一种基于机器学习技术的跨空间级联故障检测方法
【专利摘要】本发明涉及一种基于机器学习技术的跨空间级联故障检测方法,所述方法包括:通过机器学习技术构建信息空间元件的工作状态参数与信息威胁故障次数的数据模型;基于所述数据模型,输入当前信息空间元件的工作状态参数,获取信息威胁故障检测结果;根据所述信息威胁故障检测结果确定电力信息物理系统是否存在所述跨空间级联故障。本发明提供的方法,能够明确由信息威胁引发的跨空间级联故障成因基础上,通过机器学习技术对大量检测数据的训练得到检测模型,进而利用该模型实现快速、准确的跨空间级联故障早期告警,以辅助决策人员采取合理的防护措施。
【专利说明】
一种基于机器学习技术的跨空间级联故障检测方法
技术领域
[0001] 本发明涉及网络信息安全技术领域,具体涉及一种基于机器学习技术的跨空间级 联故障检测方法。
【背景技术】
[0002] 近年来第三次工业革命、"互联网+"、大数据等新颖技术和概念的不断涌现,极大 的改变了能源行业的传统工作模式,越来越多信息设备及系统在能源行业取得大规模应 用,现代物理能量系统正在变得更加智能化、分布化、互动化,如当前大量间歇性、分布式、 可再生能源广泛接入电力系统。未来的能源供应方式将实现信息空间与物理能量系统的深 度融合与智能化协同工作。但物理能量系统的安全问题不容忽视,特别是近几年发生的"北 美8.14大停电"、伊朗震网病毒事件、乌克兰电网遭恶意攻击停运等事故表明物理能量系统 的故障类型已经由原先的单一物理故障演化为跨空间级联故障。跨空间级联故障将是未来 干扰能量物理系统正常工作的重要因素,特别是由信息威胁引发的跨空间级联故障的源头 在信息空间,故障的最终影响点在电力系统,其产生和传播过程跨越了信息空间和电力系 统,其危害性比传统物理能量系统的故障更高。因此研究针对跨空间级联故障的检测方法, 具有极强的理论意义和实际价值。
[0003] 现有的能源互联网、电力信息物理系统等业务场景中的威胁检测方法主要是从信 息威胁和物理能量故障两个层面分别独立进行,两者之间相互独立缺少联系,缺少针对由 信息威胁引发的跨空间级联故障的检测技术。信息威胁的检测以入侵检测技术为主,入侵 检测是对入侵行为的检测,入侵检测系统通过收集网络及计算机系统内所有关键节点的信 息,检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是 各种网络安全设备(如防火墙、IDS、IPS等)的日志,这些设备会实时的记录每个时间监测点 目标网络的活动情况以便分析目标网络的运行情况。物理能量系统故障的检测技术以潮流 仿真计算和二次设备监控为主:一方面,通过二次设备实时测量系统的运行状态参数,一旦 发生异常,则保护装置动作切除故障并报警;另一方面,依据实时采集的系统运行参数,调 度中心对系统未来时段的运行状况进行潮流仿真,以发现安全隐患,并提前采取相应的安 全措施消除隐患。
【发明内容】
[0004] 本发明提供一种基于机器学习技术的跨空间级联故障检测方法,其目的是明确由 信息威胁引发的跨空间级联故障成因基础上,通过机器学习技术对大量检测数据的训练得 到检测模型,进而利用该模型实现快速、准确的跨空间级联故障早期告警,以辅助决策人员 采取合理的防护措施。
[0005] 本发明的目的是采用下述技术方案实现的:
[0006] -种基于机器学习技术的跨空间级联故障检测方法,其改进之处在于,包括:
[0007] 通过机器学习技术构建信息空间元件的工作状态参数与信息威胁故障次数的数 据模型;
[0008] 基于所述数据模型,输入当前信息空间元件的工作状态参数,获取信息威胁故障 检测结果;
[0009] 根据所述信息威胁故障检测结果确定电力信息物理系统是否存在所述跨空间级 联故障。
[0010]优选的,所述信息元件包括:网络设备、信息设备和信息系统,所述信息空间元件 的工作状态参数包括:网络报文的类型、长度、源地址、目的地址、当前的网络流量、信息设 备当前的工作状态。
[0011]优选的,所述通过机器学习技术构建信息空间元件的工作状态参数与信息威胁故 障次数的数据模型,包括:
[0012] 采集所述信息空间元件的工作状态参数及其对应的信息威胁故障次数,并进行数 据预处理;
[0013] 将所述信息空间元件的工作状态参数作为机器学习技术的输入量,将所述信息空 间元件的工作状态参数对应的信息威胁故障次数作为机器学习技术的输出量;
[0014] 将p个同一时刻的信息空间元件的工作状态参数集合Χ = {χ?,·4.及其对应 的信息威胁故障次数集合Γ = A...,乂齟成ρ个训练样本,其中,η为所述信息元件的工 作状态参数类别总数,m为所述信息威胁故障类别总数,ρ为正整数,t为时间标识;
[0015] 将所述ρ个训练样本分别输入至s个分类器进行训练,获取s个所述信息空间元件 的工作状态参数与信息威胁故障次数的映射关系ytifUt);
[0016] 利用决策机设置所述s个分类器的检测权重{qi,q2, ···,&},获取所述信息空间元 件的工作状态参数与信息威胁故障次数的数据模型。
[0017] 进一步的,所述s个分类器能够选择相同或不同的机器学习技术,其中,所述机器 学习技术包括:支持向量机及其改进算法、神经网络及其改进算法、聚类算法、极端学习机 及其改进算法、集成学习算法及其改进算法和深度学习算法及其改进算法等算法,所述 8个 分类器能够选择相同或不同的训练参数优化算法,其中,所述训练参数优化算法包括:粒子 群优化算法、遗传算法、蚁群优化算法和鱼群优化算法。
[0018] 进一步的,所述采集所述信息空间元件的工作状态参数及其对应的信息威胁故障 次数,并进行数据预处理,包括:
[0019] 对所述采集所述信息空间元件的工作状态参数及其对应的信息威胁故障次数数 据进行遗漏数据补充、冗余数据剔除、非数值型数据量化及数据归一化操作。
[0020] 优选的,所述根据所述信息威胁故障检测结果确定电力信息物理系统是否存在所 述跨空间级联故障,包括:
[0021] 若所述信息威胁故障检测结果为拒绝服务类攻击、信息元件可靠性故障或利用型 攻击,则电力信息物理系统存在所述跨空间级联故障。
[0022]本发明的有益效果:
[0023]本发明提供的一种基于机器学习技术的跨空间级联故障检测方法,提出基于机器 学习技术的检测方法技术思路及其部署位置,并利用机器学习技术对检测数据进行训练, 生成检测模型,将实时检测数据输入检测模型以完成在线检测,最终依据检测结果实现对 跨空间级联故障的在线检测,该方法填补了目前在信息空间与能量物理系统紧密融合、协 同工作的业务场景中缺少由信息威胁引发的跨空间级联故障检测方法的技术空白,有效提 升了对实时发生的各类跨空间级联故障的辨识能力,加强了针对各类跨空间级联故障防护 的目的性,有助于从整体层面改善能源业务场景的运行状况,保障其安全稳定运行。
【附图说明】
[0024] 图1是本发明一种基于机器学习技术的跨空间级联故障检测方法的流程图;
[0025] 图2是本发明实施例中数据采集应用场景示意图;
[0026] 图3是本发明实施例中智能变电站内部结构示意图;
[0027] 图4是本发明实施例中数据模型框架示意图;
[0028] 图5是本发明实施例中由信息威胁引发的跨空间连锁故障过程示意图;
[0029] 图6是本发明实施中跨空间级联故障类别示意图。
【具体实施方式】
[0030] 下面结合附图对本发明的【具体实施方式】作详细说明。
[0031] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0032] 本发明提供的一种基于机器学习技术的跨空间级联故障检测方法,如图1所示,包 括:
[0033] 通过机器学习技术构建信息空间元件的工作状态参数与信息威胁故障次数的数 据模型;
[0034] 基于所述数据模型,输入当前信息空间元件的工作状态参数,获取信息威胁故障 检测结果;
[0035] 根据所述信息威胁故障检测结果确定电力信息物理系统是否存在所述跨空间级 联故障。
[0036] 其中,所述信息元件包括:网络设备、信息设备和信息系统,所述信息空间元件的 工作状态参数包括:网络报文的类型、长度、源地址、目的地址、当前的网络流量、信息设备 当前的工作状态。
[0037] 具体的,所述通过机器学习技术构建信息空间元件的工作状态参数与信息威胁故 障次数的数据模型,包括:
[0038] 采集所述信息空间元件的工作状态参数及其对应的信息威胁故障次数,并进行数 据预处理;
[0039] 其中,如图2所示,数据采集设备(探针)和检测装置(检测模型)的部署位置为能源 互联网、电力信息物理系统等典型业务场景的控制网络,即将数据采集设备与检测装置部 署在信息空间与物理能量系统的空间边界处,例如,如图3所示,以电力信息物理系统中的 智能变电站为例进行说明,因智能变电站遵守IEC61850通信规约,其内部构造符合站控层、 间隔层、过程层、站控层网络、过程层网络的"三层两网"结构,故检测装置和数据采集装置 应部署在站控层网络中,以实现对站控层和间隔层中信息威胁的实时监控;
[0040] 将所述信息空间元件的工作状态参数作为机器学习技术的输入量,将所述信息空 间元件的工作状态参数对应的信息威胁故障次数作为机器学习技术的输出量;
[0041] 例如:取部分信息元件的工作状态参数做为输入向量,如网络报文类型X1、网络报 文长度X2、网络报文的连接时间X3、网络报文的源地址X4和目的地址X5等,则输入向量为 {λΚxK,4,t为时间标号,选择由拒绝服务攻击引发的电力一次设备拒动 yi、由恶意攻 击引发的电力一次设备拒动y2、由恶意攻击引发的电力一次设备误动y3做为输出向量,输出 向量为
[0042] 将p个同一时刻的信息空间元件的工作状态参数集合I =丨"…,<}及其对应 的信息威胁故障次数集合F = 组成P个训练样本,其中,η为所述信息元件的工 作状态参数类别总数,m为所述信息威胁故障类别总数,ρ为正整数,t为时间标识;
[0043]例如,根据ECPS的工作状况历史统计构建输入向量与输出向量之间的二元组做为 支持向量机的训练样本集,训练样本集中以时间标号t做为样本的划分依据,每条样本均记 录了在t时刻输入向量丨, X丨"?(丨和输出向量{_>,丨,J,X}的统计值,样本的记录格式为 Κχ?,χΚ.νΚ.ν丨丨,再例如,某条样本为{11,0,0,0,0,0,0,0,0},则表明在第11时 刻,ECPS中没有网络报文也没有信息威胁故障。
[0044] 将所述ρ个训练样本分别输入至s个分类器进行训练,获取s个所述信息空间元件 的工作状态参数与信息威胁故障次数的映射关系ytifUt);
[0045] 利用决策机设置所述s个分类器的检测权重{qi,q2, ···,&},获取所述信息空间元 件的工作状态参数与信息威胁故障次数的数据模型,其中,各个分类器均有自己专属的函 数映射关系并以函数映射关系做为自己的检测规则,决策机将各个分类器的检测规则综合 成检测规则库并对各个分类器赋以检测权重,决策机对各个分类器的检测结果进行加权计 算,如图4所示;
[0046]其中,所述s个分类器能够选择相同或不同的机器学习技术,其中,所述机器学习 技术包括:支持向量机及其改进算法、神经网络及其改进算法、聚类算法、极端学习机及其 改进算法、集成学习算法及其改进算法和深度学习算法及其改进算法等算法,所述s个分类 器能够选择相同或不同的训练参数优化算法,其中,所述训练参数优化算法包括:粒子群优 化算法、遗传算法、蚁群优化算法和鱼群优化算法。
[0047] 所述采集所述信息空间元件的工作状态参数及其对应的信息威胁故障次数,并进 行数据预处理,包括:
[0048] 对所述采集所述信息空间元件的工作状态参数及其对应的信息威胁故障次数数 据进行遗漏数据补充、冗余数据剔除、非数值型数据量化及数据归一化操作。
[0049] 所述根据所述信息威胁故障检测结果确定电力信息物理系统是否存在所述跨空 间级联故障,包括:
[0050] 若所述信息威胁故障检测结果为拒绝服务类攻击、信息元件可靠性故障或利用型 攻击,则电力信息物理系统存在所述跨空间级联故障;
[0051] 其中,所述跨空间级联故障的形成过程,如图5所示,信息元件因遭受信息攻击或 可靠性故障而导致工作异常,并将导致与之连接的电力二次设备出现异常(或以隐性故障 形态存在),如信息攻击会引发继电保护装置拒动、变电站监测控制装置误动、自动电压控 制装置下发错误指令等电力二次设备故障。进而电力二次设备异常工作后将有可能诱使电 力一次设备出现故障,即发生电力系统扰动,从而使信息安全风险的破坏作用从信息空间 向电力系统投影。
[0052]故信息攻击、软件系统或硬件可靠性故障、电力二次设备故障和电力系统扰动之 间存在明显的因果逻辑关系,正是由于信息空间与电力系统的紧密耦合,它们在ECPS中顺 序爆发形成了跨空间级联故障,电力二次设备对跨空间级联故障的产生起到了重要的作 用:其做为ECPS内部的空间联动接口,将离散时空特性的信息空间与连续时空特性的电力 系统紧密耦合起来,实现了离散信息流与连续能量流之间的交互,同时原本孤立于信息空 间的安全风险有可能借助于电力二次设备将其危害扩散到电力系统中,诱发电力系统扰 动,进而影响电力系统稳定运行。
[0053]需要特别说明的是,不是所有的信息安全风险均可引发电力系统扰动,同理也不 是所有的电力系统扰动均可由信息安全风险引发。如信息收集类攻击为拒绝服务类和利用 型攻击的前提,在电力企业内外网安全隔离条件下假消息攻击难以直接引发电力二次设备 故障,风电场风速变化和日照强度变化等系统扰动不会因网络攻击产生,跨空间级联故障 中不包括上述安全风险。如图6所示,每一条由信息攻击或信息元件可靠性故障出发并至电 力系统扰动结束的路径均为一种跨空间级联故障,其中,由于信息元件因可靠性出现故障 后会导致无法正常工作,其对二次设备的危害等同于拒绝服务类攻击,故在图6中将信息元 件可靠性与拒绝服务类攻击进行合并。
[0054]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽 管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然 可以对本发明的【具体实施方式】进行修改或者等同替换,而未脱离本发明精神和范围的任何 修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
【主权项】
1. 一种基于机器学习技术的跨空间级联故障检测方法,其特征在于,所述方法包括: 通过机器学习技术构建信息空间元件的工作状态参数与信息威胁故障次数的数据模 型; 基于所述数据模型,输入当前信息空间元件的工作状态参数,获取信息威胁故障检测 结果; 根据所述信息威胁故障检测结果确定电力信息物理系统是否存在所述跨空间级联故 障。2. 如权利要求1所述的方法,其特征在于,所述信息元件包括:网络设备、信息设备和信 息系统,所述信息空间元件的工作状态参数包括:网络报文的类型、长度、源地址、目的地 址、当前的网络流量、信息设备当前的工作状态。3. 如权利要求1所述的方法,其特征在于,所述通过机器学习技术构建信息空间元件的 工作状态参数与信息威胁故障次数的数据模型,包括: 采集所述信息空间元件的工作状态参数及其对应的信息威胁故障次数,并进行数据预 处理; 将所述信息空间元件的工作状态参数作为机器学习技术的输入量,将所述信息空间元 件的工作状态参数对应的信息威胁故障次数作为机器学习技术的输出量; 将P个同一时刻的信息空间元件的工作状态参数集合X = ...,:忒}及其对应的信息 威胁故障次数集合F = 组成P个训练样本,其中,η为所述信息元件的工作状态 参数类别总数,m为所述信息威胁故障类别总数,ρ为正整数,t为时间标识; 将所述P个训练样本分别输入至s个分类器进行训练,获取s个所述信息空间元件的工 作状态参数与信息威胁故障次数的映射关系ytifUt); 利用决策机设置所述s个分类器的检测权重{qi,q2,···,qs},获取所述信息空间元件的 工作状态参数与信息威胁故障次数的数据模型。4. 如权利要求3所述的方法,其特征在于,所述s个分类器能够选择相同或不同的机器 学习技术,其中,所述机器学习技术包括:支持向量机及其改进算法、神经网络及其改进算 法、聚类算法、极端学习机及其改进算法、集成学习算法及其改进算法和深度学习算法及其 改进算法等算法,所述s个分类器能够选择相同或不同的训练参数优化算法,其中,所述训 练参数优化算法包括:粒子群优化算法、遗传算法、蚁群优化算法和鱼群优化算法。5. 如权利要求3所述的方法,其特征在于,所述采集所述信息空间元件的工作状态参数 及其对应的信息威胁故障次数,并进行数据预处理,包括: 对所述采集所述信息空间元件的工作状态参数及其对应的信息威胁故障次数数据进 行遗漏数据补充、冗余数据剔除、非数值型数据量化及数据归一化操作。6. 如权利要求1所述的方法,其特征在于,所述根据所述信息威胁故障检测结果确定电 力信息物理系统是否存在所述跨空间级联故障,包括: 若所述信息威胁故障检测结果为拒绝服务类攻击、信息元件可靠性故障或利用型攻 击,则电力信息物理系统存在所述跨空间级联故障。
【文档编号】G05B23/02GK105867347SQ201610188061
【公开日】2016年8月17日
【申请日】2016年3月29日
【发明人】王宇飞, 高昆仑, 赵婷
【申请人】全球能源互联网研究院, 国家电网公司