本發明公開了一種基于網絡流的智能電網通信異常檢測方法，包括如下步驟：S1，網絡流分片：以固定間隔對每一條網絡流進行劃分，每一次劃分即形成一個分片，后續網絡流特征提取及分析檢測的單元均為網絡流分片；S2，網絡流特征提取與預處理：對“客戶端?服務端”、“服務端?客戶端”流量分別進行特征抽取，并對提取的網絡流特征進行歸一化操作；S3，模型構建與檢測：采用無監督聚類方法構建聚類異常檢測模型，并進行模型檢測。本發明新增了時間維度統計信息，能夠檢測更多傳統方法無法檢測的攻擊，無需對報文進行深度解析，可對專有協議、加密協議進行檢測，并通過密度聚類方法，能夠快速、高效地構建精確模型，并對訓練數據中噪聲點有較好處理。

技術領域

本發明屬于智能電網技術領域，尤其涉及網絡通信的異常檢測技術。

背景技術

過去數十年，智能電網的出現，使得電網在發電、輸電、配電等各方面的效率得到巨大提升，居民用電、繳納電費變得日益便捷，但同時在由傳統相對封閉轉向信息化、網絡化的過程中，原有物理隔離被打破，可被惡意攻擊者侵入的接入點增多，電網面臨越來越多的網絡安全威脅，也一定程度上成為國家安全的隱患之一。全球范圍內，針對智能電網的攻擊逐年增多，每年對社會經濟、金融造成巨額損失，以烏克蘭電網為例，在2015年12月23日，其遭遇黑客攻擊，電網中7個110KV和23個35KV的變電站被斷電達3個小時，且因黑客發起拒絕服務攻擊與權限奪取，遠程控制功能被阻斷，電網工程師只能夠通過手動合閘的方式恢復供電。此次攻擊造成巨大的經濟損失，也同時暴露當前智能電網的眾多安全漏洞與安全隱患，如缺乏身份識別與雙向安全驗證機制，缺乏異常監測與主動防御裝置等。

隨著智能電網信息化水平的不斷提升，與之對應的網絡安全威脅不斷增多，現有的異常監測與防御手段，主要包括黑名單、白名單等訪問控制列表，及電網狀態估計等，無法檢測、抵御當前規模各異、有針對性的、隱蔽性的網絡攻擊。

發明內容

本發明所要解決的技術問題就是提供一種基于網絡流的智能電網通信異常檢測方法，可以檢測當前規模各異、有針對性的、隱蔽性的網絡攻擊。

為解決上述技術問題，本發明采用如下技術方案：一種基于網絡流的智能電網通信異常檢測方法，包括如下步驟：

S1，網絡流分片：以固定間隔對每一條網絡流進行劃分，每一次劃分即形成一個分片，后續網絡流特征提取及分析檢測的單元均為網絡流分片；

S2，網絡流特征提取與預處理：對“客戶端-服務端”、“服務端-客戶端”流量分別進行特征抽取，并對提取的網絡流特征進行歸一化操作；

S3，模型構建與檢測：采用無監督聚類方法構建聚類異常檢測模型，并進行模型檢測。

優選的，網絡流分片的特征包括字節數均值、字節數標準差、報文時間間隔均值、時間間隔標準差、字節信息熵。

優選的，選用Sigmoid曲線作為歸一化操作的函數曲線，并引入均值、標準差參數，使得特征數據歸一化后數值集中于0.5附近，并且具有一定的線性，如下公式：avg表示均值，std表示標準差。

優選的，聚類異常檢測模型的構建算法如下：

步驟S31，數據獲取：通過網絡流引擎獲取用于構建模型的樣本數據；

步驟S32，數據預處理：計算得到每個特征的均值avg、標準差std，對每個樣本的各特征使用Sigmoid函數進行歸一化處理；

步驟S32，密度聚類：給定經驗鄰域參數，對歸一化后的樣本數據進行密度聚類，得到每個樣本所屬的聚類簇；

步驟S32：根據聚類結果，通過計算的到每個聚類簇中各特征的最值得到范圍值，作為正常模型的聚類簇邊界，正常模式的網絡流異常檢測模型構建完畢。

優選的，模型檢測階段由以下幾個步驟組成：