本發明公開了一種基于頻率特征分析的電力系統網絡異常流量檢測方法，其包括：步驟S10，獲取電力系統中至少一待檢測數據包，并提取每一待檢測數據對應的傳輸層的有效載荷作為待測載荷；步驟S11，對每一待測載荷的中預定位置的標志字節進行格式檢查，如果異常，則認定當前待檢測數據包異常；步驟S12，如果格式正常，則獲取每一字節的字節值對應的頻率分布，形成待測特征向量樣本，將每一待測特征向量樣本與預先設定的多個正常樣本、異常樣本進行KNN分類，確定待測特征向量樣本的分類結果；步驟S13，根據分類結果確定每一所述待測數據包是否異常。實施本發明，可以快速準確地對電力系統網絡異常流量進行檢測，成本低且效率高。

技術領域

本發明涉及電力系統網絡流量檢測技術領域，特別涉及一種基于頻率特征分析的電力系統網絡流量異常檢測方法。

背景技術

電網是關鍵信息基礎設施的一種，一旦這些設施受到攻擊，國民經濟和人民生活的損失是不可估量的。因此，檢測電網的異常流量是非常必要的。

隨著深度學習的快速發展，以神經網絡為代表的復雜模型被廣泛用于流量異常檢測。由于電網中的設備種類很少，它們之間的通信采用特殊的協議。電網流量的特點是確定的，正常流量和異常流量的區別在電網流量中是比較明顯的。

針對這一特點，研究人員提出了許多不同的模型用于電網流量的異常檢測，或者將常用的物聯網流量異常檢測方法可用于電網流量的異常檢測。常用的物聯網流量異常檢測方法例如為基于簽名的檢測方法、基于機器學習的檢測方法以及基于深度學習的檢測方法，但是現有的這些物聯網流量異常檢測方法應用于電網流量會存在或多或少的不足之處，例如，基于簽名的檢測方法在匹配簽名和流量數據包的有效載荷時，計算成本很高；基于機器學習的檢測方法無法實時檢測到入侵流量；而基于深度學習的檢測方法也存在諸如計算成本高、超參數調優復雜等問題。

故急需一種成本低、能在線檢測的電力系統網絡流量異常檢測方法。

發明內容

本發明所要解決的技術問題在于，提供一種基于頻率特征分析的電力系統網絡流量異常檢測方法，且有成本低、穩定性好、精度高，且檢測實時性強的特點。

為解決所述技術問題，本發明提供了一種基于頻率特征分析的電力系統網絡異常流量檢測方法，其包括如下的步驟：

步驟S10，獲取電力系統中至少一待檢測數據包，并提取每一所述待檢測數據對應的傳輸層的有效載荷作為待測載荷，所述待測載荷包括多個字節；

步驟S11，對每一所述待測載荷的中預定位置的標志字節進行格式檢查，如果所述待測載荷存在格式異常，則將當前待檢測數據包確定為異常數據包；

步驟S12，如果所述待測載荷格式正常，則獲取每一字節的字節值，計算獲得各字節值的頻率分布，形成一待測特征向量樣本，將每一所述待測特征向量樣本與預先設定的多個正常樣本、異常樣本形成樣本空間，并進行K最鄰近分類算法(K-Nearest Neighbor，KNN)分類，確定所述待測特征向量樣本的分類結果；

步驟S13，根據所述分類結果確定每一所述待測數據包是否異常。

優選地，所述步驟S11進一步包括：

檢測所述待測載荷的中預定位置的標志字節的內容是否與對應的固定值相同，如不同，則確定為所述待測載荷存在格式異常，所述預定位置的標志字節為第一字節、第四字節和最后一個字節，每一字節預先對應一固定值。

優選地，所述步驟S12進一步包括：

步驟S120，計算獲得每一所述待測載荷中每一字節的字節值，字節值的取值范圍為[0,255]；

步驟S121，根據下述公式計算獲得每一所述待測載荷中各字節值的頻率分布，形成對應的待測特征向量樣本：