[发明专利]一种智能电网蠕虫检测方法

说明书

本发明公开一种智能电网蠕虫检测方法，包括：智能电表收集用户信息和用电需求数据，将数据包的目的IP地址和时间戳上传至集中器，集中器按预定时间间隔将数据包上传至数据处理器；将用于蠕虫检测的状态向量输入到训练好的神经网络中，获得蠕虫检测阈值的选择策略并选择蠕虫检测阈值；数据处理器计算其谱平坦测度值，并根据谱平坦测度值与蠕虫检测阈值的大小关系判断是否检测到蠕虫；数据处理器统计数据检测结果，更新所述状态向量，并计算奖励值；根据更新后的状态向量和所述奖励值计算累计奖励函数，并更新网络权重参数；不断调整蠕虫检测阈值的选择，直至所述奖励函数收敛，实现稳定的蠕虫检测。本发明能降低虚警率和漏报率，缩短检测时间。

技术领域

本发明涉及智能电网安全技术领域，尤其涉及一种智能电网蠕虫检测方法。

背景技术

智能电网中各电表之间连接紧密且数量繁多，容易受到蠕虫攻击，泄露电网系统中用户用电数据和信息，影响或破坏电力系统及关键基础设施。如果不能及时检测蠕虫病毒，蠕虫病毒会在短时间内感染大量电表，带来极大的安全隐患，甚至导致网络瘫痪。

现有的电网蠕虫检测技术通过监视、收集和分析智能电表的日志信息，依据蠕虫的传播特点进行检测。这些检测技术均需智能电表通信网络和蠕虫攻击模型，且虚警率和漏报率较高。

发明内容

本发明所要解决的技术问题在于，提供一种智能电网蠕虫检测方法，在无需智能电表通信网络和蠕虫攻击模型的情况下，降低虚警率和漏报率，缩短检测时间。

为了解决上述技术问题，本发明提供一种智能电网蠕虫检测方法，包括：

步骤S1，智能电表收集用户信息和用电需求数据，将数据包的目的IP地址和时间戳上传至集中器，集中器按预定时间间隔将数据包上传至数据处理器；

步骤S2，将用于蠕虫检测的状态向量输入到训练好的神经网络中，获得蠕虫检测阈值的选择策略并选择蠕虫检测阈值；

步骤S3，数据处理器统计接收到的数据包的目的IP地址，计算其谱平坦测度值，并根据谱平坦测度值与蠕虫检测阈值的大小关系判断是否检测到蠕虫；

步骤S4，数据处理器统计数据检测结果，更新所述状态向量，并计算奖励值；

步骤S5，根据更新后的状态向量和所述奖励值计算累计奖励函数，并更新网络权重参数；

步骤S6，重复执行步骤S2-S5，不断调整蠕虫检测阈值的选择，直至所述奖励函数收敛，实现稳定的蠕虫检测。

进一步地，所述步骤S1中设智能电网内共有M₀个智能电表，每个智能电表收集W秒内的用户信息和用电需求数据，包含T个数据包的目的IP地址和对应的时间戳，智能电表上传M₀T数据包至集中器，集中器在W秒内将收集到的数据包分Z次上传至数据处理器。

进一步地，所述步骤S2中，用于蠕虫检测的状态向量s^(k)包括虚警率P_f、漏报率P_m、数据处理器检测数据是否包含蠕虫并判断正确的次数N_T、累计感染的智能电表数M，s^(k)＝[P_f，P_m，N_T，M]。

进一步地，所述步骤S2具体包括：

在第k时隙，将状态向量s^(k)输入训练好的第一神经网络，输出蠕虫检测阈值a的概率分布π(a|s^(k)；θ_a)，a∈[0，1]，均匀量化为H个值；数据处理器根据π(a|s^(k)；θ_a)的概率分布在H个值中选择蠕虫检测阈值a；