CN110839045B - 一种电力监控系统异常流量检测方法 - Google Patents

一种电力监控系统异常流量检测方法 Download PDF

Info

Publication number
CN110839045B
CN110839045B CN201911190122.0A CN201911190122A CN110839045B CN 110839045 B CN110839045 B CN 110839045B CN 201911190122 A CN201911190122 A CN 201911190122A CN 110839045 B CN110839045 B CN 110839045B
Authority
CN
China
Prior art keywords
flow
information
data
data traffic
traffic information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911190122.0A
Other languages
English (en)
Other versions
CN110839045A (zh
Inventor
李孟阳
杨家全
唐立军
冯勇
孙暄
李响
李踔
王禹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Yunnan Power Grid Co Ltd
Original Assignee
Electric Power Research Institute of Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of Yunnan Power Grid Co Ltd filed Critical Electric Power Research Institute of Yunnan Power Grid Co Ltd
Priority to CN201911190122.0A priority Critical patent/CN110839045B/zh
Publication of CN110839045A publication Critical patent/CN110839045A/zh
Application granted granted Critical
Publication of CN110839045B publication Critical patent/CN110839045B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种电力监控系统异常流量检测方法,捕获真实数据流量、分类,并对捕获的真实数据流量信息进行拆分,根据需要修报文信息,以指定速度将修改后的数据流量回放到网络中,结合网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况,分类对比数据库中正常状态下的数据流量信息建立正常属性列表,进行异常检测的方法,实现对业务系统面临的安全风险如网络攻击、系统漏洞等可以起到预防作用,从而保证了系统的安全性,同时可以避免出现安全问题,采用分析和检测的方法,避免一旦数据被非法访问甚至泄漏导致的损失。

Description

一种电力监控系统异常流量检测方法
技术领域
本发明涉及电力监控通信技术领域,尤其涉及一种电力监控系统异常流量检测方法。
背景技术
随着计算机技术、互联网技术在电力行业的发展应用,电力系统网络中出现延迟、掉包、乱序等异常流量或DDOS等入侵异常流量,导致大数据在为业务带来巨大价值的同时,也带来了潜在的安全风险。
目前,对于异常流量的监控通过检测已产生的异常的目标IP,然后向清洗设备宣告异常,清洗设备对异常进行特定的清洗策略简单的过滤清洗,这种方法的需要检测设备对大量的目标进行统计检测,还需要照出目标IP,其准确率不高且清洗设备的测量过于简单,
电网中新能源接入、移动互联网的非法互联、各种系统软件漏洞,为智能电网的安全带来新的挑战,其安全防护不到位、大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显,可能构成攻击电网内部的跳板,给全网安全带来隐患。一方面,传统业务系统面临的安全风险如网络攻击、系统漏洞等依然存在;另一方面,一旦数据被非法访问甚至泄漏损失非常巨大,智能电网安全需要保证的是全网行为安全性。
发明内容
本发明提供了一种电力监控系统异常流量检测方法,通过快捷准确的分析通信报文来进行异常流量的检测,避免出现系统漏洞及网络安全问题;以及保护数据,防止数据被非法访问甚至泄漏。
为了达到上述目的,本发明实施例采用以下技术方案:
提供一种电力监控系统异常流量检测方法,包括
步骤1:流量采集,所述流量采集包括:
捕获报文,根据报文类型进行数量统计,存储于数据库中,累计存储为第一数据流量信息,所述第一数据流量信息为一段时间的真实数据流量信息;,
通过pcap包的重放工具集,将捕获的所述第一数据流量信息进行拆分,并根据需要修报文信息,以指定速度将第二数据流量信息回放到网络中,所述第二数据流量信息为修改后的数据流量;
通过抓包网络工具,捕获第三数据流量信息中网络异常流量以及入侵异常流量,所述第三数据流量信息为第一数据流量信息和第二数据流量信息的合集;
步骤2:流量检测,所述流量检测包括:
对第三数据流量信息进行分类;
查看网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况;
在数据库中录入第四数据流量信息,并将所述第四数据流量信息分类后存储到数据库中,建立正常属性列表,所述第四数据流量信息为正常状态下的数据流量信息;
将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比,进行异常检测。
可选的,所述流量采集中数据库中存储的第一数据流量信息包含存储流量特征,包括:主站、场站的通信流量;生产控制区与管理信息区的数据流量。
可选的,所述pcap包的重放工具集主要包括:Tcpprep工具、Tcprewrite工具、Tcpreplay工具。
可选的,所述Tcpprep工具具体为:将第一数据流量信息拆分为客户端和服务端,默认客户端,并存放为缓存文件。
可选的,Tcprewrite工具具体为:重写第一数据流量信息的TCP/IP层和数据链路层的头信息。
可选的,Tcpreplay工具具体为:以可控的速度将第二数据流量信息回放到网络中。
可选的,所述网络异常流量以及入侵异常流量,至少包括:延迟、掉包、节流、重发、乱序、篡改、典型网络攻击、DDOS和扫描。
可选的,将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比,采用分类比较的方法。
本发明实施例提供了一种电力监控系统异常流量检测方法,达到的有益效果为:对业务系统面临的安全风险如网络攻击、系统漏洞等可以起到预防作用,从而保证了系统的安全性,同时可以避免出现安全问题;针对大数据的数据集中、数据量大、数据价值大等新特点,采用分析和检测的方法,避免一旦数据被非法访问甚至泄漏导致的损失。保证智能电网安全的全网行为安全性。即使随着配网等业务的增长,也可以满足电力安全新的需求,遵从电力行业全局的角度指导、方便推进网络安全工作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种电力监控系统异常流量检测方法的流程图;
图2为本发明实施例二提供的一种电力监控系统异常流量检测方法的实施示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。下面结合附图对本发明做进一步详细描述。
实施例一
本发明实施例提供一种电力监控系统异常流量检测方法,用于电力监控系统通信技术领域,尤其涉及一种电力监控系统异常流量检测方法,参照图1所示,所述电力监控系统异常流量检测方法包括如下步骤:
步骤1:流量采集,所述流量采集包括:
101、捕获报文,根据报文类型进行数量统计,存储于数据库中,累计存储为第一数据流量信息,所述第一数据流量信息为一段时间的真实数据流量信息;
具体地,所述流量采集中数据库中存储的第一数据流量信息包含存储流量特征,包括:主站、场站的通信流量;生产控制区与管理信息区的数据流量。
102、通过pcap包的重放工具集,将捕获的所述第一数据流量信息进行拆分,并根据需要修报文信息,以指定速度将第二数据流量信息回放到网络中,所述第二数据流量信息为修改后的数据流量;
具体地,所述pcap包的重放工具集主要包括:Tcpprep工具、Tcprewrite工具、Tcpreplay工具;
所述Tcpprep工具具体为将第一数据流量信息拆分为客户端和服务端,默认客户端,并存放为缓存文件;Tcprewrite工具具体为重写第一数据流量信息的TCP/IP层和数据链路层的头信息;Tcpreplay工具具体为以可控的速度将第二数据流量信息回放到网络中。
103、通过抓包网络工具,捕获第三数据流量信息中网络异常流量以及入侵异常流量,所述第三数据流量信息为第一数据流量信息和第二数据流量信息的合集;所述网络异常流量以及入侵异常流量具体的至少包括:延迟(Lag)、掉包(Drop)、节流(Throttle)、重发(Duplicate)、乱序(Out of order)、篡改(Tamper)、典型网络攻击、DDOS和扫描。
步骤2:流量检测,所述流量检测包括:
201、对第三数据流量信息进行分类;
202、查看网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况;
203、在数据库中录入第四数据流量信息,并将所述第四数据流量信息分类后存储到数据库中,建立正常属性列表,所述第四数据流量信息为正常状态下的数据流量信息;
204、将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比,进行异常检测。
具体地,采用分类比较的方法。
本发明实施例提供了一种电力监控系统异常流量检测方法,捕获真实数据流量、分类,并对捕获的真实数据流量信息进行拆分,根据需要修报文信息,以指定速度将修改后的真实数据流量回放到网络中,结合网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况,分类对比数据库中正常状态下的数据流量信息建立正常属性列表,进行异常检测的方法,实现对业务系统面临的安全风险如网络攻击、系统漏洞等可以起到预防作用,从而保证了系统的安全性,同时可以避免出现安全问题;针对大数据的数据集中、数据量大、数据价值大等新特点,采用分析和检测的方法,避免一旦数据被非法访问甚至泄漏导致的损失。保证智能电网安全的全网行为安全性。即使随着配网等业务的增长,也可以满足电力安全新的需求,遵从电力行业全局的角度指导、方便推进网络安全工作。
实施例二
本发明实施例提供一种电力监控系统异常流量检测方法,用于电力监控系统通信技术领域,尤其涉及一种电力监控系统异常流量检测方法,参照图1所示,所述电力监控系统异常流量检测方法包括如下步骤:
101、捕获报文,根据报文类型进行数量统计,存储于数据库中,累计存储为第一数据流量信息,所述第一数据流量信息为一段时间的真实数据流量信息;
具体地,所述流量采集中数据库中存储的第一数据流量信息包含存储流量特征,包括:主站、场站的通信流量;生产控制区与管理信息区的数据流量。
102、通过pcap包的重放工具集,将捕获的所述第一数据流量信息进行拆分,并根据需要修报文信息,以指定速度将第二数据流量信息回放到网络中,所述第二数据流量信息为修改后的数据流量;
具体地,所述pcap包的重放工具集主要包括:Tcpprep工具、Tcprewrite工具、Tcpreplay工具;
所述Tcpprep工具具体为将第一数据流量信息拆分为客户端和服务端,默认客户端,并存放为缓存文件;Tcprewrite工具具体为重写第一数据流量信息的TCP/IP层和数据链路层的头信息;Tcpreplay工具具体为以可控的速度将第二数据流量信息回放到网络中。
结合图2所示,具体示例图下:
所述Tcpprep工具具体为将第一数据流量信息拆分为客户端和服务端,默认客户端,并存放为缓存文件:
tcpprep-a client-i/root/test.pcap-o test.cache
Tcprewrite工具具体为重写第一数据流量信息的TCP/IP层和数据链路层的头信息(即,MAC地址、IP地址、PORT):
tcprewrite-e 2.2.2.1:1.1.1.1--enet-dmac=00:90:0b:2b:b1:92,00:90:0b:2b:b1:93--enet-smac=00:90:FB:28:2D:84,00:90:FB:28:2D:85-c/root/test.cache-i/root/test.pcap-o/root/test.pcap
Tcpreplay工具具体为可控的速度将第二数据流量信息回放到网络中:
tcpreplay-i eth0-I eth1-l 1000-t-c/dev/shm/test.cache/dev/shm/1.pcap。
103、通过抓包网络工具,捕获第三数据流量信息中网络异常流量以及入侵异常流量,所述第三数据流量信息为第一数据流量信息和第二数据流量信息的合集;所述网络异常流量以及入侵异常流量具体的至少包括:延迟(Lag)、掉包(Drop)、节流(Throttle)、重发(Duplicate)、乱序(Out of order)、篡改(Tamper)、典型网络攻击、DDOS和扫描。
步骤2:流量检测,所述流量检测包括:
201、对第三数据流量信息进行分类;
202、查看网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况;
203、在数据库中录入第四数据流量信息,并将所述第四数据流量信息分类后存储到数据库中,建立正常属性列表,所述第四数据流量信息为正常状态下的数据流量信息;
204、将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比,进行异常检测。
具体地,采用分类比较的方法。
本发明实施例提供了一种电力监控系统异常流量检测方法,捕获真实数据流量、分类,并对捕获的真实数据流量信息进行拆分,根据需要修报文信息,以指定速度将修改后的真实数据流量回放到网络中,结合网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况,分类对比数据库中正常状态下的数据流量信息建立正常属性列表,进行异常检测的方法,实现对业务系统面临的安全风险如网络攻击、系统漏洞等可以起到预防作用,从而保证了系统的安全性,同时可以避免出现安全问题;针对大数据的数据集中、数据量大、数据价值大等新特点,采用分析和检测的方法,避免一旦数据被非法访问甚至泄漏导致的损失。保证智能电网安全的全网行为安全性。即使随着配网等业务的增长,也可以满足电力安全新的需求,遵从电力行业全局的角度指导、方便推进网络安全工作。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。

Claims (8)

1.一种电力监控系统异常流量检测方法,其特征在于,包括:
步骤1:流量采集,所述流量采集包括:
捕获报文,根据报文类型进行数量统计,存储于数据库中,累计存储为第一数据流量信息,所述第一数据流量信息为一段时间的真实数据流量信息;
通过pcap包的重放工具集,将捕获的所述第一数据流量信息进行拆分,并根据需要修报文信息,以指定速度将第二数据流量信息回放到网络中,所述第二数据流量信息为修改后的数据流量;
通过抓包网络工具,捕获第三数据流量信息中网络异常流量以及入侵异常流量,所述第三数据流量信息为第一数据流量信息和第二数据流量信息的合集;
步骤2:流量检测,所述流量检测包括:
对第三数据流量信息进行分类;
查看网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况;
在数据库中录入第四数据流量信息,并将所述第四数据流量信息分类后存储到数据库中,建立正常属性列表,所述第四数据流量信息为正常状态下的数据流量信息;
将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比,进行异常检测。
2.根据权利要求1所述的一种电力监控系统异常流量检测方法,其特征在于,所述流量采集中数据库中存储的第一数据流量信息包含存储流量特征,包括:
主站、场站的通信流量;
生产控制区与管理信息区的数据流量。
3.根据权利要求1所述的一种电力监控系统异常流量检测方法,其特征在于,所述pcap包的重放工具集包括:
Tcpprep工具、Tcprewrite工具、Tcpreplay工具。
4.根据权利要求3所述的一种电力监控系统异常流量检测方法,其特征在于,所述Tcpprep工具具体为:
将第一数据流量信息拆分为客户端和服务端,默认客户端,并存放为缓存文件。
5.根据权利要求3所述的一种电力监控系统异常流量检测方法,其特征在于,Tcprewrite工具具体为:
重写第一数据流量信息的TCP/IP层和数据链路层的头信息。
6.根据权利要求3所述的一种电力监控系统异常流量检测方法,其特征在于,Tcpreplay工具具体为:
以可控的速度将第二数据流量信息回放到网络中。
7.根据权利要求1所述的一种电力监控系统异常流量检测方法,其特征在于,所述网络异常流量以及入侵异常流量,包括:延迟、掉包、节流、重发、乱序、篡改、典型网络攻击,DDOS和扫描。
8.根据权利要求1所述的一种电力监控系统异常流量检测方法,其特征在于,将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比,采用分类比较的方法。
CN201911190122.0A 2019-11-28 2019-11-28 一种电力监控系统异常流量检测方法 Active CN110839045B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911190122.0A CN110839045B (zh) 2019-11-28 2019-11-28 一种电力监控系统异常流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911190122.0A CN110839045B (zh) 2019-11-28 2019-11-28 一种电力监控系统异常流量检测方法

Publications (2)

Publication Number Publication Date
CN110839045A CN110839045A (zh) 2020-02-25
CN110839045B true CN110839045B (zh) 2021-09-17

Family

ID=69577736

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911190122.0A Active CN110839045B (zh) 2019-11-28 2019-11-28 一种电力监控系统异常流量检测方法

Country Status (1)

Country Link
CN (1) CN110839045B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114006840B (zh) * 2021-10-11 2023-08-08 中盈优创资讯科技有限公司 一种电路流量异常识别方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105071985A (zh) * 2015-07-24 2015-11-18 四川大学 一种服务器网络行为描述方法
CN110365534A (zh) * 2019-07-15 2019-10-22 福建省万维新能源电力有限公司 一种智能变电站通讯系统自动斩断及恢复方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140068761A1 (en) * 2012-09-06 2014-03-06 Microsoft Corporation Abuse identification of front-end based services

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105071985A (zh) * 2015-07-24 2015-11-18 四川大学 一种服务器网络行为描述方法
CN110365534A (zh) * 2019-07-15 2019-10-22 福建省万维新能源电力有限公司 一种智能变电站通讯系统自动斩断及恢复方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
分布式网络自动抓包管理系统的设计与实现;刘捷等;《计算机工程与设计》;20090430;2009年30期22卷,5091-5094页 *

Also Published As

Publication number Publication date
CN110839045A (zh) 2020-02-25

Similar Documents

Publication Publication Date Title
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN107295021B (zh) 一种基于集中管理的主机的安全检测方法及系统
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
Feng et al. Feature selection for machine learning-based early detection of distributed cyber attacks
CN110505206B (zh) 一种基于动态联防的互联网威胁监测防御方法
CN107302534A (zh) 一种基于大数据平台的DDoS网络攻击检测方法及装置
CN106708700A (zh) 一种应用于服务端的运维监控方法和装置
CN110958231A (zh) 基于互联网的工控安全事件监测平台及其方法
CN109150869A (zh) 一种交换机信息采集分析系统及方法
CN107463839A (zh) 一种管理应用程序的系统和方法
CN112217777A (zh) 攻击回溯方法及设备
CN114785613A (zh) 一种基于自动编排处理安全告警事件的方法及系统
CN116781412A (zh) 一种基于异常行为的自动防御方法
CN113438249A (zh) 一种基于策略的攻击溯源方法
CN113987504A (zh) 一种网络资产管理的漏洞检测方法
CN104486320A (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
CN115001812A (zh) 基于互联网的数据中心在线监管安全预警系统
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
CN110839045B (zh) 一种电力监控系统异常流量检测方法
CN116094817A (zh) 一种网络安全检测系统和方法
CN116962049B (zh) 一种综合监测和主动防御的零日漏洞攻击防控方法和系统
CN113987508A (zh) 一种漏洞处理方法、装置、设备及介质
TWI744545B (zh) 分散式網路流分析惡意行為偵測系統與其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant