(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210567967.2 (22)申请日 2022.05.24 (71)申请人 国网重庆市电力公司电力科 学研究 院 地址 401123 重庆市渝北区北部新区黄山 大道中段80号办公 综合楼 申请人 国家电网有限公司 　 国网重庆市电力公司 (72)发明人 黄飞　刘佳　王谦　李永福　戴健　 夏磊　向洪　廖庆龙　吴晓东　 岳鑫桂　彭小娅　祝与欣　范昭勇　 戴晖　刘志宏　李鑫　赵俊光　 宫林　李俊杰　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 阳佑虹(51)Int.Cl. H02J 13/00(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 基于机器学习的配电终端安全监测系统及 方法 (57)摘要 本发明公开了基于机器学习的配电终端安 全监测系统及方法， 涉及配电自动化设备信息安 全领域， 包括安全监测探针、 配电主站、 配电终端 及与配电终端连接的其他终端， 安全监测探针的 程序部署在配电终端的操作系统， 配电主站与配 电终端通过远程通信网络连接， 配电终端与其他 终端通过本地通信网络连接， 安全监测探针采集 配电终端远程通信、 本地通信及配电终端内部的 交互数据信息， 基于决策树机器学习算法构建检 测模型分析网络安全信息， 可将已知网络攻击直 接阻断、 异常信息上报配电主站进一步分析。 本 发明提升 了配电自动化的网络安全水平。 权利要求书2页 说明书4页 附图4页 CN 114784977 A 2022.07.22 CN 114784977 A 1.基于机器学习的配电终端安全监测系统， 其特征在于： 包括安全监测探针、 配电主 站、 配电终端及与配电终端连接的其他终端， 配电主站与配电终端通过远程通信网络连接， 配电终端与其他 终端通过本地通信网络连接， 安全监测探针的程序部署在配电终端的操作 系统， 安全监测探针采集并分析配电终端与配电主站、 配电终端与其他终端以及配电终端 内部的交 互数据信息， 用于判定配电终端是否受到网络攻击或其 他异常访问。 2.根据权利要求1所述的基于机器学习的配电终端安全监测系统， 其特征在于： 安全监 测探针的程序封装并采用非对称密码算法进行签名， 通过配电主站发送至配电终端， 配电 终端接收到安全监测探针的封装程序后进 行验签， 确认封装程序发送方为合法配电主站身 份后在操作系统部署安装。 3.根据权利要求1所述的基于机器学习的配电终端安全监测系统， 其特征在于： 安全监 测探针采集配电终端与配电主站 通过远程通信网络交互的业务数据， 安全监测探针采集配 电终端与其他终端的业务数据， 安全监测探针采集配电终端内部操作系统层面的数据访 问、 权限变更和命令执 行。 4.根据权利要求3所述的基于机器学习的配电终端安全监测系统， 其特征在于： 其他终 端包括其他配电终端、 运维工具和传感单 元。 5.基于机器学习的配电终端安全监测方法， 包括权利要求1 ‑4任一权利要求所述的配 电终端安全监测系统， 其特征在于： 安全监测探针采用基于决策树机器学习算法构建检测 模型分析信息交 互数据， 包括如下步骤： 安全监测探针实时采集配电终端与配电主站的交互数据信 息、 配电终端与其他终端的 交互数据信息， 以及配电终端内部的操作系统层面的数据信息； 安全监测探针对实时采集到数据进行 预处理， 提取数据特征； 安全监测探针将检测到的数据 特征与已知攻击类型特征做对比， 若安全监测探针检测 到的数据特征与已知攻击类型特征匹配， 则安全监测探针直接将该通信链路判定为网络攻 击， 采取关断网络链接的方式阻断攻击， 并将网络阻断结果上送至配电主站； 若安全监测探针检测到的数据 特征与已知攻击类型特征不匹配， 则将当前检测到的数 据特征与配电终端正常运行时特征进 行比较， 两者信息增益超过预定义的阈值则判定网络 异常， 并将网络异常信息实时上报至配电主站， 若两者信息增益偏差未超过预定义的阈值 则判定为 正常网络， 配电终端正常运行。 6.根据权利要求5所述的基于机器学习的配电终端安全监测方法， 其特征在于： 所述数 据特征包括协议标识符、 源端口、 目的端口、 源地址、 目的地址、 原始数据长度、 关键路径名 和操作指令中的一种或者多种。 7.根据权利要求5所述的基于机器学习的配电终端安全监测方法， 其特征在于： 当安全 监测探针检测到的数据特征与已知攻击类型特征不匹配， 进一步采用决策树机器学习模型 进行分类， 安全监测探针的决策树机器学习模型采用配电终端在已知正常运行环境下的信 息交互数据进行分类 器的训练。 8.根据权利要求5所述的基于机器学习的配电终端安全监测方法， 其特征在于： 安全监 测探针采用非对称密码算法对上报至配电主站的网络安全信息进 行签名操作后， 由配电终 端发送至配电主站； 配电主站收到网络安全信息后进行验签， 确认网络安全信息的发送方 为合法配电终端后方予处 理， 网络安全信息即网络攻击处 理结果和网络异常信息 。权　利　要　求　书 1/2 页 2 CN 114784977 A 29.根据权利要求5所述的基于机器学习的配电终端安全监测方法， 其特征在于： 在安全 监测探针将网络异常信息上报至配电主站后， 配电主站 运行人员结合实际情况对网络异常 信息进行综合研判。权　利　要　求　书 2/2 页 3 CN 114784977 A 3