[发明专利]基于深度学习的智能变电站网络入侵检测系统及检测方法

权利要求书

1.基于深度学习的智能变电站网络入侵检测系统，其特征在于：该系统是针对智能变电站IEC61850通信协议的网络攻击进行的入侵检测，包括依次连接的数据收集模块、特征提取模块、行为分析模块和防御行为触发模块，数据收集模块连入智能变电站网络从中收集数据，防御行为触发模块再连入智能变电站网络中；

所述的数据收集模块将收集到智能变电站网络中的网络数据流实时的输入到特征提取模块中；

所述的特征提取模块对所收集的网络数据流进行特征提取，将数据流中所蕴含的适合被训练的一系列信息提取出来作为特征数据集；

所述的行为分析模块首先对变电站网络中被抽取的特征数据集进行数据训练并建立正常行为模型，接着基于正常行为模型对网络中出现的异常行为进行实时的检测；

所述的防御行为触发模块对行为分析模块所检测到的异常行为进行即时处理。

2.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统，其特征在于，所述的数据收集模块与以太网网线与交换机的可被监听的端口相连，通过调用Linux系统中的Libcap网络信息抓取工具对交换机中的变电站通信流进行实时的抓取和监听。

3.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统，其特征在于，所述的行为分析模块包括数据训练子模块和实时检测子模块，所述的数据训练子模块对智能变电站网络在正常运行中所提取的海量特征数据集运用深度神经网络进行数据训练，并训练出可以对系统正常通信交互时的行为模式进行描述的神经网络数学模型；所述的实时检测子模块基于正常行为模型实现对智能变电站网络中的通讯数据进行分析，并对异常数据的实时检测，实时检测子模块将正常行为模型的输入端与特征提取模块的输出端相连，。

4.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统，其特征在于，所述的防御行为触发模块包括防御规则设定和防御行为触发，所述的防御规则设定是预先设定防御规则以对防御触发模块进行配置；所述的防御行为触发是根据设定的防御规则的做出在用户界面进行报警提示、将异常入侵行为进行实时拦截、将触发异常行为的节点进行隔离一系列防御措施。

5.根据权利要求4所述基于深度学习的智能变电站网络入侵检测系统，其特征在于，所述的报警提示包括出错提示、重要数据删除提示、输入数据检查提示及异常终止提示；

出错提示是当用户操作错误或软件发生错误时，有准确清晰的提示，使用户知道造成错误的原因；

重要数据删除提示是当对重要数据有删除操作时，有警告及确认提示；

异常终止提示是系统在运行中无操作错误而引起系统异常退出情况时给予提醒；

输入数据检查提示是对重要数据输入时系统能对输入的数据进行检查，并对用户的非法输入值给出对应提示信息。

6.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统，其特征在于，所述的智能变电站的网络数据流包括以以太网为传输载体的MMS报文、FTP通讯、HTTP通讯、GOOSE报文、以及SV报文。

7.根据权利要求1所述基于深度学习的智能变电站网络入侵检测系统，其特征在于，所述的神经网络数学模型使用的是BP神经网络模型。