一种基于RBF-SVM的智能配变终端信息安全风险评估方法

摘要

本发明公开了一种基于RBF‑SVM的智能配变终端信息安全风险评估方法，包括：选择N个已知是否存在信息安全风险的智能配变终端，提取其信息安全检测指标并构建特征向量，将得到的特征向量与对应的是否存在信息安全风险作为1个训练样本；构建基于径向基核函数的支持向量机，利用训练样本训练基于径向基核函数的支持向量机，得到智能配变终端评估模型；对待评估的智能配变终端，提取其信息安全检测指标并构建特征向量，输入至智能配变终端评估模型，输出可得待评估的智能配变终端是否存在信息安全风险。本发明可以对智能配变终端的信息安全进行风险评估。

说明书

技术领域

本发明属于电力系统终端信息安全防护领域，具体涉及一种基于RBF-SVM的智能配变 终端信息安全风险评估方法。

背景技术

随着泛在电力物联网建设的推进，配电网中的大量智能终端设备在电网中广泛应用以及 多元用户接入，电网逐步形成了开放互动网络环境，存在信息泄密、篡改乃至非法控制的风 险。智能终端作为物联网的纽带节点和接入电网的第一道门户，已成为攻击电网的重要目标 和攻击跳板，其安全性直接关系到电网的安全稳定运行。如何保证智能终端信息安全成为一 个备受关注的重点研究对象。

目前，针对电力系统网络信息安全的防护，我国主要以网络安全分区为准则，采用“横 向隔离和纵向加密”的安全防护策略，但一旦网络攻击突破安全屏障，则会造成重大破坏后 果。终端信息安全风险评估技术的提出可以帮助电力系统管理人员更好地掌握系统的安全运 行情况，对影响到终端信息安全的指标和存在的潜在威胁有更清晰的了解，从而可以及时有 效地识别异常，采取防护措施。

发明内容

本发明所要解决的技术问题是，提供一种基于RBF-SVM的智能配变终端信息安全风险 评估方法，通过构建终端信息安全风险评估模型，从而对智能配变终端的信息安全进行风险 评估。

为实现上述技术目的，本发明采用如下技术方案：

一种基于RBF-SVM的智能配变终端信息安全风险评估方法，包括：

选择N个已知是否存在信息安全风险的智能配变终端，提取其信息安全检测指标并构建 特征向量，将得到的特征向量与对应的是否存在信息安全风险作为1个训练样本；

构建基于径向基核函数的支持向量机，利用训练样本训练基于径向基核函数的支持向量 机，得到智能配变终端评估模型；

对待评估的智能配变终端，提取其信息安全检测指标并构建特征向量，输入至智能配变 终端评估模型，输出可得待评估的智能配变终端是否存在信息安全风险。

在更优的技术方案中，提取的信息安全检测指标包括：登录智能配变终端系统以后的访 问校验错误次数、T2时长内的网络报文的峰值流量、T3时长内的CPU负载率、T4时长内的CPU内存占有率、智能配变终端上电以后的看门狗定时器报警次数、T6时长内的CPU运行 产生的功耗。

在更优的技术方案中，T2＝20秒钟，T3＝5分钟，T4＝5分钟，T6＝5秒钟。

在更优的技术方案中，输入至支持向量机和输入至智能配变终端评估模型的特征向量， 均经过归一化处理后的数据。

在更优的技术方案中，采用网格搜索法优化基于径向基核函数的支持向量机中的惩罚常 数C和高斯核半径g。

在更优的技术方案中，惩罚常数C和高斯核半径g的搜索范围为[10

在更优的技术方案中，采用k折交叉验证法优化基于径向基核函数的支持向量机中的惩 罚常数C和高斯核半径g，具体为：

将N个训练样本划分为k份子样本，其中k-1份构建训练集，剩余1份构建验证集，重复k次，选择其中交叉验证的平均正确率最高的惩罚常数C和高斯核半径g，作为最终训练得到的智能配变终端评估模型的超参数。

在更优的技术方案中，基于径向基核函数的支持向量机的决策函数为：

其中，K(x

有益效果

本发明从已知信息安全风险的智能配变终端提取有关于信息安全风险的检测指标，并构 建特征向量作为训练样本，训练基于径向基核函数的支持向量机，得到智能配变终端评估模 型，从而使用其对待评估的智能配变终端进行信息安全风险评估，从而可以帮助电力系统管 理人员更好地掌握系统的安全运行情况，对影响到终端信息安全的指标和存在的潜在威胁有 更清晰的了解，从而可以及时有效地识别异常，采取防护措施。

附图说明

图1为本发明实施例所述的智能配变终端信息安全风险评估模型。

具体实施方式

下面对本发明的实施例作详细说明，本实施例以本发明的技术方案为依据开展，给出了 详细的实施方式和具体的操作过程，对本发明的技术方案作进一步解释说明。

本实施例提供一种基于RBF-SVM的智能配变终端信息安全风险评估方法，如图1所示， 包括：

步骤1、选择N个已知是否存在信息安全风险的智能配变终端，提取其信息安全检测指 标并构建特征向量，将得到的特征向量与对应的是否存在信息安全风险作为1个训练样本；

其中，提取的信息安全检测指标包括：登录智能配变终端系统以后的访问校验错误次数、 20s时长内的网络报文的峰值流量、5分钟时长内的CPU负载率、5分钟时长内的CPU内存占 有率、智能配变终端上电以后的看门狗定时器报警次数、5秒钟时长内的CPU运行产生的功 耗。在本实施例中，访问校验次数为系统登录以来未通过安全认证的越权访问累计次数，用 于监视终端系统是否出现未通过安全认证的越权访问。网络报文的峰值流量为PLC、RJ45、 RS485、光纤等接口的20s数据流量的累计峰值，用于监视配变终端通信接口的网络报文流 量。CPU负载率和CPU内存占有率是用于判断系统是否遭到资源耗尽攻击，监视CPU负荷情 况与系统内存使用情况。看门狗定时器报警次数是指上电以来看门狗定时器报警累计次数， 用于终端识别系统内部可能发生的异常事件。CPU运行产生的功耗监测是在终端的电源部分 外接采样电阻采集终端的功耗信息(采样电阻电压)，监视CPU模块运行时是否出现恶意代 码攻击。

步骤2、构建基于径向基核函数的支持向量机，利用训练样本训练基于径向基核函数的 支持向量机，得到智能配变终端评估模型；

由于智能配变终端的训练样本并非线性可分，为了解决该问题，本实施例采用构建基于 径向基核函数的支持向量机：

设训练样本为(x

对每个训练样本(x

采用拉格朗日乘子法将上式的优化问题转换为一个对偶问题，即：

当所构建的分类平面为非线性超平面时，需要使用一个变换将原空间数据映射到新空间， 即将对偶问题目标函数中的内积x

此时对偶问题的目标函数为：

核函数选择高斯(RBF)核，即

由于本实施例的支持向量机SVM使用的核函数为高斯核函数，分类效果受到惩罚常数C 和高斯核半径g的影响，因此本发明先用基于径向基核函数的支持向量机作为分类器学习模 型时，采用带k折交叉验证的网格搜索法对支持向量机中的惩罚常数C和高斯核半径g进行 参数寻优：

惩罚常数C和高斯核半径g按搜索范围为[10

将N个训练样本划分为k份子样本，其中k-1份构建训练集，剩余1份构建验证集，重复k次，得到k组训练集与验证集；

对于二维网格的每个网格对应的惩罚常数C和高斯核半径g，均使用每组训练集训练基 于径向基核函数的支持向量机，使用对应的验证集验证其分类正确率，然后求k组分类正确 率的平均值，作为当前网格对应的惩罚常数C和高斯核半径g的分类正确率；

选择分类正确率最高的网格所对应的惩罚常数C和高斯核半径g，作为最终训练得到的 智能配变终端评估模型的超参数。

步骤3、对待评估的智能配变终端，提取其信息安全检测指标并构建特征向量，输入至 智能配变终端评估模型，输出可得待评估的智能配变终端是否存在信息安全风险。

在更优的实施例中，输入至支持向量机和输入至智能配变终端评估模型的特征向量，均 是经过归一化处理后的数据：

为了验证该模型在智能配变终端安全风险评估问题上的有效性，本实施例根据现场测试 选取一组新增数据[A:20，B:30，C:45％，D:34％，E:30，F：0.00701]进行测试，该数据通过 模型得到的输出结果为0，即表明配变终端没有存在安全风险。

结果表明本发明基于RBF-SVM智能配变终端信息安全风险评估方法，能够有效判定配 变终端是否存在异常工作指标，从而实现终端信息安全风险评估，对电力系统终端信息安全 防护具有一定的实用价值。

以上实施例为本申请的优选实施例，本领域的普通技术人员还可以在此基础上进行各种 变换或改进，在不脱离本申请总的构思的前提下，这些变换或改进都应当属于本申请要求保 护的范围之内。