一种基于边信道的电网嵌入式终端安全监测方法及系统与流程

本发明属于智能电网安全领域，涉及一种基于边信道的电网嵌入式终端安全监测方法及系统。

背景技术：

电力系统与我们的生活密切相关，作为电能生产、传输的平台，其需要满足可靠性、灵活性和经济性的要求。随着电力系统信息化程度的快速提升，电网朝着更智能化的方向不断发展。嵌入式技术作为当今应用范围最广的技术之一，已经成为电力系统控制和监控不可或缺的部分，其广泛应用于智能电网的各个环节，如电力工控系统中的plc、rtu、hmi等，在智能电力系统的发展中担任着至关重要的角色。这些电网嵌入式终端设备在使电网更加网络化、智能化、多功能化的同时，也带来了更多的安全风险。由于嵌入式设备广泛的部署在隐私敏感和安全领域，一旦遭受破坏，会对电力工控系统的安全性造成极大影响，导致电力设备故障，威胁智能电网的正常运行，对国家和社会安全造成严重威胁。对智能电网嵌入式终端设备的安全监测，有助于及时发现设备异常情况，使系统在遭受非法攻击之前预知、截获攻击，有利于保障电力系统的安全稳定运行。

目前针对智能电网嵌入式终端设备的安全研究主要集中在访问控制以及安全评估模型方面，对嵌入式终端设备的安全监测问题研究不多。本发明中提出的基于边信道的方法是指利用设备运行过程中的时间消耗、功率消耗等侧信道信息泄露来对设备运行状态进行监测。目前用得比较多的边信道信息有功耗、电磁信号、声音、时间等，这类信息往往可以反映出一些设备内部信息。针对智能电网嵌入式终端的自身特点，本发明中拟采用设备中cpu的功耗信息来对智能电网嵌入式设备进行安全监测。

技术实现要素：

本发明公开了一种基于边信道的电网嵌入式终端设备安全监测方法，通过对终端运行时的状态信息进行分析，实现对嵌入式终端设备运行状态的监测。通过运行状态信息采集、数据预处理、特征提取，建立设备正常运行状态模型，实现对电网终端设备的安全监测。本发明能够实现对电网嵌入式终端设备的运行状态监测，提高终端设备的安全性能。

本发明方法中采用基于长短记忆单元的循环神经网络对电网嵌入式设备运行状态进行建模。长短记忆单元(longshort-termmemory，lstm)是循环神经网络(recurrentneuralnetwork，rnn)的一种特例。它克服了循环神经网络的梯度消失问题，可以学习长期依赖信息，处理长序列的数据，在工业界有比较广泛的应用。由于lstm可以很好地捕捉时间序列的特征并对下一个时间点的值进行预测，预测拟合度较高，符合本发明需要解决的预测问题。

为了实现上述目的，本发明采用如下技术方案：

一种基于边信道的电网嵌入式终端安全监测方法，包括以下步骤：

1)采用互感方式获取嵌入式设备的cpu功耗信号；

2)过滤采集的cpu功耗信号中的直流信号，并对过滤后的时域功耗信息进行切片，每一段作为一个样本，得到功耗样本集；

3)从功耗样本集中提取样本的初始特征，设计一种特征筛选算法对初始特征进行筛选，获取最优特征集；所述特征筛选算法包括以下步骤：

s1：设置一个线性分类器：f＝w^tx+b，其中f是对一个样本所估计的分类标签号，x是一个m维特征向量，w是分类器中每一维特征相应的系数，b是偏置常数；

s2：选取损失函数：其中n表示输入样本个数，yi表示模型的输出；

s3：特征筛选过程中，没有被选中的冗余特征系数为零，优化目标公式表示为：其中||w||0表示xi的权重；

s4：利用最小二乘法对优化目标公式进行求解，具体求解过程为：选取mp个正样本和mn个负样本，每个样本为m维向量，并标记每个样本的真实标签，其中正样本的标签为+1，负样本的标签为-1；

4)构建长短记忆单元神经网络，包括n×m个单元的输入层、m个单元的输出层以及两层隐含层，其中m为最优特征集中的特征数量，n表示样本数；所述两层隐含层之间采用全连接，即第一个隐含层中的每个隐含单元都通过前馈连接与第二个隐含层中的每个隐含单元进行连接；采用步骤3)得到的最优特征集对长短记忆单元神经网络进行训练，得到训练好的长短记忆单元神经网络模型；

5)使用训练好的长短记忆单元神经网络模型对输入的待检测信号进行预测，并与实际采集的下一时刻信号进行比较判断，输出结果为设备是否正常运行，具体步骤如下：

5.1)下一时刻的特征值预测：设定样本窗口，根据采集到的前n＝100个时刻的功耗样本，使用长短记忆单元神经网络模型预测得到下一个时刻功耗样本的m维预测功耗特征

5.2)下一时刻的实际值采集：设定样本窗口，采集得到下一个时刻的实际功耗样本并得到实际功耗特征计算得到实际功耗特征x^(t+1)与预测功耗特征x^′(t+1)之间存在的误差得到误差向量

5.3)误差比较：当误差向量满足时，则将(t+1)时刻的功耗样本视为异常样本，否则视为正常样本，所述τ为预设的阈值；更新样本窗口，若检测得到当前样本为正常样本，则将当前获得的样本作为第100个时刻的样本，并结合前99个样本继续对下一时刻进行预测；若当前样本为异常样本，则将预测得到的功耗特征x^′(t+1)作为第100个样本，继续对下一时刻进行预测。

5.4)连续检测到多个异常样本时，判断当前运行状态为异常，发出警报。

为了实现上述方法，本发明还公开了一种基于边信道的电网嵌入式终端安全监测系统，包括：

边信道信号采集模块，用于采集嵌入式设备的cpu功耗信号；

预处理模块，用于过滤采集的cpu功耗信号中的直流信号，并对过滤后的时域功耗信息进行切片；

特征提取模块，用于从切片后的功耗数据中提取特征并进行筛选；

设备实时监测模块，包括模型建立单元和异常检测单元；所述模型建立单元用于构建长短记忆单元神经网络并进行训练，所述异常检测单元用于加载训练好的长短记忆单元神经网络模型，对输入的待检测信号进行预测，并与实际采集的下一时刻信号进行比较判断，输出结果为设备是否正常运行。

本发明具备的有益效果：本发明基于设备的边信道信息，通过lstm模型训练和预测的方法，实现了对电网嵌入式终端设备运行时边信道信息状态的监测，从而判断设备是否处于正常运行状态。功耗分析由于其信息量丰富，受环境干扰相对较小，分析效果相比较于其他边信道分析技术较好。设计了一种特征筛选算法对初始特征进行筛选，剔除了冗余特征，大大降低了模型计算量。采用基于功耗边信道的入侵检测方法，解决了智能电网配电终端单元的固件由厂家出厂时制定，无法安装入侵检测软件的问题。

附图说明

图1是本发明的总体结构示意图；

图2是设备实时监测模块的结构示意图。

具体实施方式

为了使本发明的内容、效果更加清楚明白，下面对本发明的优选实施方式作出详细的说明。

本发明提供的基于边信道的电网嵌入式终端设备安全监测方法包括设备运行状态信息采集、数据预处理、特征提取、设备正常运行状态模型建立、设备下一运行状态预测、设备运行状态异常检测。通过对电网嵌入式终端设备运行状态信息进行分类，选择功耗作为设备运行时的状态信息，并通过实时监测设备运行状态，与设备正常运行状态模型对比分析，从而判断设备运行是否异常。设备运行状态模型采用基于长短记忆单元(lstm)的循环神经网络，该模型可以克服智能电网嵌入式终端设备攻击样本少的缺点，在只有正样本的情况下也可以较好地预测设备运行状态，再通过比较终端设备运行时的状态信息与模型预测状态是否一致，从而实现对设备运行状态的实时监测。本发明提供的一种基于边信道的电网嵌入式终端设备安全监测方法，是一种实时监测方法，本发明的总体结构示意图如图1所示，包括智能电网嵌入式终端设备、边信道信号采集模块、预处理模块、特征提取模块和设备实时监测模块。其中：

边信道信号采集模块主要用来采集用于监测智能电网嵌入式设备状态的信号。本发明中采集的智能电网嵌入式终端设备边信道信息为功耗信息，具体为嵌入式设备cpu的功耗信息，因为cpu的功耗信息反映了内部运行指令的变化。在本发明的一个具体实施中，采用互感方式采集嵌入式设备的cpu功耗信号，该采集方法为非嵌入式方法，即在不破坏、不接入原设备的情况下，利用高精度高灵敏度的互感线圈或互感传感器进行功耗信息采集。

预处理模块主要是过滤采集的功耗信息中的直流信号，并对过滤后的时域功耗信息进行切片。在本发明的一个具体实施中，以5秒为单位对提取的时域功耗信息进行切片。

特征提取模块对预处理后的信息进行特征的提取。在本发明的一个具体实施中，提取的初始特征包括时域特征，如最大值、最小值、平均值等，基本频域特征，如频谱均值等，以及能够较好表达信号特点的概率密度分布特征，共133个。为了降低计算复杂度，需要对提取的初始特征进行筛选。本发明中采用了筛选最优特征的算法，具体实施步骤如下：

步骤1：设置一个线性分类器：f＝w^tx+b，其中f是对一个样本所估计的分类标签号，x是一个m维特征向量，w是分类器中每一维特征相应的系数，b是偏置常数；

步骤2：选取损失函数：其中n表示输入样本个数，yi表示模型的输出；

步骤3：特征筛选过程中，没有被选中的冗余特征系数为零，优化目标公式表示为：其中||w||0表示xi的权重；

步骤4：利用最小二乘法对优化目标公式进行求解，具体求解过程为：选取mp个正样本和mn个负样本，每个样本为m维向量，并标记每个样本的真实标签为+1(正样本)，-1(负样本)。最终通过求解上式选取了12个最优特征。

本发明通过对一段长时间的设备正常运行样本进行训练，得到设备正常运行状态模型，基于模型预测下一个时间点的设备运行功耗信息的特征向量，通过比较采集样本的特征向量与预测的特征向量，判断新采集到的样本功耗信息属于正常还是异常，从而实现智能电网嵌入式设备的实时异常监测。因此，设备实时监测模块又可以分为模型建立单元和异常检测单元，如图2所示。

模型建立单元具体实施步骤如下：

步骤1：建立模型。lstm是一种特殊的神经网络模型，包含了输入层、隐含层和输出层三种网络结构，其中隐含层可以有一层或多层。在本发明的一个具体实施中，采用n×m个单元的输入层、m个单元的输出层以及两层隐含层的结构。所述两层隐含层之间采用全连接，即第一个隐含层中的每个隐含单元都通过前馈连接与第二个隐含层中的每个隐含单元进行连接。

步骤2：训练数据采集。对正常运行状态下的cpu功耗进行数据采集，在本发明的一个具体实施中，每5秒钟的信息划分为一个样本，并提取前述12个特征，即m＝12，得到时间序列x＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}，其中x^(t)是一个m维的矩阵，代表t时刻功耗样本的特征向量。

步骤3：模型训练。将采集到的一系列样本中的部分作为训练样本，部分作为矫正样本，进行lstm模型的训练，直到模型训练完成。

异常检测单元：模型建立单元训练完成设备的模型后，将训练好的模型应用于设备监测模块，该模型对输入的待检测信号进行预测，并与实际采集的下一时刻信号进行比较判断，输出结果为设备是否正常运行。异常检测具体实施步骤如下：

步骤1：下一时刻的特征值预测：设定样本窗口，根据采集到的前n＝100个时刻的功耗样本，使用长短记忆单元神经网络模型预测得到下一个时刻功耗样本的m维预测功耗特征

步骤2：下一时刻的实际值采集：设定样本窗口，采集得到下一个时刻的实际功耗样本并得到实际功耗特征计算得到实际功耗特征x^(t+1)与预测功耗特征x^′(t+1)之间存在的误差得到误差向量

步骤3：误差比较：当误差向量满足时，则将(t+1)时刻的功耗样本视为异常样本，否则视为正常样本，所述τ为预设的阈值；更新样本窗口，若检测得到当前样本为正常样本，则将当前获得的样本作为第100个时刻的样本，并结合前99个样本继续对下一时刻进行预测；若当前样本为异常样本，则将预测得到的功耗特征x^′(t+1)作为第100个样本，继续对下一时刻进行预测。

步骤4：连续检测到多个异常样本时，判断当前运行状态为异常，发出警报。

以上所述仅为本发明的优选实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。