CN112422568A - 新能源厂站非法网络通道的识别方法及厂站系统 - Google Patents
新能源厂站非法网络通道的识别方法及厂站系统 Download PDFInfo
- Publication number
- CN112422568A CN112422568A CN202011302003.2A CN202011302003A CN112422568A CN 112422568 A CN112422568 A CN 112422568A CN 202011302003 A CN202011302003 A CN 202011302003A CN 112422568 A CN112422568 A CN 112422568A
- Authority
- CN
- China
- Prior art keywords
- network channel
- state information
- network
- illegal
- new energy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种新能源厂站非法网络通道的识别方法,属于通信技术领域。包括:采集新能源发电采集终端侧的网络通道的状态信息;将所述网络通道的状态信息与特征数据库进行比对分析,所述特征数据库包括流量特征、网络协议特征以及规则序列关联模型;分析出所述网络通道的状态信息有非法网络通道特征时,标记所述网络通道为非法网络通道,以提升厂站系统以及电网系统的安全性和可靠性。本发明还提供厂站系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种新能源厂站非法网络通道的识别方法及厂站系统。
背景技术
新能源是指传统能源之外的各种能源形势,主要包括风能、太阳能、生物质能等,其具有污染少、储量大的特点,利用新能源逐步取代传统能源进行发电将是电力工业发展的趋势,具有良好的发展前景和实用价值。
随着越来越多的新能源厂站的建设和入网,新能源厂站的网络安全防护问题可能会对整个电网的安全造成威胁,一方面,来自新能源厂站端网络的攻击可能向上渗透,严重威胁整个电网端调度控制系统安全和稳定性;另一方面,新能源厂站网络虽然具备防火墙、加密机、隔离装置等必要的安全防护能力,但其监控系统、控制系统和网络化信息系统也极有可能受到来自网络纵向边界的渗透和攻击,导致难以预料的双向安全后果。由于新能源厂站中发电机组数量多、分布广,其采集终端与站控层之间的远程通信过程容易受到数据泄露以及非法用户的攻击,是新能源厂站安全防护体系当中的薄弱环节,从厂站角度出发,防止新能源厂站中的合法网络通道被非法利用,是提高电网系统的安全性和可靠性的途径之一。
发明内容
有鉴于此,本发明提供一种新能源厂站非法网络通道的识别方法及厂站系统,通过在新能源发电采集终端侧识别非法网络通道,来提升厂站系统以及电网系统的安全性和可靠性。
本发明实施例解决其技术问题所采用的技术方案是:
一种新能源厂站非法网络通道的识别方法,包括:
采集新能源发电采集终端侧的网络通道的状态信息;
将所述网络通道的状态信息与特征数据库进行比对分析,所述特征数据库包括流量特征、网络协议特征以及规则序列关联模型;
分析出所述网络通道的状态信息有非法网络通道特征时,标记所述网络通道为非法网络通道。
优选地,所述采集新能源发电采集终端侧的网络通道的状态信息之前,还包括:
定期采集所述新能源发电采集终端侧的所述网络通道的状态信息,所述新能源发电采集终端位于厂站系统中,所述网络通道的状态信息包括所述厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息;
根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模,所述网络业务关系包括主从关系、控制关系、协同关系、数据交互中一种或多种;
根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的物理实体关系进行建模,所述物理实体关系包括映射关系、管辖关系、IP对应关系、设备接入认证关系中一种或多种;
根据所述网络业务关系和所述物理实体关系,建立所述厂站系统在正常状态下的网络拓扑连接模型;
根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征、所述网络协议特征和终端设备权限;
根据所述网络拓扑连接模型、所述网络协议特征和所述终端设备权限建立所述新能源发电采集终端在合法网络通道连接状态下的规则序列关联模型,所述规则序列关联模型包括所述新能源发电采集终端的数据流、控制流、发包频率、发包频次、发包权限认证序列,并将所述规则序列关联模型加入所述特征数据库。
优选地,所述定期采集所述新能源发电采集终端侧的所述网络通道的状态信息之后,所述根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模以前,还包括:
根据安全状态指标,确定当前所述新能源发电采集终端是否属于正常状态;
若所述新能源发电采集终端处于非正常状态,则丢弃本次采集到的所述网络通道的状态信息。
优选地,所述将所述网络通道的状态信息与特征数据库进行比对分析包括:
若未能从所述网络通道的状态信息中找到与所述网络协议特征相匹配的数据,则确定所述网络通道的状态信息有非法网络通道特征;
根据所述特征数据库中的所述流量特征分析出所述网络通道的状态信息存在流量指标异常,则确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法用户的正常业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出合法用户的超出权限业务访问时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法跨区访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法授权运行事件时,确定所述网络通道的状态信息有非法网络通道特征。
优选地,所述根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征包括:
对所述端口流量信息进行多维度的流量数据提取操作,得到多个维度的流量数据;
根据所述多个维度的流量数据构建所述流量特征,所述流量特征为通过各个维度来描述所述新能源发电采集终端的特征数据。
本发明还提供一种厂站系统,,包括新能源发电采集终端和非法网络通道识别装置,所述非法网络通道识别装置部署于所述新能源发电采集终端的路由平面的纵向交换机侧、纵向加密装置以下,
所述非法网络通道识别装置包括:
采集模块,用于采集所述新能源发电采集终端侧的网络通道的状态信息;
比对分析模块,用于将所述网络通道的状态信息与特征数据库进行比对分析,所述特征数据库包括流量特征、网络协议特征以及规则序列关联模型;
标记模块,用于所述比对分析模块分析出所述网络通道的状态信息有非法网络通道特征时,标记所述网络通道为非法网络通道。
优选地,所述采集模块,还用于定期采集所述新能源发电采集终端侧的所述网络通道的状态信息,所述新能源发电采集终端位于厂站系统中,所述网络通道的状态信息包括所述厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息;
所述非法网络通道识别装置还包括:
建模模块,用于根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模,所述网络业务关系包括主从关系、控制关系、协同关系、数据交互中一种或多种;
所述建模模块,还用于根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的物理实体关系进行建模,所述物理实体关系包括映射关系、管辖关系、IP对应关系、设备接入认证关系中一种或多种;
所述建模模块,还用于根据所述网络业务关系和所述物理实体关系,建立所述厂站系统在正常状态下的网络拓扑连接模型;
所述建模模块,还用于根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征、所述网络协议特征和终端设备权限;
所述建模模块,还用于根据所述网络拓扑连接模型、所述网络协议特征和所述终端设备权限建立所述新能源发电采集终端在合法网络通道连接状态下的规则序列关联模型,所述规则序列关联模型包括所述新能源发电采集终端的数据流、控制流、发包频率、发包频次、发包权限认证序列,并将所述规则序列关联模型加入所述特征数据库。
优选地,所述非法网络通道识别装置还包括:
确定模块,用于根据安全状态指标,确定当前所述新能源发电采集终端是否属于正常状态;
丢弃模块,用于所述新能源发电采集终端处于非正常状态时,则丢弃本次采集到的所述网络通道的状态信息。
优选地,所述比对分析模块包括:
查找单元,用于从所述网络通道的状态信息中寻找与所述网络协议特征相匹配的数据;
确定单元,用于所述查找单元未能从所述网络通道的状态信息中找到与所述网络协议特征相匹配的数据时,确定所述网络通道的状态信息有非法网络通道特征;
分析单元,用于根据所述特征数据库中的所述流量特征分析所述网络通道的状态信息是否存在流量指标异常;
所述确定单元,还用于所述分析单元分析出所述网络通道的状态信息存在流量指标异常时,确定所述网络通道的状态信息有非法网络通道特征;
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件;
所述确定单元,还用于所述识别单元识别出所述不符合安全规定的远程应用软件数据和所述不符合安全策略的远程端口开放事件时,确定所述网络通道的状态信息有非法网络通道特征
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别非法业务访问事件;
所述确定单元,还用于所述识别单元识别出所述非法业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别非法用户的正常业务访问事件;
所述确定单元,还用于所述识别单元识别出所述非法用户的正常业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别合法用户的超出权限业务访问;
所述确定单元,还用于所述识别单元识别出所述合法用户的超出权限业务访问时,确定所述网络通道的状态信息有非法网络通道特征;
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别非法跨区访问事件;
所述确定单元,还用于所述识别单元识别出所述非法跨区访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法授权运行事件;
所述确定单元,还用于所述识别单元识别出所述非法授权运行事件时,确定所述网络通道的状态信息有非法网络通道特征。
优选地,所述建模模块包括:
提取单元,用于对所述端口流量信息进行多维度的流量数据提取操作,得到多个维度的流量数据;
建模单元,用于根据所述多个维度的流量数据构建所述流量特征,所述流量特征为通过各个维度来描述所述新能源发电采集终端的特征数据。
由上述技术方案可知,本发明实施例提供的新能源厂站非法网络通道的识别方法是通过采集新能源发电采集终端侧的网络通道的状态信息,将网络通道的状态信息与特征数据库进行比对分析,在分析出网络通道的状态信息有非法网络通道特征时,标记网络通道为非法网络通道,从新能源发电采集终端侧提升厂站系统以及电网系统的安全性和可靠性。
附图说明
图1为新能源厂站非法网络通道的识别方法的流程图。
图2为厂站系统的组成示意图。
图3为厂站系统中非法网络通道识别装置的第一组成示意图。
图4为厂站系统中非法网络通道识别装置的第二组成示意图。
图5为厂站系统中非法网络通道识别装置的第三组成示意图。
具体实施方式
以下结合本发明的附图,对本发明的技术方案以及技术效果做进一步的详细阐述。
目前,较为成熟的新能源发电形式主要为风能发电和太阳能发电,新能源厂站主要存在非法终端接入、远程运维、厂站监控中心网络外连、新能源厂站非法网络通道、系统本体安全、人员安全管理等风险,本发明实施例主要通过检测分析新能源厂站的发电采集终端侧数据流,识别厂站内的合法远程运维、远程数据交互等通道,并检测发现厂站内的违规外联,提升厂站系统的安全性和可靠性。
请参看图1,本发明实施例提供一种新能源厂站非法网络通道的识别方法,其实施的主体为非法网络通道识别系统,非法网络通道识别系统分为设备状态采集层、设备状态分析层、非法通道识别层。具体实施步骤可包括:
步骤S11,采集新能源发电采集终端侧的网络通道的状态信息;
步骤S12,将网络通道的状态信息与特征数据库进行比对分析,其中,特征数据库包括流量特征、网络协议特征以及规则序列关联模型;
步骤S13,分析出网络通道的状态信息有非法网络通道特征时,标记网络通道为非法网络通道。
本发明实施例中,实施图1方法的主体可以是位于厂站系统中的非法网络通道识别装置,它可以部署在新能源发电采集终端入网端口,用于采集新能源发电采集终端上下行网络通道的状态信息,所述网络通道的状态信息具体包括厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息等。
特征数据库是用于分析网络通道的状态信息的参考数据库,它是通过分析新能源发电采集终端在正常通信状态下的通信数据建立起来的预设模型,通过与特征数据库比对,可及时识别出属于非法情况的网络通道。
建立特征数据库主要从以下几个方面实施:
步骤S21,定期采集新能源发电采集终端侧的网络通道的状态信息。其中,网络通道的状态信息可包括厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息。
具体的,首先制定设备状态采集体系,选取目标设备,设置采集细粒度,如目标设备硬件信息、目标设备流量信息,其中,目标设备硬件信息可包括设备系统信息、系统管理人员权限信息、系统服务信息、CPU/内存/系统运行时间等信息,再根据采集细粒度采集所述目标终端的所述网络通道的状态信息。
另外,需要确定数据的采集频率,在不影响新能源厂站网络内部通信的前提下,对新能源厂站内的设备状态信息进行定期采集。
由于可能存在设备故障等原因,在采集状态信息后,需要根据安全状态指标,确定当前新能源发电采集终端是否属于正常状态;若新能源发电采集终端处于非正常状态,则丢弃本次采集到的网络通道的状态信息,在特征数据库建立过程中,仅筛选出设备正常状态下采集到的数据,丢弃异常状态下采集到的数据。
本发明实施例的采集操作为主被动结合的采集技术,在新能源发电采集终端侧进行低打扰的主动数据包探测以及被动监听广播报文的被动监听报文,对设备状态进行主被动协同数据采集,采集到相关协议报文后,对报文格式和规约进行解析,并形成规范化模块化数据接口,作为设备状态分析层的输入进行分析。
步骤S22,根据网络通道的状态信息对新能源发电采集终端在厂站系统中的网络业务关系进行建模,网络业务关系包括主从关系、控制关系、协同关系、数据交互中一种或多种。
步骤S23,根据网络通道的状态信息对新能源发电采集终端在厂站系统中的物理实体关系进行建模,其中,物理实体关系包括映射关系、管辖关系、IP对应关系、设备接入认证关系中一种或多种。本步骤基于设备状态采集层数据和管理人员权限划分关系,对设备的物理实体关系进行分析,如PLC和监控系统的物理实体映射关系、交换机和站内主机的管辖关系、物理设备IP地址的对应关系、物理设备接入认证关系等,建立新能源厂站内物理实体映射关系和物理实体的权限认证模型,用于非法通道识别层的非法设备的接入识别和合法设备的非法权限识别。
步骤S24,根据网络业务关系和物理实体关系,建立厂站系统在正常状态下的网络拓扑连接模型。
步骤S25,根据网络业务关系和网络拓扑连接模型分析出新能源发电采集终端在厂站系统中的流量特征、网络协议特征和终端设备权限。本发明实施例可基于HHT算法的自适应特征学习与异常检测方法,对流量特征采集获得的日志数据进行智能化、自适应学习和异常检测。具体为,获得每个特征指标时间序列的在不同时间频率上的分量,以及获得每个特征指标的每个分量的方差、信号强度、幅度区间等。在HHT算法中,对网络流量安全态势的量化表达分为3个步骤,包括:流量特征采集与态势特征刻画;面向态势特征的自适应学习与异常分析;异常态势检测与告警。
流量采集与态势特征指标提取操作是指,利用流量探针,对流量进行7x24小时捕获、分析,从中获取多个维度的态势特征指标,实现特征指标在线实时采集、日志、入库,每1分钟(或指定周期)针对全网、子网、单个IP主机各自生成一条分析记录,该记录包含了所有特征指标的当前值。前期已经为网络的流量设计了超过40个特征指标,并全部予以实时采集、存储和可视化展示。通过多维态势特征提取技术,从不同维度刻画网络空间的运行态势和网络实体(主机、用户等)的行为态势。
面向态势特征的自适应学习与异常分析是指,在流量采集和态势特征提取的基础上,设计在线学习算法,对流量特征采集获得的指标数据进行学习。
网络流量异常态势告警是指,在上述学习的和异常分析基础上,进行异常态势的在线告警。在线的异常告警输出分为三类:(a)单个特征指标绝对值异常告警。任意特征指标的当前采样值,一旦突破阈值(学习范围上限),则产生报警记录。本项目拟针对全部40个以上的态势特征指标进行告警输出。(b)单个特征指标突跳告警。任意特征指标的前一采样值和当前采样值的跳变尺度,一旦突破跳变阈值(学习范围上限),则产生报警记录。该类报警同样包括40个特征指标。(c)多个特征指标关联告警。根据多个特征的关联知识库,多个特征的共同异常往往代表着一种可理解的、具有明确物理意义的异常(例如:DDOS攻击等,定义为“可理解的异常”),因此,如果多个特征指标的当前采样值或突跳尺度均符合关联知识库的某项条目规定,则多个指标的关联,即可触发更高级别的“可理解的异常”告警。本发明实施例也实施对多个指标的组合告警。
步骤S25中可基于数字信号多维量化特征的进行流量特征建模,具体的实施步骤包括:对端口流量信息进行多维度的流量数据提取操作,得到多个维度的流量数据;根据多个维度的流量数据构建流量特征,流量特征为通过各个维度来描述新能源发电采集终端的特征数据。多维度特征的指标可以为统计类、形态类、加密通信类、一般性行为类、空间结构类、行为类等共计40余个维度的流量特征指标,对网络空间的流量态势进行实时量化。通过经验模态分解(EEMD)方法,对每个特征指标进行频域分解,获得不同频率的信号分量,计算不同分量的信号强度、周期、方差、能量等特征值。最后,上述多个维度特征指标的多个特征值共同构成了流量特征刻画指标体系,即为新能源厂站的流量模型。
本发明实施例针对全网流量、单个网络实体的流量,分别提出6个大类,40余种维度的态势特征指标,并分别设计相应的在线挖掘算法,从流量中获取上述各个维度指标。6个大类分别描述如下:
1.流量统计类特征指标:该大类指标提供一种对网络宏观或微观实体流量概要统计特征的刻画手段。可用于发现网络物理攻击、大规模主动攻击威胁。
2.流量形态类特征指标:该大类指标为刻画客户网络的流量形态,包括规模、用户构成、应用行为模式等。可用于发现大规模主动攻击、内部攻击、网络物理攻击威胁。
3.加密通信行为类特征指标:该大类指标为对加密网络中的加密会话、加密机、协议符合性提供刻画和验证依据。可用于发现针对加密机的内部攻击威胁。
4.一般性行为类特征指标:该大类指标为对全网、IP子网、主机/用户的一般行为进行刻画,可用于描述基本网络服务的态势。可用于发现主动/内部攻击威胁。
5.网络空间结构类特征指标:该大类指标为对网络形态进行刻画,主要针对全网路由特征、服务器群和关键骨干链路的路由特征进行刻画。可用于发现网络物理攻击和特定类型的主动攻击。
6.应用访问行为类特征指标:该大类指标为对用户和应用服务器的应用行为进行刻画。可用于发现特定类型的内部用户攻击。
上述多个维度的特征指标,均可自动上传多种大数据平台提供存储和后续分析,也可提供在线的实时监测。项目将从网络流量中,挖掘各类与异常相关的指标,每N分钟形成一条日志记录。相关指标初步设计如下表格1所示:
| 特征指标 | 特征指标含义 |
| 以下指标为全局(或子网,或主机基本信息) | |
| MPID | 测量点编号 |
| BEGINTIME | 统计开始时间 |
| SAVETIME | 统计截止时间 |
| IP | IP地址 |
| MAC | MAC地址 |
| BLOGUSER | 用户账号 |
| 以下指标与流量统计有关 | |
| ONLINE_USERS | 在线用户数 |
| IP_INBPS | IP入平均流量(bps) |
| IP_OUTBPS | IP出平均流量(bps) |
| TCP_INBPS | TCP入平均流量(bps) |
| TCP_OUTBPS | TCP出平均流量(bps) |
| UDP_ INBPS | UDP入平均流量(bps) |
| UDP_ OUTBPS | UDP出平均流量(bps) |
| 以下指标与流量形态有关 | |
| TCP_FLOWS | TCP会话数 |
| TCP_PEERS | TCP主机数 |
| PKTS_PER_TCPFLOW | 平均每个TCP会话往来包数量 |
| AVGLEN_IN_TCPFLOW | TCP会话平均入数据包长度(字节) |
| AVGLEN_OUT_TCPFLOW | TCP会话平均出数据包长度(字节) |
| UDP_FLOWS | UDP会话数 |
| UDP_PEERS | UDP主机数 |
| PKTS_PER_ UDPFLOW | 平均每个UDP会话往来包数量 |
| AVGLEN_IN_ UDPFLOW | UDP会话平均入数据包长度(字节) |
| AVGLEN_OUT_UDPFLOW | UDP会话平均出数据包长度(字节) |
| 以下指标与异常加密通信行为有关 | |
| IPSEC_FLOWS | 加密会话数量 |
| IPSEC_HOSTS | 加密会话主机数 |
| PKTS_PER_ IPSECFLOW | 平均每个加密会话的往来数据包数量 |
| AVGLEN_IN_IPSECFLOW | 加密会话平均入数据包长度(字节) |
| AVGLEN_OUT_IPSECFLOW | 加密会话平均出数据包长度(字节) |
| IPSEC_OUTBPS | 加密出流量(bps) |
| IPSEC_INBPS | 加密入流量(bps) |
| 以下指标与一般性异常行为有关 | |
| dns_querys | 发出的DNS请求数 |
| dns_answers | 收到的DNS应答数 |
| dns_errs | DNS错误数 |
| syn_outcount | 发出的TCP SYN次数 |
| syn_inacks | 收到的SYN+ACK应答数 |
| syn_incount | 收到的TCP SYN次数 |
| syn_outacks | 发出的TCP SYN+ACK次数 |
| ICMP_INPPS | ICMP入平均流量(pps) |
| ICMP_OUTPPS | ICMP出平均流量(pps) |
| OTHERIP_INPPS | 其他IP报文入平均流量(pps) |
| OTHERIP_OUTPPS | 其他IP报文出平均流量(pps) |
| 以下指标与网络结构、用户经常访问的目标变化有关 | |
| TTLSERVER_MAX | 服务器端最大路由跳数 |
| TTLSERVER_MIN | 服务器端最小路由跳数 |
| TTLSERVER_AVG | 服务器端平均路由跳数 |
| TTLCLIENT_MAX | 客户端最大路由跳数 |
| TTLCLIENT_MIN | 客户端最小路由跳数 |
| TTLCLIENT_AVG | 客户端平均路由跳数 |
| 以下指标与网络用户常见应用行为有关 | |
| HTTP_GETS | HTTP GET请求数量 |
| HTTP_POSTS | HTTP POST发送数量 |
| HTTP_FAILS | HTTP请求失败数量 |
| MAIL_SENT | 发送邮件数量 |
| MAIL_RECV | 接收邮件数量 |
| MEDIA_FLOWS | 媒体流数量 |
| FTP_DOWNLOADS | FTP下载数量 |
| FTP_UPLOADS | FTP上传数量 |
| PATTERN_MATCH_MAX | 多模式匹配成功的报文数量 |
| PAYLOAD_REQUESTS_MAX | 同类型载荷疑似重发数量 |
| PROTOCOL_MATCH_MAX | 协议符合性检测告警报文数量 |
表格1涉网端纵向网络边界流量特征特征指标设计
步骤S26,根据网络拓扑连接模型、网络协议特征和终端设备权限建立新能源发电采集终端在合法网络通道连接状态下的规则序列关联模型,其中,规则序列关联模型包括新能源发电采集终端的数据流、控制流、发包频率、发包频次、发包权限认证序列,并将规则序列关联模型加入特征数据库。
本发明实施例中,步骤S13操作在非法通道识别层,将网络通道的状态信息与特征数据库进行比对分析的具体实施例步骤可包括:
步骤S131,若未能从网络通道的状态信息中找到与网络协议特征相匹配的数据,则确定网络通道的状态信息有非法网络通道特征。在特征数据库中预先保存有各个节点与终端之间的网络协议特征,若获取到的状态信息与这些网络协议特征均无匹配,则确定不属于正常的网络协议,可认定为非法网络通道的协议特征。
通过协议识别与符合性检测技术,可标识出网络上每个流所使用的应用层协议,验证应用协议的行为是否符合协议规约,从而为协议级别的识别、符合性预警提供直接输出。
协议识别的报文分类主要有:第一类,某些流量未见端口变迁的应用,其流量可以通过固定端口进行分类,如果一条流上的源目端口号属于这类共知端口范围,则将对其进行标识。第二类,将流上的每个报文的净荷与一组精确串规则,或者一组正则表达式规则进行匹配,若命中某个规则,则根据规则所代表的协议标识该流。如果在该流上的报文超过了一定数目而未命中任何规则,则将该流分类为“不可识别”流量。
步骤S132,根据特征数据库中的流量特征分析出网络通道的状态信息存在流量指标异常,则确定网络通道的状态信息有非法网络通道特征;
步骤S133,根据规则序列关联模型,在网络通道的状态信息中识别出不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件时,确定网络通道的状态信息有非法网络通道特征。非法远程应用软件通道识别,例如:Teamviewer远程控制网络通道识别、QQ远程控制网络通道识别、Windows远程桌面网络通道识别、VNC Viewer网络通道识别等;非法远程端口开放识别,例如:通用木马及黑客软件端口识别等,检测识别出不符合安全规定的远程应用软件和不符合安全策略的远程端口开放情况。
步骤S134,根据规则序列关联模型,在网络通道的状态信息中识别出非法业务访问事件时,确定网络通道的状态信息有非法网络通道特征。可以是对状态信息中数据包进行检测,通过前缀分类方法,对规则进行分类,提高数据包检测的速率。前缀分类指的是通过对规则中的模式串设置前缀选项,将规则中的模式串按前缀进行分类,并对分类之后的规则分别构建多模式匹配引擎。对于匹配的数据包,根据其前几个字节,作为其数据包的前缀,判断数据包所属的规则集,从而使用较少的模式串对数据包进行匹配。
在对规则进行前缀分类时,考虑到协议本身的特点,很少有协议会出现前缀部分相同的情况,因此对前缀的匹配可以顺序遍历所有的规则前缀,找到一个匹配的就认为该数据包匹配上了该规则前缀,而不用考虑寻找最大前缀。
算法过程为:(1)首先,以不同协议识别结果为第一级别分类前缀,构建单独的多模式匹配集合;(2)其次,以同一应用层协议的请求类型、应答类型为第二级分类前缀选项,构建相应的模式匹配引擎;(3)在对报文应用层载荷进行匹配的时候,首先判断协议类型,其次按照请求类型/应答类型进行分类,选择相应的匹配引擎,然后进行多模式匹配,可明显减少模式串的数量,提高模式匹配的效率。
步骤S135,根据规则序列关联模型,在网络通道的状态信息中识别出非法用户的正常业务访问事件时,确定网络通道的状态信息有非法网络通道特征。
步骤S136,根据规则序列关联模型,在网络通道的状态信息中识别出合法用户的超出权限业务访问时,确定网络通道的状态信息有非法网络通道特征。
步骤S137,根据规则序列关联模型,在网络通道的状态信息中识别出非法跨区访问事件时,确定网络通道的状态信息有非法网络通道特征。非法跨区访问识别,是基于设备物理实体关系和设备网络业务关系,识别出非法的跨区访问流量,定位非法跨区访问通信IP和端口信息,并基于设备规则序列关联分析,确定非法跨区访问物理设备。
步骤S138,根据规则序列关联模型,在网络通道的状态信息中识别出非法授权运行事件时,确定网络通道的状态信息有非法网络通道特征。非法授权运行识别,根据设备网络业务关系,对设备的数据流和控制流进行检查,对不符合设备网络业务关系的数据流河控制流,对其接入和权限进行安全检查,识别出非法授权运行的程序、端口,最终确定非法网络通道。
本发明实施例关于性能指标设计:1)支持5Gbps以上流量;2)支持10万个并发会话;3)支持5000个用户/终端实时在线;4)记录的流量和行为特征数>40;5)可检测异常类型>40;可检测具有明确物理意义的异常类型≥6类。
根据《电力监控系统安全防护总体方案》的要求,电力监控系统实施安全分区策略。新能源厂站内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区,生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区II)。在现有风电或光伏电站的新能源厂站中,非法网络通道识别装置可部署于网络的纵向边界,具体为部署于控制区(I区)和非控制区(II区)所有路由平面的纵向交换机侧,纵向加密装置以下。
本发明实施例具有以下优点:全面性,采用多个维度特征指标,对流量的特性刻画更为全面,而传统的建模方法仅刻画流量大小等简单指标,只能完成低维度刻画;自适应性,建模过程不需要选择模型,也不需要调整参数,而现有模型几乎都需要人工选择模型和调整参数,不具备完全的自适应建模能力;实时性,流量的建模过程与流量采集过程同步实时完成,不需要离线分析和各类数据集的训练过程;实用性,本流量模型的目标就是精确刻画流量特征,为异常检测提供精确参考,而传统流量模型大多出于流量机理研究、流量拟合、流量预测的目的,在异常检测方面实用性不强。
本发明实施例网络空间流量态势的实时量化过程,通过网络边界流量采集与特征刻画指标体系的方式实现。从网络流量中连续不断地实时挖掘多个维度特征指标、实时刻画网络空间及其流量特征,一方面可保证网络态势实时或准实时的监控、预警、应急响应需求,另一方面可以通过少量的日志规模,实现对网络流量特征的细粒度刻画,为后续的流量异常分析检测、安全预警提供优质的基础信息来源。
本发明实施例提供的新能源厂站非法网络通道的识别方法是通过采集新能源发电采集终端侧的网络通道的状态信息,将网络通道的状态信息与特征数据库进行比对分析,在分析出网络通道的状态信息有非法网络通道特征时,标记网络通道为非法网络通道,从新能源发电采集终端侧提升厂站系统以及电网系统的安全性和可靠性。
本发明实施例还提供一种厂站系统,为风电或光伏电站的新能源厂站,划分为生产控制大区和管理信息大区,生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区II)。非法网络通道识别装置可部署于新能源发电采集终端的网络的纵向边界,具体为部署于控制区(I区)和非控制区(II区)所有路由平面的纵向交换机侧,纵向加密装置以下。如图2-图5所示,厂站系统可包括新能源发电采集终端1和非法网络通道识别装置2。非法网络通道识别装置2通过采集模块21、比对分析模块22、标记模块23实现在新能源发电采集终端侧识别非法网络通道:
采集模块21,用于采集新能源发电采集终端侧的网络通道的状态信息;
比对分析模块22,用于将网络通道的状态信息与特征数据库进行比对分析,特征数据库包括流量特征、网络协议特征以及规则序列关联模型;
标记模块23,用于比对分析模块22分析出网络通道的状态信息有非法网络通道特征时,标记该网络通道为非法网络通道。
上述提到的特征数据库是用于分析网络通道的状态信息的参考数据库,它是通过分析新能源发电采集终端在正常通信状态下的通信数据建立起来的预设模型,通过与特征数据库比对,可及时识别出属于非法情况的网络通道。具体的建立过程可通过采集模块21、建模模块24实施:
采集模块21,还用于定期采集新能源发电采集终端侧的网络通道的状态信息,新能源发电采集终端位于厂站系统中,网络通道的状态信息包括厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息。具体的,首先制定设备状态采集体系,选取目标设备,设置采集细粒度,如目标设备硬件信息、目标设备流量信息,其中,目标设备硬件信息可包括设备系统信息、系统管理人员权限信息、系统服务信息、CPU/内存/系统运行时间等信息,再根据采集细粒度采集所述目标终端的所述网络通道的状态信息。
另外,采集模块21需要确定数据的采集频率,在不影响新能源厂站网络内部通信的前提下,对新能源厂站内的设备状态信息进行定期采集。
由于可能存在设备故障等原因,在特征数据库建立过程中,采集模块21通过确定单元211、丢弃单元212对采集到的状态信息进行筛选,仅筛选出设备正常状态下采集到的数据,丢弃异常状态下采集到的数据:
确定单元211,用于根据安全状态指标,确定当前新能源发电采集终端是否属于正常状态;
丢弃单元212,用于新能源发电采集终端处于非正常状态时,则丢弃本次采集到的网络通道的状态信息。
采集模块21的采集操作为主被动结合的采集技术,在新能源发电采集终端侧进行低打扰的主动数据包探测以及被动监听广播报文的被动监听报文,对设备状态进行主被动协同数据采集,采集到相关协议报文后,对报文格式和规约进行解析,并形成规范化模块化数据接口,作为设备状态分析层的输入进行分析。
建模模块24,用于根据网络通道的状态信息对新能源发电采集终端在厂站系统中的网络业务关系进行建模,其中,网络业务关系包括主从关系、控制关系、协同关系、数据交互中一种或多种;
建模模块24,还用于根据网络通道的状态信息对新能源发电采集终端在厂站系统中的物理实体关系进行建模,物理实体关系包括映射关系、管辖关系、IP对应关系、设备接入认证关系中一种或多种,具体实施可参照前述步骤S23;
建模模块24,还用于根据网络业务关系和物理实体关系,建立厂站系统在正常状态下的网络拓扑连接模型;
建模模块24,还用于根据网络业务关系和网络拓扑连接模型分析出新能源发电采集终端在厂站系统中的流量特征、网络协议特征和终端设备权限,具体实施可参照前述步骤S25;
建模模块24可通过提取单元241和建模单元242实施构建特征数据库中流量特征的操作:
提取单元241,用于对端口流量信息进行多维度的流量数据提取操作,得到多个维度的流量数据,其中,多维度特征的指标可以为统计类、形态类、加密通信类、一般性行为类、空间结构类、行为类等共计40余个维度的流量特征指标,对网络空间的流量态势进行实时量化,具体实施可参照前述步骤S25;
建模单元242,用于根据多个维度的流量数据构建流量特征,其中,流量特征为通过各个维度来描述新能源发电采集终端的特征数据,具体实施可参照前述步骤S25。
建模模块24,还用于根据网络拓扑连接模型、网络协议特征和终端设备权限建立新能源发电采集终端在合法网络通道连接状态下的规则序列关联模型,其中,规则序列关联模型包括新能源发电采集终端的数据流、控制流、发包频率、发包频次、发包权限认证序列,并将规则序列关联模型加入特征数据库。
本发明实施例中,比对分析模块22可通过查找单元221、确定单元222、分析单元223、识别单元224来具体实施根据特征数据库比对分析并确定是否为非法网络通道的操作:
查找单元221,用于从网络通道的状态信息中寻找与网络协议特征相匹配的数据;
确定单元222,用于查找单元221未能从网络通道的状态信息中找到与网络协议特征相匹配的数据时,确定网络通道的状态信息有非法网络通道特征。
在特征数据库中预先保存有各个节点与终端之间的网络协议特征,若获取到的状态信息与这些网络协议特征均无匹配,则确定不属于正常的网络协议,可认定为非法网络通道的协议特征。具体实施可参照前述步骤S131。
分析单元223,用于根据特征数据库中的流量特征分析网络通道的状态信息是否存在流量指标异常;
确定单元222,还用于分析单元223分析出网络通道的状态信息存在流量指标异常时,确定网络通道的状态信息有非法网络通道特征。
识别单元224,还用于根据规则序列关联模型,在网络通道的状态信息中识别不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件;
确定单元222,还用于识别单元224识别出不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件时,确定网络通道的状态信息有非法网络通道特征。
非法远程应用软件通道识别,例如:Teamviewer远程控制网络通道识别、QQ远程控制网络通道识别、Windows远程桌面网络通道识别、VNC Viewer网络通道识别等;非法远程端口开放识别,例如:通用木马及黑客软件端口识别等,检测识别出不符合安全规定的远程应用软件和不符合安全策略的远程端口开放情况。
识别单元224,还用于根据规则序列关联模型,在网络通道的状态信息中识别非法业务访问事件;
确定单元222,还用于识别单元224识别出非法业务访问事件时,确定网络通道的状态信息有非法网络通道特征。可以是对状态信息中数据包进行检测,通过前缀分类方法,对规则进行分类,提高数据包检测的速率。前缀分类指的是通过对规则中的模式串设置前缀选项,将规则中的模式串按前缀进行分类,并对分类之后的规则分别构建多模式匹配引擎。对于匹配的数据包,根据其前几个字节,作为其数据包的前缀,判断数据包所属的规则集,从而使用较少的模式串对数据包进行匹配。
识别单元224,还用于根据规则序列关联模型,在网络通道的状态信息中识别非法用户的正常业务访问事件;
确定单元222,还用于识别单元224识别出非法用户的正常业务访问事件时,确定网络通道的状态信息有非法网络通道特征。
识别单元224,还用于根据规则序列关联模型,在网络通道的状态信息中识别合法用户的超出权限业务访问;
确定单元222,还用于识别单元224识别出合法用户的超出权限业务访问时,确定网络通道的状态信息有非法网络通道特征。
识别单元224,还用于根据规则序列关联模型,在网络通道的状态信息中识别非法跨区访问事件;
确定单元222,还用于识别单元224识别出非法跨区访问事件时,确定网络通道的状态信息有非法网络通道特征。
非法跨区访问识别,是基于设备物理实体关系和设备网络业务关系,识别出非法的跨区访问流量,定位非法跨区访问通信IP和端口信息,并基于设备规则序列关联分析,确定非法跨区访问物理设备。
识别单元224,还用于根据规则序列关联模型,在网络通道的状态信息中识别出非法授权运行事件;
确定单元222,还用于识别单元224识别出非法授权运行事件时,确定网络通道的状态信息有非法网络通道特征。
非法授权运行识别,是根据设备网络业务关系,对设备的数据流和控制流进行检查,对不符合设备网络业务关系的数据流河控制流,对其接入和权限进行安全检查,识别出非法授权运行的程序、端口,最终确定非法网络通道。
本发明实施例中关于性能指标设计:1)支持5Gbps以上流量;2)支持10万个并发会话;3)支持5000个用户/终端实时在线;4)记录的流量和行为特征数>40;5)可检测异常类型>40;可检测具有明确物理意义的异常类型≥6类。
本发明实施例的非法网络通道识别装置具有以下优点:全面性,采用多个维度特征指标,对流量的特性刻画更为全面,而传统的建模方法仅刻画流量大小等简单指标,只能完成低维度刻画;自适应性,建模过程不需要选择模型,也不需要调整参数,而现有模型几乎都需要人工选择模型和调整参数,不具备完全的自适应建模能力;实时性,流量的建模过程与流量采集过程同步实时完成,不需要离线分析和各类数据集的训练过程;实用性,本流量模型的目标就是精确刻画流量特征,为异常检测提供精确参考,而传统流量模型大多出于流量机理研究、流量拟合、流量预测的目的,在异常检测方面实用性不强。
本发明实施例网络空间流量态势的实时量化过程,通过网络边界流量采集与特征刻画指标体系的方式实现。从网络流量中连续不断地实时挖掘多个维度特征指标、实时刻画网络空间及其流量特征,一方面可保证网络态势实时或准实时的监控、预警、应急响应需求,另一方面可以通过少量的日志规模,实现对网络流量特征的细粒度刻画,为后续的流量异常分析检测、安全预警提供优质的基础信息来源。
本发明实施例提供的非法网络通道识别装置是通过采集新能源发电采集终端侧的网络通道的状态信息,将网络通道的状态信息与特征数据库进行比对分析,在分析出网络通道的状态信息有非法网络通道特征时,标记网络通道为非法网络通道,从新能源发电采集终端侧提升厂站系统以及电网系统的安全性和可靠性。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (10)
1.一种新能源厂站非法网络通道的识别方法,其特征在于,包括:
采集新能源发电采集终端侧的网络通道的状态信息;
将所述网络通道的状态信息与特征数据库进行比对分析,所述特征数据库包括流量特征、网络协议特征以及规则序列关联模型;
分析出所述网络通道的状态信息有非法网络通道特征时,标记所述网络通道为非法网络通道。
2.如权利要求1所述的新能源厂站非法网络通道的方法,其特征在于,所述采集新能源发电采集终端侧的网络通道的状态信息之前,还包括:
定期采集所述新能源发电采集终端侧的所述网络通道的状态信息,所述新能源发电采集终端位于厂站系统中,所述网络通道的状态信息包括所述厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息;
根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模,所述网络业务关系包括主从关系、控制关系、协同关系、数据交互中一种或多种;
根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的物理实体关系进行建模,所述物理实体关系包括映射关系、管辖关系、IP对应关系、设备接入认证关系中一种或多种;
根据所述网络业务关系和所述物理实体关系,建立所述厂站系统在正常状态下的网络拓扑连接模型;
根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征、所述网络协议特征和终端设备权限;
根据所述网络拓扑连接模型、所述网络协议特征和所述终端设备权限建立所述新能源发电采集终端在合法网络通道连接状态下的规则序列关联模型,所述规则序列关联模型包括所述新能源发电采集终端的数据流、控制流、发包频率、发包频次、发包权限认证序列,并将所述规则序列关联模型加入所述特征数据库。
3.如权利要求2所述的新能源厂站非法网络通道的方法,其特征在于,所述定期采集所述新能源发电采集终端侧的所述网络通道的状态信息之后,所述根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模以前,还包括:
根据安全状态指标,确定当前所述新能源发电采集终端是否属于正常状态;
若所述新能源发电采集终端处于非正常状态,则丢弃本次采集到的所述网络通道的状态信息。
4.如权利要求2所述的方法,其特征在于,所述将所述网络通道的状态信息与特征数据库进行比对分析包括:
若未能从所述网络通道的状态信息中找到与所述网络协议特征相匹配的数据,则确定所述网络通道的状态信息有非法网络通道特征;
根据所述特征数据库中的所述流量特征分析出所述网络通道的状态信息存在流量指标异常,则确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法用户的正常业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出合法用户的超出权限业务访问时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法跨区访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法授权运行事件时,确定所述网络通道的状态信息有非法网络通道特征。
5.如权利要求2所述的方法,其特征在于,所述根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征包括:
对所述端口流量信息进行多维度的流量数据提取操作,得到多个维度的流量数据;
根据所述多个维度的流量数据构建所述流量特征,所述流量特征为通过各个维度来描述所述新能源发电采集终端的特征数据。
6.一种厂站系统,其特征在于,包括新能源发电采集终端和非法网络通道识别装置,所述非法网络通道识别装置部署于所述新能源发电采集终端的路由平面的纵向交换机侧、纵向加密装置以下,
所述非法网络通道识别装置包括:
采集模块,用于采集所述新能源发电采集终端侧的网络通道的状态信息;
比对分析模块,用于将所述网络通道的状态信息与特征数据库进行比对分析,所述特征数据库包括流量特征、网络协议特征以及规则序列关联模型;
标记模块,用于所述比对分析模块分析出所述网络通道的状态信息有非法网络通道特征时,标记所述网络通道为非法网络通道。
7.如权利要求6所述的厂站系统,其特征在于,
所述采集模块,还用于定期采集所述新能源发电采集终端侧的所述网络通道的状态信息,所述新能源发电采集终端位于厂站系统中,所述网络通道的状态信息包括所述厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息;
所述非法网络通道识别装置还包括:
建模模块,用于根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模,所述网络业务关系包括主从关系、控制关系、协同关系、数据交互中一种或多种;
所述建模模块,还用于根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的物理实体关系进行建模,所述物理实体关系包括映射关系、管辖关系、IP对应关系、设备接入认证关系中一种或多种;
所述建模模块,还用于根据所述网络业务关系和所述物理实体关系,建立所述厂站系统在正常状态下的网络拓扑连接模型;
所述建模模块,还用于根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征、所述网络协议特征和终端设备权限;
所述建模模块,还用于根据所述网络拓扑连接模型、所述网络协议特征和所述终端设备权限建立所述新能源发电采集终端在合法网络通道连接状态下的规则序列关联模型,所述规则序列关联模型包括所述新能源发电采集终端的数据流、控制流、发包频率、发包频次、发包权限认证序列,并将所述规则序列关联模型加入所述特征数据库。
8.如权利要求7所述的厂站系统,其特征在于,所述非法网络通道识别装置还包括:
确定单元,用于根据安全状态指标,确定当前所述新能源发电采集终端是否属于正常状态;
丢弃单元,用于所述新能源发电采集终端处于非正常状态时,则丢弃本次采集到的所述网络通道的状态信息。
9.如权利要求7所述的厂站系统,其特征在于,所述比对分析模块包括:
查找单元,用于从所述网络通道的状态信息中寻找与所述网络协议特征相匹配的数据;
确定单元,用于所述查找单元未能从所述网络通道的状态信息中找到与所述网络协议特征相匹配的数据时,确定所述网络通道的状态信息有非法网络通道特征;
分析单元,用于根据所述特征数据库中的所述流量特征分析所述网络通道的状态信息是否存在流量指标异常;
所述确定单元,还用于所述分析单元分析出所述网络通道的状态信息存在流量指标异常时,确定所述网络通道的状态信息有非法网络通道特征;
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件;
所述确定单元,还用于所述识别单元识别出所述不符合安全规定的远程应用软件数据和所述不符合安全策略的远程端口开放事件时,确定所述网络通道的状态信息有非法网络通道特征
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别非法业务访问事件;
所述确定单元,还用于所述识别单元识别出所述非法业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别非法用户的正常业务访问事件;
所述确定单元,还用于所述识别单元识别出所述非法用户的正常业务访问事件时,确定所述网络通道的状态信息有非法网络通道特征
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别合法用户的超出权限业务访问;
所述确定单元,还用于所述识别单元识别出所述合法用户的超出权限业务访问时,确定所述网络通道的状态信息有非法网络通道特征;
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别非法跨区访问事件;
所述确定单元,还用于所述识别单元识别出所述非法跨区访问事件时,确定所述网络通道的状态信息有非法网络通道特征;
所述识别单元,还用于根据所述规则序列关联模型,在所述网络通道的状态信息中识别出非法授权运行事件;
所述确定单元,还用于所述识别单元识别出所述非法授权运行事件时,确定所述网络通道的状态信息有非法网络通道特征。
10.如权利要求7所述的厂站系统,其特征在于,所述建模模块包括:
提取单元,用于对所述端口流量信息进行多维度的流量数据提取操作,得到多个维度的流量数据;
建模单元,用于根据所述多个维度的流量数据构建所述流量特征,所述流量特征为通过各个维度来描述所述新能源发电采集终端的特征数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011302003.2A CN112422568B (zh) | 2020-11-19 | 2020-11-19 | 新能源厂站非法网络通道的识别方法及厂站系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011302003.2A CN112422568B (zh) | 2020-11-19 | 2020-11-19 | 新能源厂站非法网络通道的识别方法及厂站系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112422568A true CN112422568A (zh) | 2021-02-26 |
| CN112422568B CN112422568B (zh) | 2022-09-13 |
Family
ID=74773918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011302003.2A Active CN112422568B (zh) | 2020-11-19 | 2020-11-19 | 新能源厂站非法网络通道的识别方法及厂站系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112422568B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103245881A (zh) * | 2013-04-22 | 2013-08-14 | 国家电网公司 | 一种基于潮流分布特征的配电网故障分析方法及装置 |
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
| CN107241224A (zh) * | 2017-06-09 | 2017-10-10 | 珠海市鸿瑞软件技术有限公司 | 一种变电站的网络风险监测方法及系统 |
| CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
| CN109783322A (zh) * | 2018-11-22 | 2019-05-21 | 远光软件股份有限公司 | 一种企业信息系统运行状态的监控分析系统及其方法 |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN111131332A (zh) * | 2020-01-16 | 2020-05-08 | 沈阳铁道科学技术研究所有限公司 | 一种网络业务互联与流量采集分析记录系统 |
| CN111343211A (zh) * | 2020-05-21 | 2020-06-26 | 四川英得赛克科技有限公司 | 基于网络流量的智能分析管控方法、系统、介质及设备 |
-
2020
- 2020-11-19 CN CN202011302003.2A patent/CN112422568B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103245881A (zh) * | 2013-04-22 | 2013-08-14 | 国家电网公司 | 一种基于潮流分布特征的配电网故障分析方法及装置 |
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
| CN107241224A (zh) * | 2017-06-09 | 2017-10-10 | 珠海市鸿瑞软件技术有限公司 | 一种变电站的网络风险监测方法及系统 |
| CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
| CN109783322A (zh) * | 2018-11-22 | 2019-05-21 | 远光软件股份有限公司 | 一种企业信息系统运行状态的监控分析系统及其方法 |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN111131332A (zh) * | 2020-01-16 | 2020-05-08 | 沈阳铁道科学技术研究所有限公司 | 一种网络业务互联与流量采集分析记录系统 |
| CN111343211A (zh) * | 2020-05-21 | 2020-06-26 | 四川英得赛克科技有限公司 | 基于网络流量的智能分析管控方法、系统、介质及设备 |
Non-Patent Citations (2)
| Title |
|---|
| 井柯等: "智能变电站监测预警系统研究与应用", 《电力信息与通信技术》 * |
| 王逸兮等: "基于改进SVM的电力企业信息系统异常检测方案的优化", 《计算机与数字工程》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112422568B (zh) | 2022-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111683097B (zh) | 一种基于两级架构的云网络流量监控系统 | |
| US8474041B2 (en) | Autonomous diagnosis and mitigation of network anomalies | |
| Hellemons et al. | SSHCure: a flow-based SSH intrusion detection system | |
| Mai et al. | Impact of packet sampling on portscan detection | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| KR102001812B1 (ko) | K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법 | |
| Khashab et al. | DDoS attack detection and mitigation in SDN using machine learning | |
| Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
| Dainotti et al. | Worm traffic analysis and characterization | |
| Zhao | Network intrusion detection system model based on data mining | |
| Zhang et al. | On the impact of route monitor selection | |
| Fonseca et al. | Bgp dataset generation and feature extraction for anomaly detection | |
| Daneshgadeh et al. | DDoS attack modeling and detection using smo | |
| US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| Haffey et al. | Modeling, analysis, and characterization of periodic traffic on a campus edge network | |
| Das et al. | Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics | |
| US8806634B2 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
| Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
| Krejčí et al. | Traffic measurement and analysis of building automation and control networks | |
| Pashamokhtari et al. | Progressive monitoring of iot networks using sdn and cost-effective traffic signatures | |
| D’Antonio et al. | High-speed intrusion detection in support of critical infrastructure protection | |
| CN112422568B (zh) | 新能源厂站非法网络通道的识别方法及厂站系统 | |
| TWI744545B (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
| Vykopal | Flow-based brute-force attack detection in large and high-speed networks | |
| Meidan et al. | Privacy-preserving detection of iot devices connected behind a nat in a smart home setup |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |