CN109743339B - 电力厂站的网络安全监测方法和装置、计算机设备 - Google Patents
电力厂站的网络安全监测方法和装置、计算机设备 Download PDFInfo
- Publication number
- CN109743339B CN109743339B CN201910220929.8A CN201910220929A CN109743339B CN 109743339 B CN109743339 B CN 109743339B CN 201910220929 A CN201910220929 A CN 201910220929A CN 109743339 B CN109743339 B CN 109743339B
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- network behavior
- parameters
- power plant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000012544 monitoring process Methods 0.000 title claims abstract description 53
- 230000006399 behavior Effects 0.000 claims abstract description 321
- 238000012549 training Methods 0.000 claims abstract description 51
- 239000013598 vector Substances 0.000 claims abstract description 33
- 238000003860 storage Methods 0.000 claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012806 monitoring device Methods 0.000 claims description 11
- 230000005856 abnormality Effects 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 9
- 238000009826 distribution Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Abstract
本发明涉及一种电力厂站的网络安全监测方法和装置、计算机设备、计算机存储介质。上述电力厂站的网络安全监测方法包括:根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量;其中,网络行为特征向量记录网络行为的行为标识参数和时间参数;训练时段包括多个单位时段;根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数;分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间;获取当前所处单位时段各个网络行为发生的当前参数,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。本发明可以提高电力厂站安全监测的效果。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种电力厂站的网络安全监测方法和装置、计算机设备、计算机存储介质。
背景技术
随着工业互联网和工业4.0等战略的提出,工业生产的数字化已然成为一种不可阻挡的未来趋势。计算机技术和网络通信技术在电力工业控制系统的广泛应用,传统电力工业控制系统逐步打破了以往的封闭性和专有性,标准、通用的通信协议及软硬件系统应用愈发广泛。2010年伊朗震网病毒事件将工控系统信息安全推到风口浪尖,工控系统信息安全漏洞和隐患开始浮出水面。国内外对电力工控系统后门、漏洞和攻击等方面的研究日益重视和深入,电力工控系统信息安全形势日益严峻,电力厂站的网络安全问题的监测尤为重要。传统方案需要在电力厂站的网络发生相应问题后,针对具体问题进行相应检测,以实现对电力厂站的网络安全的维护,上次电力厂站网络安全的维护方案实时性差。
发明内容
基于此,有必要针对传统的电力厂站网络安全的维护方案实时性差的技术问题,提供一种电力厂站的网络安全监测方法和装置、计算机设备、计算机存储介质。
一种电力厂站的网络安全监测方法,包括:
根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量;其中,网络行为特征向量记录网络行为的行为标识参数和时间参数;训练时段包括多个单位时段;
根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数;
分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间;
获取当前所处单位时段各个网络行为发生的当前参数,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。
在一个实施例中,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程包括:
检测网络行为的当前参数是否处于该网络行为的置信区间;
若是,则判定该网络行为正常;否则判定该网络行为异常。
在一个实施例中,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程之后,还包括:
若网络行为异常,在该网络行为的置信区间中识别距该网络行为的当前参数近的区间界限值;
计算当前参数与区间界限值之间差值的绝对值,根据绝对值识别该网络行为的异常程度。
作为一个实施例,计算当前次数与区间界限值之间差值的绝对值,根据绝对值识别该网络行为的异常程度的过程之后,还包括:
若绝对值大于或者等于偏移阈值,输出告警信号。
在一个实施例中,置信区间为在训练时段内的各个单位时段产生的行为参数大于设定频率的参数区间。
在一个实施例中,网络行为特征向量还记录网络行为的属性参数;
根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量的过程之后,还包括:
获取各个网络行为在训练时段内各个单位时段的属性参数和时间参数;
根据属性参数和时间参数确定各个网络行为在单位时段的行为流向范围;
获取当前所处单位时段各个网络行为的当前流向特征,分别根据任意一个网络行为的当前流向特征和该网络行为的行为流向范围监测该网络行为。
在一个实施例中,根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量的过程之前,还包括:
从电力厂站中采集训练时段内产生的网络流数据和主机日志数据。
一种电力厂站的网络安全监测装置,包括:
第一确定模块,用于根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量;其中,网络行为特征向量记录网络行为的行为标识参数和时间参数;训练时段包括多个单位时段;
第二确定模块,用于根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数;
第三确定模块,用于分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间;
第一获取模块,用于获取当前所处单位时段各个网络行为发生的当前参数,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。
一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一实施例提供的电力厂站的网络安全监测方法。
一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例提供的电力厂站的网络安全监测方法。
上述电力厂站的网络安全监测方法、装置、计算机设备和计算机存储介质,可以根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量,确定各个网络行为在训练时段内各个单位时段发生的行为参数,以分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间,从而根据当前所处单位时段各个网络行为发生的当前参数以及该网络行为的置信区间进行安全监测,这样便可以在电力厂站网络安全问题发生之前获取相应网络行为的异常信息,以及时采取相应的处理措施,提高电力厂站安全监测的效果。
附图说明
图1为一个实施例的电力厂站的网络安全监测方法流程图;
图2为一个实施例的电力厂站的网络安全监测装置结构示意图;
图3为一个实施例的计算机设备内部结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
需要说明的是,本发明实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换,以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
本发明实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
参考图1所示,图1为一个实施例的电力厂站的网络安全监测方法流程图,包括:
S10,根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量;其中,网络行为特征向量记录网络行为的行为标识参数和时间参数;训练时段包括多个单位时段;
上述电力厂站的网络流数据包括电力厂站各个网络设备的网络流数据,主机日志数据包括主机的网络、进程和运维操作等信息。网络行为包括登录、访问和连接等行为,每一次网络行为均可以通过相应的网络行为特征向量表征。上述网络行为特征向量可以记录相应网络行为的标识参数、时间参数和属性参数等信息。上述标识参数为表征相应网络行为身份类型的参数,各个网络行为分别具有一一对应的标识参数,一个标识参数可以唯一表征相应的网络行为。上述时间参数为表征相应网络行为发生时间的参数。上述属性参数为表征相应网络行为状态、源主机信息、目的主机信息等内容的参数,一个网络行为具有多个属性参数,一个网络行为的多个属性参数可以对网络行为的整个过程进行完整描述;例如,一次TCP连接l中可以包括n个属性(协议类型、目标主机的网络服务类型、连接正常或错误的状态,源/目的主机IP和端口、数据包数等),其中属性i由一个属性名称ki和对应的属性值vi构成,相应的网络行为特征向量中的属性参数可以包括:l={(k1,v1),(k2,v2),...(ki,vi),...(kn,vn)}。
上述训练时段可以依据置信区间的精度设置,比如可以设置为前一年,前10个月等时段。上述单位时段可以依据训练时段的特征设置,比如可以将半天设为一个单位时段,也可以将一小时设置为一个单位时段等等。
S20,根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数;
上述行为参数可以包括网络行为在单位时段的行为次数、行为频率以及该网络行为相邻两次行为之间的时间间隔等参数。
S30,分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间;
上述步骤可以对各个网络行为在训练时段内各个单位时段发生的行为参数进行学习训练,以获得网络行为在一个单位时段内的置信区间。一个网络行为在一个单位时段内可以包括多个行为参数,此时各个行为参数分别具有对应的置信区间。
S40,获取当前所处单位时段各个网络行为发生的当前参数,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。
上述当前参数指从当前所处单位时段的起始时刻至当前时刻,相应网络行为产生的次数、频率、相邻两次行为之间的时间间隔等参数。根据当前参数可以对电力厂站的网络进行实时监测,可以提高相应的检测效果。
本实施例提供的电力厂站的网络安全监测方法,可以根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量,确定各个网络行为在训练时段内各个单位时段发生的行为参数,以分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间,从而根据当前所处单位时段各个网络行为发生的当前参数以及该网络行为的置信区间进行安全监测,这样便可以在电力厂站网络安全问题发生之前获取相应网络行为的异常信息,以及时采取相应的处理措施,提高了电力厂站安全监测的效果。
在一个实施例中,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程包括:
检测网络行为的当前参数是否处于该网络行为的置信区间;
若是,则判定该网络行为正常;否则判定该网络行为异常。
某网络行为的置信区间为该网络行为在单位时段发生概率较高的区间,若网络行为的当前参数处于该网络行为的置信区间,表明该网络行为当前正常运行,若网络行为的当前参数不处于该网络行为的置信区间,表明该网络行为出现异常,若不采取相应措施,可能造成相应的网络安全问题。具体地,若网络行为在一个单位时段内包括多个行为参数,则需要检测上述行为参数是否处于该行为参数对应的置信区间。
本实施例可以在网络行为的当前参数不处于该网络行为的置信区间时,判定相应的网络行为异常,使进行网络安全监测的用户及时采取相应措施,可以避免后续网络安全问题的发生,可以提高电力厂站网络安全监测的效果。
在一个实施例中,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程之后,还包括:
若网络行为异常,在该网络行为的置信区间中识别距该网络行为的当前参数近的区间界限值;
计算当前参数与区间界限值之间差值的绝对值,根据绝对值识别该网络行为的异常程度。
上述当前参数指从当前所处单位时段的起始时刻至当前时刻,相应网络行为产生的次数、频率、相邻两次行为之间的时间间隔等参数。若某网络行为异常,该网络行为的当前参数大于相应置信区间的区间上限值,或者小于相应置信区间的区间下限值,此时可以在该网络行为的置信区间中识别距上述当前参数近的区间界限值(区间上限值或者区间下限值),计算当前参数与区间界限值之间差值的绝对值,得到当前参数对应的偏移值,若偏移值越小表明相应网络行为的正常概率越大,反之则正常概率越小,即为异常,因而根据绝对值,即偏移值的效果可以确定相应网络行为的异常程度(偏移值越小异常程度越小,偏移值越大异常程度越大)。
作为一个实施例,计算当前次数与区间界限值之间差值的绝对值,根据绝对值识别该网络行为的异常程度的过程之后,还包括:
若绝对值大于或者等于偏移阈值,输出告警信号。
上述偏移阈值可以依据具体网络行为的行为特征设置,若某网络行为当前参数与相应区间界限值之间差值的绝对值大于或者等于偏移阈值,表示该网络行为当前异常的概率极高或者异常程度大,需要及时进行相应处理,此时可以输出告警信号,使进行电力厂站网络安全监测的用户及时获知,以采取相应处理措施,避免网络安全事故的发生。
作为一个实施例,还可以以变电站内的主机行为及网络行为数据基础,大概率行为被鉴定为正常行为,小概率行为为异常行为的出发点,构建变电站内的主机与网络的行为基线。
在一个实施例中,置信区间为在训练时段内的各个单位时段产生的行为参数大于设定频率的参数区间。
上述设定频率可以设置为98%等值,上述行为参数可以包括行为次数、行为频率等参数。若上述行为参数为行为次数,设定频率为98%,则上述置信区间为次数区间;某网络行为在训练时段内各个单位时段均具有相应的行为次数,此时存在98%的行为次数位于上述次数区间。
在一个实施例中,网络行为特征向量还记录网络行为的属性参数;
根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量的过程之后,还包括:
获各个网络行为在训练时段内各个单位时段的属性参数和时间参数;
根据属性参数和时间参数确定各个网络行为在单位时段的行为流向范围;
获取当前所处单位时段各个网络行为的当前流向特征,分别根据任意一个网络行为的当前流向特征和该网络行为的行为流向范围监测该网络行为。
上述属性参数为表征相应网络行为状态、源主机信息、目的主机信息等内容的参数,根据网络行为在一各个单位时段产生的各个网络行为特征向量,具体根据上述网络行为特征向量中的属性参数和时间参数,可以确定该网络行为在该单位时段的行为流向特征,根据该网络行为在训练时段内各个单位时段的行为流向特征,可以确定该网络行为在单位时段的行为流向范围。上述行为流向范围可以表征相应网络行为可以从哪些网络设备(如主机或者节点)流向哪些网络设备。上述当前流向特征表征相应网络行为当前的路径特征(如从哪个网络设备流向哪个网络设备的特征)。若某网络行为的当前流向特征在该网络行为的行为流向范围之内,表明当前该网络行为正常,若某网络行为的当前流向特征在该网络行为的行为流向范围之外,表明当前该网络行为异常。
在一个实施例中,根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量的过程之前,还包括:
从电力厂站中采集训练时段内产生的网络流数据和主机日志数据。
本实施例可以在变电站内部采用流量镜像的方式,采用深度数据包检测技术将网络流数据进行全量存储,以保证所采集的网络流数据的完整性;还可以基于Agent方法采集主机日志数,实现对主机日志数据全纪录。
在一个实施例中,上述网络行为可以为TCP连接行为,此时可以获取如下内容:
TCP连接特征:TCP连接的基本属性,包括连续时间,协议类型,传送的字节数等;
TCP连接的内容特征:包括104规约协议内容特征;
基于时间的网络流量统计特征:统计当前连接与之前一段时间内的连接之间存在的联系,反映连接之间的关系;
基于主机的网络流量统计特征:基于主机分类统计当前连接之前若干个连接中与当前连接具有相同主机的统计信息特征;
基于主机行为的特征:主机进程的网络行为和主机操作行为包括源IP、源端口、目标IP、目标端口、协议、进程信息、进程与端口关联信息、bash命令操作信息等。
在获取上述内容后,可以从中提取TCP连接行为的属性参数和时间参数,构建其网络行为特征向量,以获取训练时段内该TCP连接行为的全部网络行为特征向量,对其进行训练学习,以获得如下表征TCP连接正常的模式:
网络流正常模式:包括字符概率分布、访问频率分布、时间间隔特征、行为频繁模式和行为有向概率图等;
主机行为正常模式:包括主机对外连接的频度及分布、访问主机的终端活跃度及分布、主机间通信密度及分布、主机访问资源分布以及操作命令的聚类等特征;
以大概率发生正常行为的学习算法参数为置信区间值(这里的大概率指98%以上的发生的行为概率),基于这个概率准则,计算TCP连接行为的置信区间值,以进行当前发送的TCP连接行为的监测。
本实施例可以解决传统网络安全监测的滞后性,通过更新病毒库、漏洞补丁库等措施解决电力生产正常运转存在不确定的影响性等安全问题。
参考图2,图2所示为一个实施例的电力厂站的网络安全监测装置结构示意图,包括:
第一确定模块10,用于根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量;其中,网络行为特征向量记录网络行为的行为标识参数和时间参数;训练时段包括多个单位时段;
第二确定模块20,用于根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数;
第三确定模块30,用于分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间;
获取模块40,用于获取当前所处单位时段各个网络行为发生的当前参数,根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。
在一个实施例中,获取模块进一步用于:
检测网络行为的当前参数是否处于该网络行为的置信区间;
若是,则判定该网络行为正常;否则判定该网络行为异常。
在一个实施例中,电力厂站的网络安全监测装置,还包括:
识别模块,用于若网络行为异常,在该网络行为的置信区间中识别距该网络行为的当前参数近的区间界限值;
计算模块,用于计算当前参数与区间界限值之间差值的绝对值,根据绝对值识别该网络行为的异常程度。
作为一个实施例,电力厂站的网络安全监测装置,还包括:
输出模块,用于若绝对值大于或者等于偏移阈值,输出告警信号。
在一个实施例中,置信区间为在训练时段内的各个单位时段产生的行为参数大于设定频率的参数区间。
在一个实施例中,网络行为特征向量还记录网络行为的属性参数;
电力厂站的网络安全监测装置,还包括:
第二获取模块,用于获取各个网络行为在训练时段内各个单位时段的属性参数和时间参数;
第四确定模块,用于根据属性参数和时间参数确定各个网络行为在单位时段的行为流向范围;
第三获取模块,用于获取当前所处单位时段各个网络行为的当前流向特征,分别根据任意一个网络行为的当前流向特征和该网络行为的行为流向范围监测该网络行为。
在一个实施例中,电力厂站的网络安全监测装置,还包括:
采集模块,用于从电力厂站中采集训练时段内产生的网络流数据和主机日志数据。
关于电力厂站的网络安全监测装置的具体限定可以参见上文中对于电力厂站的网络安全监测方法的限定,在此不再赘述。上述电力厂站的网络安全监测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络流数据、主机日志数据和网络行为特征向量。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种电力厂站的网络安全监测方法。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
基于如上所述的示例,在一个实施例中还提供一种计算机设备,该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现如上述各实施例中的任意一种电力厂站的网络安全监测方法。
上述计算机设备,通过所述处理器上运行的计算机程序,实现了电力厂站的网络安全监测效果的提升。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性的计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机系统的存储介质中,并被该计算机系统中的至少一个处理器执行,以实现包括如上述电力厂站的网络安全监测方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
据此,在一个实施例中还提供一种计算机存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如上述各实施例中的任意一种电力厂站的网络安全监测方法。
上述计算机存储介质,通过其存储的计算机程序,能够在电力厂站网络安全问题发生之前便得到相应的监测,提高了安全监测的效果。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种电力厂站的网络安全监测方法,其特征在于,包括如下步骤:
根据电力厂站的网络流数据和主机日志数据确定所述电力厂站在训练时段的各个网络行为特征向量;其中,所述网络行为特征向量记录网络行为的行为标识参数、时间参数和属性参数;所述训练时段包括多个单位时段;
获取各个网络行为在所述训练时段内各个单位时段的属性参数和时间参数;
根据所述属性参数和所述时间参数确定各个网络行为在所述单位时段的行为流向范围;
获取当前所处单位时段各个网络行为的当前流向特征,分别根据网络行为的当前流向特征和该网络行为的行为流向范围监测该网络行为;
根据所述行为标识参数和时间参数确定各个网络行为在所述训练时段内各个单位时段发生的行为参数;
分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间;
获取当前所处单位时段各个网络行为发生的当前参数,根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测。
2.根据权利要求1所述的电力厂站的网络安全监测方法,其特征在于,所述根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程包括:
检测所述网络行为的当前参数是否处于该网络行为的置信区间;
若是,则判定该网络行为正常;否则判定该网络行为异常。
3.根据权利要求1所述的电力厂站的网络安全监测方法,其特征在于,所述根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程之后,还包括:
若所述网络行为异常,在该网络行为的置信区间中识别距该网络行为的当前参数近的区间界限值;
计算所述当前参数与所述区间界限值之间差值的绝对值,根据所述绝对值识别该网络行为的异常程度。
4.根据权利要求3所述的电力厂站的网络安全监测方法,其特征在于,所述计算所述当前参数与所述区间界限值之间差值的绝对值,根据所述绝对值识别该网络行为的异常程度的过程之后,还包括:
若所述绝对值大于或者等于偏移阈值,输出告警信号。
5.根据权利要求1所述的电力厂站的网络安全监测方法,其特征在于,所述置信区间为在所述训练时段内的各个单位时段产生的行为参数大于设定频率的参数区间。
6.根据权利要求1至5任一项所述的电力厂站的网络安全监测方法,其特征在于,所述根据电力厂站的网络流数据和主机日志数据确定所述电力厂站在训练时段的各个网络行为特征向量的过程之前,还包括:
从所述电力厂站中采集所述训练时段内产生的网络流数据和主机日志数据。
7.一种电力厂站的网络安全监测装置,其特征在于,包括:
第一确定模块,用于根据电力厂站的网络流数据和主机日志数据确定所述电力厂站在训练时段的各个网络行为特征向量;其中,所述网络行为特征向量记录网络行为的行为标识参数、时间参数和属性参数;所述训练时段包括多个单位时段;
第二获取模块,获取各个网络行为在所述训练时段内各个单位时段的属性参数和时间参数;
第四确定模块,用于根据所述属性参数和所述时间参数确定各个网络行为在所述单位时段的行为流向范围;
第三获取模块,用于获取当前所处单位时段各个网络行为的当前流向特征,分别根据网络行为的当前流向特征和该网络行为的行为流向范围监测该网络行为;
第二确定模块,用于根据所述行为标识参数和时间参数确定各个网络行为在所述训练时段内各个单位时段发生的行为参数;
第三确定模块,用于分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间;
第一获取模块,用于获取当前所处单位时段各个网络行为发生的当前参数,根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任意一项所述的电力厂站的网络安全监测方法。
9.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6任意一项所述的电力厂站的网络安全监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910220929.8A CN109743339B (zh) | 2019-03-22 | 2019-03-22 | 电力厂站的网络安全监测方法和装置、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910220929.8A CN109743339B (zh) | 2019-03-22 | 2019-03-22 | 电力厂站的网络安全监测方法和装置、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109743339A CN109743339A (zh) | 2019-05-10 |
| CN109743339B true CN109743339B (zh) | 2020-06-02 |
Family
ID=66371117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910220929.8A Active CN109743339B (zh) | 2019-03-22 | 2019-03-22 | 电力厂站的网络安全监测方法和装置、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109743339B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259396A (zh) * | 2021-07-06 | 2021-08-13 | 北京安帝科技有限公司 | 一种S7comm协议的异常检测方法及装置 |
| CN114338205B (zh) * | 2021-12-31 | 2024-03-01 | 广州方硅信息技术有限公司 | 目标ip地址的获取方法、装置、电子设备及存储介质 |
| CN114726758B (zh) * | 2022-06-01 | 2022-11-04 | 山东云天安全技术有限公司 | 工业网络异常确定方法、装置、计算机设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN106411951A (zh) * | 2016-11-29 | 2017-02-15 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103077347B (zh) * | 2012-12-21 | 2015-11-04 | 中国电力科学研究院 | 一种基于改进核心向量机数据融合的复合式入侵检测方法 |
| US10540605B2 (en) * | 2013-02-05 | 2020-01-21 | Cisco Technology, Inc. | Traffic-based inference of influence domains in a network by using learning machines |
| CN104318138B (zh) * | 2014-09-30 | 2018-05-08 | 杭州同盾科技有限公司 | 一种验证用户身份的方法和装置 |
| US10063582B1 (en) * | 2017-05-31 | 2018-08-28 | Symantec Corporation | Securing compromised network devices in a network |
| CN108718303B (zh) * | 2018-05-09 | 2021-03-23 | 北京仁和诚信科技有限公司 | 安全运维管理方法及系统 |
-
2019
- 2019-03-22 CN CN201910220929.8A patent/CN109743339B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN106411951A (zh) * | 2016-11-29 | 2017-02-15 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109743339A (zh) | 2019-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kalech | Cyber-attack detection in SCADA systems using temporal pattern recognition techniques | |
| Kurt et al. | Online cyber-attack detection in smart grid: A reinforcement learning approach | |
| Eckhart et al. | A specification-based state replication approach for digital twins | |
| Caselli et al. | Sequence-aware intrusion detection in industrial control systems | |
| CN109743339B (zh) | 电力厂站的网络安全监测方法和装置、计算机设备 | |
| WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN111600880A (zh) | 异常访问行为的检测方法、系统、存储介质和终端 | |
| JP2021515498A (ja) | 完全性監視及びネットワーク侵入検出のための属性ベースのポリシー | |
| JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
| CN112688946B (zh) | 异常检测特征的构造方法、模块、存储介质、设备及系统 | |
| EP3623983A1 (en) | Method and device for identifying security threats, storage medium, processor and terminal | |
| CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
| KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
| CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
| Friedberg et al. | Evidential network modeling for cyber-physical system state inference | |
| Havlena et al. | Accurate Automata-Based Detection of Cyber Threats in Smart Grid Communication | |
| Schuster et al. | Attack and fault detection in process control communication using unsupervised machine learning | |
| CN108761250B (zh) | 一种基于工控设备电压电流的入侵检测方法 | |
| CN111935085A (zh) | 工业控制网络异常网络行为的检测防护方法和系统 | |
| CN111181969A (zh) | 一种基于自发流量的物联网设备识别方法 | |
| CN111935089B (zh) | 基于大数据和边缘计算的数据处理方法及人工智能服务器 | |
| CN112769815B (zh) | 一种智能工控安全监控与防护方法和系统 | |
| CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant after: CHINA SOUTHERN POWER GRID Co.,Ltd. Applicant after: Southern Power Grid Digital Grid Research Institute Co.,Ltd. Address before: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant before: CHINA SOUTHERN POWER GRID Co.,Ltd. Applicant before: DINGXIN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee after: CHINA SOUTHERN POWER GRID Co.,Ltd. Country or region after: China Patentee after: Southern Power Grid Digital Grid Research Institute Co.,Ltd. Address before: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee before: CHINA SOUTHERN POWER GRID Co.,Ltd. Country or region before: China Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240316 Address after: 518101, 3rd Floor, Building 40, Baotian Industrial Zone, Chentian Community, Xixiang Street, Bao'an District, Shenzhen City, Guangdong Province Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Country or region after: China Address before: 510000 No. 11 Kexiang Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee before: CHINA SOUTHERN POWER GRID Co.,Ltd. Country or region before: China Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |