本發(fā)明涉及智能電網(wǎng)網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于季節(jié)模型時間序列的智能電表狀態(tài)異常檢測方法。

背景技術(shù)：

智能電網(wǎng)可綜合利用各種可用信息，提高電能發(fā)、輸、配、用全流程智能化水平，以滿足對能源節(jié)省、環(huán)保清潔和安全可靠電力供應(yīng)的需求。用電側(cè)供需雙方的互動化是智能電網(wǎng)的基本特征之一。 基于具有雙向通信能力的智能電表的高級量測體系是實(shí)現(xiàn)信息交互、互動用電方式的基礎(chǔ)。

實(shí)際電網(wǎng)的高級量測體系中，往往在用戶側(cè)安裝有數(shù)以百萬計的智能電表，當(dāng)前主要依賴電力線載波與臺區(qū)數(shù)據(jù)集中器通信，未來可能與家域網(wǎng)融合，經(jīng)家庭互聯(lián)網(wǎng)接口與電力公司用電管理中心通信。為滿足互聯(lián)互通要求，智能電表未來將采用通用通信協(xié)議。因用戶側(cè)終端設(shè)備和部分通信網(wǎng)絡(luò)以開放形式存在，接入點(diǎn)、可探測路徑的顯著增加、開放的信息技術(shù)和用戶參與的特性將導(dǎo)致信息安全事故發(fā)生的概率大大提高，信息安全已經(jīng)發(fā)展成為 AMI 體系建設(shè)中的關(guān)鍵制約性因素。

智能電表記錄和傳輸用電資費(fèi)等敏感信息，屬于網(wǎng)絡(luò)攻擊的高價值目標(biāo)。為防止非法用戶竊取用戶信息或篡改用電數(shù)據(jù)，傳統(tǒng)上多采用數(shù)據(jù)加密和通信認(rèn)證等手段，在智能電表中嵌入認(rèn)證加密通信模塊，進(jìn)行信息安全防護(hù)。

當(dāng)前的智能電表僅需每月上傳一次電量數(shù)據(jù)，并在用電管理系統(tǒng)召測時傳回實(shí)時數(shù)據(jù)。因功能需求較簡單，智能電表傳統(tǒng)上多基于單片機(jī)系統(tǒng)實(shí)現(xiàn)，僅具備單任務(wù)處理能力。隨著智能電網(wǎng)的深化發(fā)展，當(dāng)前已出現(xiàn)每15min記錄和上報電量數(shù)據(jù)的電表，并在北美得到大量應(yīng)用。此外，隨著電能計量以外其他功能(如雙向通信與計費(fèi)、電能質(zhì)量檢測、用戶控制及未來的家庭能量管理等)的集成，傳統(tǒng)智能電表的CPU處理能力已不敷使用。當(dāng)前，已出現(xiàn)基于ARM芯片，并裝有 ucLinux、uCOS-II、Vx- Works 等嵌入式操作系統(tǒng)以便CPU多進(jìn)程并發(fā)資源管理的智能電表。因操作系統(tǒng)或多或少都存在堆棧溢出等Bug，未來與家域網(wǎng)互聯(lián)通過家庭網(wǎng)關(guān)通信，又將進(jìn)一步擴(kuò)大智能電表遭遇惡意軟件攻擊的風(fēng)險。位于用戶側(cè)的智能電表即使采用了嚴(yán)格的訪問控制機(jī)制和安全通信機(jī)制，仍難以保證操作系統(tǒng)自身的安全漏洞。AMI系統(tǒng)中入侵智能電表的惡意軟件不但可能傳播到其他智能電表中，批量控制開關(guān)斷開造成大量用戶停電事故;還可能篡改電能計量值，導(dǎo)致電網(wǎng)公司分析決策錯誤和直接經(jīng)濟(jì)損失。因智能電表計算、存儲和通信資源有限，要為其研制專用的殺毒軟件并定期更新，尚不具有可行性。因此，即便智能電表遭惡意軟件入侵，用戶和運(yùn)營商當(dāng)前都很難明確判斷、準(zhǔn)確檢查。

傳統(tǒng)的對智能電表惡意流量的檢測是基于特征的入侵檢測方法?；谔卣鞯娜肭謾z測方法假設(shè)入侵活動可以用一些報文特征模式(如報文中特定頭部字段值，報文負(fù)載中特定的字符串或正則表達(dá)式特征），當(dāng)檢測到用戶對計算機(jī)和網(wǎng)絡(luò)資源的使用符合所列模式時認(rèn)為檢測到入侵行為?；谔卣鞯娜肭謾z測可以準(zhǔn)確檢測已知的入侵行為，但難以檢測未知的新型入侵方法，為此我們設(shè)計了季節(jié)模型時間序列的的智能電表異常檢測方法，通過對正常主機(jī)運(yùn)行數(shù)據(jù)測度的建模，實(shí)現(xiàn)對未知攻擊導(dǎo)致的流量異常行為檢測能力。

技術(shù)實(shí)現(xiàn)要素：

為了克服基于規(guī)則的智能電表入侵檢測方法對未知攻擊檢測能力的技術(shù)不足，本發(fā)明的目的是提供一種基于季節(jié)模型時間序列的智能電表異常檢測方法，實(shí)現(xiàn)對智能電表被植入木馬后發(fā)起的已知和未知攻擊進(jìn)行檢測的功能。

一種基于季節(jié)模型時間序列的智能電表狀態(tài)異常檢測方法，該方法包括下列步驟：

（1）選定測度：基于電表系統(tǒng)監(jiān)測數(shù)據(jù)選擇反映智能電表的運(yùn)行狀態(tài)，區(qū)分智能電表是否在執(zhí)行正常測量功能的信息，即為所選測度；

根據(jù)所選測度建立測度集合，測度集合包括測度名、測度單位、測度采集位置和測度計算方法；

智能電表檢測測度反映了智能電表的運(yùn)行狀態(tài)，這些狀態(tài)信息可以用于區(qū)分智能電表是否在執(zhí)行正常的測量功能。

（2）訓(xùn)練集建立：根據(jù)選定的測度集合，從智能電表中獲取一段時間內(nèi)的運(yùn)行數(shù)據(jù)，并從中提取出測度集合數(shù)據(jù)，建立標(biāo)準(zhǔn)的訓(xùn)練集；

（3）檢測模型建立：基于季節(jié)型 ARIMA 時間序列算法，對訓(xùn)練集進(jìn)行訓(xùn)練，建立有周期性時間序列問題的季節(jié)型ARIMA時間序列檢測模型，輸入源為每個電表的測度數(shù)據(jù)集合，輸出為異?；蛘?；

（4）數(shù)據(jù)獲取：在智能電表端安裝Agent程序，定時向數(shù)據(jù)管理中心發(fā)送主機(jī)運(yùn)行數(shù)據(jù)，數(shù)據(jù)管理中心從主機(jī)運(yùn)行數(shù)據(jù)中計算出測度數(shù)據(jù)；

（5）實(shí)時檢測：將步驟（4）獲取的測度數(shù)據(jù)作為輸入源發(fā)送至季節(jié)型ARIMA時間序列檢測模型，根據(jù)時間序列檢測模型的輸出判斷輸入測度對應(yīng)的智能電表數(shù)據(jù)屬于異?；蚴钦?。

其中，所述測度基于電表系統(tǒng)監(jiān)測數(shù)據(jù)進(jìn)行選擇，選擇測度為主機(jī)的CPU利用率，進(jìn)程數(shù)，開放端口數(shù)和網(wǎng)絡(luò)接口字節(jié)吞吐量。各字段均需要通過在智能電表主機(jī)端安裝的Agent程序進(jìn)行采集。

所述步驟（2）中，智能電表為實(shí)驗環(huán)境智能電表或可控的實(shí)際運(yùn)行智能電表。在訓(xùn)練集建立階段，對訓(xùn)練數(shù)據(jù)集進(jìn)行選擇時，需要保證智能電表必須是可控的，防止在不可控的情況下將攻擊數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)。同時訓(xùn)練集將獲取的主機(jī)運(yùn)行數(shù)據(jù)解析成測度集合數(shù)據(jù)格式。

訓(xùn)練集需要保證足夠的時間跨度和樣本數(shù)。采集的樣本點(diǎn)數(shù)需要在10K條以上，采集的時間需要至少跨越4周的時間長度。

檢測方法基于季節(jié)模型的時間序列，首先將測度數(shù)據(jù)表示為宏觀非線性流量的時間序列X(t)，并將其分解為趨勢成分A(t)、周期成分P(t)、突變成分B(t)和隨機(jī)成分R(t)，組成宏觀流量時序表達(dá)式可分解如下：

X(t) = B(t) + A(t) + P(t) + R(t) （1）

其中趨勢成分A(t)反映的是測度行為因網(wǎng)絡(luò)用戶或環(huán)境因素而引起的長期變化趨勢，周期成分P(t)反映的是流量現(xiàn)象的周期性變化，突變成分B(t)是表示流量行為受到外部突變影響而形成的變化，趨勢成分，周期成分和突變成分反映了流量時間序列變化中的確定性成分，隨機(jī)成分R(t)又可進(jìn)一步分解為又可進(jìn)一步分解為平穩(wěn)時間序列成分S(t)和噪聲N(t)。

R(t) = S(t) + N(t) （2）

在流量時間序列的五個組成成分中突變成分和噪聲屬于無記憶成分，而A(t)，P(t)和S(t)是有記憶的成分，它們分別反映X(t)的長期趨勢，周期和平穩(wěn)過程等三方面的客觀行為規(guī)律三種記憶?？梢苑謩e建立數(shù)學(xué)模型a(t)，p(t)和s(t)。如果我們忽略影響建模的無記憶成分，則根據(jù)流量X(t)的分解模型可以合成模型x(t)：

x(t) = a(t)+p(t)+s(t) （3）

根據(jù)合成模型可以計算出新采集時間點(diǎn)的預(yù)測值m，如果實(shí)際測量值m'和m的差值大于閾值，則數(shù)據(jù)為異常，否則為正常。

實(shí)時數(shù)據(jù)獲取階段，智能電表主機(jī)端的Agent程序?qū)?shù)據(jù)報文發(fā)送到數(shù)據(jù)管理中心的指定端口。并由數(shù)據(jù)管理中心對數(shù)據(jù)進(jìn)行解析和測度集合的計算。

實(shí)時檢測階段，基于檢測模型建立階段建立的檢測模型，對實(shí)時數(shù)據(jù)獲取階段獲取到的測度集數(shù)據(jù)進(jìn)行檢測，檢測結(jié)果為異?；蛘?個可能選項。

本發(fā)明的方法針對主機(jī)測度，利用時間序列方法計算期望值，基于統(tǒng)計方法通過測量值和期望值的偏差來判定智能電表是否發(fā)生狀態(tài)異常，采用本發(fā)明的方法可以有效的發(fā)現(xiàn)未知攻擊手段產(chǎn)生的攻擊形式，克服了基于規(guī)則的方法無法有效對未知攻擊類型檢測檢測的弱點(diǎn)，提高了系統(tǒng)的安全性。

附圖說明

圖1是本發(fā)明的基于季節(jié)模型時間序列的智能電表狀態(tài)異常檢測方法的流程圖；

圖2是本發(fā)明的測度定義圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施例對本發(fā)明做出詳細(xì)的說明。

本發(fā)明的一種基于季節(jié)模型時間序列的智能電表狀態(tài)異常檢測方法，如圖1所示，包括下列步驟：

（1）選定測度：所述測度基于電表系統(tǒng)監(jiān)測數(shù)據(jù)進(jìn)行選擇，如圖2所示，選擇測度包括主機(jī)的CPU利用率，進(jìn)程數(shù)，開放端口數(shù)和網(wǎng)絡(luò)接口字節(jié)吞吐量。各字段均需要通過在智能電表主機(jī)端安裝的Agent程序進(jìn)行采集。

（2）訓(xùn)練集建立：訓(xùn)練集建立階段，對訓(xùn)練數(shù)據(jù)集進(jìn)行選擇時，需要保證智能電表必須是可控的，防止在不可控的情況下將攻擊數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)。同時訓(xùn)練集將獲取的主機(jī)運(yùn)行數(shù)據(jù)解析成測度集合數(shù)據(jù)格式。訓(xùn)練集需要保證足夠的時間跨度和樣本數(shù)。采集的樣本點(diǎn)數(shù)需要在10K條以上，采集的時間需要至少跨越4周的時間長度。

（3）檢測模型建立：基于季節(jié)型ARIMA時間序列算法建立檢測模型，對訓(xùn)練集進(jìn)行訓(xùn)練，建立有周期性時間序列問題的季節(jié)型時間序列檢測模型，輸入源為每個電表的測度數(shù)據(jù)集合，輸出為異?；蛘?；

檢測模型構(gòu)建步驟具體如下：

首先將測度數(shù)據(jù)表示宏觀非線性流量的時間序列X(t)，并將其分解為趨勢成分A(t)、周期成分P(t)、突變成分B(t)和隨機(jī)成分R(t)，組成宏觀流量時序表達(dá)式可分解如下：

X(t) = B(t) + A(t) + P(t) + R(t) （1）

其中趨勢成分A(t)反映的是測度行為因網(wǎng)絡(luò)用戶或環(huán)境因素而引起的長期變化趨勢，周期成分P(t)反映的是流量現(xiàn)象的周期性變化，突變成分B(t)是表示流量行為受到外部突變影響而形成的變化，趨勢成分，周期成分和突變成分反映了流量時間序列變化中的確定性成分，隨機(jī)成分R(t)又可進(jìn)一步分解為又可進(jìn)一步分解為平穩(wěn)時間序列成分S(t)和噪聲N(t)：

R(t) = S(t) + N(t) （2）

在流量時間序列的五個組成成分中突變成分和噪聲屬于無記憶成分，而A(t)，P(t)和S(t)是有記憶的成分，它們分別反映X(t)的長期趨勢，周期和平穩(wěn)過程等三方面的客觀行為規(guī)律三種記憶?？梢苑謩e建立數(shù)學(xué)模型a(t)，p(t)和s(t)。如果我們忽略影響建模的無記憶成分，則根據(jù)流量X(t)的分解模型可以合成模型x(t)：

x(t) = a(t)+p(t)+s(t) （3）

根據(jù)合成模型可以計算出新采集時間點(diǎn)的預(yù)測值m，如果實(shí)際測量值m'和m的差值大于閾值，則數(shù)據(jù)為異常，否則為正常。

（4）數(shù)據(jù)獲?。簩?shí)時數(shù)據(jù)獲取階段，將指定的服務(wù)端口，智能電表主機(jī)端的Agent程序?qū)?shù)據(jù)報文發(fā)送到數(shù)據(jù)管理中心的指定端口。并由數(shù)據(jù)管理中心對獲取的主機(jī)運(yùn)行數(shù)據(jù)進(jìn)行解析和測度集的計算。數(shù)據(jù)管理中心為一個獨(dú)立模塊，用于收集所有智能電表主機(jī)端數(shù)據(jù)，并進(jìn)行數(shù)據(jù)的解析和測度的計算。

（5）實(shí)時檢測：實(shí)時檢測階段，基于檢測模型建立階段建立的檢測模型，對實(shí)時數(shù)據(jù)獲取階段獲取到的測度集數(shù)據(jù)進(jìn)行檢測，檢測結(jié)果為異常或正常2個可能選項。

綜上所述，本發(fā)明的基于季節(jié)模型時間序列的智能電表狀態(tài)異常檢測方法，檢測方法基于AMI獲取智能電表的主機(jī)運(yùn)行數(shù)據(jù)，為流量和主機(jī)運(yùn)行的CPU利用率、進(jìn)程數(shù)、開放端口數(shù)、網(wǎng)絡(luò)接口字節(jié)吞吐量等指標(biāo)建立觀測測度，通過標(biāo)準(zhǔn)訓(xùn)練數(shù)據(jù)集和季節(jié)模型時間序列方法確定檢測模型，并通過檢測模型檢測出智能電表中流量可能包含的異常行為，這些行為可能是由于設(shè)備故障導(dǎo)致的故障流量，或者設(shè)備的操作系統(tǒng)被入侵控制后產(chǎn)生的攻擊流量，或者采集線路被中間人攻擊后注入的攻擊流量。該檢測方法可以有效的發(fā)現(xiàn)未知攻擊手段產(chǎn)生的攻擊形式，克服了基于規(guī)則的方法無法有效對未知攻擊類型檢測檢測的弱點(diǎn)，提高了系統(tǒng)的安全性。

所述實(shí)施例僅是為了方便說明而舉例，本發(fā)明所主張的權(quán)利范圍應(yīng)以申請專利范圍所述為準(zhǔn)，而非僅限于所述實(shí)施例。凡依本發(fā)明權(quán)利要求所做的均等變化與修飾，皆應(yīng)屬本發(fā)明的涵蓋范圍。