[发明专利]一种面向微电网工控网络的入侵检测方法及系统

说明书

本发明涉及一种面向微电网工控网络的入侵检测方法及系统，方法包括：S1.获取微电网系统的电能数据和流量数据，分别提取所述电能数据的特征参数和所述流量数据的特征参数；S2.对所述电能数据的特征参数和所述流量数据的特征参数进行结合，得到初步特征；提取所述初步特征的关键特征要素，得到最优特征子集；S3.基于所述最优特征子集构建入侵检测模型，对所述入侵检测模型进行训练，并对训练后的入侵检测模型进行优化，输出检测结果。本发明通过获取、处理和分析微电网内部多个节点的通信流量信息与电能数据，提取关键特征参数，并运用机器学习方法进行入侵检测，保护微电网的正常运行。

技术领域

本发明涉及微电网与网络安全技术领域，尤其涉及一种基于机器学习技术的入侵检测方法及系统。

背景技术

近年来，由风力发电、光伏发电、储能装置和负荷等构成的新能源微电网正在蓬勃发展，作为主电网的一种有效补充方式，微电网可以实现分布式电源的高效应用，增强主电网的灵活性。随着网络技术的进步与发展，工业控制系统的结构发生了重大的变革，融合工业化和信息化是工控系统的发展趋势，微电网系统也正处于“两化”融合的进程中，同时建设高效安全的微电网网络化控制系统是实现智能电网的前提。现有的微电网工业控制网络缺乏相应的主动安全防御措施，网络攻击者侵入通信网络内部可获取运行中的敏感电力数据，篡改控制命令，甚至使整个微电网瘫痪，严重影响电力系统的安全运行。

发明内容

本发明的目的是提供一种面向微电网工控网络的入侵检测方法及系统，通过获取、处理和分析微电网内部的电能数据与通信流量信息，提取关键特征要素，并运用机器学习方法构建入侵检测模型，进行在线监测，增强微电网的网络安全防护性能，以保护微电网的正常运行。

为实现上述目的，本发明提供了如下方案：

一种面向微电网工控网络的入侵检测方法，包括以下步骤：

S1.获取微电网系统的电能数据和流量数据，分别提取所述电能数据的特征参数和所述流量数据的特征参数；

S2.对所述电能数据的特征参数和所述流量数据的特征参数进行结合，得到初步特征；提取所述初步特征的关键特征要素，得到最优特征子集；

S3.基于所述最优特征子集构建入侵检测模型，对所述入侵检测模型进行训练，并对训练后的入侵检测模型进行优化，输出检测结果。

优选地，获取所述电能数据和所述流量数据包括：

在所述微电网系统内部部署镜像交换机，并将所述微电网系统中电力设备的节点接至所述镜像交换机的数据端口上，基于所述镜像交换机的数据流镜像转发功能获取所述流量数据和所述电能数据。

优选地，提取所述电能数据的特征参数和所述流量数据的特征参数包括：

构建工控协议树层级模型，所述工控协议树层级模型包括：应用层、传输层、网络层和数据链路层；

基于所述电力设备的内部通信寄存器地址和所述应用层的通信协议，所述电能数据以树状结构的方式自所述数据链路层开始解析至所述应用层的负载内容，提取所述电能数据的特征参数；

依据TCP/IP协议簇的工作原理和工控协议的通信特点，所述流量数据基于数据包解析方法提取所述流量数据的特征参数。

优选地，所述电能数据的特征参数包括：光伏阵列输入电压、输入电流、逆变器输出功率、逆变器温度和发电量；

所述流量数据的特征参数包括：TCP标志位、SYN报文比例、SYN/ACK比率、ARP报文比例、Modbus设备ID、功能码、回复功能码、寄存器的起始地址和寄存器的访问字节数。

优选地，得到所述最优特征子集包括：