CN110113336A - 一种用于变电站网络环境的网络流量异常分析与识别方法 - Google Patents

Abstract

本发明公开了一种用于变电站网络环境的网络流量异常分析与识别方法，包括以下步骤：通过流量监测装置旁路接入变电站站控层网络，在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置，流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析；将解析的协议头信息按一种方法进行处理；同时将解析后的网络流量数据按另一种方法进行处理；完成网络流量异常分析与识别。本发明通过两种方案分析和识别变电站现场环境中是否存在有无线热点并违规接入了互联网，对变电站现场环境的网络实现了有效监测，提高了网络安全。

Description

一种用于变电站网络环境的网络流量异常分析与识别方法

技术领域

本发明涉及一种网络流量分析与识别方法，尤其涉及一种用于变电站网络环境的网络流量异常分析与识别方法。

背景技术

随着信息化和工业化融合的不断深入，工业控制系统从单机走向互联，从封闭走向开放，从自动化走向智能化。在生产力显著提高的同时，工业控制系统面临着日益严峻的网络安全威胁。为了应对这些网络安全威胁，通常会将工业控制系统的实时生产控制区划分为独立的网络，进行物理隔离。然而，随着通信技术的发展，WIFI技术凭借自身的优势被广泛应用，在为人们带来广泛便利的同时，却带来了较大的安全隐患，尤其是在工业控制现场，无线热点的使用可以轻易突破隔离网络限制，将本应物理隔离的工业控制系统连接到互联网上，形成极大的安全隐患。

在一些较为特殊的工业控制现场，比如变电站工作现场，出于安全性保护要求，通常不允许有非法的无线热点接入。但是，如何监测在变电站现场环境中是否存在有无线热点并违规接入了互联网，目前还缺乏相应的解决方案。

发明内容

本发明的目的就在于为了解决上述问题而提供一种用于变电站网络环境的网络流量异常分析与识别方法。

本发明通过以下技术方案来实现上述目的：

一种用于变电站网络环境的网络流量异常分析与识别方法，包括以下步骤：

步骤一、通过流量监测装置旁路接入变电站站控层网络，在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置，流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析；

步骤二、将解析的协议头信息按下述步骤10-步骤14进行处理；同时将解析后的网络流量数据按下述步骤20-步骤25进行处理；完成网络流量异常分析与识别；

步骤10、将确定没有非法入侵的网络流量监测阶段定义为学习期；在学习期内，将解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表定义为白名单；

步骤11、对于学习期之后接收的网络流量数据，首先由工作人员将不在白名单中且可以确认为非法入侵网络流量数据的协议头信息定义为黑名单；

步骤12、对于定义黑名单之后接收的网络流量数据，判断解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表是否在白名单中，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是否在黑名单中，如果在，则判断为非法入侵网络流量数据并发出非法入侵报警，如果不在，则判断为可疑网络流量数据并发出可疑报警；

步骤13、由工作人员对可疑网络流量数据进行人为判断，如果判断为非法入侵网络流量数据，则将其纳入黑名单；如果判断为正常网络流量数据，则将其纳入白名单；

步骤14、对于新接收的网络流量数据，重复步骤12和步骤13；

步骤20、将解析后的网络流量数据按如下四种分类进行流量数据采样：第一种、单位时间内按源IP统计的流量数据，第二种、单位时间内按目的IP统计的流量数据，第三种、单位时间内按协议类型统计的流量数据，第四种、单位时间内按目的端口统计的流量数据；上述单位时间可以为三个月或其它合适的时间；

步骤21、确定一段时间为采样基线生成期，在该生成期内，针对四种流量数据，分别计算最小指标平均值LCL和最大指标平均值UCL；

步骤22、对于采样基线生成期之后接收的网络流量数据，用步骤20的方法按四种分类进行流量数据采样，分别判断四种采样流量数据是否在[LCL，UCL]范围内，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是正偏离还是负偏离；

步骤23、如果是正偏离，则由工作人员分析流量增加原因，如果是负偏离，则由工作人员分析流量减少原因，同时判断为可疑网络流量数据并发出可疑报警；

步骤24、由工作人员分析是否因为有害程序引起的异常，如果是，则将该网络流量数据纳入黑名单列表并发出非法入侵报警，以后新接收的网络流量数据如果与黑名单数据相同则直接发出非法入侵报警；如果不是，则将其视为无害数据且不作处理；

步骤25、对于新接收的网络流量数据，重复步骤22和步骤25。

作为优选，所述步骤21中，计算最小指标平均值LCL和最大指标平均值UCL的方法如下：

设一种采样流量数据的数量为k，各流量数据分别记录为x₁、x₂、x₃、…x_k，先计算指标平均值CL＝Σx_i/k，i＝1、2、3、…k；再计算样本移动极差MR_i＝∣x_i-x_i-1∣，i＝1、2、3、…k；再计算样本移动极差平均值MR＝ΣMR_i/(k-1)；最后计算最小指标平均值LCL＝CL-3×MR/d2，最大指标平均值UCL＝CL+3×MR/d2，d2为常数。

作为优选，所述d2为1.128。

本发明的有益效果在于：

本发明通过两种方案分析和识别变电站现场环境中是否存在有无线热点并违规接入了互联网，对变电站现场环境的网络实现了有效监测，提高了网络安全；具体来说，通过对接收到的网络流量数据的协议头信息进行分析和识别，能判别非法设备接入业务网络或潜伏的木马病毒运行引起的异常情况，通过对接收到的网络流量数据在单位时间内的数据分析和识别，能够进一步发现因网络中业务大量掉线、网络大面积停摆、因潜伏的木马、病毒等有害程序发作引起的网络流量波动而产生的流量异常现象。

具体实施方式

下面结合实施例对本发明作进一步说明：

实施例：

一种用于变电站网络环境的网络流量异常分析与识别方法，包括以下步骤：

步骤一、通过流量监测装置旁路接入变电站站控层网络，在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置，流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析；这里的流量监测装置为常规设备；

步骤二、将解析的协议头信息按下述步骤10-步骤14进行处理；同时将解析后的网络流量数据按下述步骤20-步骤25进行处理；完成网络流量异常分析与识别；

步骤10、将确定没有非法入侵的网络流量监测阶段定义为学习期；在学习期内，将解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表定义为白名单；

步骤11、对于学习期之后接收的网络流量数据，首先由工作人员将不在白名单中且可以确认为非法入侵网络流量数据的协议头信息定义为黑名单；

步骤12、对于定义黑名单之后接收的网络流量数据，判断解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表是否在白名单中，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是否在黑名单中，如果在，则判断为非法入侵网络流量数据并发出非法入侵报警，如果不在，则判断为可疑网络流量数据并发出可疑报警；

步骤13、由工作人员对可疑网络流量数据进行人为判断，如果判断为非法入侵网络流量数据，则将其纳入黑名单；如果判断为正常网络流量数据，则将其纳入白名单；

步骤14、对于新接收的网络流量数据，重复步骤12和步骤13；

步骤20、将解析后的网络流量数据按如下四种分类进行流量数据采样：第一种、单位时间内按源IP统计的流量数据，第二种、单位时间内按目的IP统计的流量数据，第三种、单位时间内按协议类型统计的流量数据，第四种、单位时间内按目的端口统计的流量数据；上述单位时间可以为三个月或其它合适的时间；

步骤21、确定一段时间为采样基线生成期，在该生成期内，针对四种流量数据，分别计算最小指标平均值LCL和最大指标平均值UCL；

本步骤中，计算最小指标平均值LCL和最大指标平均值UCL的方法如下：

设一种采样流量数据的数量为k，各流量数据分别记录为x₁、x₂、x₃、…

x_k，先计算指标平均值CL＝Σx_i/k，i＝1、2、3、…k；再计算样本移动极差MR_i＝∣x_i-x_i-1∣，i＝1、2、3、…k；再计算样本移动极差平均值MR＝ΣMR_i/(k-1)；最后计算最小指标平均值LCL＝CL-3×MR/d2，最大指标平均值UCL＝CL+3×MR/d2，d2为常数，取1.128；

步骤22、对于采样基线生成期之后接收的网络流量数据，用步骤20的方法按四种分类进行流量数据采样，分别判断四种采样流量数据是否在[LCL，UCL]范围内，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是正偏离还是负偏离；

步骤23、如果是正偏离，则由工作人员分析流量增加原因，如果是负偏离，则由工作人员分析流量减少原因，同时判断为可疑网络流量数据并发出可疑报警；

步骤24、由工作人员分析是否因为有害程序引起的异常，如果是，则将该网络流量数据纳入黑名单列表并发出非法入侵报警，以后新接收的网络流量数据如果与黑名单数据相同则直接发出非法入侵报警；如果不是，则将其视为无害数据且不作处理；

步骤25、对于新接收的网络流量数据，重复步骤22和步骤25。

上述实施例只是本发明的较佳实施例，并不是对本发明技术方案的限制，只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案，均应视为落入本发明专利的权利保护范围内。

Claims (3)

1.一种用于变电站网络环境的网络流量异常分析与识别方法，其特征在于：包括以下步骤：

步骤一、通过流量监测装置旁路接入变电站站控层网络，在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置，流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析；

步骤二、将解析的协议头信息按下述步骤10-步骤14进行处理；同时将解析后的网络流量数据按下述步骤20-步骤25进行处理；完成网络流量异常分析与识别；

步骤10、将确定没有非法入侵的网络流量监测阶段定义为学习期；在学习期内，将解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表定义为白名单；

步骤11、对于学习期之后接收的网络流量数据，首先由工作人员将不在白名单中且可以确认为非法入侵网络流量数据的协议头信息定义为黑名单；

步骤12、对于定义黑名单之后接收的网络流量数据，判断解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表是否在白名单中，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是否在黑名单中，如果在，则判断为非法入侵网络流量数据并发出非法入侵报警，如果不在，则判断为可疑网络流量数据并发出可疑报警；

步骤13、由工作人员对可疑网络流量数据进行人为判断，如果判断为非法入侵网络流量数据，则将其纳入黑名单；如果判断为正常网络流量数据，则将其纳入白名单；

步骤14、对于新接收的网络流量数据，重复步骤12和步骤13；

步骤20、将解析后的网络流量数据按如下四种分类进行流量数据采样：第一种、单位时间内按源IP统计的流量数据，第二种、单位时间内按目的IP统计的流量数据，第三种、单位时间内按协议类型统计的流量数据，第四种、单位时间内按目的端口统计的流量数据；

步骤21、确定一段时间为采样基线生成期，在该生成期内，针对四种流量数据，分别计算最小指标平均值LCL和最大指标平均值UCL；

步骤22、对于采样基线生成期之后接收的网络流量数据，用步骤20的方法按四种分类进行流量数据采样，分别判断四种采样流量数据是否在[LCL，UCL]范围内，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是正偏离还是负偏离；

步骤23、如果是正偏离，则由工作人员分析流量增加原因，如果是负偏离，则由工作人员分析流量减少原因，同时判断为可疑网络流量数据并发出可疑报警；

步骤24、由工作人员分析是否因为有害程序引起的异常，如果是，则将该网络流量数据纳入黑名单列表并发出非法入侵报警，以后新接收的网络流量数据如果与黑名单数据相同则直接发出非法入侵报警；如果不是，则将其视为无害数据且不作处理；

步骤25、对于新接收的网络流量数据，重复步骤22和步骤25。

2.根据权利要求1所述的用于变电站网络环境的网络流量异常分析与识别方法，其特征在于：所述步骤21中，计算最小指标平均值LCL和最大指标平均值UCL的方法如下：

设一种采样流量数据的数量为k，各流量数据分别记录为x₁、x₂、x₃、…x_k，先计算指标平均值CL＝Σx_i/k，i＝1、2、3、…k；再计算样本移动极差MR_i＝∣x_i-x_i-1∣，i＝1、2、3、…k；再计算样本移动极差平均值MR＝ΣMR_i/(k-1)；最后计算最小指标平均值LCL＝CL-3×MR/d2，最大指标平均值UCL＝CL+3×MR/d2，d2为常数。

3.根据权利要求2所述的用于变电站网络环境的网络流量异常分析与识别方法，其特征在于：所述d2为1.128。