基于协议特征的电力工控网络流量异常行为检测方法

随着信息通信技术在电力工控系统中的广泛应用,电力工控系统遭受网络攻击的风险不断增加。电力工控系统的信息传输和交互以通信协议的流量数据为载体,流量数据的应用层报文在传输过程中存在被窃取及篡改等风险。文中以IEC 60870-5-104协议为例,在对其脆弱性分析的基础上提出了基于协议特征的电力工控流量异常行为检测方法。首先,对电力工控流量进行应用层报文的提取及解析,并结合报文字段特征以及典型电力业务特征建立起电力工控流量正常行为模型。其次,依据正常行为模型对流量数据进行单字段畸形校验、多字段耦合逻辑校验、帧与帧时序逻辑校验、帧与帧上下文异常校验,实现流量异常行为的识别。最后,基于某220 kV变电站的实际流量数据集进行仿真,结果表明所提方法对于典型异常行为检测准确率约为99.98%,能够有效辨识电力工控系统流量异常行为,提升电力系统的安全性。     

基于信息物理融合的智能变电站过程层网络异常流量检测

智能变电站过程层网络中存在的随机报文与突发报文,伴随可能的信息设备物理故障以及入侵病毒拒绝服务攻击等导致的异常流量,使得基于简单阈值的检测方法无法适用。基于信息物理融合的广义信源及基于网络演算法的通信网络流量计算模型,提出了一种基于信息物理融合和差分序列方差的新型智能变电站过程层网络异常流量检测方法。首先,基于差分序列方差的异常检测方法和流程,提出了变电站过程层流量异常隶属函数以及基于信息物理融合的参数确定方法。其次,为增加异常检测的可靠性,提出了考虑智能变电站过程层报文特点的一种攻击条件阈值以及阈值计算方法。最后,对T1-1型变电站网络进行仿真,验证了所提方法不仅能够对过程层中存在的随机和突发通用面向对象变电站事件报文进行识别,也可识别拒绝服务攻击。     

基于无监督学习的电力系统网络潜在多步攻击实时检测方法

针对网络潜在攻击行为检测率和准确率较低、误报率较高的问题，提出基于无监督学习的电力系统网络潜在多步攻击实时检测方法。通过提取攻击流量特征、输入训练好的无监督学习模型，判断攻击流量是否产生攻击行为，同时检测潜在多步攻击类别。使用网络模拟器，模拟电力系统网络环境，采用攻击工具进行网络流量攻击。试验结果表明，设计方法检测网络攻击流时，检测率和准确率较高，误报率较低。方法可以有效抵挡网络多步攻击行为，保证电力系统安全。     

基于自监督特征增强的CNN-BiLSTM网络入侵检测方法

针对网络入侵检测中攻击样本和流量特征不足的问题,提出一种基于自监督特征增强的CNN-BiLSTM网络入侵检测方法,实现在流量数据中检测异常网络流量的目标。通过分析流量特征数据分布差异,采用IQR异常值处理方法进行数据预处理,使用自编码器对攻击样本进行数据增强,构建CNN-BiLSTM神经网络和自编码器组成半自监督模型,分别提取高维流量特征和自监督特征,将组合特征作为最终特征输入到分类模型中进行预测分类,实现网络入侵检测。实验结果表明,与其他入侵检测方法相比,所提方法在准确率和F1分数上分别达到了85.7%和85.1%,能够有效提高网络入侵的检测精度以及对未知攻击的检测能力。     

基于孤立森林评分扩展的流量异常检测方法

流量异常检测是一种有效识别网络攻击行为的技术。近年来,无监督方法在异常检测领域得到了广泛应用。针对现有流量数据间时序关系挖掘的需求与孤立森林随机选择特征属性进行样本划分的问题,本文提出一种基于孤立森林评分扩展的流量异常检测方法。首先,文章使用滑动窗口机制和信息熵特性,设计了网络流量的熵时序特征提取方法,集成至特征集执行显著特征筛选。然后,文章构建了孤立森林评分扩展模型,在节点样本划分时,利用特征集合迭代方法与特征重要性矩阵,综合集合中孤立树特征,为节点标记综合路径长度代替原路径长度,并计算更能表征样本分布的异常评分。最后,通过设定异常得分阈值判别样本是否异常。在公开数据集上的实验结果表明,文章提出的异常检测模型,相比其他方法有明显优势,具有良好的实时检测性能,误报率更低,可有效用于网络流量的异常检测中,对真实网络环境中攻击事件的识别具有重要意义。     

基于深度学习的电力信息网络流量异常检测

随着信息技术的快速发展,通信、计算机和电网构成多功能复杂系统,通信设施的复杂化使智能电网网络安全问题日益严峻。为确保电力信息网络具有更高的安全性能,必须有效识别电力信息网络存在的入侵攻击。对此,提出了一种基于CNN(卷积神经网络)和LSTM(长短期记忆)网络的混合网络的异常检测方法,混合网络通过提取网络流量数据特征以获得较高的检测率,同时为减少模型训练样本中不同攻击类型样本数量不平衡对模型性能的影响,采用类别权重优化方法来提高模型鲁棒性。经实验证明,所提方法能够有效提高识别网络攻击的准确率。     

基于电力网络监测数据的大数据安全分析平台关键技术研究

针对大数据环境下,电力网络监测数据流量大、变化快,电网通信异常链路判断可靠性差,序列异常检测结果失真的问题,本文提出了一种基于电力网络监测数据的大数据安全分析平台关键技术研究。通过电力网络通信异常链路判断方法设计,多维熵序列异常检测方法设计对平台关键技术进行分析,采用多维熵序列异常检测方法对异常链路上采集的网络流量数据的分布特征进行度量,获得电力网络流量监测数据在各个维度上的熵值序列,利用支持向量机对网络流量数据各个维度上的熵值序列进行分类,完成基于电力网络监测数据的大数据安全分析平台技术的总体设计。对其进行仿真实验,实验结果表明,所提方法对于大规模电网数据安全分析具有较高的加速比,在帮助电力网络分析人员感知电力网络异常、发现恶意攻击等方面有较大的优势。     

网络攻击下电力系统信息安全研究综述

随着信息和通信技术的发展,传统电力系统已经转变成一个具有实时感知、动态控制和信息服务等功能的电力信息物理融合系统。信息系统在优化电力系统功能的同时,网络攻击带来的信息安全问题使电力系统的安稳运行敲响了警钟。文中针对电力信息物理融合系统环境下的网络攻击问题展开讨论,基于攻击目标的差异性对网络攻击进行分类。在研究图论攻击建模方式的基础上,提出网络攻击下实现系统综合安全评估的必要性。最后对电力信息物理融合系统的研究工作进行展望。     

基于时-频域混合特征的变电站通信网异常流量检测方法

准确快速检测智能变电站通信网络异常流量是发现系统异常、实现安全态势感知和主动防御的关键技术,对保证智能电网安全稳定运行有着重要意义。文中提出了基于时-频域混合特征的智能变电站通信网络异常流量检测新方法。首先,设计了基于分形自回归积分滑动平均(FARIMA)流量模型和小波包分析方法的流量频域特征提取方法,并结合电力信息流时域特征构建时-频域混合特征集。进而,采用人工蜂群优化的支持向量机算法进行异常流量辨识。最后,基于某110 kV变电站的站内实际网络流量和CIC DDoS2019数据集、KDD99数据集进行仿真,结果表明所提算法对网络异常流量识别有更低的误判率和漏检率。     

基于混合黑猩猩优化极限学习机的电力信息物理系统虚假数据注入攻击定位检测

针对已有检测方法无法对虚假数据注入攻击(false data injection attack, FDIA)进行精确定位的问题,提出了一种基于混合黑猩猩优化极限学习机(extreme learning machine, ELM)的电力信息物理系统FDIA的定位检测方法。首先,使用ELM作为分类器,用于提取电力数据特征并检测系统各节点的异常状态。然后,采用一种具有全局搜索能力且局部收敛速度更快的混合黑猩猩优化策略,用于寻找ELM最优隐藏层神经元数量。建立基于混合黑猩猩优化ELM的检测方法,实现对FDIA的精准定位,有利于后续防御措施的实施。最后,在IEEE 14和IEEE 57节点系统中进行大量仿真对比实验。结果表明,所提方法具有更佳的准确率、查准率、查全率和F1值,对FDIA能够进行更为精准的定位检测。     

基于改进长短期记忆网络的需求响应分布式拒绝服务攻击识别方法

为保障需求响应信息正常交互，确保需求响应工作在各地安全开展，设计一种电力需求响应信息交互下改进的长短期记忆网络识别和检测分布式拒绝服务攻击方法，适用于多类别多特征形式下的需求响应交互流量中的分布式拒绝服务攻击检测分类。首先介绍一种需求响应信息交换规范支持下的电力需求响应流量特征的分类遴选机制；其次，为实现识别需求响应交互系统内部双向流量，引入高斯误差线性单元，建立基于改进的长短期记忆网络的分布式拒绝服务攻击检测模型；最后通过选取需求响应下的流量数据集，设置电网不同状态下不同攻击率的方法进行验证，证明该方法对于需求响应信息交互中多类别分布式拒绝服务攻击具有高辨识率，且能对分布式拒绝服务攻击类型进行准确归类。     

基于多组件并行架构的电力CPS实时联合仿真平台

融合传统电力系统与先进信息技术形成的电力信息物理系统(CPS),其物理侧电力系统与信息侧通信网络的耦合程度不断加深,网络故障与恶意攻击等通信问题导致的电力系统故障愈发严重,传统仿真手段不再适用于模拟和分析此类场景.分析了电力CPS仿真技术的研究现状,在主流实时仿真工具的基础上设计了嵌入式控制组件与渗透测试组件,基于多组...     

基于深度学习的电力工控流量应用层报文异常检测

准确可靠的电力工控流量异常检测方法是识别网络攻击和实现主动防御的关键手段，对于保证电网的安全稳定运行具有重要意义。文中针对现有电力工控流量异常检测方法存在的检测深度不足、攻击分类少、未知异常识别能力弱等问题，提出了一种基于飞蛾扑火优化(MFO)算法和一维卷积神经网络(1D-CNN)的电力工控流量应用层报文异常检测方法。首先，在深度协议解析的基础上对流量数据的应用层报文进行多维度特征提取；其次，利用随机森林算法计算特征重要度，剔除冗余特征；然后，训练所搭建的1D-CNN报文异常检测模型，并结合MFO算法进行超参数调优，提升模型性能；最后，利用Softmax分类器输出报文的异常检测结果。仿真结果验证了所提方法的有效性。     

基于DKPCA的电力信息系统虚假数据注入攻击检测方法

电力信息系统的虚假数据注入攻击(FDIA)通过恶意篡改对应物理系统的状态数据,影响电网的正常运行。本文提出一种基于动态核主元分析(DKPCA)的虚假数据注入攻击检测方法,目的是解决电力信息系统中FDIA事件的时间相关性(动态性)问题,以及非线性变量难以分离问题。该方法通过构建动态增广矩阵解决了变量间的动态自相关性,利用核矩阵将非线性变量映射到高维空间转化为线性变量,引入主元分析建立DKPCA模型求得统计量的控制限,实时检测数据判断是否有故障发生。通过在IEEE-30节点系统上进行实验仿真,与KPCA、PCA、NPE、TNPE等检测方法比较,结果显示DKPCA模型检测率高达100%,同时保持较低的误报率0.2%。证明了所提方法可以实时检测电力信息系统中的攻击数据,有效避免故障漏报,确保电力信息系统数据安全。     

电力信息物理系统网络攻击与防御研究综述(二)检测与保护

从针对电力信息物理系统(电力CPS)网络攻击的检测和保护两个方面,对当前国内外研究进行了梳理和归纳,发掘相关研究问题的本质和目的。在检测方面,介绍了基于偏差和特征的防御检测实现思路及其在信息侧和物理侧的实践方法;在保护方面,介绍了以被动防御为主的信息侧保护方法和基于资源配置和校正控制的物理侧保护方法。在现有研究基础上,对电力CPS网络攻击的检测和保护领域关键技术进行了提炼,并对未来研究方向进行了展望。     

工控网络异常行为的RST-SVM入侵检测方法

针对工业控制网络环境的复杂性和入侵检测要求的特殊性,提出了基于异常行为模式的入侵检测特征提取方法。以Modbus/TCP工业控制网络为检测对象,通过深度解析异常行为的操作模式,提取通信流量的入侵检测数据特征,同时,为了去除冗余的检测信息,利用粗糙集理论(RST)的方法进行检测特征的属性约简,最后结合支持向量机(SVM)算法的分类优点,并利用自适应遗传算法(AGA)进行模型参数优化,建立基于RST-SVM算法的自学习式入侵检测模型。根据实际的检测性能对检测特征和模型参数进行学习。研究表明,该方法降低了入侵检测模型的复杂度和检测时间,提高了对异常攻击行为的检测率,能够满足工控网络入侵检测高效性和实时性的要求。     

基于XGBoost的网络安全设备告警误报检测模型

为了解决网络安全设备告警中误报率高的问题,有效提升电力网络安全的主动防御能力,本文提出了一种基于XGBoost的网络安全设备告警误报检测模型。首先,模型对海量多源异构性网络设备日志数据按照标准化格式进行数据融合,并采取数据去重、缺失值处理等数据预处理操作,提高数据质量;其次,基于对网络安全设备告警的先验知识,从攻击时间、IP地址、端口等原始数据特征中构造、提取、选择告警误报检测相关特征;最后,基于XGBoost算法训练模型并进行模型融合,实现对告警误报的准确分类识别。实证表明,本文提出的基于XGBoost的网络安全设备告警误报检测模型大幅度降低网络安全设备告警误报率,有效提升电力网络安全主动防御能力,为打造健康发展的电力网络环境提供了帮助。     

基于耦合动态离散事件链相关性的信息网络异常检测初探

信息网络一旦遭受攻击,将给电气网络带来极大影响。文中提出一种基于事件链模型的信息物理耦合动态相关性分析方法,并尝试将其应用于电网信息网络异常动态识别。首先定义了电气网络和信息网络事件,并以事件链描述其中耦合网络动态;进而提出事件链相关性分析方法,设计通信动态异常指标,最终判断是否存在信息网络异常。以一个由IEEE 39节点电气网络和18节点放射状信息网络组成的信息物理电力网络为算例,算例结果表明,信息攻击会导致通信动态异常指标显著增大,初步验证了所述信息网络异常检测方法的有效性和可行性。     

一种针对电力大数据融合与异常检测的改进方法

针对传统电力大数据异常值检测算法所存在的漏报率高、误报率高、互信息量小、准确率低的问题,提出了一种针对电力大数据融合与异常检测的改进方法,该方法通过深度受限玻尔兹曼机将异构数据统一嵌入到向量空间,而后再结合向量空间内数据来构建正常行为画像,如果新数据与正常行为画像的偏离值超过了一定阈值,那么就可判定为异常状态。将本文算法与其他7种常用算法的异常检测效果进行对比,结果表明:本文算法采用Dee-plearning4j来剖析嵌入式向量数据,进而获取数据画像,其他7种常用算法通过Spark自带算法来获取数据画像,本文算法的互信息量最大,准确率最高,漏报率、误报率在8种算法中处于最低值,由此可见,本文算法具有较高的可行性,可较好地实现电力大数据融合与异常检测,值得推广应用。     

电力用户异常用电的深度神经网络检测方法

以电力用户异常用电为代表的电力系统非技术性损耗通常会造成供电公司运营成本的显著性上升。首先,提出一种电力用户异常用电的深度神经网络检测方法,根据电力用户用电负荷特性采用深度置信网络（DBN）对原始的电力负荷数据进行特征提取并获取符合特征,其次,基于极限学习机（ELM）完成特征分类,从而建立电力用户异常用电检测基础模型。最后,提出一种采用改进果蝇优化算法（IFOA）对DBN的网络权重与层间偏置参数进行寻优,由此获得基于IFOA-DBN-ELM的电力用户异常用电检测模型。实验结果表明：所提方法的准确率、精确度和检出率显著高于其他方法,误检率低于其他方法,能够较为准确地检测出具有异常用电行为的电力用户,有助于降低供电公司的运营成本。