IEC61850智能变电站工况安全学习系统的制作方法

iec61850智能变电站工况安全学习系统
技术领域
1.本发明属于智能电网安全技术领域，尤其涉及一种iec61850智能变电站工况安全学习系统。


背景技术：

2.随着时代的快速发展及能源需求的不断增加，对于能源供应的需求量日益增加，同时，伴随着物联网技术的诞生，使物联网与电力网相融合，形成了电力物联网，其利用物联网技术、通信技术和人工智能技术对智能变电站进行升级改造，使之与根据iec61850标准主要采用的“三层两网”架构体系契合。
3.随着智能电网成为电力系统未来发展的主要趋势，标准iec61850变电站作为电力系统智能电网的重要组成部分，承载着变压、配电、输配电的控制和管理等重要任务，智能变电站的功能模块一旦发生细枝末节的差错，都会造成不可估量的损失，因此，智能变电站安全可靠的运行是整个智能电网安全稳定运行的重要保证，而如何利用先进的智能技术提高iec61850智能变电站异常入侵的检测的智能化水平，成为保障智能电网安全的一项关键课题。
4.威胁到智能变电站的安全的因素是多方面的，除了外部恶意攻击以外，由于变电站设备高度的集成化和一体化，内部人员的一些不当操作以及站内设备的突发意外故障，也会给智能变电站的安全带来严峻的挑战。
5.为了应对以上挑战，科研人员已将传统人工智能技术应用于iec61850智能变电站的异常入侵的检测，其中包括专家系统、解析优化模型等。此类传统人工智能技术存在知识库建立和维护难，推理速度慢，建立目标函数的难度大等不足，影响检测的时效性与可靠性，相比利用传统的人工智能技术检测iec61850智能变电站的异常入侵，需要重新寻找一套针对iec61850智能变电站的安全学习系统，满足用户在各类iec61850智能变电站下，针对性选取所需报文，更加专业化保护智能变电站的安全运行。


技术实现要素：

6.发明目的：针对背景技术中指出的问题，本发明提供了一种iec61850智能变电站工况安全学习系统，满足用户在各类iec61850智能变电站工况下，针对性选取所需报文，更加专业化保护智能变电站的安全运行。
7.技术方案：本发明提供了一种iec61850智能变电站工况安全学习系统，包括报文采集模块、报文对象测量值数字映射模块、实时入侵检测模块和实时异常源主动定位模块；
8.所述报文采集模块，用于根据用户需求选取报文，将二进制流的报文还原成可被解析的帧结构的报文；
9.报文对象测量值数字映射模块，用于针对非数字类型报文对象进行数字化处理；
10.实时入侵检测模块，包括实时局部异常报文因子检测模块和异常得分数据映射模块，所述实时局部异常报文因子检测模块用于通过比较每个未知报文，和其邻域报文数据
的密度来判断该报文是否为异常报文并确定异常得分；所述异常得分数据映射模块用于统一异常得分的范围，将异常得分缩放在0和1之间的范围内，最终根据异常得分确定报文是否异常；
11.所述实时异常源主动定位模块，用于在控制回路中实时定位iec61850智能变电站异常入侵源，明晰异常报文事件。
12.进一步地，所述报文采集模块具体包括如下步骤：
13.1)监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出目标报文的二进制数据流；
14.2)目标报文的二进制数据流进入一个报文数据队列，根据目标报文结构逐字节还原成ascii码，实现二进制数据流到报文的帧还原，完成二进制数据流转换成一帧帧可解析的报文。
15.进一步地，所述报文对象测量值数字映射模块的具体操作包括：
16.将测量值数据记录集中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集；data1、data2
…
为字符型，通过数字映射将data1数字化，data1数字化为1，data2数字化为2，数据对象名称转换成为的数字值需确保唯一性。
17.进一步地，所述实时入侵检测模块的密度及异常得分具体确定如下：
18.根据报文之间的距离为基础来计算密度，距离为曼哈顿距离，其公式如下：
[0019][0020]
其中，x和y为报文实例，i表示为第i个报文实例，w为报文总数量；假设xi的k距离邻域中有n个样本点，用xn表示，为示xn中的第t个样本点，那么xi的密度的公式如下：
[0021][0022]
密度和异常得分的公式如下：
[0023][0024]
进一步地，所述实时入侵检测模块中将异常得分缩放在0和1之间的范围内具体公式如下：
[0025][0026]
进一步地，据异常得分确定报文是否异常的方法为：当具体报文实例xi的异常得分score∈[0.5,0.9)时，xi为可疑报文；
[0027]
当具体报文实例xi的异常得分score∈[0,0.5)时，xi为正常报文；
[0028]
当具体报文实例xi的异常得分score∈(0.9,1]时，xi为影响智能判断准确性的噪音，对该xi进行排除。
[0029]
进一步地，所述实时异常源主动定位模块的具体操作为：
[0030]
首先通过对一个时间段已人工标注好的变电站的报文中测量值数据集合，利用k
邻近算法思想自动学习，即在变电站的报文中测量值数据集合的特征空间中的k个最相邻的报文测量值样本中的大多数属于某一个类别，则被检测的报文样本也属于该类别，并具有该类别上报文样本的特性。
[0031]
进一步地，所述一个时间段为1个月或3个月。
[0032]
有益效果：
[0033]
1、本发明针对目前电力物联网背景下的iec61850智能变电站现状，利用iec61850智能变电站各类报文中各时段发生的各类事件，结合人工智能技术全方位对变电站运行实行智能检测，综合多种机器学习技术，学习通过合规运行模式下的智能变电站的状况，深入解析iec61850智能变电站各类报文中各时段发生的各类事件间的内在关联关系，及时发现异常的安全，实现直观、快速的捕获智能变电站异常信息，为保障智能变电站安全提供安全学习系统
[0034]
2、本发明首先通过采集某时间段的相关智能变电站系统运行过程中报文事件行为特征属性项的数据及其对应标签。其次利用特定的机器学习技术，建立起智能变电站的正常运行状态下事件行为特征属性项的合规运行模型，实现对iec61850智能变电站系统中的报文中的入侵行为的实时检测。最后，利用特定的iec61850智能变电站报文安全决策，结合人工智能技术，实现对iec61850智能变电站报文数据时空结构分布充分挖掘，对上述检测出的入侵行为进行异常源主动定位，为iec61850智能变电站多的健康监控系统提供一种新的技术和手段。
[0035]
3、本发明在对判断异常的决策上只依据最邻近的k个样本的类别来决定待分样本所属的类别，如果这k个样本中的大多数属于某一个类别，则该样本也属于这个类别。用户可根据需求自行设置k值。因此k邻近算法方法在对异常决策时，只与极少量的相邻样本有关。由于k邻近算法主要靠周围有限的邻近的样本，而不是靠判别类域的方法来确定所属类别的，因此当报文数据域出现交叉或重叠较多的待分样本集来说，k邻近算法较其他方法更为适合。
[0036]
4、本发明对于报文是否异常提出一套简洁的安全决策，对综合度量指标(异常得分)设置对应的安全等级划分标准，从而实现独立性和内在逻辑关联性的目标。
附图说明
[0037]
图1为本发明提供的iec61850智能变电站安全学习系统；
[0038]
图2为本发明提供的iec61850智能变电站报文事件实时入侵检测模块；
[0039]
图3为本发明提供的实时局部异常报文因子检测样例；
[0040]
图4为本发明提供的k邻近算法检测未知报文示意图。
具体实施方式
[0041]
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
[0042]
根据iec61850的报文入侵检测系统，本发明的iec61850智能变电站工况安全学习系统分为四个主要模块(参见图1)，即由报文采集模块、报文对象测量值数字映射模块、报文事件的实时入侵检测模块和报文事件的实时异常源主动定位模块组成。
[0043]
报文入侵检测系统基于实施检测的步骤如下：
[0044]
1、报文的采集，报文采集是根据用户需求选取报文，将所述的二进制流的报文还原成可被解析的帧结构的报文。具体步骤如下：
[0045]
1.1)入侵检测系统监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出所选择的目标报文的二进制数据流。
[0046]
1.2)目标报文二进制数据流进入一个报文数据队列，根据目标报文结构可逐字节还原成ascii码，实现二进制数据流到报文的帧还原，完成二进制数据流转换成一帧帧可解析的报文。
[0047]
2、报文对象测量值数字映射模块是针对非数字类型报文对象的数字化处理，测量值数据记录集中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集。以sv报文中数据对象名称为例：data1等为字符型，通过数字映射将data1数字化，如，data1数字化为1，data2数字化为2，数据对象名称转换成为的数字值需确保唯一性。
[0048]
3、完成了对报文的采集和报文数据预处理后，iec61850智能变电站安全学习系统所提供的报文事件的实时入侵检测(见图2)分为两部分：实时局部异常报文因子检测和异常得分数据映射。
[0049]
3.1)实时局部异常报文因子检测是基于密度进行的针对智能变电站报文的异常检测。其核心思想为，通过比较每个未知报文，和其邻域报文数据的密度来判断该报文是否为异常报文，如果该报文的密度越低，则其异常得分越高，越可能被认定是异常报文，反之，如果该报文的密度越高，则其异常得分越低，是正常报文的可能性也就越高。
[0050]
至于密度，是根据报文之间的距离为基础来计算的，报文数据与报文数据之间距离越远，密度越低，距离越近，密度越高。其中，距离为曼哈顿距离，其公式如下：
[0051][0052]
其中，x和y为报文实例，i表示为第i个报文实例，w为报文总数量。此时，假设xi的k距离邻域中有n个样本点，用xn表示，为示xn中的第t个样本点，那么xi的密度的公式如下：
[0053][0054]
密度和异常得分的公式如下：
[0055][0056]
以二维iec61850智能变电站的报文数据集为例，简单说明局部异常因子算法(见图3)，存在2个正常报文集合c1和c2，c1的报文数量多于c2的数量，但是c2的密度大于c1的密度。假设p1和p2为2个可能存在异常的报文。p1和c1中距离最近的一个报文之间的距离大于p2和c2中距离最近的一个元素之间的距离，p1和p2相比，只有p1可以作为异常值。
[0057]
3.2)异常得分数据映射，旨在统一异常得分的范围，为了不造成对得分结果产生的较大的偏差，并且抑制因为不同量级的尺度产生的负面效果，因此需要将异常得分缩放在0和1之间的范围内，公式如下：
[0058][0059]
4、为了提高iec61850智能变电站异常检测的准确性和实时性，本发明提出一套简洁的安全决策，对综合度量指标(异常得分)设置对应的安全等级划分标准，从而实现独立性和内在逻辑关联性的目标。具体内容为：
[0060]
当具体报文实例xi的异常得分score∈[0.5,0.9)时，xi为可疑报文；
[0061]
当具体报文实例xi的异常得分score∈[0,0.5)时，xi为正常报文；
[0062]
当具体报文实例xi的异常得分score∈(0.9,1]时，xi为影响智能判断准确性的噪音，对该xi进行排除。
[0063]
5、报文事件异常源主动定位首先通过对一个时间段(1个月或3个月)已人工标注好的变电站的报文中测量值数据集合，利用k邻近算法思想自动学习(见图4)，即在变电站的报文中测量值数据集合的特征空间中的k个最相邻的报文测量值样本中的大多数属于某一个类别，则被检测的报文样本也属于该类别，并具有该类别上报文样本的特性。该方法在对判断异常的决策上只依据最邻近的k个样本的类别来决定待分样本所属的类别，如果这k个样本中的大多数属于某一个类别，则该样本也属于这个类别。用户可根据需求自行设置k值。因此k邻近算法方法在对异常决策时，只与极少量的相邻样本有关。由于k邻近算法主要靠周围有限的邻近的样本，而不是靠判别类域的方法来确定所属类别的，因此当报文数据域出现交叉或重叠较多的待分样本集来说，k邻近算法较其他方法更为适合。
[0064]
接着，利用上述思想建立起该变电站的基于报文的测量模型，通过测量数据模型可实现对异常测量值的检测。最后，利用建立起来的测量值的数据模型，实现对当前运行的智能变电站中产生的报文异常入侵检测，发现异常的入侵报文并告警。
[0065]
上述实施方式只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。

技术特征：
1.一种iec61850智能变电站安全学习系统，其特征在于，包括报文采集模块、报文对象测量值数字映射模块、实时入侵检测模块和实时异常源主动定位模块；所述报文采集模块，用于根据用户需求选取报文，将二进制流的报文还原成可被解析的帧结构的报文；报文对象测量值数字映射模块，用于针对非数字类型报文对象进行数字化处理；实时入侵检测模块，包括实时局部异常报文因子检测模块和异常得分数据映射模块，所述实时局部异常报文因子检测模块用于通过比较每个未知报文，和其邻域报文数据的密度来判断该报文是否为异常报文并确定异常得分；所述异常得分数据映射模块用于统一异常得分的范围，将异常得分缩放在0和1之间的范围内，最终根据异常得分确定报文是否异常；所述实时异常源主动定位模块，用于在控制回路中实时定位iec61850智能变电站异常入侵源，明晰异常报文事件。2.根据权利要求1所述的iec61850智能变电站安全学习系统，其特征在于，所述报文采集模块具体包括如下步骤：1)监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出目标报文的二进制数据流；2)目标报文的二进制数据流进入一个报文数据队列，根据目标报文结构逐字节还原成ascii码，实现二进制数据流到报文的帧还原，完成二进制数据流转换成一帧帧可解析的报文。3.根据权利要求1所述的iec61850智能变电站安全学习系统，其特征在于，所述报文对象测量值数字映射模块的具体操作包括：将测量值数据记录集中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集；data1、data2
…
为字符型，通过数字映射将data1数字化，data1数字化为1，data2数字化为2，数据对象名称转换成为的数字值需确保唯一性。4.根据权利要求1所述的iec61850智能变电站安全学习系统，其特征在于，所述实时入侵检测模块的密度及异常得分具体确定如下：根据报文之间的距离为基础来计算密度，距离为曼哈顿距离，其公式如下：其中，x和y为报文实例，i表示为第i个报文实例，w为报文总数量；假设x
i
的k距离邻域中有n个样本点，用x
n
表示，为示x
n
中的第t个样本点，那么x
i
的密度的公式如下：密度和异常得分的公式如下：5.根据权利要求4所述的iec61850智能变电站安全学习系统，其特征在于，所述实时入侵检测模块中将异常得分缩放在0和1之间的范围内具体公式如下：
6.根据权利要求5所述的iec61850智能变电站安全学习系统，其特征在于，据异常得分确定报文是否异常的方法为：当具体报文实例x
i
的异常得分score∈[0.5,0.9)时，x
i
为可疑报文；当具体报文实例x
i
的异常得分score∈[0,0.5)时，x
i
为正常报文；当具体报文实例x
i
的异常得分score∈(0.9,1]时，x
i
为影响智能判断准确性的噪音，对该x
i
进行排除。7.根据权利要求1所述的iec61850智能变电站安全学习系统，其特征在于，所述实时异常源主动定位模块的具体操作为：首先通过对一个时间段已人工标注好的变电站的报文中测量值数据集合，利用k邻近算法思想自动学习，即在变电站的报文中测量值数据集合的特征空间中的k个最相邻的报文测量值样本中的大多数属于某一个类别，则被检测的报文样本也属于该类别，并具有该类别上报文样本的特性。8.根据权利要求7所述的iec61850智能变电站安全学习系统，其特征在于，所述一个时间段为1个月或3个月。

技术总结
本发明涉及智能电网安全技术领域，公开了一种IEC61850智能变电站安全学习系统，包括报文采集模块、报文对象测量值数字映射模块、实时入侵检测模块和实时异常源主动定位模块；根据用户需求选取报文，将二进制流的报文还原成可被解析的帧结构的报文；针对非数字类型报文对象进行数字化处理；通过比较每个未知报文和其邻域报文数据的密度来判断该报文是否为异常报文并确定异常得分；统一异常得分的范围，将异常得分缩放在0和1之间的范围内，最终根据异常得分确定报文是否异常；实时定位智能变电站异常入侵源。与现有技术相比，本发明结合人工智能技术全方位对变电站运行实行智能检测。工智能技术全方位对变电站运行实行智能检测。工智能技术全方位对变电站运行实行智能检测。


技术研发人员：刘建戈 戴欣 刘鑫 李茂 王伟业 张鹏宇 吕少岚 杨帆
受保护的技术使用者：江苏海云智能科技有限公司
技术研发日：2023.03.08
技术公布日：2023/10/8