CN110113336B - 一种用于变电站网络环境的网络流量异常分析与识别方法 - Google Patents

一种用于变电站网络环境的网络流量异常分析与识别方法 Download PDF

Info

Publication number
CN110113336B
CN110113336B CN201910371341.2A CN201910371341A CN110113336B CN 110113336 B CN110113336 B CN 110113336B CN 201910371341 A CN201910371341 A CN 201910371341A CN 110113336 B CN110113336 B CN 110113336B
Authority
CN
China
Prior art keywords
network
traffic data
network traffic
flow
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910371341.2A
Other languages
English (en)
Other versions
CN110113336A (zh
Inventor
王庭宇
龚海澎
蒋函
张小霖
谢东
付从海
李明明
谢和君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Yingdesaike Technology Co ltd
Original Assignee
Sichuan Yingdesaike Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Yingdesaike Technology Co ltd filed Critical Sichuan Yingdesaike Technology Co ltd
Priority to CN201910371341.2A priority Critical patent/CN110113336B/zh
Publication of CN110113336A publication Critical patent/CN110113336A/zh
Application granted granted Critical
Publication of CN110113336B publication Critical patent/CN110113336B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用于变电站网络环境的网络流量异常分析与识别方法,包括以下步骤:通过流量监测装置旁路接入变电站站控层网络,在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置,流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析;将解析的协议头信息按一种方法进行处理;同时将解析后的网络流量数据按另一种方法进行处理;完成网络流量异常分析与识别。本发明通过两种方案分析和识别变电站现场环境中是否存在有无线热点并违规接入了互联网,对变电站现场环境的网络实现了有效监测,提高了网络安全。

Description

一种用于变电站网络环境的网络流量异常分析与识别方法
技术领域
本发明涉及一种网络流量分析与识别方法,尤其涉及一种用于变电站网络环境的网络流量异常分析与识别方法。
背景技术
随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的网络安全威胁。为了应对这些网络安全威胁,通常会将工业控制系统的实时生产控制区划分为独立的网络,进行物理隔离。然而,随着通信技术的发展,WIFI技术凭借自身的优势被广泛应用,在为人们带来广泛便利的同时,却带来了较大的安全隐患,尤其是在工业控制现场,无线热点的使用可以轻易突破隔离网络限制,将本应物理隔离的工业控制系统连接到互联网上,形成极大的安全隐患。
在一些较为特殊的工业控制现场,比如变电站工作现场,出于安全性保护要求,通常不允许有非法的无线热点接入。但是,如何监测在变电站现场环境中是否存在有无线热点并违规接入了互联网,目前还缺乏相应的解决方案。
发明内容
本发明的目的就在于为了解决上述问题而提供一种用于变电站网络环境的网络流量异常分析与识别方法。
本发明通过以下技术方案来实现上述目的:
一种用于变电站网络环境的网络流量异常分析与识别方法,包括以下步骤:
步骤一、通过流量监测装置旁路接入变电站站控层网络,在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置,流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析;
步骤二、将解析的协议头信息按下述步骤10-步骤14进行处理;同时将解析后的网络流量数据按下述步骤20-步骤25进行处理;完成网络流量异常分析与识别;
步骤10、将确定没有非法入侵的网络流量监测阶段定义为学习期;在学习期内,将解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表定义为白名单;
步骤11、对于学习期之后接收的网络流量数据,首先由工作人员将不在白名单中且可以确认为非法入侵网络流量数据的协议头信息定义为黑名单;
步骤12、对于定义黑名单之后接收的网络流量数据,判断解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表是否在白名单中,如果在,则判断为正常网络流量数据,不报警;如果不在,则判断其是否在黑名单中,如果在,则判断为非法入侵网络流量数据并发出非法入侵报警,如果不在,则判断为可疑网络流量数据并发出可疑报警;
步骤13、由工作人员对可疑网络流量数据进行人为判断,如果判断为非法入侵网络流量数据,则将其纳入黑名单;如果判断为正常网络流量数据,则将其纳入白名单;
步骤14、对于新接收的网络流量数据,重复步骤12和步骤13;
步骤20、将解析后的网络流量数据按如下四种分类进行流量数据采样:第一种、单位时间内按源IP统计的流量数据,第二种、单位时间内按目的IP统计的流量数据,第三种、单位时间内按协议类型统计的流量数据,第四种、单位时间内按目的端口统计的流量数据;上述单位时间可以为三个月或其它合适的时间;
步骤21、确定一段时间为采样基线生成期,在该生成期内,针对四种流量数据,分别计算最小指标平均值LCL和最大指标平均值UCL;
步骤22、对于采样基线生成期之后接收的网络流量数据,用步骤20的方法按四种分类进行流量数据采样,分别判断四种采样流量数据是否在[LCL,UCL]范围内,如果在,则判断为正常网络流量数据,不报警;如果不在,则判断其是正偏离还是负偏离;
步骤23、如果是正偏离,则由工作人员分析流量增加原因,如果是负偏离,则由工作人员分析流量减少原因,同时判断为可疑网络流量数据并发出可疑报警;
步骤24、由工作人员分析是否因为有害程序引起的异常,如果是,则将该网络流量数据纳入黑名单列表并发出非法入侵报警,以后新接收的网络流量数据如果与黑名单数据相同则直接发出非法入侵报警;如果不是,则将其视为无害数据且不作处理;
步骤25、对于新接收的网络流量数据,重复步骤22-步骤24。
作为优选,所述步骤21中,计算最小指标平均值LCL和最大指标平均值UCL的方法如下:
设一种采样流量数据的数量为k,各流量数据分别记录为x1、x2、x3、…xk,先计算指标平均值CL=Σxi/k,i=1、2、3、…k;再计算样本移动极差MRi=∣xi-xi-1∣,i=1、2、3、…k;再计算样本移动极差平均值MR=ΣMRi/(k-1);最后计算最小指标平均值LCL=CL-3×MR/d2,最大指标平均值UCL=CL+3×MR/d2,d2为常数。
作为优选,所述d2为1.128。
本发明的有益效果在于:
本发明通过两种方案分析和识别变电站现场环境中是否存在有无线热点并违规接入了互联网,对变电站现场环境的网络实现了有效监测,提高了网络安全;具体来说,通过对接收到的网络流量数据的协议头信息进行分析和识别,能判别非法设备接入业务网络或潜伏的木马病毒运行引起的异常情况,通过对接收到的网络流量数据在单位时间内的数据分析和识别,能够进一步发现因网络中业务大量掉线、网络大面积停摆、因潜伏的木马、病毒等有害程序发作引起的网络流量波动而产生的流量异常现象。
具体实施方式
下面结合实施例对本发明作进一步说明:
实施例:
一种用于变电站网络环境的网络流量异常分析与识别方法,包括以下步骤:
步骤一、通过流量监测装置旁路接入变电站站控层网络,在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置,流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析;这里的流量监测装置为常规设备;
步骤二、将解析的协议头信息按下述步骤10-步骤14进行处理;同时将解析后的网络流量数据按下述步骤20-步骤25进行处理;完成网络流量异常分析与识别;
步骤10、将确定没有非法入侵的网络流量监测阶段定义为学习期;在学习期内,将解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表定义为白名单;
步骤11、对于学习期之后接收的网络流量数据,首先由工作人员将不在白名单中且可以确认为非法入侵网络流量数据的协议头信息定义为黑名单;
步骤12、对于定义黑名单之后接收的网络流量数据,判断解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表是否在白名单中,如果在,则判断为正常网络流量数据,不报警;如果不在,则判断其是否在黑名单中,如果在,则判断为非法入侵网络流量数据并发出非法入侵报警,如果不在,则判断为可疑网络流量数据并发出可疑报警;
步骤13、由工作人员对可疑网络流量数据进行人为判断,如果判断为非法入侵网络流量数据,则将其纳入黑名单;如果判断为正常网络流量数据,则将其纳入白名单;
步骤14、对于新接收的网络流量数据,重复步骤12和步骤13;
步骤20、将解析后的网络流量数据按如下四种分类进行流量数据采样:第一种、单位时间内按源IP统计的流量数据,第二种、单位时间内按目的IP统计的流量数据,第三种、单位时间内按协议类型统计的流量数据,第四种、单位时间内按目的端口统计的流量数据;上述单位时间可以为三个月或其它合适的时间;
步骤21、确定一段时间为采样基线生成期,在该生成期内,针对四种流量数据,分别计算最小指标平均值LCL和最大指标平均值UCL;
本步骤中,计算最小指标平均值LCL和最大指标平均值UCL的方法如下:
设一种采样流量数据的数量为k,各流量数据分别记录为x1、x2、x3、…
xk,先计算指标平均值CL=Σxi/k,i=1、2、3、…k;再计算样本移动极差MRi=∣xi-xi-1∣,i=1、2、3、…k;再计算样本移动极差平均值MR=ΣMRi/(k-1);最后计算最小指标平均值LCL=CL-3×MR/d2,最大指标平均值UCL=CL+3×MR/d2,d2为常数,取1.128;
步骤22、对于采样基线生成期之后接收的网络流量数据,用步骤20的方法按四种分类进行流量数据采样,分别判断四种采样流量数据是否在[LCL,UCL]范围内,如果在,则判断为正常网络流量数据,不报警;如果不在,则判断其是正偏离还是负偏离;
步骤23、如果是正偏离,则由工作人员分析流量增加原因,如果是负偏离,则由工作人员分析流量减少原因,同时判断为可疑网络流量数据并发出可疑报警;
步骤24、由工作人员分析是否因为有害程序引起的异常,如果是,则将该网络流量数据纳入黑名单列表并发出非法入侵报警,以后新接收的网络流量数据如果与黑名单数据相同则直接发出非法入侵报警;如果不是,则将其视为无害数据且不作处理;
步骤25、对于新接收的网络流量数据,重复步骤22-步骤24。
上述实施例只是本发明的较佳实施例,并不是对本发明技术方案的限制,只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案,均应视为落入本发明专利的权利保护范围内。

Claims (3)

1.一种用于变电站网络环境的网络流量异常分析与识别方法,其特征在于:包括以下步骤:
步骤一、通过流量监测装置旁路接入变电站站控层网络,在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置,流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析;
步骤二、将解析的协议头信息按下述步骤10-步骤14进行处理;同时将解析后的网络流量数据按下述步骤20-步骤25进行处理;完成网络流量异常分析与识别;
步骤10、将确定没有非法入侵的网络流量监测阶段定义为学习期;在学习期内,将解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表定义为白名单;
步骤11、对于学习期之后接收的网络流量数据,首先由工作人员将不在白名单中且可以确认为非法入侵网络流量数据的协议头信息定义为黑名单;
步骤12、对于定义黑名单之后接收的网络流量数据,判断解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表是否在白名单中,如果在,则判断为正常网络流量数据,不报警;如果不在,则判断其是否在黑名单中,如果在,则判断为非法入侵网络流量数据并发出非法入侵报警,如果不在,则判断为可疑网络流量数据并发出可疑报警;
步骤13、由工作人员对可疑网络流量数据进行人为判断,如果判断为非法入侵网络流量数据,则将其纳入黑名单;如果判断为正常网络流量数据,则将其纳入白名单;
步骤14、对于新接收的网络流量数据,重复步骤12和步骤13;
步骤20、将解析后的网络流量数据按如下四种分类进行流量数据采样:第一种、单位时间内按源IP统计的流量数据,第二种、单位时间内按目的IP统计的流量数据,第三种、单位时间内按协议类型统计的流量数据,第四种、单位时间内按目的端口统计的流量数据;
步骤21、确定一段时间为采样基线生成期,在该生成期内,针对四种流量数据,分别计算最小指标平均值LCL和最大指标平均值UCL;
步骤22、对于采样基线生成期之后接收的网络流量数据,用步骤20的方法按四种分类进行流量数据采样,分别判断四种采样流量数据是否在[LCL,UCL]范围内,如果在,则判断为正常网络流量数据,不报警;如果不在,则判断其是正偏离还是负偏离;
步骤23、如果是正偏离,则由工作人员分析流量增加原因,如果是负偏离,则由工作人员分析流量减少原因,同时判断为可疑网络流量数据并发出可疑报警;
步骤24、由工作人员分析是否因为有害程序引起的异常,如果是,则将该网络流量数据纳入黑名单列表并发出非法入侵报警,以后新接收的网络流量数据如果与黑名单数据相同则直接发出非法入侵报警;如果不是,则将其视为无害数据且不作处理;
步骤25、对于新接收的网络流量数据,重复步骤22-步骤24。
2.根据权利要求1所述的用于变电站网络环境的网络流量异常分析与识别方法,其特征在于:所述步骤21中,计算最小指标平均值LCL和最大指标平均值UCL的方法如下:
设一种采样流量数据的数量为k,各流量数据分别记录为x1、x2、x3、…xk,先计算指标平均值CL=Σxi/k,i=1、2、3、…k;再计算样本移动极差MRi=∣xi-xi-1∣,i=1、2、3、…k;再计算样本移动极差平均值MR=ΣMRi/(k-1);最后计算最小指标平均值LCL=CL-3×MR/d2,最大指标平均值UCL=CL+3×MR/d2,d2为常数。
3.根据权利要求2所述的用于变电站网络环境的网络流量异常分析与识别方法,其特征在于:所述d2为1.128。
CN201910371341.2A 2019-05-06 2019-05-06 一种用于变电站网络环境的网络流量异常分析与识别方法 Active CN110113336B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910371341.2A CN110113336B (zh) 2019-05-06 2019-05-06 一种用于变电站网络环境的网络流量异常分析与识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910371341.2A CN110113336B (zh) 2019-05-06 2019-05-06 一种用于变电站网络环境的网络流量异常分析与识别方法

Publications (2)

Publication Number Publication Date
CN110113336A CN110113336A (zh) 2019-08-09
CN110113336B true CN110113336B (zh) 2020-11-13

Family

ID=67488367

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910371341.2A Active CN110113336B (zh) 2019-05-06 2019-05-06 一种用于变电站网络环境的网络流量异常分析与识别方法

Country Status (1)

Country Link
CN (1) CN110113336B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110430225A (zh) * 2019-09-16 2019-11-08 杭州安恒信息技术股份有限公司 一种工业设备监管方法、装置、设备及可读存储介质
CN111031062B (zh) * 2019-12-24 2020-12-15 四川英得赛克科技有限公司 带自学习的工业控制系统全景感知监测方法、装置和系统
CN111614674B (zh) * 2020-05-21 2022-12-06 四川英得赛克科技有限公司 一种异常访问行为检测方法、系统、介质及其设备
CN111343211B (zh) * 2020-05-21 2020-10-16 四川英得赛克科技有限公司 基于网络流量的智能分析管控方法、系统、介质及设备
CN113285937B (zh) * 2021-05-17 2022-07-19 国网山东省电力公司电力科学研究院 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101631026A (zh) * 2008-07-18 2010-01-20 北京启明星辰信息技术股份有限公司 一种防御拒绝服务攻击的方法及装置
US20150304346A1 (en) * 2011-08-19 2015-10-22 Korea University Research And Business Foundation Apparatus and method for detecting anomaly of network
KR101375813B1 (ko) * 2012-09-13 2014-03-20 한국전력공사 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
CN105721494B (zh) * 2016-03-25 2019-04-19 中国互联网络信息中心 一种异常流量攻击检测处置的方法和装置
CN106302540A (zh) * 2016-10-14 2017-01-04 国网浙江省电力公司绍兴供电公司 基于变电站信息安全的通信网络安全检测系统及方法
CN107241224B (zh) * 2017-06-09 2020-11-03 珠海市鸿瑞信息技术股份有限公司 一种变电站的网络风险监测方法及系统
CN109561051A (zh) * 2017-09-26 2019-04-02 中兴通讯股份有限公司 内容分发网络安全检测方法及系统
CN109617754B (zh) * 2018-10-10 2020-10-30 国网浙江省电力有限公司检修分公司 一种实现智能变电站iec61850 通信报文可视化的方法

Also Published As

Publication number Publication date
CN110113336A (zh) 2019-08-09

Similar Documents

Publication Publication Date Title
CN110113336B (zh) 一种用于变电站网络环境的网络流量异常分析与识别方法
US10015188B2 (en) Method for mitigation of cyber attacks on industrial control systems
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
CN112306019A (zh) 一种基于协议深度分析的工控安全审计系统及其应用
WO2015024315A1 (zh) 核电站网络入侵报警方法和系统
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
CN110505206B (zh) 一种基于动态联防的互联网威胁监测防御方法
CN113037745A (zh) 一种基于安全态势感知的智能变电站风险预警系统及方法
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
CN111835680A (zh) 一种工业自动制造的安全防护系统
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和系统
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
CN110049015B (zh) 网络安全态势感知系统
CN111786986A (zh) 一种数控系统网络入侵防范系统及方法
CN112968869A (zh) 一种电力生产控制大区的信息安全监测系统
CN108418794B (zh) 一种智能变电站通信网络抵御arp攻击的方法及系统
Feng et al. Snort improvement on profinet RT for industrial control system intrusion detection
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
KR20170081543A (ko) 상황 정보 기반 이상징후 탐지 장치 및 방법
CN106161330A (zh) 一种应用于profinet工业以太网的安全隔离系统
CN116827674A (zh) 一种基于网络通信安全的防护方法
CN116668259A (zh) 用于检测网络中基础设施的异常的方法及设备
Kolosok et al. Cyber resilience of SCADA at the level of energy facilities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Room 1101, 11 / F, unit 2, building 1, No. 777, north section of Yizhou Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu 610041

Applicant after: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd.

Address before: 610000 No. 3, 1 building, 366 lakeside road, Tianfu New District, Chengdu, Sichuan, 1

Applicant before: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant