针对新能源电厂网络系统安全威胁检测需求,以及现有网络安全异常检测方法自适应能力差、人工参与多、误报率高等问题,提出了一种基于经验模态分解(Empirical Mode Decomposition,EMD)的自适应实时异常检测方法。该方法首先对新能源电厂网络中的流量进行多个维度的特征刻画,实现流量特征建模;然后在此基础上对特征指标进行自适应经验模态分解、方差计算、高斯拟合和阈值确定,以实现对流量特征指标的自适应异常检测和安全告警。采用典型攻击样本集合对本文方法和基于小波变换的异常检测方法进行了对比测试,测试结果表明,该方法能够准确、实时、自适应地识别未知流量异常,检测效果在准确率、误报率方面优于基于小波变换的异常检测方法。

• 单位
  国网甘肃省电力公司信息通信公司; 国网甘肃省电力公司; 国网甘肃省电力公司电力科学研究院