(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221095490 5.7 (22)申请日 2022.08.10 (71)申请人 上海大学 地址 200444 上海市宝山区上 大路99号 (72)发明人 费敏锐　韩硕　王海宽　陈文坚　 仵大奎　杜大军　 (74)专利代理 机构 北京盛广信合知识产权代理 有限公司 161 17 专利代理师 张军艳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种面向微电网工控网络的入侵检测方法 及系统 (57)摘要 本发明涉及一种面向微电网工控网络的入 侵检测方法及系统， 方法包括： S1.获取微电网系 统的电能数据和流量数据， 分别提取所述电能数 据的特征参数和所述流量数据的特征参数； S2. 对所述电能数据的特征参数和所述流量数据的 特征参数进行结合， 得到初步特征； 提取所述初 步特征的关键特征要素， 得到最优特征子集； S3. 基于所述最优 特征子集构建入侵检测模型， 对所 述入侵检测模 型进行训练， 并对训练后的入侵检 测模型进行优化， 输出检测结果。 本发明通过获 取、 处理和分析微电网内部多个节 点的通信流量 信息与电能数据， 提取关键特征参数， 并运用机 器学习方法进行入侵检测， 保护微电网的正常运 行。 权利要求书2页 说明书6页 附图2页 CN 115314301 A 2022.11.08 CN 115314301 A 1.一种面向微电网工控网络的入侵检测方法， 其特 征在于， 包括： S1.获取微电网系统的电能数据和流量数据， 分别提取所述电能数据的特征参数和所 述流量数据的特 征参数； S2.对所述电能数据的特征参数和所述流量数据的特征参数进行结合， 得到初步特征； 提取所述初步特 征的关键特 征要素， 得到最优特 征子集； S3.基于所述最优特征子集构建入侵检测模型， 对所述入侵检测模型进行训练， 并对训 练后的入侵检测模型进行优化， 输出检测结果。 2.根据权利要求1所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 获取 所述电能数据和所述 流量数据包括： 在所述微电网系统内部部署镜像交换机， 并将所述微电网系统中电力设备的节点接至 所述镜像交换机的数据端口上， 基于所述镜像交换机的数据流镜像转发功能获取所述流量 数据和所述电能数据。 3.根据权利要求2所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 提取 所述电能数据的特 征参数和所述 流量数据的特 征参数包括： 构建工控协议树层级模型， 所述工控协议树层级模型包括： 应用层、 传输层、 网络层和 数据链路层； 基于所述电力设备的内部通信寄存器地址和所述应用层的通信协议， 所述电能数据以 树状结构的方式 自所述数据链路层开始 解析至所述应用层的负载内容， 提取所述电能数据 的特征参数； 依据TCP/IP协议簇的工作原理和工控协议的通信特点， 所述流量数据基于数据包解析 方法提取 所述流量数据的特 征参数。 4.根据权利要求3所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 所述 电能数据的特征参数包括： 光伏阵列输入电压、 输入电流、 逆变器输出功率、 逆变器温度和 发电量； 所述流量数据的特征参数包括： TCP标志位、 SYN报文比例、 SYN/ACK比率、 ARP报文比例、 Modbus设备ID、 功能码、 回复功能码、 寄存器的起始地址和寄存器的访问字节数。 5.根据权利要求1所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 得到 所述最优特征子集包括： 采集所述微电网系统的以太网帧数据包状态， 基于所述以太网帧数据包状态的比例大 小， 得到所述初步特 征数据包比例平衡特性； 基于所述初步特征数据包比例平衡特性， 对所述初步特征数据包内部的电能数据和流 量数据的特征参数运用过滤式特征选择， 得到各个所述特征参数 的权重大小， 对所述权重 进行排序， 并根据设定的阈值区间获得 所述最优特征子集。 6.根据权利要求5所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 所述 以太网帧数据包状态包括： N ormal,DoS,Probe及MITM； 其中， 所述Normal为连续时间序列的正常状态的所述电能数据与所述流量数据的状 态； 所述DoS为遭受拒绝服务攻击的连续时间序列的所述电能数据与所述流量数据的状态； 所述Probe为遭受网络扫描攻击下的连续时间序列的所述电能数据与所述流量数据的状 态； 所述MITM为遭受中间人欺骗攻击下的连续时间序列的所述电能数据与所述流量数据的权　利　要　求　书 1/2 页 2 CN 115314301 A 2状态。 7.根据权利要求1所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 对所 述入侵检测模型进行训练包括： 基于深度学习算法对所述入侵检测模型进行训练， 得到所述训练后的入侵检测模型。 8.根据权利要求1所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 对所 述训练后的入侵检测模型进行优化包括： 基于超参数优化方法， 对所述训练后的入侵检测模型进行优化； 所述入侵检测模型的优化目标公式为： argmaxx∈Xf(x) 其中， x为超参数的一组设置取值， X为混合参数空间， f(x)为超参数优化中设置的目标 函数， 即模型的检测准确率。 9.根据权利要求1所述的一种面向微电网工控 网络的入侵检测方法， 其特征在于， 输出 所述检测结果包括： 将优化后的所述入侵检测模型投入实际应用， 获取实时的所述电能数据与捕 获的所述 流量数据， 按照时间序列逐一开展解析与监测， 作出所述微电网系统中属于正常数据或异 常数据的决断， 最终将检测结果进行输出。 10.一种面向微电网工控网络的入侵检测系统， 其特 征在于， 包括： 微电网控制装置： 用于控制微电网系统的发电及配电过程； 镜像交换机： 用于获取流 量数据和电能数据； 本地监控站： 用于对所述镜像交换机获取的数据进行监控； 入侵检测装置： 用于对获取的所述电能数据和所述流量数据， 按照 时间序列进行解析 与监测， 输出检测信号； 远程监控中心： 用于判断所述检测信号是否为网络恶意行为， 根据判断结果决定是否 进行告警； 其中， 所述微电网控制装置与所述镜像交换机连接， 所述镜像交换机分别与所述入侵 检测装置、 所述本地 监控站和所述远程 监控中心相连接 。权　利　要　求　书 2/2 页 3 CN 115314301 A 3