[发明专利]基于季节模型时间序列的智能电表状态异常检测方法

说明书

技术领域

本发明涉及智能电网网络安全领域，具体涉及一种基于季节模型时间序列的智能电表状态异常检测方法。

背景技术

智能电网可综合利用各种可用信息，提高电能发、输、配、用全流程智能化水平，以满足对能源节省、环保清洁和安全可靠电力供应的需求。用电侧供需双方的互动化是智能电网的基本特征之一。 基于具有双向通信能力的智能电表的高级量测体系是实现信息交互、互动用电方式的基础。

实际电网的高级量测体系中，往往在用户侧安装有数以百万计的智能电表，当前主要依赖电力线载波与台区数据集中器通信，未来可能与家域网融合，经家庭互联网接口与电力公司用电管理中心通信。为满足互联互通要求，智能电表未来将采用通用通信协议。因用户侧终端设备和部分通信网络以开放形式存在，接入点、可探测路径的显著增加、开放的信息技术和用户参与的特性将导致信息安全事故发生的概率大大提高，信息安全已经发展成为 AMI 体系建设中的关键制约性因素。

智能电表记录和传输用电资费等敏感信息，属于网络攻击的高价值目标。为防止非法用户窃取用户信息或篡改用电数据，传统上多采用数据加密和通信认证等手段，在智能电表中嵌入认证加密通信模块，进行信息安全防护。

当前的智能电表仅需每月上传一次电量数据，并在用电管理系统召测时传回实时数据。因功能需求较简单，智能电表传统上多基于单片机系统实现，仅具备单任务处理能力。随着智能电网的深化发展，当前已出现每15min记录和上报电量数据的电表，并在北美得到大量应用。此外，随着电能计量以外其他功能(如双向通信与计费、电能质量检测、用户控制及未来的家庭能量管理等)的集成，传统智能电表的CPU处理能力已不敷使用。当前，已出现基于ARM芯片，并装有 ucLinux、uCOS-II、Vx- Works 等嵌入式操作系统以便CPU多进程并发资源管理的智能电表。因操作系统或多或少都存在堆栈溢出等Bug，未来与家域网互联通过家庭网关通信，又将进一步扩大智能电表遭遇恶意软件攻击的风险。位于用户侧的智能电表即使采用了严格的访问控制机制和安全通信机制，仍难以保证操作系统自身的安全漏洞。AMI系统中入侵智能电表的恶意软件不但可能传播到其他智能电表中，批量控制开关断开造成大量用户停电事故;还可能篡改电能计量值，导致电网公司分析决策错误和直接经济损失。因智能电表计算、存储和通信资源有限，要为其研制专用的杀毒软件并定期更新，尚不具有可行性。因此，即便智能电表遭恶意软件入侵，用户和运营商当前都很难明确判断、准确检查。

传统的对智能电表恶意流量的检测是基于特征的入侵检测方法。基于特征的入侵检测方法假设入侵活动可以用一些报文特征模式(如报文中特定头部字段值，报文负载中特定的字符串或正则表达式特征），当检测到用户对计算机和网络资源的使用符合所列模式时认为检测到入侵行为。基于特征的入侵检测可以准确检测已知的入侵行为，但难以检测未知的新型入侵方法，为此我们设计了季节模型时间序列的的智能电表异常检测方法，通过对正常主机运行数据测度的建模，实现对未知攻击导致的流量异常行为检测能力。

发明内容

为了克服基于规则的智能电表入侵检测方法对未知攻击检测能力的技术不足，本发明的目的是提供一种基于季节模型时间序列的智能电表异常检测方法，实现对智能电表被植入木马后发起的已知和未知攻击进行检测的功能。

一种基于季节模型时间序列的智能电表状态异常检测方法，该方法包括下列步骤：

（1）选定测度：基于电表系统监测数据选择反映智能电表的运行状态，区分智能电表是否在执行正常测量功能的信息，即为所选测度；

根据所选测度建立测度集合，测度集合包括测度名、测度单位、测度采集位置和测度计算方法；

智能电表检测测度反映了智能电表的运行状态，这些状态信息可以用于区分智能电表是否在执行正常的测量功能。

（2）训练集建立：根据选定的测度集合，从智能电表中获取一段时间内的运行数据，并从中提取出测度集合数据，建立标准的训练集；

（3）检测模型建立：基于季节型 ARIMA 时间序列算法，对训练集进行训练，建立有周期性时间序列问题的季节型ARIMA时间序列检测模型，输入源为每个电表的测度数据集合，输出为异常或正常；

（4）数据获取：在智能电表端安装Agent程序，定时向数据管理中心发送主机运行数据，数据管理中心从主机运行数据中计算出测度数据；