1、智能设计检测 年 月第 卷第 期 :,收稿日期:;修回日期:作者简介:李娜(),女,工程师,研究方向:电网业务及企业数字应用研发;:。引文格式:李娜,潘麟,明成昆,等 基于行为模型的电力用户异常检测应用 粘接,():基于行为模型的电力用户异常检测应用李娜,潘麟,明成昆,程欢,黄朝晖,王晓峰,龚艳丽(湖北华中电力科技开发有限责任公司,湖北 武汉 )摘要:由于电力用户系统的脆弱性和高风险,为保护电力用户系统不受全天候的网络攻击,提出了一种基于行为模型的电力用户异常检测方法。该方法从信息系统网络流量中提取行为数据序列,构建控制器和入侵系统受控过程的正常行为模型,并将测试行为数据和预测行为数据进行比较
2、以检测电力用户系统异常。结果表明,基于行为模型的异常检测,可以有效检测异常行为数据。当电力用户信息数据被篡改时,入侵检测系统可检测出行为序列异常。种不同的入侵攻击假阴性率均小于 ,且入侵检测系统准确率均值为 ,误差率达到最低,可满足实际电力用户系统检测应用。关键词:电网;电力用户;信息系统;检测应用中图分类号:文献标志码:文章编号:(),(,):,:;随着电力用户系统在电网环境中的应用和发展,电力用户系统使用公共以太网协议和互联网协议()变得越来越普遍,易导致潜在的风险和漏洞。因此需要提高电力用户系统潜在风险和漏洞的智能设计检测检测。在当前的安全防御技术中,将信息系统中应用的防病毒软件移植到电
3、力用户系统存在不兼容等问题。主要因为不能在电力用户系统中及时更新。且常规的防病毒软件由于无法理解电力用户信息控制命令的语义,防火墙无法阻止对电力用户系统的任何可疑访问请求。而入侵检测系统()可以在不干扰系统的情况下检测电力用户信息中的攻击。且使用基于异常的入侵检测系统是网络安全的一个重要方面。本文根据电力用户系统中的行为模式,提出了一种新的异常检测方法。电力用户系统异常检测系统模型该方法主要包括 个模块:行为序列抽取模块,行为建模模块,行为识别模块。首先,从常规的电力用户信息系统中抽取用户的行为数据,建立电力用户数据行为建模功能。其次,基于标准的动作模式,对序列进行分析,得到电力用户数据的时间
4、序列。最后,将所抽取到的实验数据和所做的预报数据相对比,实现了对非法侵入活动的有效探测。行为序列提取行为序列提取模块是用于从电力用户系统系统中提取实时行为序列。首先,该过程提取电力用户系统中控制器或被控过程的所有源地址和目的地址,这些地址存储在输入和输出地址列表中。其次,若所抽取的分组是一种要求分组,则该分组的地址已被保存在一系列的输入与输出地址中,将这个请求数据包添加到请求列表中。如果它是一个响应包,并且其匹配的请求包包含一个读取功能代码,那么所有地址在输入和输出地址列表中的行为数据都被提取并存储在输入和输出行为序列中。如果它是一个响应数据包,并且其匹配的请求数据包包含一个写功能代码,将确定
5、请求行为数据是否与响应行为数据相同。若是,所有地址在输入和输出地址列表中的行为数据都被提取并存储在输入和输出行为序列中。行为模型建立用一个离散的多输入多输出()系统模型来表达控制行为模型和过程行为模型。这两个模型的建立方法是一致的;因此,可以将它们简化为一种方法描述。系统输出功能为:()()()()()输出矩阵 ()为:()(),(),()()输入矩阵 ()为:()(),(),()()噪声矩阵 ()为:()(),(),()()其中()是均值为零且方差为 的白噪声。传递函数矩阵 ()为:()()()()()()()()()()()()传递函数矩阵中的参数方程:()()()()()()()(),;
6、,()在传递函数中,表示输入的数量;表示输出的数量。由于电力用户系统的小误差和噪声与白噪声相似,用于对输入与输出模型参数进行估算的递推最小二乘法。首先,需要将行为模型转换为最小二乘法格式。()()()()在等式()中,输出变量矩阵 ()等于 ()。测量矩阵:()()此外,参数矩阵:,()行为模型结构估计在确定了模型结构参数后,使用递归最小二乘法参数估计方法来估计电力用户系统系统的模型参数。递归最小二乘法参数估计算法的步骤:步骤 :设初始值()为零矩阵,(),设 。表示在模型精度 范围内发生的误差次数。智能设计检测步骤:通过式()、式()提取 ()和 ()的输入和输出行为序列,然后基于式()式(
7、)构建具有输入 ()和输出 ()的测量矩阵 ()。步骤:通过公式()计算 ()、()和()。电力用户系统异常检测模块首先,分析和归类了一个电力市场的信息系统,得出了一个通用的电力用户数据的行为模式。其次,利用标准的行为模型,对输出的数据进行预测。最后,可以将正常行为模型预测的行为序列与测量的行为序列进行比较,以确定它是否是异常入侵。具体步骤:步骤 :通过分析控制器和受控过程,获得控制行为和过程行为的输入和输出行为地址表。步骤 :在此基础上,提出了一种基于正态过程和控制行为的数学方法,并用正态过程和正态控制行为的数学方法对输出序列 和 进行了预测。步骤 :在实际测试中抽取和预测的行为序列之间进行
8、对比。表示过程行为模型的比较序列,表示控制行为模型的比较序列。步骤 :根据电力用户系统的容错范围,为比较序列 和 选择适当的阈值 和 。如果 中的序列值大于 或 中的序列值大于 ,且 或连续 次超过阈值 或 ,则表明 已被入侵。仿真实验及结果分析 检测性能分析在本研究中,通过篡改控制算法、测量数据和控制数据,使用行为模型进行异常检测,并对其检测性能进行了检验。在 个实验案例中,从第 个采样点到第 个采样点共进行 次攻击。第 个实验是篡改 算法参数 的值,将该值替换为 内的随机数。第 个实验是篡改测量数据值 ,将其替换为 内的随机数。使用行为序列提取模块,在此基础上,提出了一种基于动态仿真算法,
9、并对动态仿真算法的动态仿真算法进行了验证。在此基础上,利用该方法,对标准的输出序列进行预测,从而获得 与 的比较顺序。()篡改控制算法时比较序列 变化()篡改控制算法时比较序列 变化()篡改测量数据时比较序列 变化()篡改测量数据时比较序列 变化()篡改控制数据时比较序列 变化()篡改控制数据时比较序列 变化图 次攻击时比较序列 和 变化 在对所述控制算法的所述参数进行入侵攻击修改时,序列 在图 ()中显示出显著的反常。在改变了测定数据后,在图()中的序列 以及在图()中 序列中的异常变化明显。在图()中的序列 反常在改变控制数据时也是显而易见的。由于该算法具有一定的检测序列异常能力,因此该算
10、法能较好地识别出此类攻击。可以看到,在改变了测定数据的情况下,图()中的顺序也显示了明显的反常。这主要是因为 在控制系统中具有直接的作用,它对控制系统有直接的影响。当控制数据被修正时,图()所示的顺序没有明显的异常。种攻击的检测结果如表 所示,其中包括假阴性率()和假阴性率()。所提出系统具有较低的 和 ,可以检测到篡改行为数据和控制程序攻击。其中篡改控制数据攻击最低,仅为 ,主要由于篡改控制数据极易导致信息系统出现乱码、卡顿等现象,最容易检测到异常。表 次攻击的检测结果 项目 篡改控制算法 篡改测量数据 篡改控制数据 入侵攻击检测分析将提 出 的 行 为 模 型 的 异 常 检 测 方 法
11、与 算法和 算法在性能和处理时间方面进行比较。图 ()、()和()分别为在不同数据集上的准确率、召回率和误报率。从图 ()和图 ()可以看出,所提出的行为模型异常检测方法在不同的数据集上提供了有效的入侵检测,并产生了较高的精度和较低的误报率,优于 和 算法。而没有滤波和细化过程的 算法的结果是最差的;其在不同的智能设计检测数据 集 上 生 成 了 很 大 一 部 分 误 报,主 要 因 为 聚类的主要目的是过滤掉明显的正态事件,所以仍然有很多正态事件被归类为异常候选,如果只使用 算法,会产生大量的误报,而行为模型的误报率基本维持在 附近。如图()所示,尽管 算法产生的召回率最高,但由于误报率高
12、,并且集成方法的召回率接近 算法,且行为模型的召回率均值大于 ,已满足系统入侵检测实际要求。同时可观察到 算法的结果在精度、召回率和误报率方面接近行为模型,但在大多数情况下,行为模型的表现仍然优于 算法。行为模型检测方法的最终检测准确率在 以上,误报率很低,实验结果验证了行为模型的异常检测方法的有效性。()准确率()误差率()召回率图 入侵攻击检测 结语针对电力用户的实际情况,建立了电力用户的控制与流程行为模型,采用结构参数与参数估计的方法对其进行了估计。然后,通过模型变换的方式,把一个行为模型变换成一个状态空间的方程式。该方法通过行为模型预测测量数据和控制数据,并通过分析行为数据比较序列来检
13、测异常。所提出的检测系统在仿真实验平台上具有较低的假阴性率和假阳性率,可以检测到篡改行为数据和控制程序攻击。其中篡改控制数据攻击最低,仅为 。行为模型检测方法的最终检测准确率在 以上,误报率很低,实验结果验证了行为模型的异常检测方法的有效性。【参考文献】王淑强 基于信息系统的电力营销数据去重管理方法研究 自动化技术与应用,():熊威 基于数据融合分析的电力营销决策支持信息系统 自动化技术与应用,():左晓军,陈泽,董立勉等 基于信息安全框架“金三角模型”的网络安全评估方法研究 粘接,():唐茂林 新形势下智慧电网网络营销管理信息系统设计 信息与电脑(理论版),():杜涛,王朝龙,朱靖,等 基于
14、聚类算法的变压设备运行数据监测与异常检测技术 粘接,():苏立伟,刘振华,苏华权,等 基于数据负荷序列聚类的配电网电力营销实时信息系统测试 电网与清洁能源,():张艳丽,孙志杰,牛任恺,等 基于数据集成技术的电力营销数据分析系统设计 电子设计工程,():韦雅,张岚,王宏民,等 神经网络和云算法的电力营销数据处理方法 计算机技术与发展,():萧展辉,邹文景,邓丽娟,等 电力营销客户服务中台数据传输安全自动监测技术 自动化与仪器仪表,():刘滨,孙继科,段笑晨,等 基于农村电力服务渠道数据信 息 安 全 的 加 密 算 法 研 究 自 动 化 应 用,():钟立华,杨悦群 基于差分阈值的审计式电力
15、营销精准稽查系统设计 自动化与仪器仪表,():王林信 基于多维数据的电力营销线损信息监控系统设计 微型电脑应用,():于培永,张慧琳,郭志刚,等 立体化智能电力系统巡检平台关键技术研究 粘接,():徐超,孙金莉,杨郡,等 基于分布式支持向量机的电网错误数据注入检测法 粘接,():张云峰,魏星,诸骏豪,等 基于电力通信动静态资源的光缆数据监测系统设计 粘接,():荆树君 电能计量自动化系统在电力营销中的应用成效 电子技术与软件工程,():何壮壮 基于 的关联规则技术在电力营销大数据中的应用 山西电力,():蔡嘉荣,王顺意 基于国产中间件 的电力营销系统集群技术研究 微型电脑应用,():陈刚,陶文伟,郑伟文 电力监控系统现场运维安全管控系统研究 粘接,():周晓燕,凌天杨,曾胡贵,等 基于图神经网络的智能电网监测系统的设计 电脑知识与技术,():
浙ICP备2021020529号-1 | 浙B2-20240490 
