李娜 潘麟 明成昆 程歡 黃朝暉 王曉峰 龔艷麗

摘 要： 由于電力用戶系統(tǒng)的脆弱性和高風(fēng)險(xiǎn)，為保護(hù)電力用戶系統(tǒng)不受全天候的網(wǎng)絡(luò)攻擊，提出了一種基于行為模型的電力用戶異常檢測(cè)方法。該方法從信息系統(tǒng)網(wǎng)絡(luò)流量中提取行為數(shù)據(jù)序列，構(gòu)建控制器和入侵系統(tǒng)受控過程的正常行為模型，并將測(cè)試行為數(shù)據(jù)和預(yù)測(cè)行為數(shù)據(jù)進(jìn)行比較以檢測(cè)電力用戶系統(tǒng)異常。結(jié)果表明，基于行為模型的異常檢測(cè)，可以有效檢測(cè)異常行為數(shù)據(jù)。當(dāng)電力用戶信息數(shù)據(jù)被篡改時(shí)，入侵檢測(cè)系統(tǒng)可檢測(cè)出行為序列異常。3種不同的入侵攻擊假陰性率均小于6.4%，且入侵檢測(cè)系統(tǒng)準(zhǔn)確率均值為0.91，誤差率達(dá)到最低，可滿足實(shí)際電力用戶系統(tǒng)檢測(cè)應(yīng)用。

關(guān)鍵詞： 電網(wǎng)；電力用戶；信息系統(tǒng)；檢測(cè)應(yīng)用

中圖分類號(hào)： TP311.13

文獻(xiàn)標(biāo)志碼： A ?文章編號(hào)： 1001-5922（2023）08-0193-04

Application of anomaly detection for power users based

on behavior model

LI Na，PAN Lin，MING Chengkun，CHENG Huan，

HUANG Zhaohui，WANG Xiaofeng，GONG Yanli

（Hubei Central China Technology Development of Electric Power Co.，Ltd.，Wuhan 430000，China）

Abstract： Due to the fragility and high risk of the power user system，it should be protected from 24/7 network attacks.Therefore，a behavior model based anomaly detection method for power users is proposed.This method extracts the behavior data sequence from the network traffic of information system，builds the normal behavior model of the controlled process of the controller and intrusion system，and compares the test behavior data with the predicted behavior data to detect the abnormality of the power user system.The research results indicate that anomaly detection based on behavior models can effectively detect abnormal behavior data.When power user information data is tampered with，intrusion detection systems can detect abnormal behavior sequences.The false negative rate of three different intrusion attacks is less than 6.4%.And the average accuracy of the intrusion detection system is 0.91，with the lowest error rate，which can meet the actual detection application of power user systems.

Key words： power grid;power users;information system;detection application

隨著電力用戶系統(tǒng)在電網(wǎng)環(huán)境中的應(yīng)用和發(fā)展，電力用戶系統(tǒng)使用公共以太網(wǎng)協(xié)議和互聯(lián)網(wǎng)協(xié)議（IP）變得越來越普遍，易導(dǎo)致潛在的風(fēng)險(xiǎn)和漏洞。因此需要提高電力用戶系統(tǒng)潛在風(fēng)險(xiǎn)和漏洞的檢測(cè)。在當(dāng)前的安全防御技術(shù)中，將信息系統(tǒng)中應(yīng)用的防病毒軟件移植到電力用戶系統(tǒng)存在不兼容等問題。主要因?yàn)椴荒茉陔娏τ脩粝到y(tǒng)中及時(shí)更新。且常規(guī)的防病毒軟件由于無法理解電力用戶信息控制命令的語義，防火墻無法阻止對(duì)電力用戶系統(tǒng)的任何可疑訪問請(qǐng)求。而入侵檢測(cè)系統(tǒng)（IDS）可以在不干擾系統(tǒng)的情況下檢測(cè)電力用戶信息中的攻擊。且使用基于異常的入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全的一個(gè)重要方面。

本文根據(jù)電力用戶系統(tǒng)中的行為模式，提出了一種新的異常檢測(cè)方法。

1 電力用戶系統(tǒng)異常檢測(cè)系統(tǒng)模型

該方法主要包括3個(gè)模塊：行為序列抽取模塊，行為建模模塊，行為識(shí)別模塊。首先，從常規(guī)的電力用戶信息系統(tǒng)中抽取用戶的行為數(shù)據(jù)，建立電力用戶數(shù)據(jù)行為建模功能。其次，基于標(biāo)準(zhǔn)的動(dòng)作模式，對(duì)序列進(jìn)行分析，得到電力用戶數(shù)據(jù)的時(shí)間序列。最后，將所抽取到的實(shí)驗(yàn)數(shù)據(jù)和所做的預(yù)報(bào)數(shù)據(jù)相對(duì)比，實(shí)現(xiàn)了對(duì)非法侵入活動(dòng)的有效探測(cè)。

1.1 行為序列提取

行為序列提取模塊是用于從電力用戶系統(tǒng)系統(tǒng)中提取實(shí)時(shí)行為序列。首先，該過程提取電力用戶系統(tǒng)中控制器或被控過程的所有源地址和目的地址，這些地址存儲(chǔ)在輸入和輸出地址列表中。其次，若所抽取的分組是一種要求分組，則該分組的地址已被保存在一系列的輸入與輸出地址中，將這個(gè)請(qǐng)求數(shù)據(jù)包添加到請(qǐng)求列表中。如果它是一個(gè)響應(yīng)包，并且其匹配的請(qǐng)求包包含一個(gè)讀取功能代碼，那么所有地址在輸入和輸出地址列表中的行為數(shù)據(jù)都被提取并存儲(chǔ)在輸入和輸出行為序列中。如果它是一個(gè)響應(yīng)數(shù)據(jù)包，并且其匹配的請(qǐng)求數(shù)據(jù)包包含一個(gè)寫功能代碼，將確定請(qǐng)求行為數(shù)據(jù)是否與響應(yīng)行為數(shù)據(jù)相同。若是，所有地址在輸入和輸出地址列表中的行為數(shù)據(jù)都被提取并存儲(chǔ)在輸入和輸出行為序列中。

1.2 行為模型建立

用一個(gè)離散的多輸入多輸出（MIMO）系統(tǒng)模型來表達(dá)控制行為模型和過程行為模型。這兩個(gè)模型的建立方法是一致的；因此，可以將它們簡化為一種方法描述。

MIMO系統(tǒng)輸出功能為：

Y（k）=G（z）U（k）+E（k） ??（1）

輸出矩陣 Y（k） 為：

Y（k）= y 1（k），y 2（k），…，y ?m （k） T∈R m ×1 ??（2）

輸入矩陣 U（k） 為：

U（k）= u 1（k），u 2（k），…ur（k） T∈Rr×1 ??（3）

噪聲矩陣 E（k） 為：

E（ k ）= ξ 1（k），ξ 2（k），…，ξ ?m （k） T∈R m ×1 ??（4）

其中 ξ i（k） 是均值為零且方差為 σ2 ξ 的白噪聲。

傳遞函數(shù)矩陣 G（ z ） 為：

G（ z ）= 1 A（ z －1） ??B 11（z－1） B 12（z－1） … B 1r（z－1）B 21（z－1） B 22（z－1） … B 2r（z－1） B ?m 1（z－1） B ?m 2（z－1） … B ?mr （z－1）

（5）

傳遞函數(shù)矩陣中的參數(shù)方程：

A（z－1）－1+a（1）z－1+a（2）z－2+…a（na）z－naB ij（z－1）=z－dij b i j（0）+b i j（1）z－1+…+b i j（nb ij）z－nb ij i=1，2，…，m;j=1，2，…r

（6）

在傳遞函數(shù)中， r 表示輸入的數(shù)量； m 表示輸出的數(shù)量。

由于電力用戶系統(tǒng)的小誤差和噪聲與白噪聲相似，用于對(duì)輸入與輸出模型參數(shù)進(jìn)行估算的遞推最小二乘法。首先，需要將行為模型轉(zhuǎn)換為最小二乘法格式。

y（k）=（k）θ+e（k）X ??（7）

在等式（7）中，輸出變量矩陣 y（k） 等于 Y（k） 。測(cè)量矩陣：

φ（k）= ??y T 1 u - T 1 … 0 y T 2 0 … 0 y T ?m ?0 0 ?u ????????- T ?m ?????（8）

此外，參數(shù)矩陣：

θ= ???a T，θT 1，θT 2，…，θT m ???（9）

1.3 行為模型結(jié)構(gòu)估計(jì)

在確定了模型結(jié)構(gòu)參數(shù)后，使用遞歸最小二乘法參數(shù)估計(jì)方法來估計(jì)電力用戶系統(tǒng)系統(tǒng)的模型參數(shù)。遞歸最小二乘法參數(shù)估計(jì)算法的步驟：

步驟1：設(shè)初始值 θ ?^ （0） 為零矩陣， p（0）=106I ，設(shè)num=0。num表示在模型精度 μ 范圍內(nèi)發(fā)生的誤差次數(shù)。

步驟2：通過式（2）、式（3）提取 Y（k） 和 U（k） 的輸入和輸出行為序列，然后基于式（1）～式（3）構(gòu)建具有輸入 U（k） 和輸出 Y（k） 的測(cè)量矩陣 K（k ）。

步驟3：通過公式（8）計(jì)算 K（k） 、 p（k） 和 θ ?^ （k） 。

1.4 電力用戶系統(tǒng)異常檢測(cè)模塊

首先，分析和歸類了一個(gè)電力市場的信息系統(tǒng)，得出了一個(gè)通用的電力用戶數(shù)據(jù)的行為模式。其次，利用標(biāo)準(zhǔn)的行為模型，對(duì)輸出的數(shù)據(jù)進(jìn)行預(yù)測(cè)。最后，可以將正常行為模型預(yù)測(cè)的行為序列與測(cè)量的行為序列進(jìn)行比較，以確定它是否是異常入侵。具體步驟：

步驟1：通過分析控制器和受控過程，獲得控制行為和過程行為的輸入和輸出行為地址表。

步驟2：在此基礎(chǔ)上，提出了一種基于正態(tài)過程和控制行為的數(shù)學(xué)方法，并用正態(tài)過程和正態(tài)控制行為的數(shù)學(xué)方法對(duì)輸出序列 M和C 進(jìn)行了預(yù)測(cè)。

步驟3： 在實(shí)際測(cè)試中抽取和預(yù)測(cè)的行為序列之間進(jìn)行對(duì)比。 M Δ= M－M ?^ ??表示過程行為模型的比較序列， C Δ= C－C ?^ ??表示控制行為模型的比較序列。

步驟4：根據(jù)電力用戶系統(tǒng)的容錯(cuò)范圍，為比較序列 M和C 選擇適當(dāng)?shù)拈撝礛T和CT。如果 M 中的序列值大于MT或C中的序列值大于CT，且 M或C連續(xù)N 次超過閾值MT或CT，則表明ICS已被入侵。

2 仿真實(shí)驗(yàn)及結(jié)果分析

2.1 檢測(cè)性能分析

在本研究中，通過篡改控制算法、測(cè)量數(shù)據(jù)和控制數(shù)據(jù)，使用行為模型進(jìn)行異常檢測(cè)，并對(duì)其檢測(cè)性能進(jìn)行了檢驗(yàn)。在3個(gè)實(shí)驗(yàn)案例中，從第1 000個(gè)采樣點(diǎn)到第4 000個(gè)采樣點(diǎn)共進(jìn)行3次攻擊。第1個(gè)實(shí)驗(yàn)是篡改PID算法參數(shù)P的值，將該值替換為1～5內(nèi)的隨機(jī)數(shù)。第2個(gè)實(shí)驗(yàn)是篡改測(cè)量數(shù)據(jù)值PV，將其替換為0.5～1.5內(nèi)的隨機(jī)數(shù)。使用行為序列提取模塊，在此基礎(chǔ)上，提出了一種基于動(dòng)態(tài)仿真算法，并對(duì)動(dòng)態(tài)仿真算法的動(dòng)態(tài)仿真算法進(jìn)行了驗(yàn)證。在此基礎(chǔ)上，利用該方法，對(duì)標(biāo)準(zhǔn)的輸出序列進(jìn)行預(yù)測(cè)，從而獲得 C Δ 與 M Δ 的比較順序。

在對(duì)所述控制算法的所述參數(shù)進(jìn)行入侵攻擊修改時(shí)，序列 C Δ 在圖1（a）中顯示出顯著的反常。在改變了測(cè)定數(shù)據(jù)后，在圖 （c）中的序列 C Δ 以及在圖（d）中 M Δ 序列中的異常變化明顯。在圖（e）中的序列 C Δ 反常在改變控制數(shù)據(jù)時(shí)也是顯而易見的。 由于該算法具有一定的檢測(cè)序列異常能力，因此該算法能較好地識(shí)別出此類攻擊。可以看到，在改變了測(cè)定數(shù)據(jù)的情況下，圖（c）中的順序也顯示了明顯的反常。這主要是因?yàn)?PV在控制系統(tǒng)中具有直接的作用，它對(duì)控制系統(tǒng)有直接的影響。當(dāng)控制數(shù)據(jù)被修正時(shí)，圖（f）所示的順序沒有明顯的異常。

3種攻擊的檢測(cè)結(jié)果如表1所示，其中包括假陰性率（FPR）和假陰性率 （FNR）。所提出系統(tǒng)具有較低的FPR和FNR，可以檢測(cè)到篡改行為數(shù)據(jù)和控制程序攻擊。其中篡改控制數(shù)據(jù)攻擊最低，僅為4.3%，主要由于篡改控制數(shù)據(jù)極易導(dǎo)致信息系統(tǒng)出現(xiàn)亂碼、卡頓等現(xiàn)象，最容易檢測(cè)到異常。

2.2 入侵攻擊檢測(cè)分析

在數(shù)據(jù)收集階段，電力用戶系統(tǒng)遭到入侵攻擊。在信息系統(tǒng)上執(zhí)行若干典型的入侵行為，如非法修改電力用戶信息日志和非法提升權(quán)限，以構(gòu)建基準(zhǔn)數(shù)據(jù)。由于實(shí)際信息系統(tǒng)和目標(biāo)信息系統(tǒng)在同一網(wǎng)絡(luò)環(huán)境中運(yùn)行，因此從目標(biāo)信息系統(tǒng)收集的電力用戶信息數(shù)據(jù)與從實(shí)際信息系統(tǒng)收集的電力用戶信息數(shù)據(jù)具有相同的特性。因此將電力用戶信息數(shù)據(jù)混合在一起，構(gòu)建用于檢測(cè)信息系統(tǒng)入侵性能評(píng)估的數(shù)據(jù)集。表2為數(shù)據(jù)集的詳細(xì)信息。

將提出的行為模型的異常檢測(cè)方法與K-prototype算法和K-NN算法在性能和處理時(shí)間方面進(jìn)行比較。圖2（a）、（b）和（c）分別為在不同數(shù)據(jù)集上的準(zhǔn)確率、召回率和誤報(bào)率。

從圖2（a）和圖2（b）可以看出，所提出的行為模型異常檢測(cè)方法在不同的數(shù)據(jù)集上提供了有效的入侵檢測(cè)，并產(chǎn)生了較高的精度和較低的誤報(bào)率，優(yōu)于K-prototype和K-NN算法。而沒有濾波和細(xì)化過程的K-prototype算法的結(jié)果是最差的;其在不同的數(shù)據(jù)集上生成了很大一部分誤報(bào)，主要因?yàn)镵-prototype聚類的主要目的是過濾掉明顯的正態(tài)事件，所以仍然有很多正態(tài)事件被歸類為異常候選，如果只使用K-prototype算法，會(huì)產(chǎn)生大量的誤報(bào)，而行為模型的誤報(bào)率基本維持在0.1%附近。如圖（c）所示，盡管K-prototype算法產(chǎn)生的召回率最高，但由于誤報(bào)率高，并且集成方法的召回率接近K-NN算法，且行為模型的召回率均值大于0.9，已滿足系統(tǒng)入侵檢測(cè)實(shí)際要求。同時(shí)可觀察到K-NN算法的結(jié)果在精度、召回率和誤報(bào)率方面接近行為模型，但在大多數(shù)情況下，行為模型的表現(xiàn)仍然優(yōu)于K-NN算法。行為模型檢測(cè)方法的最終檢測(cè)準(zhǔn)確率在90%以上，誤報(bào)率很低，實(shí)驗(yàn)結(jié)果驗(yàn)證了行為模型的異常檢測(cè)方法的有效性。

3 結(jié)語

針對(duì)電力用戶的實(shí)際情況，建立了電力用戶的控制與流程行為模型，采用結(jié)構(gòu)參數(shù)與參數(shù)估計(jì)的方法對(duì)其進(jìn)行了估計(jì)。 然后，通過模型變換的方式，把一個(gè)行為模型變換成一個(gè)狀態(tài)空間的方程式。該方法通過行為模型預(yù)測(cè)測(cè)量數(shù)據(jù)和控制數(shù)據(jù)，并通過分析行為數(shù)據(jù)比較序列來檢測(cè)異常。所提出的檢測(cè)系統(tǒng)在仿真實(shí)驗(yàn)平臺(tái)上具有較低的假陰性率和假陽性率，可以檢測(cè)到篡改行為數(shù)據(jù)和控制程序攻擊。其中篡改控制數(shù)據(jù)攻擊最低，僅為4.3%。行為模型檢測(cè)方法的最終檢測(cè)準(zhǔn)確率在90%以上，誤報(bào)率很低，實(shí)驗(yàn)結(jié)果驗(yàn)證了行為模型的異常檢測(cè)方法的有效性。

【參考文獻(xiàn)】

［1］ ?王淑強(qiáng).基于信息系統(tǒng)的電力營銷數(shù)據(jù)去重管理方法研究[J].自動(dòng)化技術(shù)與應(yīng)用，2023，42（1）：89-92.

[2] 熊威.基于數(shù)據(jù)融合分析的電力營銷決策支持信息系統(tǒng)[J].自動(dòng)化技術(shù)與應(yīng)用，2023，42（1）：121-125.

[3] 左曉軍，陳澤，董立勉等.基于信息安全框架“金三角模型”的網(wǎng)絡(luò)安全評(píng)估方法研究[J].粘接，2020，41（2）：106-110.

[4] 唐茂林.新形勢(shì)下智慧電網(wǎng)網(wǎng)絡(luò)營銷管理信息系統(tǒng)設(shè)計(jì)[J].信息與電腦（理論版），2022，34（15）：166-168.

[5] 杜濤，王朝龍，朱靖，等.基于聚類算法的變壓設(shè)備運(yùn)行數(shù)據(jù)監(jiān)測(cè)與異常檢測(cè)技術(shù)[J].粘接，2022，49（12）：137-140.

[6] 蘇立偉，劉振華，蘇華權(quán)，等.基于數(shù)據(jù)負(fù)荷序列聚類的配電網(wǎng)電力營銷實(shí)時(shí)信息系統(tǒng)測(cè)試[J].電網(wǎng)與清潔能源，2021，37（12）：64-69.

[7] 張艷麗，孫志杰，牛任愷，等.基于數(shù)據(jù)集成技術(shù)的電力營銷數(shù)據(jù)分析系統(tǒng)設(shè)計(jì)[J].電子設(shè)計(jì)工程，2022，30（15）：122-126.

[8] 韋雅，張嵐，王宏民，等.BP神經(jīng)網(wǎng)絡(luò)和云算法的電力營銷數(shù)據(jù)處理方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2021，31（7）：204-208.

[9] 蕭展輝，鄒文景，鄧麗娟，等.電力營銷客戶服務(wù)中臺(tái)數(shù)據(jù)傳輸安全自動(dòng)監(jiān)測(cè)技術(shù)[J].自動(dòng)化與儀器儀表，2022（10）：111-114.

[10] ??劉濱，孫繼科，段笑晨，等.基于農(nóng)村電力服務(wù)渠道數(shù)據(jù)信息安全的加密算法研究[J].自動(dòng)化應(yīng)用，2021（7）：15-16.

[11] 鐘立華，楊悅?cè)?基于差分閾值的審計(jì)式電力營銷精準(zhǔn)稽查系統(tǒng)設(shè)計(jì)[J].自動(dòng)化與儀器儀表，2020（9）：127-130.

[12] 王林信.基于多維數(shù)據(jù)的電力營銷線損信息監(jiān)控系統(tǒng)設(shè)計(jì)[J].微型電腦應(yīng)用，2022，38（2）：133-137.

[13] ?于培永，張慧琳，郭志剛，等.立體化智能電力系統(tǒng)巡檢平臺(tái)關(guān)鍵技術(shù)研究[J].粘接，2022，49（5）：122-125.

[14] ?徐超，孫金莉，楊郡，等.基于分布式支持向量機(jī)的電網(wǎng)錯(cuò)誤數(shù)據(jù)注入檢測(cè)法[J].粘接，2023，50（2）：188-192.

[15] ?張?jiān)品澹盒?，諸駿豪，等.基于電力通信動(dòng)靜態(tài)資源的光纜數(shù)據(jù)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].粘接，2022，49（2）：92-96.

[16] ?荊樹君.電能計(jì)量自動(dòng)化系統(tǒng)在電力營銷中的應(yīng)用成效[J].電子技術(shù)與軟件工程，2017（12）：151-151.

[17] 何壯壯.基于MapReduce的關(guān)聯(lián)規(guī)則技術(shù)在電力營銷大數(shù)據(jù)中的應(yīng)用[J].山西電力，2020（1）：45-49.

[18] 蔡嘉榮，王順意.基于國產(chǎn)中間件InforSuite的電力營銷系統(tǒng)集群技術(shù)研究[J].微型電腦應(yīng)用，2020，36（2）：124-127.

[19] 陳剛，陶文偉，鄭偉文.電力監(jiān)控系統(tǒng)現(xiàn)場運(yùn)維安全管控系統(tǒng)研究[J].粘接，2022，49（7）：180-183.

[20] 周曉燕，凌天楊，曾胡貴，等.基于圖神經(jīng)網(wǎng)絡(luò)的智能電網(wǎng)監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2022，18（13）：77-78.