智能变电站采用了开放的、标准的网络技术和对等的通信模式,在提高了智能变电站的自动化智能化水平的同时也带来了网络通信的信息安全问题,使得智能变电站面临了新的网络入侵威胁。针对上述问题,本文通过构建智能变电站的网络通信仿真平台和流量监测系统,开展了面向智能变电站的通信流量分析与网络入侵检测研究。通过对智能变电站典型网络入侵流量和通信系统正常流量特征指纹的分析,提出了基于改进型均值聚类算法的入侵检测研究和基于智能变电站网络通信流量特征指纹的入侵检测研究,为面向智能电网的智能变电站网络入侵检测提出了新思路。本文主要研究内容从以下几个方面展开:首先,针对智能变电站的通信协议与链路基本结构和一般网络通信流量采集与分析方法,本文提出了智能变电站网络通信流量采集框架。利用流量计算和聚类分析方法对采集的流量数据集进行数据预处理。其次,结合智能变电站的通信结构及智能变电站中各个功能环节特点,以“三层两网”简易模型思想,实现对智能变电站通信系统模型的简化。利用网络通信发报模拟工具,设备CID模型和基于IEC 61850的通信服务器与客户端工具,实现了对智能变电站的过程层、间隔层和站控层的仿真平台分别搭建。并以仿真平台为对象,开展了面向智能变电站的网络通信流量监测系统的设计与仿真研究,通过仿真平台中对设备通信的模拟,实现了流量的分类分项监测,通过模拟设置异常流量场景,分析了异常流量场景下通信流量的监测过程。依据上文中建立的仿真平台和智能变电站网络通信流量监测系统的设计,分析了针对智能变电站发动的典型网络入侵和攻击的流量变化特征,对典型入侵行为带来的智能变电站通信网络数据变化进行了量化分析,得到了典型入侵行为在智能变电站通信链路上的流量异常值矩阵。另外,针对传统均值聚类算法应用到智能变电站通信网络入侵检测中的缺陷,提出了改进型均值聚类算法,分别从初始中心的选取,入侵数据样本加权和动态聚类阈值三个方面提出了改进,提高了算法的检测精度,使之更加满足智能变电站的需求。然后,研究了智能变电站网络通信正常流量特征指纹提取技术,基于网络通信协议的分析技术,提出了智能变电站特征指纹提取方法,通过对智能变电站通信网络链路和结构的分析,本文采用可分层模型思想,建立了以智能变电站通信协议类型、通信流量大小、设备协议配置和协议数据属性四类的分层流量特征指纹库。最后,以智能变电站流量监测系统和仿真平台为基础,开展了智能变电站间隔层网络流量特征和过程层网络流量特征的提取仿真。最后,在构建变电站间隔层网络流量特征指纹和过程层网络流量特征指纹的基础上,开展了面向智能变电站网络流量特征指纹的入侵检测研究。设计了基于流量特征指纹的入侵检测模型,以智能变电站网络为例,分别模拟了三种导致流量大小、协议类型、协议数据内容发生改变的不同入侵行为,进行了仿真验证。