【技术实现步骤摘要】
本专利技术属于城市供水管网爆管检测领域,特别涉及到一种供水管网网络攻击快速检测与识别方法。
技术介绍
1、供水系统是一种重要的城市基础设施,供水系统的正常运行和管理依靠监控和数据采集(scada)系统和可编程逻辑控制器(plc)。scada系统对供水系统的运行状态进行监控,并根据scada系统的各种监测数据对供水系统的运行状态进行判断。plc则是根据scada系统的监测数据对供水系统的各个组件(例如水泵、阀门)的运行状态进行控制,从而保证供水系统的各项运行参数维持在正常范围内。
2、作为一种重要的基础设施,供水系统容易受到各种攻击的影响从而对正常供水造成影响,所遭受的攻击主要分为物理攻击和网络攻击。物理攻击主要是指供水系统发生漏损、爆管或者污染物入侵的情况,供水系统发生物理攻击时会造成水资源浪费。网络攻击则是指对scada系统的监测数据进行攻击,从而改变系统正常的运行状态。无论供水系统遭受何种攻击,都会对供水系统的正常运行状态造成影响。目前,人们采用了各种攻击检测方法。
3、与物理攻击的广泛研究相比,网络攻击相关的研究较少。网络攻击检测方法主要包括基于模型的方法和基于数据驱动的方法。基于模型的方法依靠管网水力模型,并结合异常检测算法来发现仅仅依靠水力学规则无法识别的网络攻击。但是这种方法需要具有良好的水力模型相关的知识,这显然限制了这种方法在实际中的应用。而基于数据驱动的方法则完全依靠scada系统的监测数据来对网络攻击进行检测与识别,这种方法不需要很好的水力模型相关知识。一些方法通过正常的历史观测数据对
4、此外,除了网络攻击会导致scada系统产生异常监测数据外,供水管网内各个用水户的需求发生变化(即用水波动),也会导致scada系统产生异常监测数据。显然,如果网络攻击检测方法没有各个用水户的需求变化,一旦scada系统监测数据出现异常则会对网络攻击检测结果造成误导,出现大量虚假报警的情况。长此以往,则会使供水公司对网络攻击检测系统的准确性产生怀疑,从而限制了该方法在实际中的应用。如果不能对异常的监测数据进行识别与清洗,这些数据导入数据库后会对后续的网络攻击检测造成影响。考虑到天气和季节变化对用水需求的影响,历史监测值需要不定期更新,将最新的监测数据添加到历史数据库中来替换比较老的历史监测数据。在添加最新监测数据时需要对其中的异常值进行清洗,确保历史监测数据能够准确反映管网的正常运行工况。考虑到对供水管网的监测是一个一直持续的过程,对历史数据库的更新以及对最新监测数据的清洗也应是在线过程。同时,应使数据更新和清洗过程效率较高。
5、综上所述,需要设计一种供水管网网络攻击快速检测与识别方法来解决上述问题。
技术实现思路
1、本专利技术所要解决的技术问题是提供一种供水管网网络攻击快速检测与识别方法,该方法包括回归检测器、切比雪夫基检测器和基于密度聚类的检测器,通过集成方法对供水管网各个plc控制单元的离群点进行检测,基于示例管网水力模型c-town进行了案例研究,能够较好地识别网络攻击检测算法数据集中的所有攻击。
2、为实现上述设计,本专利技术所采用的技术方案是:一种供水管网网络攻击快速检测与识别方法,包括以下步骤:
3、s1,利用epanet对管网模型进行水力模拟,得到管网正常工况和发生各种网络攻击事件后各个plc控制单元处的监测数据;
4、s2,采用三种异常值检测方法对供水管网各个plc控制单元处的监测数据进行异常检测,确认各个时刻的监测数据是否为异常值;
5、s3,对三种异常值检测方法进行集成,根据三种异常检测方法的检测结果对供水管网各种网络攻击事件进行检测与识别;
6、s4,对供水管网网络攻击进行在线实时检测与识别,并对集成的三种网络攻击单点异常检测方法进行在线加密,提高供水管网网络攻击的检测效率。
7、进一步地,步骤s1具体包括:
8、s101,利用epanet对供水管网正常工况进行水力模拟,得到供水管网各个plc控制单元在正常工况的时间序列监测数据,监测数据主要包括各个水箱的水位、泵的流量、阀门的流量、泵的开关状态、阀的开关状态和泵的排放压力;
9、s102,利用epanet对供水管网各种网络攻击事件进行模拟,改变各个网络攻击事件的攻击类型、攻击位置、开始时间和持续时间,得到得到供水管网各个plc控制单元在网络攻击状态下的时间序列监测数据,监测数据主要包括各个水箱的水位、泵的流量、阀门的流量、泵的开关状态、阀的开关状态和泵的排放压力;
10、优选地,步骤s2包括:
11、s201,采用线性回归异常检测方法对供水管网各个plc控制单元的时间序列监测数据进行异常值检测,确认各个plc控制单元的实时监测数据是否有异常值;
12、s202,采用切比雪夫异常检测方法对供水管网各个plc控制单元的时间序列监测数据进行异常值检测,确认各个plc控制单元的实时监测数据是否有异常值;
13、s203,采用基于密度的聚类方法对供水管网各个plc控制单元的时间序列监测数据进行异常值检测,确认各个plc控制单元的实时监测数据是否有异常值。
14、优选地,步骤s201包括:
15、s2011,基于线性回归异常检测方法构建单点异常检测器,检测供水管网各个plc控制单元的时间序列监测数据中是否存在异常;线性回归通过n个点的集合拟合一条直线,使得模型的残差平方和最小化;该模型旨在最小化数据集点与拟合线之间的总垂直距离;线性回归建模如下式所示:
16、regression=βx+α;
17、其中,x是窗口中的数据集;取y值与回归线距离的平均值,计算偏差为:
18、
19、其中,n是数据点的数量;此外,还导出了上阈值h和下阈值l,其中:
20、h=βx+α+k×dev;
21、l=βx-α+k×dev;
22、其中,β为斜率,α为y轴截距;
23、如果plc控制单元某个时刻的监测数据在上阈值h和下阈值l的范围内,则该时刻的监测数据为正常值;反之,如果该plc控制单元的监测数据大于上阈值h或者小于下阈值l,则该时刻的监测数据为异常值;
24、s2012,利用构建的基于线性回归的单点异常检测器对供水管网各个plc控制单元的时间序列监测数据进行异常值检测,判断各个plc控制单元是否出现了异常值:
25、对于单个plc控制单元的异常值检测,利用单点异常检测器内缓存的历史监测数据生成回归线,β为斜率,α为y轴截距,并计算得到该plc控制单元的上阈值h和下阈值l;然后,将该plc控制单元的实时监测值与上阈值h和下阈值本文档来自技高网...
【技术保护点】
1.一种供水管网网络攻击快速检测与识别方法,其特征在于:包括以下步骤:
2.根据权利要求1所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S2包括:
3.根据权利要求2所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S201包括:
4.根据权利要求2所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S202包括:
5.根据权利要求2所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S203包括:
6.根据权利要求1所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S3包括:
7.根据权利要求6所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S301具体如下:
8.根据权利要求6所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S302具体为:
9.根据权利要求1所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤S4包括:
10.根据权利要求7所述一种供水管网网络攻击快速检测
...【技术特征摘要】
1.一种供水管网网络攻击快速检测与识别方法,其特征在于:包括以下步骤:
2.根据权利要求1所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤s2包括:
3.根据权利要求2所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤s201包括:
4.根据权利要求2所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤s202包括:
5.根据权利要求2所述一种供水管网网络攻击快速检测与识别方法,其特征是,所述步骤s203包括:
6.根据权利要求1所述一种供水管...
【专利技术属性】
技术研发人员:胡祖康,张俊,周小国,王硕,雷轰,李忠明,宁静,
申请(专利权)人:长江生态环保集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。