基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

基于混合量测技术的电力系统状态估计研究

电力系统状态估计是能量管理系统(EMS)的重要组成部分,也是电力系统在线监测、分析、控制的基础,如何快速、高效地对电网的状态信息进行预测估计已成为电力系统研究中的热点问题.该文在分析状态估计理论和广域监测的基础上,提出了一种利用电力广域测试系统(WAMS)和监测控制和数据采集(SCADA)混合量测的静态状态估计算法,此算法可以直接利用电流相量量测量,高效快速地进行电网信息的状态估计.相关的仿真和实验结果证明,这种算法具有良好的估计性能,并能够对不良数据进行有效的检测和辨识.     

防御虚假数据注入攻击的多目标优化模型

随着智能电网的快速发展,虚假数据注入(false data injection, FDI)攻击已经成为未来电力系统运行面临的主要威胁之一。攻击者通过篡改系统原始数据,导致电力系统失负荷(loss of load demand, LoLD),甚至引发级联失效。因此,有必要建立一种成本效益机制来减轻FDI攻击造成的LoLD。提出了一种多目标风险规避优化模型,在FDI攻击的防御成本、电力系统运行网损和LoLD之间进行权衡。采用多目标进化捕食策略对多目标模型进行求解,获取多目标优化Pareto最优解。仿真结果在IEEE 30节点电力系统证明了所提模型的有效性,并且揭示FDI攻击下电力系统运行中存在着较高的LoLD风险。     

一种抗CPS控制层欺骗攻击的算法

信息物理系统(CPS)在原本的工控系统中加入了计算单元,使攻击者能够通过对该网络进行攻击。本文考虑攻击者通过恶意篡改信道中传输的传感器测量数据,使计算单元无法根据测量值对物理环境做出正确决策。通过改进针对CPS控制层欺骗攻击的卡尔曼滤波器算法,使改进后的算法对多种类型的欺骗攻击都有较好的检测性能,并能在一定程度上恢复被篡改的数据。本文使用改进算法对田纳西伊斯曼过程中反应釜内的压强测量值进行攻击检测,并与原算法进行比较,通过实验可以验证改进后算法对偏差型和几何型攻击的检测和恢复效果明显优于原算法。     

基于深度神经网络-近似线性网络混合模型的电力系统状态估计方法

为提高电力系统实时状态估计的精度和计算效率,解决电网电压波动频发、潮流分布的不确定性剧增等问题,通过提出一种基于深度神经网络和近似线性网络模型的电力系统状态估计方法,研究了其在电网的应用。该方法将混合系统量测数据通过粒子滤波算法得到样本集,利用训练样本训练所提出的混合神经网络模型,最后将测试样本输入已建立的模型中获得系统状态的估计结果。通过IEEE118节点系统进行的负载数据仿真实验表明：基于混合神经网络模型的电力系统状态估计方法不仅能快速进行海量数据训练,还能有效避免过拟合;在实时状态估计的精度和计算效率方面相较于高斯-牛顿法均有提高。可见所提方法在电力系统实时状态估计方面具有一定的应用价值。     

网络入侵检测系统的拒绝服务攻击的检测与防御

针对网络入侵检测系统的拒绝服务攻击(DOS)具有难于检测与防御的特点，提出了一种新颖的检测与防御算法。该算法通过分析告警的频率与分散度来检测DOS攻击，并采用分阶段切换的方式将状态检测由正常模式转为紧急模式，丢弃不属于正常TCP会话的数据包，以实现对DOS的防御。性能分析和实验结果表明，该算法能够及时发现、防御DOS攻击，有效地阻止DOS攻击所造成的系统破坏。     

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.     

CPN攻击建模及警报相关性算法设计

为提高当前入侵检测系统的预警质量和分析预测能力,用染色Petri网(colored petrinet,CPN)构造了攻击模型,系统性地设计了警报信息相关性分析算法.通过把"警报"和"攻击"作为2个不同实体参与模型运算,将目前主要采用的过滤观察信息为基础的关联方法提升为信息推理的演算方法.应用CPN模型转换、极小覆盖集命题等方法,对本领域中的难点问题即复合攻击、合作攻击进行了理论分析和算法设计.在此基础上开发了警报信息相关性分析(alerts correlationanalvsis system,ACAS)实验系统,实验结果表明算法系统对于提高入侵检测系统的警报质量和分析预测能力是可行、有效的.     

基于BP神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击易被发动却很难追踪与防范.在神经网络快速算法基础上,首先系统分析国内外DDoS攻击检测理论、方法与大量数据集,构建了基于数据包长度,数据包发送时间间隔以及数据包长度变化率等六项特征的攻击流量特征模型;其次通过大量尝试提出对神经网络误差调整参数进行优化的方法;最后基于加州大学洛杉矶分校数据集(UCLA CSD Packet Traces)进行了参数改进前后的攻击检测对比实验.实验表明,本文提出的方法能有效提高DDoS攻击检测率,且具有较好的泛化能力.     

基于门控循环单元的车载控制器局域网络总线入侵检测方法

针对车载控制器局域网络(controller area network,CAN)总线入侵检测准确率低与时效性差的问题,通过分析总线中入侵数据帧的特点,提出了基于门控循环单元(gated recurrent unit,GRU)的入侵检测方法.该方法搭建了由5层神经网络构成的入侵检测模型,以真实汽车采集的CAN数据为基础构造洪泛攻击、重放攻击、模糊攻击和虚拟节点攻击数据,提取出具有11个特征的特征向量序列用于模型的训练和测试.实验验证了模型参数对检测结果的影响,研究了二分类检测和多分类检测的准确率与时间开销.结果表明:该方法在二分类和多分类检测中的精度为99.9816％和99.8942％,召回率分别是0.9999和0.9991,达到与长短期记忆(long short-term memory,LSTM)模型相当的检测精度,并且具有更短的训练和检测时间.本文方法提高了入侵检测的时效性和可靠性,对保障汽车安全意义重大.     

基于F分布的无线传感器网络攻击检测方法

针对汇聚函数的输入值易受敌方攻击的问题,提出一种基于F分布的无线传感器网络攻击检测方法。该方法在分布式数据汇聚模型的基础上构造服从F分布的统计量,在虚警率恒定的情况下,可根据统计量的统计特性确定攻击检测的门限阈值,放宽了对节点感知数据先验信息的要求。计算机仿真结果表明新方法的攻击检测率较高,且对噪声干扰的稳健性较强。     

基于SAE-SV M的CPS攻击检测

信息物理系统(CPS)在工业控制和关键基础设施等领域被广泛应用,由于具有易受攻击的特点,CPS的安全问题变得尤为重要.为了提高CPS攻击检测的准确度,提出一种稀疏自动编码器(SAE)与支持向量机(SVM)结合的攻击检测算法.针对CPS中数据维数高的问题,使用SAE对数据进行特征学习与降维处理,以无监督方法重建新的特征表示;在此基础上以建立一种优化的检测模型为目标,利用改进细菌觅食算法(IBFA)优化SVM的参数.采用田纳西-伊士曼(TE)过程模型为仿真基础,模拟CPS受到恶意攻击的情况,并用提出的算法进行检测.结果表明,所提算法可以有效检测到攻击的发生,并缩短检测时间,提高了CPS的安全性能.     

基于嵌入分层决策树的电网完整性保护

为了提升系统抗攻击能力以及泛化能力,提出了一种基于支持向量机嵌入分层决策树的多智能体电网抗攻击系统完整性保护方案。首先利用多智能体来增强系统完整性保护的网络弹性,重点是系统的态势感知和自适应能力。进一步将分布式系统完整性保护设置中的数据驱动异常检测问题转化为多分类问题。然后提出了一种支持向量机嵌入分层决策树的有监督学习算法和一种自适应的负荷卸载策略,以提升检测能力,减少时间成本。实验结果表明,所提出的系统完整性保护方案能够检测出电网的异常运行状态,并能够调整其补救措施,以适应各种网络攻击。     

遭受执行器攻击的工控系统输出反馈滑模控制

针对工业控制系统存在测量噪声及外界执行器攻击问题,提出一种基于无偏状态估计的输出反馈离散滑模控制方法。在执行器攻击存在的情况下,构造等效滑模控制律。由于攻击信号与系统状态未知,通过引入无偏状态观测器从遭受噪声干扰的传感测量数据中获得系统真实状态的最小方差无偏估计量。在此基础上,利用一步延时攻击估计得到攻击信号的近似估计值,使所设计的鲁棒滑模控制律得以实现。给出了在此控制律作用下滑模面的收敛性分析及闭环系统最终有界稳定的证明。数值仿真实验结果验证了面向执行器攻击的无偏状态估计器的有效性,也表明与传统滑模控制方法相比,提出的输出反馈滑模控制方法对执行器攻击具有更强的抑制力,能够有效提高系统的鲁棒性能。     

机器学习缓解的广域阻尼控制系统异常检测

为了建立攻击弹性,以抵抗对测量信号和控制信号段的隐蔽网络攻击,提出了一种基于机器学习缓解策略的广域阻尼控制系统异常检测方法。首先提出基于信号熵的特征提取,从而提高机器学习模型的训练检测精度和鲁棒性。然后提出一种基于电力系统运行条件和网络攻击事件的组合数据集生成方法,以便用于任何大规模电网模型。引入的缓解模块能够调谐系统信号,并同时在测量和控制信号上进行攻击检测。在2区域4机电力系统的测试环境下对本文方法的性能进行了评估,结果表明本文方法能够实现高精度的异常检测。     

基于支持向量机方法的网络入侵检测实验研究

网络信息不断增加和攻击手段日益复杂,给网络安全领域带来了日益严峻的挑战.为了改善网络入侵检测技术现状,提出了一种基于支持向量机和决策集合理论融合的网络入侵检测方法,通过对规则信息、攻击信息、边界信息的准确界定完成检测过程.选取了基于神经网络的入侵检测方法、基于遗传算法的入侵检测方法、基于传统支持向量机的入侵检测方法作为对比算法,在K-Cup测试数据集下展开实验研究.实验结果表明,该文提出的方法具有更高的召回率、精确率、查准率和更低的误检率,其性能明显优于其他3种方法,可应用于入侵检测领域.     

基于数据挖掘的网络数据库入侵检测系统

提出一种基于数据挖掘的网络数据库入侵检测模型 (NDBIDS) ·讨论了NDBIDS的结构及各部件的功能·利用关联规则Apriori算法 ,对用户正常历史数据进行挖掘 ,并对产生的规则进行归并更新 ,通过训练学习生成异常检测模型 ,并利用此模型实现基于数据挖掘的异常检测·NDBIDS可以检测伪装攻击、合法用户的攻击和攻击企图三种类型的攻击 ,通过实验给出了相应攻击的检测率、假报警率、漏报率和检测正确率·本系统的建立不依赖于经验 ,具有较强的灵活性     

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度.据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率.对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点.实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现.     

面向智能变电站的威胁与风险评价模型研究与实现

针对传统入侵检测系统在资源受限的工业网络中部署时效率和稳定性表现不足的问题,首先提出了面向智能变电站的入侵检测系统,以及工业设备安全风险评估方法,建立了针对智能变电站结构的威胁风险评价模型,引入基于灰色模型的网络脆弱性节点主动预测方法用以平衡威胁来源的权重;其次提出基于信息安全三维度风险值计算算法,引入模糊一致判断矩阵进行风险值参数计算,最终实现可以直观判断攻击对系统的影响范围和程度的风险评价.通过相关实验,系统在部署环境中满足被动性、低负荷、实时性以及可靠性要求的同时,能够有效地检测工业网络面临的入侵威胁.