CN110572381A - 一种应用在电力安全保护装置中的智能学习系统及方法 - Google Patents

Abstract

本发明公开了一种应用在电力安全保护装置中的智能学习系统及方法，该智能学习系统应用于电力系统厂站侧的保护装置内，保护装置外挂在厂站的主交换机上，即部署在站控层，保护装置用于学习本区域内的设备及网络情况，包括局域网内的流量、协议、端口及IP连接关系等，通过智能分析有效的预防未知的网络攻击和网络病毒，及时发现来自局域网外的入侵者。

Description

一种应用在电力安全保护装置中的智能学习系统及方法

技术领域

本发明涉及一种应用在电力安全保护装置中的智能学习系统及方法，属于电力系统厂站网络安全保护技术领域。

背景技术

国家电网明确指出：在变电站、并网电厂电力监控系统的安全Ⅱ区（或Ⅰ区）部署网络安全监测装置，实现对网络安全事件的监视与管理。

现有的网络安全监测装置的数据采集手段包括：

（1）主机设备由操作系统直接报给安全监测装置或通过部署 Agent 的方式进行采集；主机设备采集信息包括操作系统层面所有的用户登录、操作信息、外设设备（键盘、鼠标以及所有移动存储设备）接入信息及网络外联等安全事件信息；

（2）网络设备可通过Snmp和Snmp Trap 协议方式进行采集，包括交换机相关的配置变更、流量信息、网口状态等安全事件信息；

（3）安防设备可通过 Syslog 方式提供，包括横向隔离装置的运行状态、安全事件及配置变更等信息，防火墙采集信息包括厂站防火墙的运行状态、安全事件、策略变更及设备异常等信息。

由此可知目前网络安全采集技术中所使用的均为被动的数据采集技术即包捕获机制的方法，虽然较为成熟，但存在的问题也较为突出，包括：

（1）现有技术多采用在每台被监控设备上部署运行采集程序的方式来进行数据采集，这种方式无疑加重了被监控设备的运行负担；

（2）由于被监控设备数量庞大，加重了部署实施的人工成本，且以后软件的升级维护很不方便；

（3）目前多数保护装置均采用模式匹配算法与采集程序进行匹配，现有采集程序与保护装置并不是同一厂家生产，虽有统一规范进行约束但事实上总存在采集程序上报数据与保护装置不匹配现象，需要大量时间进行联调测试，造成很多不便；

（4）现有的保护装置通过被监控设备自身感知并将数据上报的手段来检测攻击，但该方法并不适合流量异常发现，而且误报率高。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种应用在电力安全保护装置中的智能学习系统及方法，采用大数据分析技术，监控并识别网络的流量异常。

为达到上述目的，本发明采用的技术方案如下：

一种应用在电力安全保护装置中的智能学习系统，配置于电力系统厂站侧的保护装置内，包括：智能分析主程序模块，端口学习模块，协议学习模块，连接关系学习模块，流量镜像模块和资产嗅探模块；

所述流量镜像模块用于从保护装置所在的主交换机上镜像整个局域网内的流量数据到保护装置中，并将源IP、目的IP、源端口、目的端口及通信协议存储到数据集；

所述资产嗅探模块用于在局域网内以主动嗅探的方式对局域网内的设备进行探测，并将探测到的IP存储到数据集；

所述端口学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有端口状态；

所述协议学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有通信协议；

所述连接关系学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有IP连接关系；

所述智能分析主程序模块用于对端口学习模块，协议学习模块和连接关系学习模块的学习结果整合成样本数据，并送入装置学习库；

所述保护装置从装置学习库中提取样本数据，根据样本数据分布特征和正常时的分布特征进行比较，判断局域网内网络是否发生了异常。

进一步的，所述端口学习模块通过python的pandas大数据分析工具从数据集中提取源端口与目的端口存储在数据字典中，并筛选出最活跃的源端口与目的端口。

进一步的，所述协议学习模块通过python的pandas大数据分析工具从数据集中提取通信协议名称存储在数据字典中，并统计所有出现过的通信协议及出现最多的通信协议。

进一步的，所述连接关系学习模块通过python的pandas大数据分析工具从数据集中提取IP连接关系存储在数据字典中。

进一步的，所述智能学习系统由保护装置内的守护进程启动，启动后每隔10秒钟检查一次保护装置的状态，如果保护装置处于学习态，则智能学习系统启动并记忆当前网络状态。

进一步的，所述保护装置的状态分为学习态和保护态，通过数据库中的标志位来标识保护装置的状态，智能学习系统定期轮询这个标志位。

一种应用在电力安全保护装置中的智能学习方法，包括：

智能学习系统收集局域网内的原始数据；

对所获取的原始数据进行学习，并将学习结果存储在记忆数据集中；

对所述学习结果进行智能分析，判断局域网内网络状态。

进一步的，所述智能学习系统收集局域网内的原始数据，包括：

通过流量镜像模块从保护装置所在的主交换机上镜像整个局域网内的流量数据到保护装置中，并将源IP、目的IP、源端口、目的端口及通信协议存储到数据集；

通过资产嗅探模块在局域网内以主动嗅探的方式对局域网内的设备进行探测，获取未知IP及其连接关系，并将探测到的IP存储到数据集。

进一步的，所述对所获取的原始数据进行学习，并将学习结果存储在记忆数据集中，包括：

通过python的pandas大数据分析工具从数据集中提取源端口与目的端口存储在数据字典中，并筛选出最活跃的源端口与目的端口；

通过python的pandas大数据分析工具从数据集中提取通信协议名称存储在数据字典中，并统计出局域网内所有出现过的通信协议及出现最多的通信协议；

通过python的pandas大数据分析工具从数据集中提取IP连接关系存储在数据字典中。

进一步的，所述对所述学习结果进行智能分析，判断局域网内网络状态，包括：

将所述学习结果整合成样本数据，并送入装置学习库；

从装置学习库中提取样本数据，根据样本数据分布特征和正常时的特征进行比较，判断局域网内网络流量状况是否发生了变化。

本发明所达到的有益效果：

（1）本发明的数据收集过程采用嗅探技术及网络流量镜像技术相结合的办法，代替原有老旧的被监控设备主动采集上报的方法，有效的减轻了监控设备的运行负担，大大节约了安装部署时的人工成本，节省了与设备厂商联调环节；

（2）本发明的数据学习过程采用大数据分析技术，代替原有的模式匹配算法或者快速模式匹配算法，监控过程中最花费时间的部分就是对特征字符串的匹配，新的算法绕开对特征字符串的匹配从而提升了程序效率；

（3）本发明的智能流量分析过程既能识别网络的流量异常同时能定位流量异常行为的设备。

附图说明

图1为本发明的智能学习系统功能结构图；

图2为本发明的智能学习方法流程图。

具体实施方式

下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明提供一种应用在电力安全保护装置中的智能学习系统，应用于电力系统厂站侧的保护装置内，保护装置外挂在厂站的主交换机上，即部署在站控层。保护装置用于学习本区域内的设备及网络情况（包括局域网内的流量、协议、端口及IP连接关系等），通过智能分析有效的预防未知的网络攻击和网络病毒，及时发现来自局域网外的入侵者。

本发明的智能学习系统由保护装置内的守护进程启动，启动后每隔10秒钟检查一次保护装置的状态，如果保护装置处于学习态则开始智能分析数据并记忆当前网络状态，为保护装置提供网络健康时的状态以便当网络状态发生异常改变时保护装置能快速的作出反应。保护装置的状态分为学习态和保护态，通过数据库中的标志位来标识保护装置的状态，智能学习系统定期轮询这个标志位。

参见图1，本发明的智能学习系统包括智能分析主程序模块，端口学习模块，协议学习模块，连接关系学习模块，流量镜像模块和资产嗅探模块。

流量镜像模块用于从保护装置所在的主交换机上镜像整个局域网内的流量数据到保护装置中，并将源IP、目的IP、源端口、目的端口及通信协议存储到数据集。

资产嗅探模块用于在局域网内以主动嗅探的方式对局域网内的设备进行探测，从而达到发现未知IP及整理其连接关系的目的，并将探测到的IP存储到数据集。

端口学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有端口状态。具体为：通过python的pandas大数据分析工具从数据集中提取源端口与目的端口有效的状态值存储在数据字典中，然后通过分析权重、去掉单次端口等手段计算出最活跃的端口。端口学习模块默认为局域网内的常驻端口及正常打开的端口。

端口学习模块学习的过程即为从泛数据中提取有利用价值数据的过程。学习的结果为该模块掌握了局域网内端口的状态即经常出现源端口和目的端口。

源端口与目的端口有效的状态值为局域网内在学习时间段内出现的所有源端口和目的端口。

协议学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有协议信息。具体为：通过python的pandas大数据分析工具从数据集中提取通信协议名称有效的状态值存储在数据字典中，然后通过权重对比等手段计算出局域网内所有出现过的通信协议及最常见的通信协议。协议学习模块默认为局域网内的常见前20种通信协议为常规动作。

协议学习模块学习的过程即为从泛数据中提取有利用价值数据的过程。学习的结果为该模块掌握了局域网内通信协议的状态即经常出现的通信协议。

通信协议名称有效的状态值是指局域网内在学习时间段内出现过的所有通信协议的名称。

连接关系学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有IP连接关系。具体为：通过python的pandas大数据分析工具从数据集中提取连接关系存储在数据字典中，进行学习记忆。

连接关系学习模块学习的过程即为从泛数据中提取有利用价值数据的过程。学习的结果为该模块掌握了局域网内经常出现的连接关系。

智能分析主程序模块用于完成对端口学习模块，协议学习模块和连接关系学习模块的学习结果的分析判断，并针对不同学习模块的学习结果进行不同的数据处理，将处理后的数据（包括局域网内经常出现的源端口、目的端口、通信协议名称及IP连接关系）送入装置学习库，供保护装置使用，保护装置从学习库中提取样本数据，根据样本数据分布特征和正常时的分布特征进行比较，判断局域网内网络是否发生了异常。

对不同学习模块的学习结果进行数据处理包括：

对于端口学习模块，已出现的端口号，统计数据集中的src_port源端口和dst_port目的端口。其中dst_port目的端口可近似认为是服务端进程端口，同理src_port源端口可近似认为是客户端进程所使用的随机端口。本发明主要需统计的是服务端口，所以dst_port为统计重点。但因为src_port和dst_port分别是近似的认为是客户端、服务端端口，所以两种端口均需在统计范围内，只是dst_port的权重要大些。此外还可根据端口的出现次数和端口号所在范围，出现次数少，且端口号数值较大的，可认为是客户端的随机端口。当认定一个端口为随机端口时，需在原始数据中找到该条记录，且对端端口需为服务端口。

对于协议学习模块，数据处理过程为：每个协议名称对应一个唯一的协议ID，统计数据字典中的ID，该字段保存着各协议对应的id号，并去掉重复，最终得到所有已出现的协议类型送入装置学习库。

对于连接关系学习模块，数据处理过程为：统计数据字典中src_ip和dst_ip项，src_ip为源IP即连接的发起者，dst_ip为目的IP即连接的接收者，统计每个ip所曾连接过的各个ip。此处暂不区分源和目的ip地址。保存时需要关联sniffer_statistics_link_pairs和sniffer_host两个表，在sniffer_statistics_link_pairs使用host_id来索引对应主机所访问的ip。最终得到所有ip连接关系送入装置学习库。

以上所有统计都需去掉重复项，并保证记录的完整性。

本发明还提供一种应用在电力安全保护装置中的智能学习方法，包括：

收集局域网内的原始数据；

对所获取的原始数据进行学习，并将学习结果存储在记忆数据集中；

对所述学习结果进行智能分析，判断局域网内网络状态。

上述步骤中，通过流量镜像模块和资产嗅探模块收集局域网内的原始数据。其中，流量镜像模块从保护装置所在的主交换机上镜像整个局域网内的流量数据到保护装置中，并将源IP、目的IP、源端口、目的端口及通信协议存储到数据集。资产嗅探模块在局域网内以主动嗅探的方式对局域网内的设备进行探测，获取未知IP及其连接关系，并将探测到的IP存储到数据集。

上述步骤中，对所获取的原始数据进行学习包括对端口状态进行学习，对协议信息进行学习以及对IP连接关系进行学习。其中，对端口状态进行学习通过端口学习模块实现，端口学习模块通过python的pandas大数据分析工具从数据集中提取源端口与目的端口等有效的状态值存储在数据字典中，然后通过分析权重、去掉单次端口等手段计算出最活跃的端口；对协议信息进行学习通过协议学习模块实现，协议学习模块通过python的pandas大数据分析工具从数据集中提取通信协议名称等有效的状态值存储在数据字典中，然后通过权重对比等手段计算出局域网内所有出现过的通信协议及最常见的通信协议；对IP连接关系进行学习通过连接关系学习模块实现，连接关系学习模块通过python的pandas大数据分析工具从数据集中提取IP连接关系存储在数据字典中。

上述步骤中，对所述学习结果进行智能分析，判断局域网内网络状态，包括：对各个模块的学习结果进行分析判断，并针对不同的学习结果实现不同的数据处理，将处理后的数据送入装置学习库；保护装置从学习库中提取样本数据，根据样本数据分布特征和正常时的特征进行比较，判断局域网内网络流量状况是否发生了变化。

本发明中常用的网络协议主要有SMTP、FTP、ICMP等，例如：正常流量取值范围为0.5，现连续监测流量取值超过1，符合某病毒出现初期时的网络流量特征，即发生了流量异常，但该方法不能确定攻击的类型及源头；因此需要通过筛选出不同IP地址流量数，依据统计分析方法和流量较大的IP，从而确定存在流量异常行为的设备。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种应用在电力安全保护装置中的智能学习系统，配置于电力系统厂站侧的保护装置内，其特征在于，包括：智能分析主程序模块，端口学习模块，协议学习模块，连接关系学习模块，流量镜像模块和资产嗅探模块；

所述流量镜像模块用于从保护装置所在的主交换机上镜像整个局域网内的流量数据到保护装置中，并将源IP、目的IP、源端口、目的端口及通信协议存储到数据集；

所述资产嗅探模块用于在局域网内以主动嗅探的方式对局域网内的设备进行探测，并将探测到的IP存储到数据集；

所述端口学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有端口状态；

所述协议学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有通信协议；

所述连接关系学习模块用于通过大数据分析手段从数据集中提取整个局域网中的所有IP连接关系；

所述智能分析主程序模块用于对端口学习模块，协议学习模块和连接关系学习模块的学习结果整合成样本数据，并送入装置学习库；

所述保护装置从装置学习库中提取样本数据，根据样本数据分布特征和正常时的分布特征进行比较，判断局域网内网络是否发生了异常。

2.根据权利要求1所述的一种应用在电力安全保护装置中的智能学习系统，其特征在于，所述端口学习模块通过python的pandas大数据分析工具从数据集中提取源端口与目的端口存储在数据字典中，并筛选出最活跃的源端口与目的端口。

3.根据权利要求1所述的一种应用在电力安全保护装置中的智能学习系统，其特征在于，所述协议学习模块通过python的pandas大数据分析工具从数据集中提取通信协议名称存储在数据字典中，并统计所有出现过的通信协议及出现最多的通信协议。

4.根据权利要求1所述的一种应用在电力安全保护装置中的智能学习系统，其特征在于，所述连接关系学习模块通过python的pandas大数据分析工具从数据集中提取IP连接关系存储在数据字典中。

5.根据权利要求1所述的一种应用在电力安全保护装置中的智能学习系统，其特征在于，所述智能学习系统由保护装置内的守护进程启动，启动后每隔10秒钟检查一次保护装置的状态，如果保护装置处于学习态，则智能学习系统启动并记忆当前网络状态。

6.根据权利要求1所述的一种应用在电力安全保护装置中的智能学习系统，其特征在于，所述保护装置的状态分为学习态和保护态，通过数据库中的标志位来标识保护装置的状态，智能学习系统定期轮询这个标志位。

7.一种应用在电力安全保护装置中的智能学习方法，其特征在于，包括：

智能学习系统收集局域网内的原始数据；

对所获取的原始数据进行学习，并将学习结果存储在记忆数据集中；

对所述学习结果进行智能分析，判断局域网内网络状态。

8.根据权利要求7所述的一种应用在电力安全保护装置中的智能学习方法，其特征在于，所述智能学习系统收集局域网内的原始数据，包括：

通过流量镜像模块从保护装置所在的主交换机上镜像整个局域网内的流量数据到保护装置中，并将源IP、目的IP、源端口、目的端口及通信协议存储到数据集；

通过资产嗅探模块在局域网内以主动嗅探的方式对局域网内的设备进行探测，获取未知IP及其连接关系，并将探测到的IP存储到数据集。

9.根据权利要求7所述的一种应用在电力安全保护装置中的智能学习方法，其特征在于，所述对所获取的原始数据进行学习，并将学习结果存储在记忆数据集中，包括：

通过python的pandas大数据分析工具从数据集中提取源端口与目的端口存储在数据字典中，并筛选出最活跃的源端口与目的端口；

通过python的pandas大数据分析工具从数据集中提取通信协议名称存储在数据字典中，并统计出局域网内所有出现过的通信协议及出现最多的通信协议；

通过python的pandas大数据分析工具从数据集中提取IP连接关系存储在数据字典中。

10.根据权利要求7所述的一种应用在电力安全保护装置中的智能学习方法，其特征在于，所述对所述学习结果进行智能分析，判断局域网内网络状态，包括：

将所述学习结果整合成样本数据，并送入装置学习库；

从装置学习库中提取样本数据，根据样本数据分布特征和正常时的特征进行比较，判断局域网内网络流量状况是否发生了变化。