[发明专利]一种智能变电站过程层网络流量异常检测方法

说明书

本发明公开了一种智能变电站过程层网络流量异常检测方法，包括以下步骤：步骤S1，获取过程层网络流量；步骤S2，最小及最大流量检测，将获取的网络流量与最小及最大流量阈值进行比较，对于小于最小流量阈值以及大于最大流量阈值的流量数据，直接判断为异常流量；步骤S3，利用满足阈值的流量数据，计算当前时刻差分序列方差与流量异常指数；步骤S4，判断t时刻流量异常程度是否大于0；步骤S5，判断t时刻差分序列方差是否大于或等于t‑1时刻差分序列方差；步骤S6，如果t时刻连续攻击系数e等于或大于阈值e_m，则认为t时刻存在攻击，程序告警。本发明可对变电站过程层中存在的突发流量与异常流量进行识别；响应速度快，满足变电站高响应性的要求。

技术领域

本发明涉及智能电网信息安全领域，具体涉及适用于智能变电站过程层异常流量的检测方法。

背景技术

承载GOOSE、SV报文等关键信息流传输的过程层网络是智能变电站乃至电网控制的基础，其实时性、可靠性直接影响着智能变电站乃至电网的安全可靠运行。因此，对过程层网络信息流的实时监控与异常流量检测，对维持智能变电站乃至整个电网平稳、安全运行至关重要。

利用变电站过程层中配备的网络分析仪，可以实时获取过程层中所有IED端口的流量信息。通过分析这些流量信息，可以对过程层各设备运行状态进行监控。更进一步地，通过对正常流量模式的建模，可以对过程层中潜在的异常流量进行检测。

对于智能变电站过程层网络，其复杂程度远不如公共网络，当变电站处于稳定运行状态下，其SV报文与心跳GOOSE报文，具有周期性，并且报文路径也可以通过解析SCD文件获取。并且，对于智能变电站过程层网络而言，由于存在必须的报文如心跳、定期量测，因此存在基本的最小阈值流量。同时由于所有参与者为具有主动发报及按协议确定的智能装置，因此其网络流量存在明确的最大流量峰值。因此，阈值检测可作为智能变电站过程层网络异常流量检测方法。

然而，智能变电站过程层网络存在事件驱动的正常突发流量。此时，阈值检测将难以适用。

发明内容

本发明所要解决的技术问题就是提供一种智能变电站过程层网络流量异常检测方法，可以有效识别正常突发流量与异常流量。

为解决上述技术问题，本发明采用如下技术方案：一种智能变电站过程层网络流量异常检测方法，包括以下步骤：

步骤S1，获取过程层网络流量；

步骤S2，最小及最大流量检测，将获取的网络流量与最小及最大流量阈值进行比较，对于小于最小流量阈值以及大于最大流量阈值的流量数据，直接判断为异常流量；

步骤S3，利用满足阈值的流量数据，计算当前时刻差分序列方差VDS(t)与流量异常指数c(t)：

式中，VDS(t)为t时刻差分序列方差，VDS(t-1)为t-1时刻差分序列方差，t为时刻，w(t)为t时刻差分值，low为常量，S(t)为当前时刻流量值，为当前时刻平均流量值，S_min和S_max分别表示阈值的最小值与最大值；

步骤S4，判断t时刻流量异常程度是否大于0，若等于0，则为正常流量，将连续攻击计数e清零，并回到步骤S1开始检测下一时刻流量；若大于0，则进入步骤S5；

步骤S5，判断t时刻差分序列方差VDS(t)是否大于或等于t-1时刻差分序列方差VDS(t-1)，若是，认为t时刻可能存在攻击，连续攻击计数e加1，进入步骤S6；若否，则可能为突发流量，等待对下一时刻的判断结果，连续攻击计数e保持不变，回到步骤S1开始检测下一时刻流量；

步骤S6，如果t时刻连续攻击系数e等于或大于阈值e_m，则认为t时刻存在攻击，程序告警。