基于行為模型的電力用戶異常檢測應用

李娜 潘麟 明成昆 程歡 黃朝暉 王曉峰 龔艷麗

摘 要： 由于電力用戶系統的脆弱性和高風險，為保護電力用戶系統不受全天候的網絡攻擊，提出了一種基于行為模型的電力用戶異常檢測方法。該方法從信息系統網絡流量中提取行為數據序列，構建控制器和入侵系統受控過程的正常行為模型，并將測試行為數據和預測行為數據進行比較以檢測電力用戶系統異常。結果表明，基于行為模型的異常檢測，可以有效檢測異常行為數據。當電力用戶信息數據被篡改時，入侵檢測系統可檢測出行為序列異常。3種不同的入侵攻擊假陰性率均小于6.4%，且入侵檢測系統準確率均值為0.91，誤差率達到最低，可滿足實際電力用戶系統檢測應用。

關鍵詞： 電網；電力用戶；信息系統；檢測應用

中圖分類號： TP311.13

文獻標志碼： A ?文章編號： 1001-5922（2023）08-0193-04

Application of anomaly detection for power users based

on behavior model

LI Na，PAN Lin，MING Chengkun，CHENG Huan，

HUANG Zhaohui，WANG Xiaofeng，GONG Yanli

（Hubei Central China Technology Development of Electric Power Co.，Ltd.，Wuhan 430000，China）

Abstract： Due to the fragility and high risk of the power user system，it should be protected from 24/7 network attacks.Therefore，a behavior model based anomaly detection method for power users is proposed.This method extracts the behavior data sequence from the network traffic of information system，builds the normal behavior model of the controlled process of the controller and intrusion system，and compares the test behavior data with the predicted behavior data to detect the abnormality of the power user system.The research results indicate that anomaly detection based on behavior models can effectively detect abnormal behavior data.When power user information data is tampered with，intrusion detection systems can detect abnormal behavior sequences.The false negative rate of three different intrusion attacks is less than 6.4%.And the average accuracy of the intrusion detection system is 0.91，with the lowest error rate，which can meet the actual detection application of power user systems.

Key words： power grid;power users;information system;detection application

隨著電力用戶系統在電網環境中的應用和發展，電力用戶系統使用公共以太網協議和互聯網協議（IP）變得越來越普遍，易導致潛在的風險和漏洞。因此需要提高電力用戶系統潛在風險和漏洞的檢測。在當前的安全防御技術中，將信息系統中應用的防病毒軟件移植到電力用戶系統存在不兼容等問題。主要因為不能在電力用戶系統中及時更新。且常規的防病毒軟件由于無法理解電力用戶信息控制命令的語義，防火墻無法阻止對電力用戶系統的任何可疑訪問請求。而入侵檢測系統（IDS）可以在不干擾系統的情況下檢測電力用戶信息中的攻擊。且使用基于異常的入侵檢測系統是網絡安全的一個重要方面。

本文根據電力用戶系統中的行為模式，提出了一種新的異常檢測方法。

1 電力用戶系統異常檢測系統模型

該方法主要包括3個模塊：行為序列抽取模塊，行為建模模塊，行為識別模塊。首先，從常規的電力用戶信息系統中抽取用戶的行為數據，建立電力用戶數據行為建模功能。其次，基于標準的動作模式，對序列進行分析，得到電力用戶數據的時間序列。最后，將所抽取到的實驗數據和所做的預報數據相對比，實現了對非法侵入活動的有效探測。

1.1 行為序列提取

行為序列提取模塊是用于從電力用戶系統系統中提取實時行為序列。首先，該過程提取電力用戶系統中控制器或被控過程的所有源地址和目的地址，這些地址存儲在輸入和輸出地址列表中。其次，若所抽取的分組是一種要求分組，則該分組的地址已被保存在一系列的輸入與輸出地址中，將這個請求數據包添加到請求列表中。如果它是一個響應包，并且其匹配的請求包包含一個讀取功能代碼，那么所有地址在輸入和輸出地址列表中的行為數據都被提取并存儲在輸入和輸出行為序列中。如果它是一個響應數據包，并且其匹配的請求數據包包含一個寫功能代碼，將確定請求行為數據是否與響應行為數據相同。若是，所有地址在輸入和輸出地址列表中的行為數據都被提取并存儲在輸入和輸出行為序列中。

1.2 行為模型建立

用一個離散的多輸入多輸出（MIMO）系統模型來表達控制行為模型和過程行為模型。這兩個模型的建立方法是一致的；因此，可以將它們簡化為一種方法描述。

MIMO系統輸出功能為：

Y（k）=G（z）U（k）+E（k） ??（1）

輸出矩陣 Y（k） 為：

Y（k）= y 1（k），y 2（k），…，y ?m （k） T∈R m ×1 ??（2）

輸入矩陣 U（k） 為：

U（k）= u 1（k），u 2（k），…ur（k） T∈Rr×1 ??（3）

噪聲矩陣 E（k） 為：

E（ k ）= ξ 1（k），ξ 2（k），…，ξ ?m （k） T∈R m ×1 ??（4）

其中 ξ i（k） 是均值為零且方差為 σ2 ξ 的白噪聲。

傳遞函數矩陣 G（ z ） 為：

G（ z ）= 1 A（ z －1） ??B 11（z－1） B 12（z－1） … B 1r（z－1）B 21（z－1） B 22（z－1） … B 2r（z－1） B ?m 1（z－1） B ?m 2（z－1） … B ?mr （z－1）

（5）

傳遞函數矩陣中的參數方程：

A（z－1）－1+a（1）z－1+a（2）z－2+…a（na）z－naB ij（z－1）=z－dij b i j（0）+b i j（1）z－1+…+b i j（nb ij）z－nb ij i=1，2，…，m;j=1，2，…r

（6）

在傳遞函數中， r 表示輸入的數量； m 表示輸出的數量。

由于電力用戶系統的小誤差和噪聲與白噪聲相似，用于對輸入與輸出模型參數進行估算的遞推最小二乘法。首先，需要將行為模型轉換為最小二乘法格式。

y（k）=（k）θ+e（k）X ??（7）

在等式（7）中，輸出變量矩陣 y（k） 等于 Y（k） 。測量矩陣：

φ（k）= ??y T 1 u - T 1 … 0 y T 2 0 … 0 y T ?m ?0 0 ?u ????????- T ?m ?????（8）

此外，參數矩陣：

θ= ???a T，θT 1，θT 2，…，θT m ???（9）

1.3 行為模型結構估計

在確定了模型結構參數后，使用遞歸最小二乘法參數估計方法來估計電力用戶系統系統的模型參數。遞歸最小二乘法參數估計算法的步驟：

步驟1：設初始值 θ ?^ （0） 為零矩陣， p（0）=106I ，設num=0。num表示在模型精度 μ 范圍內發生的誤差次數。

步驟2：通過式（2）、式（3）提取 Y（k） 和 U（k） 的輸入和輸出行為序列，然后基于式（1）～式（3）構建具有輸入 U（k） 和輸出 Y（k） 的測量矩陣 K（k ）。

步驟3：通過公式（8）計算 K（k） 、 p（k） 和 θ ?^ （k） 。

1.4 電力用戶系統異常檢測模塊

首先，分析和歸類了一個電力市場的信息系統，得出了一個通用的電力用戶數據的行為模式。其次，利用標準的行為模型，對輸出的數據進行預測。最后，可以將正常行為模型預測的行為序列與測量的行為序列進行比較，以確定它是否是異常入侵。具體步驟：

步驟1：通過分析控制器和受控過程，獲得控制行為和過程行為的輸入和輸出行為地址表。

步驟2：在此基礎上，提出了一種基于正態過程和控制行為的數學方法，并用正態過程和正態控制行為的數學方法對輸出序列 M和C 進行了預測。

步驟3： 在實際測試中抽取和預測的行為序列之間進行對比。 M Δ= M－M ?^ ??表示過程行為模型的比較序列， C Δ= C－C ?^ ??表示控制行為模型的比較序列。

步驟4：根據電力用戶系統的容錯范圍，為比較序列 M和C 選擇適當的閾值MT和CT。如果 M 中的序列值大于MT或C中的序列值大于CT，且 M或C連續N 次超過閾值MT或CT，則表明ICS已被入侵。

2 仿真實驗及結果分析

2.1 檢測性能分析

在本研究中，通過篡改控制算法、測量數據和控制數據，使用行為模型進行異常檢測，并對其檢測性能進行了檢驗。在3個實驗案例中，從第1 000個采樣點到第4 000個采樣點共進行3次攻擊。第1個實驗是篡改PID算法參數P的值，將該值替換為1～5內的隨機數。第2個實驗是篡改測量數據值PV，將其替換為0.5～1.5內的隨機數。使用行為序列提取模塊，在此基礎上，提出了一種基于動態仿真算法，并對動態仿真算法的動態仿真算法進行了驗證。在此基礎上，利用該方法，對標準的輸出序列進行預測，從而獲得 C Δ 與 M Δ 的比較順序。

在對所述控制算法的所述參數進行入侵攻擊修改時，序列 C Δ 在圖1（a）中顯示出顯著的反常。在改變了測定數據后，在圖 （c）中的序列 C Δ 以及在圖（d）中 M Δ 序列中的異常變化明顯。在圖（e）中的序列 C Δ 反常在改變控制數據時也是顯而易見的。 由于該算法具有一定的檢測序列異常能力，因此該算法能較好地識別出此類攻擊。可以看到，在改變了測定數據的情況下，圖（c）中的順序也顯示了明顯的反常。這主要是因為 PV在控制系統中具有直接的作用，它對控制系統有直接的影響。當控制數據被修正時，圖（f）所示的順序沒有明顯的異常。

3種攻擊的檢測結果如表1所示，其中包括假陰性率（FPR）和假陰性率 （FNR）。所提出系統具有較低的FPR和FNR，可以檢測到篡改行為數據和控制程序攻擊。其中篡改控制數據攻擊最低，僅為4.3%，主要由于篡改控制數據極易導致信息系統出現亂碼、卡頓等現象，最容易檢測到異常。

2.2 入侵攻擊檢測分析

在數據收集階段，電力用戶系統遭到入侵攻擊。在信息系統上執行若干典型的入侵行為，如非法修改電力用戶信息日志和非法提升權限，以構建基準數據。由于實際信息系統和目標信息系統在同一網絡環境中運行，因此從目標信息系統收集的電力用戶信息數據與從實際信息系統收集的電力用戶信息數據具有相同的特性。因此將電力用戶信息數據混合在一起，構建用于檢測信息系統入侵性能評估的數據集。表2為數據集的詳細信息。

將提出的行為模型的異常檢測方法與K-prototype算法和K-NN算法在性能和處理時間方面進行比較。圖2（a）、（b）和（c）分別為在不同數據集上的準確率、召回率和誤報率。

從圖2（a）和圖2（b）可以看出，所提出的行為模型異常檢測方法在不同的數據集上提供了有效的入侵檢測，并產生了較高的精度和較低的誤報率，優于K-prototype和K-NN算法。而沒有濾波和細化過程的K-prototype算法的結果是最差的;其在不同的數據集上生成了很大一部分誤報，主要因為K-prototype聚類的主要目的是過濾掉明顯的正態事件，所以仍然有很多正態事件被歸類為異常候選，如果只使用K-prototype算法，會產生大量的誤報，而行為模型的誤報率基本維持在0.1%附近。如圖（c）所示，盡管K-prototype算法產生的召回率最高，但由于誤報率高，并且集成方法的召回率接近K-NN算法，且行為模型的召回率均值大于0.9，已滿足系統入侵檢測實際要求。同時可觀察到K-NN算法的結果在精度、召回率和誤報率方面接近行為模型，但在大多數情況下，行為模型的表現仍然優于K-NN算法。行為模型檢測方法的最終檢測準確率在90%以上，誤報率很低，實驗結果驗證了行為模型的異常檢測方法的有效性。

3 結語

針對電力用戶的實際情況，建立了電力用戶的控制與流程行為模型，采用結構參數與參數估計的方法對其進行了估計。 然后，通過模型變換的方式，把一個行為模型變換成一個狀態空間的方程式。該方法通過行為模型預測測量數據和控制數據，并通過分析行為數據比較序列來檢測異常。所提出的檢測系統在仿真實驗平臺上具有較低的假陰性率和假陽性率，可以檢測到篡改行為數據和控制程序攻擊。其中篡改控制數據攻擊最低，僅為4.3%。行為模型檢測方法的最終檢測準確率在90%以上，誤報率很低，實驗結果驗證了行為模型的異常檢測方法的有效性。

【參考文獻】

［1］ ?王淑強.基于信息系統的電力營銷數據去重管理方法研究[J].自動化技術與應用，2023，42（1）：89-92.

[2] 熊威.基于數據融合分析的電力營銷決策支持信息系統[J].自動化技術與應用，2023，42（1）：121-125.

[3] 左曉軍，陳澤，董立勉等.基于信息安全框架“金三角模型”的網絡安全評估方法研究[J].粘接，2020，41（2）：106-110.

[4] 唐茂林.新形勢下智慧電網網絡營銷管理信息系統設計[J].信息與電腦（理論版），2022，34（15）：166-168.

[5] 杜濤，王朝龍，朱靖，等.基于聚類算法的變壓設備運行數據監測與異常檢測技術[J].粘接，2022，49（12）：137-140.

[6] 蘇立偉，劉振華，蘇華權，等.基于數據負荷序列聚類的配電網電力營銷實時信息系統測試[J].電網與清潔能源，2021，37（12）：64-69.

[7] 張艷麗，孫志杰，牛任愷，等.基于數據集成技術的電力營銷數據分析系統設計[J].電子設計工程，2022，30（15）：122-126.

[8] 韋雅，張嵐，王宏民，等.BP神經網絡和云算法的電力營銷數據處理方法[J].計算機技術與發展，2021，31（7）：204-208.

[9] 蕭展輝，鄒文景，鄧麗娟，等.電力營銷客戶服務中臺數據傳輸安全自動監測技術[J].自動化與儀器儀表，2022（10）：111-114.

[10] ??劉濱，孫繼科，段笑晨，等.基于農村電力服務渠道數據信息安全的加密算法研究[J].自動化應用，2021（7）：15-16.

[11] 鐘立華，楊悅群.基于差分閾值的審計式電力營銷精準稽查系統設計[J].自動化與儀器儀表，2020（9）：127-130.

[12] 王林信.基于多維數據的電力營銷線損信息監控系統設計[J].微型電腦應用，2022，38（2）：133-137.

[13] ?于培永，張慧琳，郭志剛，等.立體化智能電力系統巡檢平臺關鍵技術研究[J].粘接，2022，49（5）：122-125.

[14] ?徐超，孫金莉，楊郡，等.基于分布式支持向量機的電網錯誤數據注入檢測法[J].粘接，2023，50（2）：188-192.

[15] ?張云峰，魏星，諸駿豪，等.基于電力通信動靜態資源的光纜數據監測系統設計[J].粘接，2022，49（2）：92-96.

[16] ?荊樹君.電能計量自動化系統在電力營銷中的應用成效[J].電子技術與軟件工程，2017（12）：151-151.

[17] 何壯壯.基于MapReduce的關聯規則技術在電力營銷大數據中的應用[J].山西電力，2020（1）：45-49.

[18] 蔡嘉榮，王順意.基于國產中間件InforSuite的電力營銷系統集群技術研究[J].微型電腦應用，2020，36（2）：124-127.

[19] 陳剛，陶文偉，鄭偉文.電力監控系統現場運維安全管控系統研究[J].粘接，2022，49（7）：180-183.

[20] 周曉燕，凌天楊，曾胡貴，等.基于圖神經網絡的智能電網監測系統的設計[J].電腦知識與技術，2022，18（13）：77-78.