本發(fā)明涉及電力系統(tǒng)惡意行為檢測(cè)領(lǐng)域，尤其涉及一種基于四“遙”邏輯關(guān)系圖的電力系統(tǒng)惡意行為識(shí)別方法。電力系統(tǒng)中核心的通信和控制技術(shù)是四“遙”，就是由遙測(cè)、遙信、遙控和遙調(diào)四部分組成。

背景技術(shù)：

工業(yè)控制系統(tǒng)包括了監(jiān)控和數(shù)據(jù)采集系統(tǒng)，分布式控制系統(tǒng)，可編程控制器等。這些控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等，重點(diǎn)領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國(guó)計(jì)民生緊密相關(guān)的領(lǐng)域。隨著工業(yè)化與信息化的深度融合，在享受信息共享與管理便利的同時(shí)，來(lái)自信息網(wǎng)絡(luò)的安全威脅將逐步成為工業(yè)控制系統(tǒng)所面臨的最大安全威脅。

惡意行為是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)、網(wǎng)絡(luò)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益、執(zhí)行惡意任務(wù)的病毒、蠕蟲(chóng)、特洛伊木馬、惡意代碼等程序，通過(guò)破壞軟件進(jìn)程和系統(tǒng)數(shù)據(jù)來(lái)實(shí)施控制，致使計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)不能可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)中斷等的行為。計(jì)算機(jī)系統(tǒng)惡意行為的種類有：執(zhí)行惡意任務(wù)的病毒、蠕蟲(chóng)、特洛伊木馬等惡意軟件和帶有攻擊意圖所編寫(xiě)的一段程序，如：陷門(mén)、邏輯炸彈等。網(wǎng)絡(luò)惡意行為的種類有：信息探測(cè)行為（如端口和漏洞掃描）、信息欺騙行為（如ARP欺騙和IP劫持）、信息淹沒(méi)行為（如SYN Flood和DDOS攻擊）、信息偽傳遞行為（溢出攻擊、IMCP木馬、HTTP隧道木馬）。

工業(yè)控制系統(tǒng)惡意行為可分為兩類：第一類是針對(duì)高級(jí)持續(xù)性威脅（Advanced Persistent Threat ，簡(jiǎn)稱APT）及其他工業(yè)網(wǎng)絡(luò)外部威脅的惡意行為。高級(jí)持續(xù)性威脅（APT）是指：針對(duì)特定組織或國(guó)家，出于商業(yè)或政治動(dòng)機(jī)，使用復(fù)雜精美的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞，隱匿而持久的監(jiān)控特定目標(biāo)并進(jìn)行電腦入侵，從而獲取數(shù)據(jù)或者進(jìn)行攻擊。第二類是針對(duì)工業(yè)控制系統(tǒng)軟件漏洞、操作系統(tǒng)安全漏洞、網(wǎng)絡(luò)通信協(xié)議安全漏洞、管理流程漏洞等內(nèi)部的惡意行為。惡意代碼（諸如病毒、特洛伊木馬、蠕蟲(chóng)等）、黑客等利用這些漏洞對(duì)工業(yè)控制系統(tǒng)進(jìn)行惡意攻擊，造成工業(yè)控制系統(tǒng)造成嚴(yán)重?fù)p壞。

當(dāng)前，國(guó)內(nèi)大型科技公司及著名高校和研究院對(duì)惡意行為的檢測(cè)識(shí)別方法所申請(qǐng)的專利有：百度在線網(wǎng)絡(luò)技術(shù)（北京）有限公司申請(qǐng)的“利用IP地址實(shí)現(xiàn)惡意行為的檢測(cè)”；哈爾濱工業(yè)大學(xué)深圳研究生院申請(qǐng)的“一種基于內(nèi)核對(duì)象行為本體的惡意代碼檢測(cè)方法”；深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司申請(qǐng)的“通過(guò)對(duì)比已存儲(chǔ)的惡意操作路徑集合和待執(zhí)行的操作所在的路徑，判斷待執(zhí)行的操作是否為惡意行為的檢測(cè)方法”；騰訊科技（深圳）有限公司申請(qǐng)的“通過(guò)檢測(cè)是否有事件被觸發(fā)并判斷事件是否符合行為列表中正常行為的檢測(cè)方法”。而在工業(yè)控制領(lǐng)域，對(duì)惡意行為的檢測(cè)識(shí)別方法所申請(qǐng)的專利有：浙江大學(xué)申請(qǐng)的“截獲并識(shí)別通信數(shù)據(jù)報(bào)文，來(lái)判斷與檢測(cè)是否存在針對(duì)本地內(nèi)部控制程序的惡意操作”。

電力系統(tǒng)中核心的通信和控制技術(shù)是四“遙”，就是由遙測(cè)、遙信、遙控和遙調(diào)四部分組成。遙測(cè)是指遠(yuǎn)程測(cè)量，遠(yuǎn)方測(cè)量電壓、電流、功率、負(fù)荷、潮流等電力系統(tǒng)運(yùn)行狀態(tài)；遙信是指遠(yuǎn)程信號(hào)，遠(yuǎn)方監(jiān)視電氣開(kāi)關(guān)和設(shè)備、機(jī)械設(shè)備的工作狀態(tài)和運(yùn)轉(zhuǎn)情況狀態(tài)等；遙控是指遠(yuǎn)程控制，通過(guò)接受由PLC、SCADA、DCS等控制系統(tǒng)所發(fā)出的控制命令來(lái)遠(yuǎn)方控制電氣設(shè)備及電氣化機(jī)械設(shè)備的分合起停等工作；遙調(diào)是指遠(yuǎn)程調(diào)節(jié)，對(duì)遠(yuǎn)程的控制量設(shè)備進(jìn)行遠(yuǎn)程調(diào)試，如調(diào)節(jié)發(fā)電機(jī)輸出功率等。

但是當(dāng)前電力系統(tǒng)中的惡意行為檢測(cè)還是基于計(jì)算機(jī)領(lǐng)域的技術(shù)，并沒(méi)有用系統(tǒng)分析的方法把電力系統(tǒng)中最基本的通信和控制因素考慮進(jìn)去，本發(fā)明公布了一種基于四“遙”邏輯關(guān)系圖的電力系統(tǒng)惡意行為識(shí)別方法。

技術(shù)實(shí)現(xiàn)要素：

在此本發(fā)明公布了一種基于四“遙”邏輯關(guān)系圖的電力系統(tǒng)惡意行為識(shí)別方法，電力系統(tǒng)中核心通信和控制的四“遙”技術(shù)，分別為遙測(cè)、遙信、遙控和遙調(diào)，該方法采用的邏輯關(guān)系圖是在電力系統(tǒng)處于不同工況下運(yùn)行時(shí)，記錄各種遙測(cè)信號(hào)的正常波動(dòng)范圍、與遙信的設(shè)備狀態(tài)、運(yùn)行邏輯，從而形成的電力系統(tǒng)狀態(tài)關(guān)系圖。用這個(gè)來(lái)判定那些不良數(shù)據(jù)在識(shí)別過(guò)程中無(wú)法檢測(cè)到的惡意行為。該方法不是采用傳統(tǒng)的計(jì)算機(jī)數(shù)據(jù)包的過(guò)濾技術(shù)，而是把電力系統(tǒng)中的四“遙”作為一個(gè)系統(tǒng)，采用邏輯關(guān)系圖的方法判定和識(shí)別惡意行為。

其具體步驟如下：

步驟1：遙測(cè)數(shù)據(jù)采集，采集如電壓、電流、功率、負(fù)荷、潮流等電力系統(tǒng)運(yùn)行狀態(tài)；

步驟2：判定遙測(cè)數(shù)據(jù)是否處于正常的波動(dòng)范圍，根據(jù)基于殘差類方法識(shí)別不良數(shù)據(jù)，對(duì)殘差污染不能識(shí)別的不良數(shù)據(jù)，留給后續(xù)步驟識(shí)別，若正常則進(jìn)行步驟3遙信信號(hào)量采集，若不正常則轉(zhuǎn)至步驟9；

步驟3：遙信信號(hào)量采集，主要是采集開(kāi)關(guān)狀態(tài)、保護(hù)裝置工作信號(hào)、設(shè)備裝置信號(hào)、自動(dòng)調(diào)節(jié)裝置運(yùn)行狀態(tài)信號(hào)等設(shè)備運(yùn)行狀態(tài)；

步驟4：判定遙信采集的信號(hào)在當(dāng)前工況下是否符合電力系統(tǒng)的正常情況，若正常則進(jìn)行步驟5遙控命令采集，若不正常則轉(zhuǎn)至步驟9；

步驟5：遙控命令采集，采集遠(yuǎn)方控制系統(tǒng)所發(fā)出的對(duì)開(kāi)關(guān)量等狀態(tài)的控制命令；

步驟6：判定其控制信號(hào)的邏輯是否正常，若正常則進(jìn)行步驟7遙調(diào)命令采集，若不正常則轉(zhuǎn)至步驟9；

步驟7：遙調(diào)命令采集，采集控制量命令；

步驟8：判定控制量調(diào)節(jié)是否正常，若正常進(jìn)行步驟10，若不正常則轉(zhuǎn)至步驟9；

步驟9：發(fā)出惡意行為異常警報(bào)；

步驟10：正常四“遙”邏輯關(guān)系采集；

步驟11：電力系統(tǒng)處于不同工況下運(yùn)行時(shí)，記錄各種遙測(cè)信號(hào)的正常波動(dòng)范圍、與遙信的設(shè)備狀態(tài)、運(yùn)行邏輯，從而形成的電力系統(tǒng)狀態(tài)關(guān)系圖，自動(dòng)生成四“遙”邏輯關(guān)系圖；

步驟12：判斷四“遙”是否符合邏輯關(guān)系圖，若符合則回到步驟1進(jìn)行新一輪數(shù)據(jù)采集，若不符合則轉(zhuǎn)至步驟9。

附圖說(shuō)明

圖1為電力系統(tǒng)四“遙”邏輯關(guān)系圖；

圖2 為電力系統(tǒng)四“遙”判斷條件；

圖3為電力系統(tǒng)惡意行為判定流程圖。

圖1為電力系統(tǒng)四“遙”邏輯關(guān)系圖：

其中遙測(cè)和遙信是通過(guò)采集電力運(yùn)行狀態(tài)和設(shè)備運(yùn)行狀態(tài)的數(shù)據(jù)，由運(yùn)動(dòng)系統(tǒng)終端RTU傳輸，經(jīng)過(guò)壞數(shù)據(jù)識(shí)別，若數(shù)據(jù)正常，則進(jìn)行邏輯關(guān)系圖判斷。遙測(cè)主要是測(cè)量電壓、電流、功率、負(fù)荷、潮流等電力運(yùn)行狀態(tài)；遙信主要是采集開(kāi)關(guān)狀態(tài)、保護(hù)裝置工作信號(hào)、設(shè)備裝置信號(hào)、自動(dòng)調(diào)節(jié)裝置運(yùn)行狀態(tài)信號(hào)等設(shè)備運(yùn)行狀態(tài)；遙調(diào)和遙控是通過(guò)邏輯關(guān)系圖來(lái)判別是否符合邏輯關(guān)系，再由運(yùn)動(dòng)系統(tǒng)終端RTU實(shí)現(xiàn)對(duì)控制量設(shè)備和控制設(shè)備的控制來(lái)調(diào)整設(shè)備參數(shù)以及電氣設(shè)備及電氣化機(jī)械設(shè)備的分、合、起、停等工作。

圖2 為電力系統(tǒng)四“遙”判斷條件，包括以下步驟：

步驟1：遙測(cè)數(shù)據(jù)采集，采集如電壓、電流、功率、負(fù)荷、潮流等電力系統(tǒng)運(yùn)行狀態(tài)；

步驟2：判定遙測(cè)數(shù)據(jù)是否處于正常的波動(dòng)范圍，根據(jù)基于殘差類方法識(shí)別不良數(shù)據(jù)，對(duì)殘差污染不能識(shí)別的不良數(shù)據(jù)，留給后續(xù)步驟識(shí)別，若正常則進(jìn)行步驟3遙信信號(hào)量采集，若不正常則轉(zhuǎn)至步驟9；

步驟3：遙信信號(hào)量采集，主要是采集開(kāi)關(guān)狀態(tài)、保護(hù)裝置工作信號(hào)、設(shè)備裝置信號(hào)、自動(dòng)調(diào)節(jié)裝置運(yùn)行狀態(tài)信號(hào)等設(shè)備運(yùn)行狀態(tài)；

步驟4：判定遙信采集的信號(hào)在當(dāng)前工況下是否符合電力系統(tǒng)的正常情況，若正常則進(jìn)行步驟5遙控命令采集，若不正常則轉(zhuǎn)至步驟9；

步驟5：遙控命令采集，采集遠(yuǎn)方控制系統(tǒng)所發(fā)出的對(duì)開(kāi)關(guān)量等狀態(tài)的控制命令；

步驟6：判斷其控制信號(hào)的邏輯是否正常，若正常則進(jìn)行步驟7遙調(diào)命令采集，若不正常則轉(zhuǎn)至步驟9；

步驟7：遙調(diào)命令采集，采集控制量命令；

步驟8：判斷控制量調(diào)節(jié)是否正常，若正常進(jìn)行步驟10，若不正常則轉(zhuǎn)至步驟9。

圖3為電力系統(tǒng)惡意行為判定流程圖，該流程圖包括以下步驟：

步驟9：發(fā)出惡意行為異常警報(bào)；

步驟10：正常四“遙”邏輯關(guān)系采集；

步驟11：電力系統(tǒng)處于不同工況下運(yùn)行時(shí)，記錄各種遙測(cè)信號(hào)的正常波動(dòng)范圍、與遙信的設(shè)備狀態(tài)、運(yùn)行邏輯，從而形成的電力系統(tǒng)狀態(tài)關(guān)系圖，自動(dòng)生成四“遙”邏輯關(guān)系圖；

步驟12：判斷四“遙”是否符合邏輯關(guān)系圖，若符合則回到步驟1進(jìn)行新一輪數(shù)據(jù)采集，若不符合則轉(zhuǎn)至步驟9。