(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115913694A(43)申请公布日2023.04.04(21)申请号202211403381.9G16Y10/35(2020.01)(22)申请日2022.11.10G16Y40/50(2020.01)(71)申请人国网计量中心有限公司地址100192北京市海淀区清河小营东路15号(72)发明人于海波乔文俞谷凯谭煌刘婧李媛刁新平陈天阳李亚杰田成明王婧(74)专利代理机构东莞市神州众达专利商标事务所(普通合伙)44251专利代理师周松强(51)Int.Cl.H04L9/40(2022.01)G06N3/0464(2023.01)G06F18/24(2023.01)权利要求书1页说明书4页附图1页(54)发明名称一种基于行为的电力物联网入侵检测方法(57)摘要本发明公开了一种基于行为的电力物联网入侵检测方法，涉及电力物联网技术领域。本发明通过对电力物联网的数据包进行特征提取和分类，实现了伪造数据包的辨识，包括计算网络流量行为特征；计算GOOSE行为模式特征；计算MMS行为特征；根据异常检测函数A进行判断是否存在电力物联网入侵攻击；本发明构建了电力物联网流量数据包的特征集，并基于深度卷积神经网络CNN对电力物联网通信数据包进行分类，为电力物联网信息安全、网络态势感知以及保证信息物理紧耦合电力系统稳定运行提供了支撑。CN115913694ACN115913694A权利要求书1/1页1.一种基于行为的电力物联网入侵检测方法，其特征在于，通过提供电力物联网入侵监测方法，进行电力物联网的异常入侵行为辨识，实现系统网络监测和告警功能，包括如下步骤；S1：计算网络流量行为特征；S2：计算GOOSE行为模式特征；S3：计算MMS行为特征；S4：根据异常检测函数A进行判断是否存在电力物联网入侵攻击。2.根据权利要求1所述的一种基于行为的电力物联网入侵检测方法，其特征在于，所述检测方法利用了电力物联网流量的两个主要特征，包括静态特征和动态特征，所述静态特征包含MMS的监测指标，所述动态特征包括GOOSE的行为模式检测和网络流量的行为特征监测两部分。3.根据权利要求1所述的一种基于行为的电力物联网入侵检测方法，其特征在于，所述S1中网络流量的行为特征监测采用每秒比特数(bps)、每秒数据包数(pps)和每秒连接数(cps)三个指标进行统计分析，定义了这3个指标的度量阶跃函数。4.根据权利要求1所述的一种基于行为的电力物联网入侵检测方法，其特征在于，包括基于深度卷积神经网络CNN的电力物联网安全检测技术，所述S2中GOOSE的行为模式监测通过三个GOOSE指标R(Recency)、F(Frequency)和M(Monetary)来寻找用户的行为模式，并与GOOSE报告周期(GRP)进行比对，定义了GOOSE的度量函数。5.根据权利要求1所述的一种基于行为的电力物联网入侵检测方法，其特征在于，包括基于深度卷积神经网络CNN的电力物联网安全检测技术，所述S4中定义根据GOOSE、MMS和网络流量行为特征计算的异常检测函数A，根据异常检测函数A的值判断是否存在入侵攻击。2CN115913694A说明书1/4页一种基于行为的电力物联网入侵检测方法技术领域[0001]本发明涉及电力物联网技术领域，特别是涉及一种基于行为的电力物联网入侵检测方法。背景技术[0002]为了增强电网的可靠性和韧性，电网公司越来越多地将先进的电力物联网(信息)与电力基础设施(物理)集成在一起，以实现广域监测、保护和控制(WAMPAC)。由此传统电力系统演变成一个由多种WAMPAC设备组成的新兴的信息物理实体，包括相量测量单元(PMU)、智能断路器和分布式能源(DERs)，它们利用通信网络协同提高系统的鲁棒性；与这种信息物理系统耦合相关的主要缺陷是系统将会继承源自使用标准通信协议的智能设备的网络漏洞，这些漏洞可以被对手利用来发起攻击对完整性、机密性和可用性的潜在攻击电力系统产生的网络数据。例如假数据注入测量装置，估计的系统状态，通过窃听和拒绝针对通信网络的业务攻击；在最近的研究工作中，复杂的攻击模型正是利用上述网络漏洞专门攻击物理系统目标，因此，研究电力物联网信息安全技术迫在眉睫；[0003]电力物联网能监测和控制电力基础设施的所有物理环境，随着信息物理系统(CPS)安全的重要性日益提高，针对SCADA和发电部门的入侵检测算法层出不穷，而对电力物联网的入侵检测算法考虑较少；因此，我们提出一种基于行为的电力物联网入侵检测方法。发明内容[0004]本发明的目的在于提供一种基于行为的电力物联网入侵检测方法，使用了对传统网络特征的统计分析和基于规范的度量，用于保护电力物联网信息安全，解决上述背景中提出的问题。[0005]为解决上述技