一种电力基础设施的故障协同分析方法、系统及电子设备与流程

本发明涉及数据处理领域，特别是涉及一种信息能源系统的信息故障检测方法、系统及电子设。

背景技术：

1、能源测和信息测的威胁溯源保证了任意时间、任意设备的威胁定位，是检测能力的进一步提升。威胁评估是安全周期中风险管理的一部分，它提供量化入侵事件的威胁程度的方法，为监管系统采取相应的防御措施提供依据。1999年，iaac(informationassuranceadvisory council)启动了“信息安全保障的威胁评估与预警方法”项目，研究威胁评估的量化方法和预警方法。协同威胁评估是对一组相关的攻击事件(目标相关，源相关，方法相关，时间相关)进行整体的评估，从而得出攻击事件集对于特定目标的威胁程度，为监管系统提供防御参考。研究协同攻击的威胁评估技术，基于简单入侵事件的评估初值，提出一种广义的事件集合的评估方法，可对协同入侵事件进行快速有效的威胁评估。

2、信息通信技术做为智能电网的关键支撑技术，近年来其在电力领域中的应用日趋深化，并推进智能电网的研究和建设不断前进。智能电网在未来终将演化成为电力空间和信息空间(包括各类信息系统及信息设备)高度融合的信息能源系统(cyber-energysystem，ces)，其中电力空间覆盖所有电力一次设备做为电网ces的物理承载基础，信息空间涵盖所有电力二次系统与电力信息系统做为电网ces的控制与运算平台。近几年的研究表明，当处于离散时空维度的信息空间和处于连续时空维度的电力空间深度融合之后，信息空间中原有的各类安全风险也被引入到智能电网中并严重影响其安全稳定运行。随着智能电网与信息通信技术不断整合，相关的各生产环节必将产生大量新的漏洞，导致从互联网对电力基础设施的入侵和攻击成为可能。此外，随着智能电网的规模和复杂性增加，互联网连接和自动化的不断提升，对于电力基础设施的攻击的技术手段也在不断增加。由于电网对信息管理系统和控制系统的依赖性、广泛分布的控制网络的脆弱性和电网自身的复杂性，网络攻击对电网控制系统造成的中某些局部的微小改动，都可能造成电力基础设施网络的大面积瘫痪。此类针对电网控制系统的网络攻击可以被称之为恶意控制指令攻击。

3、目前，工业界和学术界尚未提出完善的恶意控制攻击的检测技术。当前的电力控制系统采取控制指令预演的方式检测恶意控制指令，即在系统中仿真控制指令下发后的电力系统潮流，观察该控制指令是否会导致电力系统失去稳定。美国伊利诺伊大学香槟分校的研究人员提出了一种基于电力通信报文语义分析的电力网络入侵检测算法。该算法通过解析电力通信报文的内容并分析报文是否符合对应的电力通信协议标准，从而判断是否存在电力网络入侵行为。在电力通信报文语义分析的基础上，提出了基于预先潮流计算的恶意控制指令攻击检测算法。为减少潮流计算导致的延时，算法根据系统的节点规模对潮流计算的迭代轮数进行了优化。上述检测方法均基于提取电力一次系统或二次系统运行规则，存在规则提取依赖专家经验、规则提取和维护困难、规则匹配耗时会随系统规模增加而急剧增加的缺点。

4、恶意控制指令攻击对电网的安全稳定运行危害巨大，亟需研究针对恶意控制指令攻击的检测技术。

技术实现思路

1、本发明的目的是提供一种电力基础设施的故障协同分析方法、系统及电子设备，能够对电力基础设施的故障进行检测，降低故障跨空间传播几率。

2、为实现上述目的，本发明提供了如下方案：

3、一种电力基础设施的故障协同分析方法，所述分析方法包括：

4、获取电网运行的电力通信报文和对应的离散事件的标签；所述电力通信报文和所述对应的离散时间的标签构成训练数据集；所述标签包括故障点定位信息和控制信息；

5、根据所述训练数据集对白名单模型进行训练；所述白名单模型包括自然语言处理模型和孤立森林算法；

6、获取电网运行的实时电力通信报文；

7、将所述实时电力通信报文输入训练后的白名单模型，得到检测结果；所述检测结果为输出正常或者输出异常。

8、可选地，所述自然语言处理模型为word2vec模型。

9、可选地，根据所述训练数据集对白名单模型进行训练，具体包括：

10、将所述电力通信报文输入所述word2vec模型，得到多个所述对应的离散时间的标签的概率；

11、从多个所述对应的离散时间的标签的概率中选择最大化后验概率为目标训练电力通信报文对应离散事件的特征向量；

12、根据所述电力通信报文和所述对应离散事件的特征向量，应用孤立森林算法，建立白名单；

13、判断所述word2vec模型的训练次数是否达到设定阈值；

14、当所述word2vec模型的训练次数达到设定阈值时，得到训练后的word2vec模型。

15、可选地，分析方法还包括对所述电网的终端进行身份认证。

16、可选地，所述身份认证的算法为随机子集哈希算法。

17、一种电力基础设施的故障协同分析系统，应用于上述的电力基础设施的故障协同分析方法，所述分析系统包括：

18、第一获取模块，用于获取电网运行的电力通信报文和对应的离散事件的标签；所述电力通信报文和所述对应的离散时间的标签构成训练数据集；所述标签包括故障点定位信息和控制信息；

19、训练模块，用于根据所述训练数据集对白名单模型进行训练；所述白名单模型包括自然语言处理模型和孤立森林算法；

20、第二获取模块，用于获取电网运行的实时电力通信报文；

21、检测模块，用于将所述实时电力通信报文输入训练后的白名单模型，得到检测结果；所述检测结果为输出正常或者输出异常。

22、一种电子设备，包括存储器及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行上述的电力基础设施的故障协同分析方法。

23、可选地，所述存储器为可读存储介质。

24、根据本发明提供的具体实施例，本发明公开了以下技术效果：

25、本发明提供的一种电力基础设施的故障协同分析方法、系统及电子设备，采用的异常检测方法相对于传统的“硬规则”更难被黑客绕过，且有望发现零日漏洞。本发明检测配电恶意控制指令。根据电网的上行测量信息和下行控制指令之间存在上下文一致性关系，通过word2vec的方法提取该上下文关系生成电力通信报文对应离散事件的特征向量和序列向量，通过孤立森林算法(isolation forest)建立白名单模型并检测恶意控制指令，能够对电力基础设施的故障进行检测，降低故障跨空间传播几率，保障电网安全。

技术特征：

1.一种电力基础设施的故障协同分析方法，其特征在于，所述分析方法包括：

2.根据权利要求1所述的电力基础设施的故障协同分析方法，其特征在于，所述自然语言处理模型为word2vec模型。

3.根据权利要求2所述的电力基础设施的故障协同分析方法，其特征在于，根据所述训练数据集对白名单模型进行训练，具体包括：

4.根据权利要求1所述的电力基础设施的故障协同分析方法，其特征在于，分析方法还包括对所述电网的终端进行身份认证。

5.根据权利要求4所述的电力基础设施的故障协同分析方法，其特征在于，所述身份认证的算法为随机子集哈希算法。

6.一种电力基础设施的故障协同分析系统，其特征在于，所述分析系统包括：

7.一种电子设备，其特征在于，包括存储器及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至5中任一项所述的电力基础设施的故障协同分析方法。

8.根据权利要求7所述的一种电子设备，其特征在于，所述存储器为可读存储介质。

技术总结
本发明公开一种电力基础设施的故障协同分析方法、系统及电子设备，涉及数据处理领域，该方法包括：获取电网运行的电力通信报文和对应的离散事件的标签；根据训练数据集对白名单模型进行训练；白名单模型包括自然语言处理模型和孤立森林算法；获取电网运行的实时电力通信报文；将实时电力通信报文输入训练后的白名单模型，得到检测结果。本发明能够对电力基础设施的故障进行检测，降低故障跨空间传播几率。

技术研发人员：刘宝昌,李玉昇,毕成,赵小强,林丽,边柯宝,胡曼丽,张磊,王启凡,张晟
受保护的技术使用者：中国移动通信集团设计院有限公司
技术研发日：
技术公布日：2024/1/15