[发明专利]一种智能电网入侵检测系统及方法

说明书

本发明公开了一种智能电网入侵检测系统及方法，其中系统包括：监控模块，用于获取智能电网中电力设备的数据；信息预处理模块，用于对电力设备中的数据进行预处理生成电网信息数据；数据关联模块，用于将电网信息数据进行集中和融合形成融合数据；深度检测模块，用于分析智能电网的融合数据识别入侵攻击的类型。本发明提供的智能电网入侵检测系统及方法可以全面地获取信息系统中的运行数据，从而有效识别恶意攻击行为，在提高了智能电网的入侵检测精度的同时增强了入侵检测的可扩展性，降低智能电网的入侵攻击误报率和漏报率。

技术领域

本发明涉及信息技术安全领域，具体涉及一种智能电网入侵检测系统及方法。

背景技术

随着智能电网的兴起，智能电网中不良数据注入、篡改设备状态等攻击方式，针对智能电网中由信息技术引入地安全威胁，许多研究者提出利用信息网络中的入侵检测方法来保护智能电网。入侵检测是通过计算机系统或网络中的若干关键点收集和分析审计记录、安全日志、用户行为以及网络数据包等信息，检查网络或系统中当前是否存在违反安全策略的入侵行为和被攻击的迹象。然而当前大部分入侵检测系统的构建都是基于某种规则的设计，不仅存在误报率较高的问题，而且难以察觉其他未知攻击。

针对智能电网当中可能存在的各种攻击手段，当前大多数检测系统的检测精度普遍不理想，大量误报和漏报现象使得检测系统的可用性遭到了质疑，其原因在于不能充分发掘智能电网海量数据的潜在信息。除此之外，检测规则一旦确定便无法修改。这将导致系统无法准确识别未知攻击，严重制约系统的可扩展性。然而随着传输边界的不断扩张，智能电网面对的攻击手段变得纷繁复杂，因此如何及时有效地检测攻击，提高检测的可用性和可扩展性，是保障智能电网安全亟待解决的问题。

发明内容

因此，本发明为了克服现有技术中智能电网入侵检测不能有效检测攻击可扩展性差的原因，从而提供一种智能电网入侵检测系统及方法，降低智能电网的入侵攻击误报率和漏报率，提高入侵检测的精度，增强了攻击检测的可扩展性，强化了智能电网的主动防御能力。

本发明提供的一种智能电网入侵检测系统，包括：监控模块，用于获取所述智能电网中电力设备的数据；信息预处理模块，用于对所述电力设备中的数据进行预处理生成电网信息数据；数据关联模块，用于将所述电网信息数据进行集中和融合，形成融合数据；深度检测模块，用于分析所述智能电网的融合数据，识别入侵攻击的类型。

优选地，所述电力设备的数据包括：所述电力设备的报文及一次线路中电力设备的量测量；所述监控模块，包括：网络单元及智能设备，其中：所述网络单元收集所述电力设备的报文；所述智能设备采集所述一次线路中电力设备的量测量。

优选地，所述信息预处理模块包括：报文特征提取单元、量测量检测单元以及设备状态估计单元，其中：所述报文特征提取单元分析所述报文，获取所述报文的基本信息及特征信息；所述设备状态估计单元获取所述量测量，通过最小二乘法计算出设备状态估计向量；所述量测量检测单元根据所述量测量及所述设备状态估计向量计算生成量测量异常度向量。

优选地，所述数据关联模块具体用于：根据预设的映射关系表将时间信息、所述报文的基本信息、设备状态估计向量、量测量异常度向量进行关联，生成所述融合数据。

优选地，所述深度检测模块包括：快速建模单元，所述快速建模单元通过聚类算法，根据所述融合数据识别入侵攻击的类型。

优选地，所述深度检测模块还包括：扩展单元，所述扩展单元通过增量式GHSOM算法分析所述快速建模单元无法识别的入侵攻击，输出分析结果。

本发明提供的一种智能电网入侵检测方法，包括如下步骤：获取智能电网中电力设备的数据；对所述电力设备的数据进行预处理生成电网信息数据；将所述电网信息数据进行集中和融合，形成融合数据；分析所述智能电网的融合数据，识别入侵攻击的类型。

优选地，所述电力设备的数据包括：所述电力设备的报文及一次线路中电力设备的量测量。