ηv，则过程结束，进入告警程序。否则返回步骤(3)。
39.异常阈值ηv关系到告警的频率及漏报率，ηv越大，报警频率越低，但漏报率高，相反则报警频率高，漏报率低。一般而言，可以设定ηv在1次每秒到10次每秒之间。
40.以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
41.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。