技術領域

本發明涉及電力系統惡意行為檢測領域，尤其涉及一種基于四“遙”邏輯關系圖的電力系統惡意行為識別方法。電力系統中核心的通信和控制技術是四“遙”，就是由遙測、遙信、遙控和遙調四部分組成。

背景技術

工業控制系統包括了監控和數據采集系統，分布式控制系統，可編程控制器等。這些控制系統廣泛運用于工業、能源、交通、水利以及市政等，重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。隨著工業化與信息化的深度融合，在享受信息共享與管理便利的同時，來自信息網絡的安全威脅將逐步成為工業控制系統所面臨的最大安全威脅。

惡意行為是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機、網絡或其他終端上安裝運行，侵犯用戶合法權益、執行惡意任務的病毒、蠕蟲、特洛伊木馬、惡意代碼等程序，通過破壞軟件進程和系統數據來實施控制，致使計算機系統和網絡不能可靠正常地運行，網絡服務中斷等的行為。計算機系統惡意行為的種類有：執行惡意任務的病毒、蠕蟲、特洛伊木馬等惡意軟件和帶有攻擊意圖所編寫的一段程序，如：陷門、邏輯炸彈等。網絡惡意行為的種類有：信息探測行為（如端口和漏洞掃描）、信息欺騙行為（如ARP欺騙和IP劫持）、信息淹沒行為（如SYN Flood和DDOS攻擊）、信息偽傳遞行為（溢出攻擊、IMCP木馬、HTTP隧道木馬）。

工業控制系統惡意行為可分為兩類：第一類是針對高級持續性威脅（Advanced Persistent Threat ，簡稱APT）及其他工業網絡外部威脅的惡意行為。高級持續性威脅（APT）是指：針對特定組織或國家，出于商業或政治動機，使用復雜精美的惡意軟件及技術以利用系統中的漏洞，隱匿而持久的監控特定目標并進行電腦入侵，從而獲取數據或者進行攻擊。第二類是針對工業控制系統軟件漏洞、操作系統安全漏洞、網絡通信協議安全漏洞、管理流程漏洞等內部的惡意行為。惡意代碼（諸如病毒、特洛伊木馬、蠕蟲等）、黑客等利用這些漏洞對工業控制系統進行惡意攻擊，造成工業控制系統造成嚴重損壞。

當前，國內大型科技公司及著名高校和研究院對惡意行為的檢測識別方法所申請的專利有：百度在線網絡技術（北京）有限公司申請的“利用IP地址實現惡意行為的檢測”；哈爾濱工業大學深圳研究生院申請的“一種基于內核對象行為本體的惡意代碼檢測方法”；深圳市騰訊計算機系統有限公司申請的“通過對比已存儲的惡意操作路徑集合和待執行的操作所在的路徑，判斷待執行的操作是否為惡意行為的檢測方法”；騰訊科技（深圳）有限公司申請的“通過檢測是否有事件被觸發并判斷事件是否符合行為列表中正常行為的檢測方法”。而在工業控制領域，對惡意行為的檢測識別方法所申請的專利有：浙江大學申請的“截獲并識別通信數據報文，來判斷與檢測是否存在針對本地內部控制程序的惡意操作”。

電力系統中核心的通信和控制技術是四“遙”，就是由遙測、遙信、遙控和遙調四部分組成。遙測是指遠程測量，遠方測量電壓、電流、功率、負荷、潮流等電力系統運行狀態；遙信是指遠程信號，遠方監視電氣開關和設備、機械設備的工作狀態和運轉情況狀態等；遙控是指遠程控制，通過接受由PLC、SCADA、DCS等控制系統所發出的控制命令來遠方控制電氣設備及電氣化機械設備的分合起停等工作；遙調是指遠程調節，對遠程的控制量設備進行遠程調試，如調節發電機輸出功率等。

但是當前電力系統中的惡意行為檢測還是基于計算機領域的技術，并沒有用系統分析的方法把電力系統中最基本的通信和控制因素考慮進去，本發明公布了一種基于四“遙”邏輯關系圖的電力系統惡意行為識別方法。

發明內容

在此本發明公布了一種基于四“遙”邏輯關系圖的電力系統惡意行為識別方法，電力系統中核心通信和控制的四“遙”技術，分別為遙測、遙信、遙控和遙調，該方法采用的邏輯關系圖是在電力系統處于不同工況下運行時，記錄各種遙測信號的正常波動范圍、與遙信的設備狀態、運行邏輯，從而形成的電力系統狀態關系圖。用這個來判定那些不良數據在識別過程中無法檢測到的惡意行為。該方法不是采用傳統的計算機數據包的過濾技術，而是把電力系統中的四“遙”作為一個系統，采用邏輯關系圖的方法判定和識別惡意行為。

其具體步驟如下：

步驟1：遙測數據采集，采集如電壓、電流、功率、負荷、潮流等電力系統運行狀態；