基于协议特征的电力工控网络流量异常行为检测方法
随着信息通信技术在电力工控系统中的广泛应用,电力工控系统遭受网络攻击的风险不断增加.电力工控系统的信息传输和交互以通信协议的流量数据为载体,流量数据的应用层报文在传输过程中存在被窃取及篡改等风险.文中以IEC 60870-5-104协议为例,在对其脆弱性分析的基础上提出了基于协议特征的电力工控流量异常行为检测方法.首先,对电力工控流量进行应用层报文的提取及解析,并结合报文字段特征以及典型电力业务特征建立起电力工控流量正常行为模型.其次,依据正常行为模型对流量数据进行单字段畸形校验、多字段耦合逻辑校验、帧与帧时序逻辑校验、帧与帧上下文异常校验,实现流量异常行为的识别.最后,基于某220 kV变电站的实际流量数据集进行仿真,结果表明所提方法对于典型异常行为检测准确率约为99.98%,能够有效辨识电力工控系统流量异常行为,提升电力系统的安全性.
电力工控网络、IEC 60870-5-104协议、字段特征、业务特征、流量异常行为检测
47
TP393;TN915.02;TP273
国家自然科学基金51777062
2023-02-15(万方平台首次上网日期,不代表论文的发表时间)
共9页
137-145
