[发明专利]一种面向微电网工控网络的入侵检测方法及系统

权利要求书

1.一种面向微电网工控网络的入侵检测方法，其特征在于，包括：

S1.获取微电网系统的电能数据和流量数据，分别提取所述电能数据的特征参数和所述流量数据的特征参数；

S2.对所述电能数据的特征参数和所述流量数据的特征参数进行结合，得到初步特征；提取所述初步特征的关键特征要素，得到最优特征子集；

S3.基于所述最优特征子集构建入侵检测模型，对所述入侵检测模型进行训练，并对训练后的入侵检测模型进行优化，输出检测结果。

2.根据权利要求1所述的一种面向微电网工控网络的入侵检测方法，其特征在于，获取所述电能数据和所述流量数据包括：

在所述微电网系统内部部署镜像交换机，并将所述微电网系统中电力设备的节点接至所述镜像交换机的数据端口上，基于所述镜像交换机的数据流镜像转发功能获取所述流量数据和所述电能数据。

3.根据权利要求2所述的一种面向微电网工控网络的入侵检测方法，其特征在于，提取所述电能数据的特征参数和所述流量数据的特征参数包括：

构建工控协议树层级模型，所述工控协议树层级模型包括：应用层、传输层、网络层和数据链路层；

基于所述电力设备的内部通信寄存器地址和所述应用层的通信协议，所述电能数据以树状结构的方式自所述数据链路层开始解析至所述应用层的负载内容，提取所述电能数据的特征参数；

依据TCP/IP协议簇的工作原理和工控协议的通信特点，所述流量数据基于数据包解析方法提取所述流量数据的特征参数。

4.根据权利要求3所述的一种面向微电网工控网络的入侵检测方法，其特征在于，所述电能数据的特征参数包括：光伏阵列输入电压、输入电流、逆变器输出功率、逆变器温度和发电量；

所述流量数据的特征参数包括：TCP标志位、SYN报文比例、SYN/ACK比率、ARP报文比例、Modbus设备ID、功能码、回复功能码、寄存器的起始地址和寄存器的访问字节数。

5.根据权利要求1所述的一种面向微电网工控网络的入侵检测方法，其特征在于，得到所述最优特征子集包括：

采集所述微电网系统的以太网帧数据包状态，基于所述以太网帧数据包状态的比例大小，得到所述初步特征数据包比例平衡特性；

基于所述初步特征数据包比例平衡特性，对所述初步特征数据包内部的电能数据和流量数据的特征参数运用过滤式特征选择，得到各个所述特征参数的权重大小，对所述权重进行排序，并根据设定的阈值区间获得所述最优特征子集。

6.根据权利要求5所述的一种面向微电网工控网络的入侵检测方法，其特征在于，所述以太网帧数据包状态包括：Normal,DoS,Probe及MITM；

其中，所述Normal为连续时间序列的正常状态的所述电能数据与所述流量数据的状态；所述DoS为遭受拒绝服务攻击的连续时间序列的所述电能数据与所述流量数据的状态；所述Probe为遭受网络扫描攻击下的连续时间序列的所述电能数据与所述流量数据的状态；所述MITM为遭受中间人欺骗攻击下的连续时间序列的所述电能数据与所述流量数据的状态。

7.根据权利要求1所述的一种面向微电网工控网络的入侵检测方法，其特征在于，对所述入侵检测模型进行训练包括：

基于深度学习算法对所述入侵检测模型进行训练，得到所述训练后的入侵检测模型。

8.根据权利要求1所述的一种面向微电网工控网络的入侵检测方法，其特征在于，对所述训练后的入侵检测模型进行优化包括：

基于超参数优化方法，对所述训练后的入侵检测模型进行优化；

所述入侵检测模型的优化目标公式为：

argmax_x∈Xf(x)

其中，x为超参数的一组设置取值，X为混合参数空间，f(x)为超参数优化中设置的目标函数，即模型的检测准确率。