CN112532614A

CN112532614A - 一种用于电网终端的安全监测方法和系统

Info

Publication number: CN112532614A
Application number: CN202011344763.XA
Authority: CN
Inventors: 孙宝华; 张文杰; 张雷; 李峰; 霍英哲; 王群; 张东芳; 周小明; 王磊; 李广翱; 于亮亮; 陈硕; 黄兴; 刘衍; 吕军; 王楠; 李娜
Original assignee: State Grid Liaoning Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Current assignee: State Grid Liaoning Electric Power Co Ltd; Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Priority date: 2020-11-25
Filing date: 2020-11-25
Publication date: 2021-03-19

Abstract

本申请提供了一种用于电网终端的安全监测方法和安全监测系统，所述安全监测方法包括：基于IPFIX采集网络流数据，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端；或/和，基于网络协议解析对电网终端的业务安全进行监测，其中所述网络协议解析包括数据包重组或/和数据包方向判别。本发明相对于现有技术，能够对电力物联网领域的安全进行有效监测。

Description

一种用于电网终端的安全监测方法和系统

技术领域

本公开涉及计算机网络安全技术领域，尤其涉及一种用于电网终端的安全监测方法和系统。

背景技术

随着电力物联网接入终端的大量增长，传输的流量大幅度增长，网络异常也会相对的增多，为了防御网络攻击，监测网络异常，实现网络异常情况告警，需要采用适用于电力物联网领域的安全监测技术。

发明内容

本公开的目的之一是提供一种用于电网终端的安全监测方法和安全监测系统，以对电力物联网领域的安全进行有效监测。

为实现上述目的，根据本公开实施例的第一方面，提供一种用于电网终端的安全监测方法，所述安全监测方法包括：基于IPFIX采集网络流数据，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端；或/和，基于网络协议解析对电网终端的业务安全进行监测，其中所述网络协议解析包括数据包重组或/和数据包方向判别。

可选地，所述正常流量模型基于二分K-means聚类算法而建立。

可选地，所述将所采集的网络流数据与预先建立的正常流量模型进行比对的步骤包括：基于协直推式信度机-K邻近聚类的网络异常检测算法，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端。

可选地，所述基于网络协议解析对电网终端的业务安全进行监测包括：步骤1：在分析应用层http协议之前对数据报文的底层协议内容是否符合预设策略进行检查，所述检查的内容包括源网络地址、目的网络地址或/和端口号，如果符合则进入步骤2，否则结束；步骤2：获取URL地址信息；步骤3：在获取URL地址信息之后对http应用协议的内容进行检查，所述对http应用协议检测的内容包括是否包含某个字符串。

可选地，所述基于网络协议解析对电网终端的业务安全进行监测包括：基于SMB协议解析或/和SMB命令解析，对电网终端在网络中的共享访问操作进行监测。

可选地，所述基于网络协议解析对电网终端的业务安全进行监测的步骤包括：基于TNS协议解析，对电网终端访问oracle数据库的行为进行监测。

可选地，所述数据包方向判别的步骤包括：获取熟知端口信息，基于熟知端口信息对电网终端当前使用的服务进行判别；在创建会话时，填充与该会话相关的五元组，以根据该五元组的信息判断当前会话包的方向。

可选地，所述在创建会话时，填充与该会话相关的五元组，以根据该五元组的信息判断当前会话包的方向的步骤包括：a)若当前传输协议为TCP，并且数据包的目的端口大于等于1024，源端口小于1024时，则判断当前会话包的方向为：S->C，此时S为源端，C为目的端；b)若当前传输协议为TCP，并且数据包的目的端口小于1024，源端口大于等于1024时，则判断当前会话包的方向为：C->S，此时C为源端，S为目的端；c)否则，以当前数据包的目的端口为服务端口去执行匹配策略，如果匹配成功，则判断当前会话包的方向为：C->S，此时C为源端，S为目的端；如果匹配不成功，则判断当前会话包的方向为：S->C，此时S为源端，C为目的端。

可选地，所述基于网络协议解析对电网终端的业务安全进行监测的步骤包括：由wincap抓包模块从以太网中获得数据流并抓取在同一冲突域上的数据包；由以太网解析模块对抓取的数据包进行第一次解析；由IP解析模块对数据包中需要重组的IP分组进行重组以及对以太网解析模块解析上传的IP数据进行第二次解析；由UDP解析模块对IP解析模块解析的UDP数据进行第三次解析；由TCP解析模块对TCP半连接进行阻挡处理并对数据包中需要重组的TCP报文进行重组，以及对IP解析模块解析的TCP数据进行第四次解析；由策略匹配与会话管理模块为UDP解析模块和TCP解析模块提供匹配策略的验证并提供新建会话的操作；由应用层解析模块根据UDP解析模块和TCP解析模块解析出来的协议变量和应用层数据，对应用层协议进行深度解析，得到最终的事件的各个分量；由事件上报模块根据应用层解析出来的各个分量，按照不同的应用层事件格式进行组装，通过socket发送至控制界面，以对电网终端的业务安全进行监测。

根据本公开实施例的第二方面，提供一种用于电网终端的安全监测系统，所述安全监测系统能够执行上述任一项所述的安全监测方法。

本公开的实施例提供的技术方案可以实现以下有益效果：

本公开提供的安全监测方法和系统，基于网络流基本包含用于异常分析的主要属性且具有较少的数据量的特性，对网络流进行数据分析时不需要考虑包负载，减少了包处理开销，便于进行高效、实时地网络流量异常检测。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1为本申请一个实施例提供的用于电网终端的安全监测方法的流程示意图；

图2为本申请一个实施例提供的IPFIX报文格式及模板的示意图；

图3示出了本申请一个实施例的http协议的解析流程示意图；

图4为本申请一个实施例提供的TNS协议解析流程示意图；

图5为本申请一个实施例提供的数据包重组示意图；

图6为本申请一个实施例提供的基于网络协议解析对电网终端的业务安全进行监测的流程示意图；

附图中相同或相似的附图标记代表相同或相似的结构。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包括一个或多个相关联的列出项目的任何或所有可能组合。

根据本申请的一个方面，提供了一种用于电网终端的安全监测方法，本实施例的方法的执行主体可以为独立的电子实体，请参考图1，图1为本申请一个实施例提供的用于电网终端的安全监测方法的流程示意图。

如图1所示，所述用于电网终端的安全监测方法可以包括以下步骤：

步骤S101，基于IPFIX采集网络流数据，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端；

步骤S102，基于网络协议解析对电网终端的业务安全进行监测，其中所述网络协议解析包括数据包重组或/和数据包方向判别。

下文将对上述步骤S101和步骤S102进行详述。

对步骤S101而言，之所以采用基于IPFIX的方法采集网络流数据，是因为网络流量异常检测要把握流量描述的准确性、监测的实时性和获得信息的全面性，对于电力物联网而言，庞大的流量数据信息和高实时性的采集要求给流量分析工作造成了一定的困难，既要实时处理数据，又要兼顾准确性，而基于IPFIX(IP Flow Information Export，IP流信息输出)的方法采集网络流数据是在NetFlow方法上的改进。对于NetFlow方法而言，采用三层体系结构(数据导出设备、数据采集器和分析器)完成流数据信息从采集、汇聚、输出、接收、过滤、存储到分析，NetFlow中对网络流的定义为：一定时间段内，在一个源主机和一个目的主机间所发生的具有共同属性的单向连续数据包集合。而IPFIX相对于NetFlow而言，IPFIX继承了NetFlowV9基于模板的流信息输出格式，对数据流输出的典型应用进行了输出规范的建议，另外NetFlow中未涉及到的安全性问题，在IPFIX中也进行了说明。IPFIX对流的定义与NetFlow相同，且IPFIX还具有以下优点：

(1)统一了IP数据流的统计、输出标准。

(2)IPFIX标准关注网络升级时的流输出可扩展性。

(3)IPFIX定义了不同的流输出应用。

本发明采用IPFIX协议采集网络流数据，设计得到的IPFIX报文格式及模板如图2所示。在路由器中安装IPFIX后就可以调用IPFIX的接口导出网络流数据到服务器中进行流量分析。

对于上述步骤S101监测出的网络流异常而言，可以包括但不限于以下类型：

(1)网络故障和性能异常。网络设备故障异常指的是由于网络设备出现故障或是在网络中承载一些关键业务的服务器发生故障，从而使网络流量出现异常。

(2)网络行为异常。网络负载率突然变高，整个网络的性能下降。可能与休息日以及重大社会活动等社会原因相关，也有可能是由自然因素造成的如地表活动、山洪、海啸等。

(3)恶意攻击异常。网络中某个终端受到了恶意攻击引发的流量异常。如DoS攻击、网络蠕虫病毒的攻击或者其他人为的攻击造成的网络数据流量信息异常。

由于流量异常需要用当前窗口网络流数据与常规流量模型进行比对，完成异常检测，故建立正常的数据模型很重要，若建立的模型不可靠将对检测阶段造成不可估量的负面影响，基于此，本申请的发明人采用二分K-means聚类算法建立正常流量模型。

其中，二分K-means聚类算法是K-means聚类算法改进后的算法，其思想是：为了把样本数据分为k个簇，首先用k-means算法将所有的样本数据分为两个簇，在这两个簇中选择一个样本数据较大的簇，重复使用K-means算法进行二分裂操作，得到k个簇算法就结束。二分k-means算法的步骤如下：

1)对簇集V进行初始化操作，簇集V只含一个包含所有样本的簇S，簇数km＝1；

2)从簇集V中取出一个最大的簇N_i；

3)用K-means聚类算法对簇Ni进行q次二分聚类操作；

4)计算这q对子簇的SSE的大小，SSE计算的是拟合数据和原始数据对应点的误差的平方和，选择SSE值(和方差)最小的一对子簇添加到V中，km++；

5)假如km＝k，算法终止。否则转步骤2。

其中，SSE的计算可以采用现有技术中的常用技术规则来计算。

当基于二分K-means聚类算法建立正常流量模型后，需要对待监测的网络数据流量进行异常检测，即对待测数据进行与正常行为模式的比对，然后判断其是否为异常。本申请优选采用协直推式信度机-K邻近聚类(简称ATCM-KNN)的网络异常检测算法，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端。

正常流量模型的数据都是正常数据，这些数据根据聚类算法分成了几个簇，在类别划分中训练数据集就只属于正常数据集一类，训练数据集中不存在多类别的情况。对定义奇异值进行描述，相对于正常类别y，需要检测的样本i对应的奇异值α_iy为：

其中

是指待分类样本i与已知类别y中所有样本的距离的集合，

是指分类样本i与已知类别y中所有样本的距离的集合中第j个最短的距离，k是最近邻的数目，其中i和j、k都为正整数。

ATCM-KNN算法是针对进行过聚类的正常数据集而设计的异常检测算法，该算法假设基于二分K均值算法把正常数据集聚为f个簇，首先需要计算待测样本与这f个簇的簇中心的距离(此处也是欧式距离)，选择距离最短的一个簇作为该检测样本待加入的正常训练集，距离越短，待测样本点与该簇内样本的相似度更高；选定与待测样本点距离最近的簇为正常训练集，通过计算待测样本的奇异值以及正常训练集所有样本的奇异值，可以得到待测样本相对于正常训练集的P值，若P值小于预设定的阈值t，通常t为0.05，置信度为1-t(95％)，此时用置信度1-t作为判定异常的指标。ATCM-KNN算法描述如下：

参数：k(最近邻的数目)、m(训练数据集样本数目)、f(聚类得到的簇数)、t(设定的置信度阈值)；

输入：r(待检测网络流数据)；

输出：异常/正常。

对每个i从1到f，循环求r与簇i的中心，求出最小距离并返回对应的簇e，将簇中心e所在的簇作为正常训练集；对每个j从1到m计算出训练集中每个样本的D并存储，计算每个样本的α并存储，计算r的奇异值和P值。将P值与置信度比较，输出结果。

通过对电力物联网网络流的采集和对采集到的网络流的分析，可以实现网络流量异常行为的诊断与告警，确定异常终端的地址以便网络管理人员的维护。本申请通过采用IPFIX流采集方法、二分K-means聚类算法和协直推式信度机-K邻近分类算法完成了对轻量级的业务流量进行实时异常分析，权衡了流量描述的准确性、监测的实时性和获得信息的全面性。

在详述了上述步骤S102之后，接下来对步骤S102进行详述。

对于步骤S102而言，基于网络协议解析对电网终端的业务安全进行监测，其中所述网络协议解析包括数据包重组或/和数据包方向判别。

网络协议解析是指解析不同网络层次按不同的协议规范来解析各层数据包的头部及其载荷，从而还原出完整的协议原始信息以及精确记录网络操作、访问的关键信息的行为。网络协议解析的工作正好是封装过程的逆顺序的解封。

本申请将链路层、网络层、传输层的协议在此归结为低层次协议，相对于应用层协议来说，低层次协议种类少，并且绝大部分协议都具有一定的规范。低层次协议的解析相对比较简单，低层次协议一般有固定长度的协议头，并且协议头中字段的意义明确，使用传统的协议解析方法，分析比较协议头中的关键字段就可以实现协议的识别和解析。应用层协议则多种多样，因而本申请基于包括但不限于以下方法对应用层协议进行解析。

在一个实施例中，请参考图3，图3示出了本申请一个实施例的http协议的解析流程示意图。根据图3，对http协议的解析而言，包括：

步骤1：在分析应用层http协议之前对数据报文的底层协议内容是否符合预设策略进行检查，所述检查的内容包括源网络地址、目的网络地址或/和端口号，如果符合则进入步骤2，否则结束；

步骤2：获取URL地址信息；

步骤3：在获取URL地址信息之后对http应用协议的内容进行检查，所述对http应用协议检测的内容包括是否包含某个字符串。

具体地，采用预设的检查策略1在分析HTTP协议之前对数据报文的低层协议内容进行检查，如果没有符合预设策略1，则不需要做进一步的协议分析，使得系统处理流程更加合理。预设策略1的检查内容包括源和目的网络地址，端口号等内容。采用预设的检查策略2在获取URL之后对应用协议HTTP协议内容进行相关的检查，例如可以检测URL地址中是否包含某个字符串。生成审计数据部分把获取到的URL地址和其它系统关心的协议行为信息以适合的格式交付给日志报警模块进行处理。

根据本申请的一个优选实施例，所述基于网络协议解析对电网终端的业务安全进行监测可以包括：基于SMB协议解析或/和SMB命令解析，对电网终端在网络中的共享访问操作进行监测。

具体地，SMB协议解析主要用来检测网络中的共享访问操作，例如，哪个用户从哪台设备读取了哪些文件。在判断对文件的创建、删除等操作时，SMB命令起着关键作用，例如SMB_COM_READ_ANDX命令用来读取文件的内容，监测这个命令的执行就可以知道某个文件被读取。

SMB命令解析通过解析SMB消息头确定正在执行的SMB命令，从而可以获得正在进行的操作和操作对象。协议信息获取是通过进一步分析SMB命令的负载内容来获取用以分析协议行为的信息。例如从SMB_COM_READ_ANDX命令的负载内容中获取文件名、TID标识等，而TID标识可用于确定所读取文件的共享路径。状态维护是维护管理SMB协议交互过程的信息。对于每一个SMBconnection，系统会维护一个数据结构来保存交互过程中与审计相关的各种信息，包括所处的SMBsession、用户名、文件名等。SMB协议的策略除了可以规定解析日期时间、网络地址等条件外，还可以指定对何种操作进行解析，指定文件名、用户名等解析条件。

根据本申请的一个优选实施例，所述基于网络协议解析对电网终端的业务安全进行监测可以包括：基于TNS协议解析，对电网终端访问oracle数据库的行为进行监测。

具体地，oracle数据库的远程访问使用TNS协议进行交互，对TNS协议解析能够监测到对oracle数据库的访问行为。根据oracle数据库版本不同，客户端与oracle交互过程和某些细节也有所不同。从TNS协议交互过程可知，在oracle9i数据库访问过程中，数据库名称、访问者帐户名、以及SQL交互过程中的SQL语句是存在于什么状态类型的数据包中，这三种信息是一个协议行为审计系统比较感兴趣的内容。应用PCRE库中的正则表达式描述方法，为TNS协议建立的正则表达式描述集包括：

a)".*SERVICE_NAME＝([a-zA-Z0-9_\.]+)"，用来在客户端的connect请求连接数据库的数据包中找到服务名，这个服务名在Oracle数据库中就是业务数据库名。

b)"(alter[]+database)[]+(close).*$"，用来在客户端向数据库发送的data数据包中发现sql语句“alter database close”，这个sql语句用来关闭数据库，这个语句能够表明客户端方用户发起了关闭数据库的操作。

c)\\x00\\x00(？:\\x01|\\x00)(.{1,2})(select.+？)(\\x01+？)(\\x00+？)，用来在客户端向数据库发送的data数据包中发现select类型的sql语句，从这个语句可以发现客户端用户做了哪些查询操作。

d)"(select)(.+？)from([a-zA-Z0-9_\.]+)()？(where)？.*$"，对select类型的sql语句的进一步解析，从中可以解析出一般形式的select语句中的数据表名称，从而可以知道用户对哪些数据表进行了操作。

其中，TNS协议解析流程可以参考图4，本申请主要涉及初始状态、建立连接状态和成功登录状态等三个状态下的处理流程。其中检查策略3所检查的内容包括源和目的网络地址、日期时间以及端口号等。检查策略4检查与oracle数据库访问密切相关的内容，例如用户名、数据库名等。状态判别根据当前交互过程所处的状态选择合适的正则表达式运行以获取相应的协议行为信息。在TNS协议解析过程中，系统为数据库访问过程的TCP会话维护一个记录协议状态和协议行为信息的数据结构。状态维护1把已获取的数据库名记录到该数据结构中，并把状态设置为下一个状态。状态维护2把已获取的用户名记录到该数据结构，并把状态设置为下一个状态。

对于步骤S102中的数据包重组而言，数据包重组是把网络中的数据包由以太网到应用层所进行的各种解包、重组、协议还原、会话还原、应用层行为还原等操作的统称。其中，数据包重组示意图如5所示。

对于数据包方向的判别而言，可以包括以下子步骤：获取熟知端口信息，基于熟知端口信息对电网终端当前使用的服务进行判别；在创建会话时，填充与该会话相关的五元组，以根据该五元组的信息判断当前会话包的方向。

具体地，在网络协议解析的过程中，需要得知准确的数据流方向，对应的解析程序才能正确的解析和利用数据包中的信息，因而设计和使用正确的数据包方向识别技术至关重要。在本申请中，使用熟知端口来判别当前使用的是何种服务，例如，当使用的熟知端口为80时，就可以知道当前所使用的服务为http服务；当使用的熟知端口为21时，就可以知道当前所使用的服务为ftp服务。之所以用熟知端口来判别服务，是因为目前所需要解析的服务的服务器所绑定的端口都小于1024，所以用该机制可以满足需求。

判断数据包方向的方法如下：

1)第一步：在创建会话时，填充与该会话相关的五元组，以便该会话后续的数据包可以根据该五元组的信息来判断出数据包的方向；

这一步最关键的工作是在未建立起会话的情况下判断出当前数据包的方向，以便根据该方向的不同，把当前包携带的不同的信息给五元组赋值。判断方法如下：

a)若当前传输协议为TCP，并且数据包的目的端口大于等于1024，源端口小于1024时，方向为：S->C(因为端口号小于等于1024的一端为服务器端)；

b)若当前传输协议为TCP，并且数据包的目的端口小于1024，源端口大于等于1024时，方向为：C->S(因为端口号小于等于1024的一端为服务器端)；

c)否则，以当前数据包的目的端口为服务端口去执行匹配策略，如果匹配成功，则方向为：C->S，此时Client为源端，Server为目的端；如果匹配不成功，则方向为：S->C，则Server为源端，Client为目的端(因为配置策略时，所填写的服务端口正是服务器端的端口)。

2)第二步：这种情况下，该会话后续的数据包可以根据自己当前的五元组信息和该会话的五元组信息作比较而快速判断出数据包的方向。

根据本申请的一个优选实施例，请参考图6，所述基于网络协议解析对电网终端的业务安全进行监测的步骤包括：

步骤1，由wincap抓包模块从以太网中获得数据流并抓取在同一冲突域上的数据包；

步骤2，由以太网解析模块对抓取的数据包进行第一次解析；

步骤3，由IP解析模块对数据包中需要重组的IP分组进行重组以及对以太网解析模块解析上传的IP数据进行第二次解析；

步骤4，由UDP解析模块对IP解析模块解析的UDP数据进行第三次解析；

步骤5，由TCP解析模块对TCP半连接进行阻挡处理并对数据包中需要重组的TCP报文进行重组，以及对IP解析模块解析的TCP数据进行第四次解析；

步骤6，由策略匹配与会话管理模块为UDP解析模块和TCP解析模块提供匹配策略的验证并提供新建会话的操作；

步骤7，由应用层解析模块根据UDP解析模块和TCP解析模块解析出来的协议变量和应用层数据，对应用层协议进行深度解析，得到最终的事件的各个分量；

步骤8，由事件上报模块根据应用层解析出来的各个分量，按照不同的应用层事件格式进行组装，通过socket发送至控制界面，以对电网终端的业务安全进行监测。

具体地，首要任务是从以太网中获得数据流。由于以太网中的数据传输采用的都是以太网广播信道争用的方式，因而它具有共享介质的显著特征。同时又因为以太网中传输的数据流是明文的，所以把连在以太网的其中一台主机的网卡的工作模式设置为监听模式时，就可以抓取任何一个在同一冲突域上的数据包。由于WinPcap是windows平台上免费的网络编程接口，它可以满足以太网抓包的种种要求，因而抓包模块采用WinPcap技术来实现。

当抓取到数据包后，就要对数据包进行以太网层、网络层、传输层和应用层的层层解析，期间还需完成IP分组重组、TCP报文重组、策略匹配和会话管理的工作，因而都需要对应的模块。对应用层解析完成后，接着需要把解析结果上传给控制界面，这时就需要针对各个应用层协议按不同的形式组织结果，因而这部分工作将由上报事件模块来完成。期间，各模块与控制界面的通信需要一个模块来负责，这个模块就是socket通信模块。

根据实际需要九个模块的具体功能如下：

(1)WinCap抓包模块的主要功能是完成对内部以太网数据的抓取。

(2)以太网解析模块的主要功能是对原始数据进行解析，以填充对应分量并解析出上层的协议变量，以便让上层解析模块正确解析数据包。

(3)IP解析模块的主要功能是对需要重组的IP分组进行重组；对以太网解析模块上传上来的IP数据进行解析，填充对应分量并获得上层的协议变量，以便让上层解析模块正确解析数据包。

(4)UDP解析模块的主要功能是对IP解析模块上传上来的UDP数据进行解析，以填充对应分量并解析出应用层的协议变量，以便让上层解析模块正确解析数据包。

(5)TCP解析模块的主要功能是对TCP半连接进行阻挡处理；对需要重组的TCP报文进行重组；对IP解析模块上传上来的TCP数据进行解析，以填充对应分量并解析出应用层的协议变量，以便让上层解析模块正确解析数据包。

(6)策略匹配与会话管理模块的主要功能是为UDP、TCP解析模块提供匹配策略的验证功能；为UDP、TCP解析模块提供新建会话等功能。

(7)应用层解析模块的主要功能是：根据UDP，TCP解析出来的协议变量和应用层数据，进行对应应用层协议的深度解析，以解析出最终的事件的各个分量。

(8)事件上报模块该模块的主要功能是：根据应用层解析模块解析出来的各个分量，按不同的应用层事件格式组装。

(9)socket处理模块的主要功能是：接收审计控制界面下发下来的审计策略，并组织好这些策略，以便策略匹配模块调用；把事件上报模块组装好的事件，通过socket发送给控制界面。

与现有技术相比，本申请为了业务安全异常分析的需要，提出了采用网络解析、数据包重组和数据包方向识别的技术，包括应用层协议HTTP、SMB、TNS的解析方法。采用协议深度解析技术检测终端设备的业务安全异常，提出基于协议深度解析的业务安全异常分析流程。其中协议深度解析按照网络协议标准从下往上完成数据包解析，由于应用层协议解析对业务数据分析的重要作用，通过应用层协议解析检测业务安全异常，实现终端层安全监测防护。

应当注意，尽管在附图中以特定顺序描述了本公开方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。相反，流程图中描绘的步骤可以改变执行顺序。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

根据本申请的一个总的发明构思，本申请实施例还提供一种用于电网终端的安全监测系统，所述安全监测系统能够执行上述任一所述的安全监测方法。

应当理解，上述系统可以预先设置在电子设备中，也可以通过下载等方式而加载到电子设备中。上述系统中的相应模块可以与电子设备中的模块相互配合以实现。所述电子设备包括计算机设备，所述计算机设备例如可以包括处理器以及存储有计算机程序指令的存储器。

对于系统实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其他的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims

1.一种用于电网终端的安全监测方法，其特征在于，所述安全监测方法包括：

基于IPFIX采集网络流数据，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端；或/和，

基于网络协议解析对电网终端的业务安全进行监测，其中所述网络协议解析包括数据包重组或/和数据包方向判别。

2.根据权利要求1所述的安全监测方法，其特征在于，所述正常流量模型基于二分K-means聚类算法而建立。

3.根据权利要求1所述的安全监测方法，其特征在于，所述将所采集的网络流数据与预先建立的正常流量模型进行比对的步骤包括：

基于协直推式信度机-K邻近聚类的网络异常检测算法，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端。

4.根据权利要求1所述的安全监测方法，其特征在于，所述基于网络协议解析对电网终端的业务安全进行监测包括：

步骤2：获取URL地址信息；

5.根据权利要求1所述的安全监测方法，其特征在于，所述基于网络协议解析对电网终端的业务安全进行监测包括：

基于SMB协议解析或/和SMB命令解析，对电网终端在网络中的共享访问操作进行监测。

6.根据权利要求1所述的安全监测方法，其特征在于，所述基于网络协议解析对电网终端的业务安全进行监测的步骤包括：

基于TNS协议解析，对电网终端访问oracle数据库的行为进行监测。

7.根据权利要求1所述的安全监测方法，其特征在于，所述数据包方向判别的步骤包括：

获取熟知端口信息，基于熟知端口信息对电网终端当前使用的服务进行判别；

在创建会话时，填充与该会话相关的五元组，以根据该五元组的信息判断当前会话包的方向。

8.根据权利要求7所述的安全监测方法，其特征在于，所述在创建会话时，填充与该会话相关的五元组，以根据该五元组的信息判断当前会话包的方向的步骤包括：

a)若当前传输协议为TCP，并且数据包的目的端口大于等于1024，源端口小于1024时，则判断当前会话包的方向为：S->C，此时S为源端，C为目的端；

b)若当前传输协议为TCP，并且数据包的目的端口小于1024，源端口大于等于1024时，则判断当前会话包的方向为：C->S，此时C为源端，S为目的端；

c)否则，以当前数据包的目的端口为服务端口去执行匹配策略，如果匹配成功，则判断当前会话包的方向为：C->S，此时C为源端，S为目的端；如果匹配不成功，则判断当前会话包的方向为：S->C，此时S为源端，C为目的端。

9.根据权利要求1所述的安全监测方法，其特征在于，所述基于网络协议解析对电网终端的业务安全进行监测的步骤包括：

由wincap抓包模块从以太网中获得数据流并抓取在同一冲突域上的数据包；

由以太网解析模块对抓取的数据包进行第一次解析；

由IP解析模块对数据包中需要重组的IP分组进行重组以及对以太网解析模块解析上传的IP数据进行第二次解析；

由UDP解析模块对IP解析模块解析的UDP数据进行第三次解析；

由TCP解析模块对TCP半连接进行阻挡处理并对数据包中需要重组的TCP报文进行重组，以及对IP解析模块解析的TCP数据进行第四次解析；

由策略匹配与会话管理模块为UDP解析模块和TCP解析模块提供匹配策略的验证并提供新建会话的操作；

由应用层解析模块根据UDP解析模块和TCP解析模块解析出来的协议变量和应用层数据，对应用层协议进行深度解析，得到最终的事件的各个分量；

由事件上报模块根据应用层解析出来的各个分量，按照不同的应用层事件格式进行组装，通过socket发送至控制界面，以对电网终端的业务安全进行监测。

10.一种用于电网终端的安全监测系统，其特征在于，所述安全监测系统能够执行权利要求1-9任一项所述的安全监测方法。