本發(fā)明涉及工控網(wǎng)絡(luò)，具體涉及一種基于時(shí)序特征的工控網(wǎng)絡(luò)威脅趨勢(shì)檢測(cè)方法及系統(tǒng)。

背景技術(shù)：

1、基于時(shí)序特征的工控網(wǎng)絡(luò)威脅趨勢(shì)檢測(cè)方法在新型電力背景下具有重要意義。隨著新型電力技術(shù)（如可再生能源和先進(jìn)電池技術(shù)）的廣泛應(yīng)用，工控系統(tǒng)面臨的安全挑戰(zhàn)也日益復(fù)雜化。傳統(tǒng)的網(wǎng)絡(luò)安全方法難以有效應(yīng)對(duì)這些新興威脅，因此基于時(shí)序特征的檢測(cè)方法成為一種前瞻性解決方案。通過分析工控系統(tǒng)中的時(shí)序數(shù)據(jù)（如傳感器數(shù)據(jù)、控制信號(hào)等），提取數(shù)據(jù)的統(tǒng)計(jì)特征、頻域特征和時(shí)域特征，并利用機(jī)器學(xué)習(xí)技術(shù)構(gòu)建威脅檢測(cè)模型。這些模型能夠識(shí)別異常行為，包括不明來源的數(shù)據(jù)流量、異常頻率或模式變化，從而及時(shí)發(fā)現(xiàn)潛在的網(wǎng)絡(luò)攻擊或設(shè)備故障，保障新型電力系統(tǒng)的安全和穩(wěn)定運(yùn)行。涉及對(duì)工控系統(tǒng)特有的架構(gòu)、通信協(xié)議和能源轉(zhuǎn)換過程的深入理解，以及對(duì)新型電力技術(shù)特性和安全需求的全面考量。這種方法不僅符合新能源時(shí)代對(duì)能源生產(chǎn)和分布效率的要求，還推動(dòng)了工控系統(tǒng)安全技術(shù)向更智能化、高效化的轉(zhuǎn)型。

2、現(xiàn)有技術(shù)存在以下不足之處：

3、當(dāng)新設(shè)備引入或系統(tǒng)升級(jí)時(shí)，設(shè)備的運(yùn)行參數(shù)、數(shù)據(jù)生成模式、工作負(fù)載等可能會(huì)與原有系統(tǒng)有所不同，導(dǎo)致時(shí)序數(shù)據(jù)的特征發(fā)生變化。如果原有的威脅檢測(cè)模型沒有及時(shí)根據(jù)這些變化進(jìn)行調(diào)整或更新，模型將無法適應(yīng)新的數(shù)據(jù)模式，可能會(huì)導(dǎo)致無法準(zhǔn)確識(shí)別設(shè)備潛在問題或故障，增加誤報(bào)風(fēng)險(xiǎn)，從而影響系統(tǒng)的安全性和可靠性。此外，誤報(bào)率也可能升高，干擾正常操作。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明一方面提供一種基于時(shí)序特征的工控網(wǎng)絡(luò)威脅趨勢(shì)檢測(cè)方法，以解決背景技術(shù)中不足。

2、本發(fā)明另一方面提供一種基于時(shí)序特征的工控網(wǎng)絡(luò)威脅趨勢(shì)檢測(cè)系統(tǒng)。

3、為了實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種基于時(shí)序特征的工控網(wǎng)絡(luò)威脅趨勢(shì)檢測(cè)方法，包括以下步驟：

4、將新采集的數(shù)據(jù)輸入到原有的時(shí)序特征提取和威脅檢測(cè)模型中，根據(jù)威脅檢測(cè)模型在新數(shù)據(jù)輸入時(shí)的反應(yīng)速度，判斷威脅檢測(cè)模型的性能是否下降；

5、當(dāng)威脅檢測(cè)模型的性能下降時(shí)，對(duì)比新設(shè)備的時(shí)序數(shù)據(jù)與原有設(shè)備的數(shù)據(jù)，對(duì)時(shí)序數(shù)據(jù)特征的漂移狀態(tài)進(jìn)行判斷，確定時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性；

6、將新時(shí)序數(shù)據(jù)與原始數(shù)據(jù)進(jìn)行混合驗(yàn)證，評(píng)估威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性；

7、根據(jù)時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性和威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性，評(píng)估時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性，并將其劃分為高適應(yīng)模型和低適應(yīng)模型；

8、對(duì)于低適應(yīng)模型，動(dòng)態(tài)調(diào)整威脅檢測(cè)模型中的閾值，并對(duì)后續(xù)固定時(shí)間段內(nèi)威脅檢測(cè)模型的誤報(bào)頻率異常程度進(jìn)行進(jìn)一步的分析，若誤報(bào)頻率異常程度高，則通過二級(jí)檢測(cè)機(jī)制對(duì)誤報(bào)類型進(jìn)行識(shí)別和過濾。

9、優(yōu)選的，根據(jù)威脅檢測(cè)模型在新數(shù)據(jù)輸入時(shí)的反應(yīng)速度，判斷威脅檢測(cè)模型的性能是否下降，具體包括：從威脅檢測(cè)模型中收集推理時(shí)間數(shù)據(jù)，建立推理時(shí)間的基準(zhǔn)分布，記為thistory；在新數(shù)據(jù)輸入時(shí)，記錄模型的推理時(shí)間，生成新推理時(shí)間分布，記為tnew；

10、使用雙樣本t檢驗(yàn)來評(píng)估推理時(shí)間在歷史數(shù)據(jù)和新數(shù)據(jù)上的差異，計(jì)算表達(dá)式為：；式中，為歷史推理時(shí)間的均值，為新數(shù)據(jù)的推理時(shí)間均值，歷史和新推理時(shí)間的標(biāo)準(zhǔn)差的平方；為歷史推理時(shí)間和新推理時(shí)間的樣本數(shù)，為新數(shù)據(jù)的推理時(shí)間標(biāo)準(zhǔn)差的平方，設(shè)置原假設(shè)h0，即新數(shù)據(jù)推理時(shí)間與歷史數(shù)據(jù)推理時(shí)間無顯著差異，使用t檢驗(yàn)公式計(jì)算t值，選擇顯著性水平α=0.05，從t分布表中查找臨界值，如果大于臨界值，則拒絕原假設(shè)，推理時(shí)間存在變化；

11、使用kl散度檢測(cè)推理時(shí)間分布變化，表達(dá)式為：；式中，p(x)為歷史推理時(shí)間分布，q(x)為新推理時(shí)間分布；

12、若計(jì)算得到的新數(shù)據(jù)的推理時(shí)間分布大于等于歷史數(shù)據(jù)的推理時(shí)間分布，則威脅檢測(cè)模型性能出現(xiàn)下降；若計(jì)算得到的新數(shù)據(jù)的推理時(shí)間分布小于歷史數(shù)據(jù)的推理時(shí)間分布，則威脅檢測(cè)模型性能沒有出現(xiàn)下降。

13、優(yōu)選的，所述當(dāng)威脅檢測(cè)模型的性能下降時(shí)，對(duì)比新設(shè)備的時(shí)序數(shù)據(jù)與原有設(shè)備的數(shù)據(jù)，對(duì)時(shí)序數(shù)據(jù)特征的漂移狀態(tài)進(jìn)行判斷，確定時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性，具體包括：對(duì)比新設(shè)備的時(shí)序數(shù)據(jù)與原有設(shè)備的數(shù)據(jù)，根據(jù)時(shí)序數(shù)據(jù)特征的漂移情況生成特征扭曲指數(shù)，確定時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性，則特征扭曲指數(shù)的獲取方法為：

14、從新設(shè)備和原有設(shè)備的數(shù)據(jù)中提取相同類型的時(shí)序特征，；為原有設(shè)備的時(shí)序特征，長(zhǎng)度為n；為新設(shè)備的時(shí)序特征，長(zhǎng)度為m；在dtw算法中，建立兩個(gè)特征序列x和y之間的距離矩陣d，其中每個(gè)元素d(i,j)表示xi和yj之間的局部距離，常用的距離度量是歐氏距離，計(jì)算公式為：；生成的矩陣d大小為n×m，其中，每個(gè)元素d(i,j)表示x的第i個(gè)點(diǎn)與y的第j個(gè)點(diǎn)的距離；計(jì)算累積距離矩陣c，用于尋找x和y之間的最優(yōu)對(duì)齊路徑，累積距離矩陣的元素c(i,j)計(jì)算表達(dá)式為：；c(i,j)是累積距離矩陣的第i,j項(xiàng)，是局部距離矩陣中的對(duì)應(yīng)元素，通過累積距離矩陣c，找到一條從c(1,1)到c(n,m)的最優(yōu)對(duì)齊路徑，能夠最小化原有設(shè)備和新設(shè)備時(shí)序特征的整體距離，記為；其中k是路徑長(zhǎng)度，路徑的總距離表示為：；計(jì)算特征扭曲指數(shù)，表達(dá)式為：；式中，為特征扭曲指數(shù)。

15、優(yōu)選的，所述將新時(shí)序數(shù)據(jù)與原始數(shù)據(jù)進(jìn)行混合驗(yàn)證，評(píng)估威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性，具體包括：對(duì)新設(shè)備的時(shí)序數(shù)據(jù)和原有設(shè)備的數(shù)據(jù)進(jìn)行混合驗(yàn)證后生成混合數(shù)據(jù)干擾指數(shù)，評(píng)估威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性，則混合數(shù)據(jù)干擾指數(shù)的獲取方法為：

16、將原有設(shè)備的時(shí)序特征標(biāo)記為，其中是原有設(shè)備的第h個(gè)特征向量，數(shù)據(jù)量為h；將新設(shè)備的時(shí)序特征標(biāo)記為，其中是新設(shè)備的第g個(gè)特征向量，數(shù)據(jù)量為g；利用核函數(shù)將原始數(shù)據(jù)映射到一個(gè)高維空間，在高維空間中計(jì)算均值差異，表達(dá)式為：；其中，σ為核函數(shù)的寬度參數(shù)，使用選定的核函數(shù)計(jì)算原有設(shè)備數(shù)據(jù)和新設(shè)備數(shù)據(jù)的核矩陣表達(dá)式為：；s為原有設(shè)備的時(shí)序特征的總數(shù)；新設(shè)備數(shù)據(jù)集之間的核矩陣表達(dá)式為：；w為新設(shè)備的時(shí)序特征的總數(shù)；計(jì)算混合數(shù)據(jù)干擾指數(shù)，表達(dá)式為：；式中，為混合數(shù)據(jù)干擾指數(shù)。

17、優(yōu)選的，所述根據(jù)時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性和威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性，評(píng)估時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性，并將其劃分為高適應(yīng)模型和低適應(yīng)模型，具體包括：根據(jù)時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性和威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性，評(píng)估時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性，并將其劃分為高適應(yīng)模型和低適應(yīng)模型；

18、將特征扭曲指數(shù)和混合數(shù)據(jù)干擾指數(shù)轉(zhuǎn)換為第一特征向量，將第一特征向量作為機(jī)器學(xué)習(xí)模型的輸入，機(jī)器學(xué)習(xí)模型以每組第一特征向量預(yù)測(cè)時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性分析值標(biāo)簽為預(yù)測(cè)目標(biāo)，以最小化對(duì)所有時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性分析值標(biāo)簽的預(yù)測(cè)誤差之和作為訓(xùn)練目標(biāo)，對(duì)機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練，直至預(yù)測(cè)誤差之和達(dá)到收斂時(shí)停止模型訓(xùn)練，根據(jù)模型輸出結(jié)果確定時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性分析值，其中，機(jī)器學(xué)習(xí)模型為多項(xiàng)式回歸模型。

19、優(yōu)選的，將獲取到的時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性分析值與歷史數(shù)據(jù)正常狀態(tài)下的標(biāo)準(zhǔn)適應(yīng)性分析值進(jìn)行比較，若時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性分析值大于等于標(biāo)準(zhǔn)適應(yīng)性分析值，則時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性高，此時(shí)不生成預(yù)警信號(hào)，無需進(jìn)一步調(diào)整，并將其劃分為高適應(yīng)模型；若時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性分析值小于標(biāo)準(zhǔn)適應(yīng)性分析值，則時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性低，此時(shí)生成預(yù)警信號(hào)，并將其劃分為低適應(yīng)模型。

20、優(yōu)選的，所述對(duì)于低適應(yīng)模型，動(dòng)態(tài)調(diào)整威脅檢測(cè)模型中的閾值，并對(duì)后續(xù)固定時(shí)間段內(nèi)威脅檢測(cè)模型的誤報(bào)頻率異常程度進(jìn)行進(jìn)一步的分析，若誤報(bào)頻率異常程度高，則通過二級(jí)檢測(cè)機(jī)制對(duì)誤報(bào)類型進(jìn)行識(shí)別和過濾，具體包括：對(duì)于低適應(yīng)模型，動(dòng)態(tài)調(diào)整威脅檢測(cè)模型中的閾值，并對(duì)后續(xù)固定時(shí)間段內(nèi)威脅檢測(cè)模型的誤報(bào)頻率異常程度進(jìn)行進(jìn)一步的分析；

21、若時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性分析值小于標(biāo)準(zhǔn)適應(yīng)性分析值，將其劃分為低適應(yīng)模型，對(duì)于低適應(yīng)模型，使用固定長(zhǎng)度的滑動(dòng)窗口對(duì)模型的性能進(jìn)行實(shí)時(shí)監(jiān)控，動(dòng)態(tài)調(diào)整閾值t，在滑動(dòng)窗口內(nèi)計(jì)算威脅檢測(cè)模型的適應(yīng)性分析值，若適應(yīng)性分析值增大，則逐步增加閾值t，表達(dá)式為：；若適應(yīng)性分析值減小，則逐步降低閾值t，表達(dá)式為：；滑動(dòng)窗口每次移動(dòng)一個(gè)單位，重新計(jì)算威脅檢測(cè)模型的適應(yīng)性分析值，更新閾值，δt是閾值調(diào)整的步長(zhǎng)。

22、優(yōu)選的，對(duì)后續(xù)固定時(shí)間段內(nèi)威脅檢測(cè)模型的誤報(bào)頻率異常程度進(jìn)行進(jìn)一步的分析，設(shè)定固定時(shí)間段l，在每個(gè)時(shí)間段內(nèi)統(tǒng)計(jì)模型的誤報(bào)次數(shù)fpr(t)，設(shè)定誤報(bào)頻率的正常閾值tfpr，作為誤報(bào)頻率的正常上限，如果誤報(bào)頻率fpr(t)在時(shí)間段內(nèi)大于正常閾值，認(rèn)為模型在該時(shí)間段內(nèi)的誤報(bào)頻率異常，檢測(cè)誤報(bào)頻率的異常程度，表達(dá)式為：；式中，為誤報(bào)頻率歷史均值，為誤報(bào)頻率歷史標(biāo)準(zhǔn)差，為誤報(bào)頻率的異常程度，若大于tfpr，說明固定時(shí)間段內(nèi)威脅檢測(cè)模型的誤報(bào)頻率異常程度高，此時(shí)生成異常信號(hào)，在檢測(cè)到誤報(bào)頻率異常程度高后，啟動(dòng)二級(jí)檢測(cè)機(jī)制來識(shí)別誤報(bào)的類型，并過濾掉誤報(bào)，提升模型的準(zhǔn)確性；若小于tfpr，說明固定時(shí)間段內(nèi)威脅檢測(cè)模型的誤報(bào)頻率異常程度低，此時(shí)不生成異常信號(hào)。

23、本發(fā)明另一方面提供一種基于時(shí)序特征的工控網(wǎng)絡(luò)威脅趨勢(shì)檢測(cè)系統(tǒng)，包括：

24、性能判斷模塊，用于將新采集的數(shù)據(jù)輸入到原有的時(shí)序特征提取和威脅檢測(cè)模型中，根據(jù)威脅檢測(cè)模型在新數(shù)據(jù)輸入時(shí)的反應(yīng)速度，判斷威脅檢測(cè)模型的性能是否下降；

25、一致性模塊，用于當(dāng)威脅檢測(cè)模型的性能下降時(shí)，對(duì)比新設(shè)備的時(shí)序數(shù)據(jù)與原有設(shè)備的數(shù)據(jù)，對(duì)時(shí)序數(shù)據(jù)特征的漂移狀態(tài)進(jìn)行判斷，確定時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性；

26、評(píng)估模塊，用于將新時(shí)序數(shù)據(jù)與原始數(shù)據(jù)進(jìn)行混合驗(yàn)證，評(píng)估威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性；

27、適應(yīng)劃分模塊，用于根據(jù)時(shí)序數(shù)據(jù)特征與威脅檢測(cè)模型的一致性和威脅檢測(cè)模型在不同數(shù)據(jù)集上的穩(wěn)定性，評(píng)估時(shí)序數(shù)據(jù)模式發(fā)生變化時(shí)威脅檢測(cè)模型的適應(yīng)性，并將其劃分為高適應(yīng)模型和低適應(yīng)模型；

28、調(diào)整模塊，用于對(duì)于低適應(yīng)模型，動(dòng)態(tài)調(diào)整威脅檢測(cè)模型中的閾值，并對(duì)后續(xù)固定時(shí)間段內(nèi)威脅檢測(cè)模型的誤報(bào)頻率異常程度進(jìn)行進(jìn)一步的分析，若誤報(bào)頻率異常程度高，則通過二級(jí)檢測(cè)機(jī)制對(duì)誤報(bào)類型進(jìn)行識(shí)別和過濾。

29、在上述技術(shù)方案中，本發(fā)明提供的技術(shù)效果和優(yōu)點(diǎn)：

30、1、本發(fā)明通過引入新采集的數(shù)據(jù)進(jìn)行時(shí)序特征提取和性能監(jiān)控，結(jié)合特征扭曲指數(shù)和混合數(shù)據(jù)干擾指數(shù)，評(píng)估模型的適應(yīng)性并進(jìn)行動(dòng)態(tài)調(diào)整，確保模型在新數(shù)據(jù)環(huán)境中的高效性。對(duì)于低適應(yīng)模型，采用滑動(dòng)窗口技術(shù)動(dòng)態(tài)調(diào)整檢測(cè)閾值，實(shí)時(shí)監(jiān)控模型性能，并分析誤報(bào)頻率異常程度，進(jìn)一步識(shí)別和過濾誤報(bào)，提升模型的準(zhǔn)確性和穩(wěn)定性。

31、2、本發(fā)明不僅能夠在新數(shù)據(jù)模式變化時(shí)有效識(shí)別潛在的威脅和設(shè)備故障，避免因數(shù)據(jù)漂移導(dǎo)致的誤報(bào)和漏報(bào)，提高系統(tǒng)安全性和可靠性。通過適應(yīng)性分析、動(dòng)態(tài)調(diào)整和二級(jí)檢測(cè)機(jī)制的引入，還降低了誤報(bào)對(duì)正常操作的干擾，確保了工控網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)的持續(xù)精準(zhǔn)性和響應(yīng)能力。