CN113259943B - 一种电力无线专网异常流量分析阻断方法及系统 - Google Patents
一种电力无线专网异常流量分析阻断方法及系统 Download PDFInfo
- Publication number
- CN113259943B CN113259943B CN202110468023.5A CN202110468023A CN113259943B CN 113259943 B CN113259943 B CN 113259943B CN 202110468023 A CN202110468023 A CN 202110468023A CN 113259943 B CN113259943 B CN 113259943B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- flow
- network
- terminal
- blocking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/06—Testing, supervising or monitoring using simulated traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种电力无线专网异常流量分析阻断方法及系统,该方法包括:在电力无线专网运行过程中,获取终端网络流量;基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。本发明提供的电力无线专网异常流量分析阻断方法及系统,在电力无线专网运行的过程中持续监测分析,并对异常流量以及异常业务终端进行针对性的阻断,能有效地提高电力无线专网安全水平,保证电力通信端到端的安全传输及系统的可靠运行。
Description
技术领域
本发明涉及电力技术领域,尤其涉及一种电力无线专网异常流量分析阻断方法及系统。
背景技术
随着电力无线专网接入终端数量的急剧增加,由于源网荷储、配变监测、移动应用等各类混合业务统一接入,电力无线专网具有信道开放、网络共享、终端移动等特性,对于电力业务的安全性提出了巨大挑战。为了保证业务的安全稳定接入和运行,需要对非法设备的接入和故障业务终端进行处理,以保证电力无线转网的安全运行。
现有技术中,普遍采用的是通过核心网进行集中式处理的方式实现安全管理,但其无法满足负荷控制类电力业务的实时性要求;或是通过构建保护模型,从终端、传输通道及应用程序三方面对安全接入进行保护,但并未考虑到面对故障业务以及业务终端异常情况的处理方式;又或是基于属性加值贝叶斯和支持向量机进行无线公网入侵攻击识别方法,构建无线公网安全模型,但贝叶斯和支持向量机无法满足日益扩大的无线电网中业务故障、异常业务流实时准确监测需求;还有基于设备画像针对终端业务流量监测,结合特定攻击场景、确定仿冒恶意终端设备的,但没有考虑到面对实时异常流量的处理方式,以及确定异常终端后的应对策略。
以上方法均存在无法对电力无线专网进行全面地监测,并无法根据监测到的故障类型实施针对性的处理。
发明内容
针对现有技术存在安全性低的问题,本发明实施例提供一种电力无线专网异常流量分析阻断方法及系统。
本发明提供一种电力无线专网异常流量分析阻断方法,包括:在电力无线专网运行过程中,获取终端网络流量;基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
可选地,根据本发明提供的一种电力无线专网异常流量分析阻断方法,对异常业务终端进行接入阻断处理,包括:在异常业务终端处于分区业务场景的情况下,利用电力无线专网核心网中业务网关的端口对异常业务终端进行隔离阻断;分区业务场景为不同无线电分区的业务场景;在异常业务终端处于同区业务场景的情况下,根据异常业务终端的接入点名称,对异常业务终端进行隔离阻断;同区业务场景为处于同一无线电分区的业务场景。
可选地,根据本发明提供的一种电力无线专网异常流量分析阻断方法,获取异常流量的阻断点,包括:基于预设评估指标和预设评估策略,构建评估模型;预设评估指标为评估网络节点关键度的度量标准,度量标准包括网络节点的度数、业务流量介数、正常业务流量介数以及异常业务流量介数;预设评估策略包括利用评估指标对网络节点关键度的测度方法;基于评估模型,利用评估策略对异常流量流经的各个网络节点进行关键度评估,获取各个网络节点的评估分值;在任一评估分值处于预设区间的情况下,确定与任一评估分值对应的网络节点为阻断点。
可选地,根据本发明提供的一种电力无线专网异常流量分析阻断方法,确定终端网络流量中包含异常流量,包括:基于终端网络流量的属性信息,根据终端网络流量中任一业务的数据包类型,获取目标业务中任一超过预设时长Tk的连续时间段内数据包的平均长度;在平均长度大于预设门限Hk的情况下,确定目标业务产生的流量为异常流量。
可选地,根据本发明提供的一种电力无线专网异常流量分析阻断方法,在获取终端网络流量之前,基于终端设备的设备信息,对终端设备的合法性进行判断;在确定终端设备中包含非法终端设备的情况下,对非法终端设备进行阻断处理;在确定终端设备中包含合法终端设备的情况下,确定合法终端设备的属性信息,属性信息用于获取终端网络流量。
可选地,根据本发明提供的一种电力无线专网异常流量分析阻断方法,对非法终端设备进行阻断处理,包括:通过电力无线专网的认证网关对非法终端设备进行接入拒绝处理,并在电力无线专网的5G通信终端关闭动态主机配置协议,动态主机配置协议是非法终端设备与电力无线专网之间的配置协议。
可选地,根据本发明提供的一种电力无线专网异常流量分析阻断方法,在阻断点对异常流量进行阻断处理之后,还包括:
步骤1,重新获取终端网络流量;
步骤2,在确定重新获取的终端网络流量中包含剩余异常流量的情况下,调整度量标准中参数权重,获取新阻断点;
步骤3,在新阻断点对剩余异常流量进行阻断处理;
步骤4,迭代执行步骤1至步骤3,直至终端网络流量中无异常流量,执行步骤1。
本发明还提供一种电力无线专网异常流量分析阻断系统,包括:
流量获取单元,用于在电力无线专网运行过程中,获取终端网络流量;
分析单元,用于基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;
阻断单元,用于在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现如上述任一种电力无线专网异常流量分析阻断方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种电力无线专网异常流量分析阻断方法的步骤。
本发明提供的电力无线专网异常流量分析阻断方法及系统,在电力无线专网运行的过程中持续监测分析,并对异常流量以及异常业务终端进行针对性的阻断,能有效地提高电力无线专网安全水平,保证电力通信端到端的安全传输及系统的可靠运行。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的电力无线专网异常流量分析阻断方法的流程示意图之一;
图2是本发明提供的电力无线专网异常流量分析阻断方法的流程示意图之二;
图3是本发明提供的电力无线专网异常流量分析阻断系统的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着无线专网在电力系统中的广泛应用,为配电自动化、源网荷储互动等控制类业务和用电信息采集、移动作业、视频监控等管理类业务提供了便捷的接入手段。电力无线专网继承了无线网络组网灵活、建设便捷、应用成熟的优势,同时其频段、设备、网络的专用避免了无线公网在带宽、时延、业务中断率、安全可靠性方面的限制,能够有效补充有线传输网络并高效解决电力通信终端接入问题,具有传统有线通信和无线公网通信不可比拟的优势。
由于电力无线专网承载了大量的电力专用业务,电力无线专网作为电力通信网的组成部分,涉及多种生产控制类和管理信息类业务的接入和承载,区别于有线终端的固定及相对封闭,无线终端移动性较高,存在被盗窃、丢失的风险,易导致非法终端接入(终端威胁)或合法终端接入非法基站(伪基站风险),从而影响电力系统的稳定运行。
现有技术中,保护模型通过结合电力企业特点,面向电力系统移动终端网络安全,分析移动终端接入过程,提出远程访问保护不能完全满足电力信息系统的安全要求,因为远程访问保护优先保证数据的保密性和完整性,不检查访问终端的安全性,对应用系统保护不足。该保护模型以集成的、动态的、主动的、可控制的从接入终端、传输通道和应用系统对电力无线专网进行保护,在安全终端层加强终端底层操作系统,添加硬件加密模块或内部自定义安全软件;在安全通道层,一方面使用GPRS APN、WCD-MA APN和LTE APN/VPND等专用线路的服务网络,其次,采用SSL加密安全协议,在专用线路上建立安全通道,对传输数据进行加密;在安全接入平台使用安全接入网关、集中监控系统、认证系统和安全审核系统;业务访问层响应并处理访问请求。但是,考虑智能电网的快速推进,将会有越来越多不同类型的移动终端需要远程接入电路网络,且电力企业的各种业务也在不断向移动终端扩展,对移动终端的加固部署耗时耗力,该系统也并未考虑到面对故障业务以及业务终端异常情况的处理方式。
智能无线公网信道监测架构根据电网企业信息安全防护的隔离认证需求,在研究以无线公网为信道的相关职能电网业务场景、体系架构、无线公网信道等环节的监测方案,研究了基于贝叶斯算法的无线公网接入业务的分类识别方法,以及在此基础上的业务终端安全区分层隔离方案,同时设计了结合生物特征的多因子无线公网接入动态安全认证方法。研究了基于属性加值贝叶斯和支持向量机进行无线公网入侵攻击识别方法,构建了基于实战对抗的无线公网安全态势感知与预警模型。该模型包括智能配用电业务终端、系统主站、无线公网信道等环节的监测方案。在接入业务识别环节主要采用一种基于朴素贝叶斯算法的无线公网接入业务的分类识别方法,采用基于属性加值贝叶斯和支持向量机进行无线公网入侵攻击识别方法构建无线公网的态势感知。在电网实际工作中,各个业务流状态多种多样,面对的异常情况有时无法预计,朴素贝叶斯算法是虽然简单易行,但是朴素贝叶斯算法理论假设属性之间相互独立,学习不了特征间的关联关系,而在电力网络业务识别、网络攻击识别中特征之间往往关联紧密,支持向量机算法训练时间花费大,训练困难,面对电力网络复杂多样的业务,神经网络具有强大的非线性拟合能力和自学习能力,可以构建非线性的复杂关系的模型,适用于无线电力专网业务实时准确监测,保证无线电力专网安全高效稳定运行,但贝叶斯和支持向量机无法满足日益扩大的无线电网中业务故障、异常业务流实时准确监测需求。
针对终端业务流量监测以网络流量外在特征为分析对象,即不考虑网络流量的具体内容,可适用于加密流量。针对终端产生的明文流量,可执行业务协议异常检测。最后,结合业务流量异常分析和业务协议综合考虑终端设备的物理层、网络层和协议层异常特征,建立终端设备画像,刻画终端设备的网络访问状态。该技术选取有效的网络流量基本属性,针对终端产生的明文流量,执行业务协议监测,在协议语法层面,实现报文的并行解析方法,在协议语义层面,实现基于业务协议建模的异常检测,综合考虑不同层的异常特征,确定仿冒、恶意终端设备。该技术着重于终端业务流量多层监测,却没有考虑到面对实时异常流量的处理方式,以及确定异常终端后的应对策略。
本发明针对电力无线专网“终端—基站—核心网—主站”的通信架构,对电力无线专网端到端的通信安全监测,对电力无线专网终端的流量和服务质量进行监测,分析获取异常流量,对异常流量进行阻断的同时,追踪异常流量终端,对异常终端进行接入阻断,从而处理电力无线专网中异常流量的问题。
下面结合图1至图4描述本发明提供的电力无线专网异常流量分析阻断方法和系统。
图1是本发明提供的电力无线专网异常流量分析阻断方法的流程示意图之一,如图1所示,包括但不限于以下步骤:
S1,在电力无线专网运行过程中,获取终端网络流量;
S2,基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;
S3,在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
需要说明的是,本发明提供的电力无线专网异常流量分析阻断方法的执行主体为网络管理系统,网络管理系统通过持续对运行中的电力无线专网进行监控、分析和调整,实现电力无线转网的安全运行。
图2是本发明提供的电力无线专网异常流量分析阻断方法的流程示意图之二,如图2所示,本发明提供的电力无线专网异常流量分析阻断方法主要包括:监控阶段、分析阶段和调整阶段。
监控阶段,主要包括通过网络管理系统和LTE终端采集所需要的终端网络流量属性信息,获取终端设备产生的网络流量。
分析阶段,主要包括对监控阶段获取到的网络流量进行异常流量的判断和异常流量解析。
调整阶段,主要包括对非法设备、异常流量和异常业务终端设备的阻断处理;以及判断是否阻断成功以及异常业务告警。
针对非法设备中的干扰终端,提出基站配置调整和接入认证阻断等接入阻断方案。对网络异常流量,及时采取异常流量阻断方法保证网络业务正常运行,进一步对非法终端,提出基于分布式认证网关的认证阻断方案,对于正常业务终端在网络中生成的异常数据和流量,采用业务流阻断隔离等方式完成对应的阻断。
监控阶段主要包括步骤S1,包括:通过网络管理系统和长期演进(Long TermEvolution,LTE)终端采集所需要的终端网络流量属性信息,获取终端设备产生的网络流量。
完成终端网络流量属性信息的采集后,进入分析阶段。
终端网络流量属性信息通过LTE终端和网络管理系统获取,包括无线侧接入终端的终端国际移动设备识别码(International Mobile Equipment Identity,IMEI),全球用户识别卡号(Universal Subscriber Identity Module,USIM),终端的互联网协议地址(Internet Protocol Address,IP地址),网卡物理地址(Media Access Control,MAC),还包括网络流量的应用层协议、传输层协议、报文长度、报文时隙以及报文方向等信息。其中,传输层协议包括传输控制协议(Transmission Control Protocol,TCP)、用户数据包协议(User Datagram Protocol,UDP)等信息。
进一步地,分析阶段主要包括步骤S2,包括:根据终端网络流量的属性信息,需要对终端网络流量中是否包含异常流量进行判断,在终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,阻断点为异常流量流经的网络节点。再通过流量解析功能,对异常流量进行深入字段解析,确定产生异常流量的异常业务终端的IMEI号、USIM号、MAC地址和IP地址,以及端口号。之后,进入调整阶段。
在检测到网络中的异常流量以后,为避免电力无线专网业务遭到异常流量的严重干扰,需要选择有效的异常流量阻断点及时进行异常流量阻断,可以选择度数最大的网络节点作为阻断点。
某个网络节点的度数被定义为直接与该网络节点相连的邻居网络节点的个数。如果将电力无限专网核心网侧业务流量流经各网络节点的路径组成一个无向无权网络,那么,其网络节点的度数可以衡量该网络节点在支持网络业务流量中的重要程度。
其中,对异常流量的判断,可以根据历史数据,在预设监控周期内流量与历史数据的差值超过阈值的情况下,可以判定为异常流量。其中,在不影响本发明实施的情况下,阈值和预设监控周期可根据统计情况灵活设置调整。也可以利用签名的思想,对报文进行签名,进而在检查签名是否正确时,实现对网络异常流量的检测。
进一步地,调整阶段主要包括步骤S3,包括:在阻断点对异常流量进行阻断处理,并通过认证网关来完成对应IP地址、MAC地址和IMEI号异常业务终端设备的接入拒绝。
为了保证网络正常,如果发现异常流量,可以尽早采取阻断措施。
由于对异常流量和异常业务终端的阻断过程相对独立,根据需求调整阻断顺序,或同步进行阻断处理。
本发明提供的电力无线专网异常流量分析阻断方法,在电力无线专网运行的过程中持续监测分析,并对异常流量以及异常业务终端进行针对性的阻断,能有效地提高电力无线专网安全水平,保证电力通信端到端的安全传输及系统的可靠运行。
基于上述实施例的内容,作为一种可选实施例,对异常业务终端进行接入阻断处理,包括:
在异常业务终端处于分区业务场景的情况下,利用电力无线专网核心网中业务网关的端口对异常业务终端进行隔离阻断;分区业务场景为不同无线电分区的业务场景;
在异常业务终端处于同区业务场景的情况下,根据异常业务终端的接入点名称,对异常业务终端进行隔离阻断;同区业务场景为处于同一无线电分区的业务场景。
需要说明的是,根据我国的无线电分区,各个分区会接入电力无线专网的核心网,每个分区对应核心网的某个网关端口。某个异常终端所进行的异常业务,可能是在跨区进行的,也可能是在同区提供的,需要对异常业务的业务场景进行判断,再采用相应方法针对性地处理。
在分区业务场景中采用不同的核心网业务网关端口(物理端口)或不同的核心网来隔离阻断;在同区业务场景中采用不同的接入点名称(Access Point Name,APN)进行隔离阻断。
本发明提供的电力无线专网异常流量分析阻断方法,通过对异常业务分析场景的判断,能够针对性地阻断异常业务终端,实现对异常业务终端精有效地、细化地阻断处理,提高了电力无线专网安全水平。
基于上述实施例的内容,作为一种可选实施例,获取异常流量的阻断点,包括:
基于预设评估指标和预设评估策略,构建评估模型;预设评估指标为评估网络节点关键度的度量标准,度量标准包括网络节点的度数、业务流量介数、正常业务流量介数以及异常业务流量介数;预设评估策略包括利用评估指标对网络节点关键度的测度方法;
基于评估模型,利用评估策略对异常流量流经的各个网络节点进行评估,获取各个网络节点的评估分值;在任一评估分值处于预设区间的情况下,确定与任一评估分值对应的网络节点为阻断点。
需要说明的是,在电力无线专网核心网中,网络节点对于各个业务流量传输的重要性存在差别,因此,选择一个合适的指标,既可以表征网络节点在复杂的网络拓扑的关键度,又可以表征网络节点在业务流量传输的关键度十分重要。
根据预设评估指标和预设评估策略,本实施例构建了电力无线专网核心网侧异常流量集关键网络节点评估模型。
网络节点关键度的评估指标,包括网络节点i的度数Di,业务流量介数Bi,正常业务流量介数Ni以及异常业务流量介数Ei。
由于两个度数相同的网络节点,其重要性在实际网络中会差别很大。网络节点之间流量的传输主要依赖于最短路径,如果某个网络节点被许多最短路径经过,说明该网络节点在网络中很重要。因此,在电力无线专网核心网侧,可以使用介数这种全局几何量去定量的描述一个网络节点在网络中承载业务流量的重要性。
在由业务流量流经各网络节点的路径组成的无向无权网络中,网络节点i的业务流量介数Bi可以被定义为:
其中,njk表示网络节点j、k之间的最短路径的个数;njk(i)表示网络节点j、k之间的最短路径中经过网络节点i的个数。业务流量介数Bi表征了网络中某个网络节点对于网络业务流量的控制能力。
当电力无线专网核心网络检测到异常流量时,则对于异常流量经过的网络节点i,其异常业务流量介数Ei为:
其中,ejk表示网络节点j、k之间的异常业务流最短路径的个数;ejk(i)表示网络节点j、k之间的异常业务流最短路径中经过网络节点i的个数。
当电力无线专网核心网络未检测到流经网络节点i的异常业务流量时,该网络节点的正常业务流量介数Ni等于该网络节点的业务流量介数Bi,即:
Ni=Bi;
当电力无线专网核心网络检测到流经网络节点i的异常业务流量时,正常业务流量介数Ni为:
其中,njk表示网络节点j、k之间的正常业务流最短路径的个数;njk(i)表示网络节点j、k之间的正常业务流最短路径中经过网络节点i的个数。
预设评估策略包括利用评估指标对网络节点关键度的测度方法;为得到可行的流量阻断点,需要对异常流量流经的各个网络节点用测度方法进行评估。本实施例采用加权评估法对各个网络节点进行评估,评估分值xi的表达式如下:
xi=αDi+βNi+γEi(α,β,γ∈[-1,1]);
其中,Di表示网络节点i的度数,Ni表示网络节点i的正常业务流量介数,Ei表示网络节点i异常业务流量介数。
在评估分值xi是处于预设区间Q的情况下,确定与评估分值xi对应的网络节点i作为阻断点。
本发明提供的电力无线专网异常流量分析阻断方法,通过评估模型对网络节点的关键度进行评估,进而确定适当的异常流量阻断点,在尽量不影响网络正常业务流量的情况下,将异常流量阻断,可以及时控制异常流量对电力无线专网安全性的威胁和影响。
基于上述实施例的内容,作为一种可选实施例,确定终端网络流量中包含异常流量,包括:
基于终端网络流量的属性信息,根据终端网络流量中任一业务的数据包类型,获取目标业务中任一超过预设时长Tk的连续时间段内数据包的平均长度;
在平均长度大于预设门限Hk的情况下,确定目标业务产生的流量为异常流量。
预设时长Tk和预设门限Hk可以根据实际需求灵活选取。在需要实现异常流量的快速检测的情况下,可以减少预设时长Tk;在对异常流量检测的准确性有较高要求的情况下,可以增加预设时长Tk。相应地,较长的预设门限Hk可以提高异常流量检测的容错性,较短的预设门限Hk可以提高异常流量检测的精确度。
首先,由于一个业务会产生多个流量,根据终端网络流量的属性信息,对进行终端网络流量进行分析判断,针对业务的数据包类型,在目标业务k中截取任一超过预设时长Tk的连续时间段t,用于计算时间段t内传输内数据包的平均长度。
在任一平均长度均小于预设门限Hk的情况下,终端网络流量中不包含异常流量,继续对电力无线转网的网络流量进行监测分析;在平均长度大于预设门限Hk的情况下,确定目终端网络流量中包含异常流量。
本发明提供的电力无线专网异常流量分析阻断方法,通过对流量进行分析判断,确定异常流量,为异常流量的阻断和异常终端设备的阻断提供了基础。
基于上述实施例的内容,作为一种可选实施例,在获取终端网络流量之前,还包括对终端设备合法性的判断:
基于终端设备的设备信息,对终端设备的合法性进行判断;
在确定终端设备中包含非法终端设备的情况下,对非法终端设备进行阻断处理;
在确定终端设备中包含合法终端设备的情况下,确定合法终端设备的属性信息,属性信息用于获取终端网络流量。
如图2所示,在监测阶段,网络管理系统和LTE终端采集所需要的终端网络流量属性信息,根据终端设备的IMEI号和MAC地址判断终端设备是否合法,在两者中存在不合法的情况下,判定终端设备为非法终端设备,然后进入调整阶段,对非法终端设备进行无线侧非法终端接入阻断;在两者均合法的情况下,判定终端设备为合法终端设备确定合法终端设备的属性信息,属性信息用于获取终端网络流量。
本发明提供的电力无线专网异常流量分析阻断方法,通过对接入设备的合法性进行判断,可以迅速处理非法设备,为异常流量的判断提供了基础。
基于上述实施例的内容,作为一种可选实施例,对非法终端设备进行阻断处理,包括:
通过电力无线专网的认证网关对非法终端设备进行接入拒绝处理,并在电力无线专网的第五代移动通信技术(5th generation mobile networks,5G)通信终端关闭动态主机配置协议,动态主机配置协议是非法终端设备与电力无线专网之间的配置协议。
本发明提供的电力无线专网异常流量分析阻断方法,通过基站配置调整和接入认证,提前对具有干扰性的非法终端设备进行设备接入阻断,为后续异常流量的判断分析排除了干扰,减少了网络管理系统的运算量。
基于上述实施例的内容,作为一种可选实施例,在阻断点对异常流量进行阻断处理之后,还包括:
步骤1,重新获取终端网络流量;
步骤2,在确定重新获取的终端网络流量中包含剩余异常流量的情况下,调整度量标准中参数权重,获取新阻断点;
步骤3,在新阻断点对剩余异常流量进行阻断处理;
步骤4,迭代执行步骤1至步骤3,直至终端网络流量中无异常流量,执行步骤1。
如图2所示,在对异常流量完成阻断后,返回监测阶段。
在步骤1中,通过网络管理系统和LTE终端重新获取终端网络流量。
进一步地,在步骤2中,基于终端网络流量的属性信息,在确定终端网络流量中包含剩余异常流量的情况下,调整度量标准中网络节点的度数、业务流量介数、正常业务流量介数以及异常业务流量介数等参数的权重,获取新阻断点。
根据所判定的阻断点进行阻断后,观察电力无线专网中异常流量,参数调整方向为异常流量的减少的方向。
进一步地,在步骤3中,在新阻断点对剩余异常流量进行阻断处理;
进一步地,在步骤4中,迭代执行步骤1至步骤3,调整度量标准中参数权重,持续获取新的阻断点,对异常流量进行阻断,直至终端网络流量中无异常流量,执行步骤1,持续对电力无线专网进行监测观察。
本发明提供的电力无线专网异常流量分析阻断方法,通过动态调整评估指标权重,优化节点评估方法,选取合适的阻断点,直至网络中无异常流量,并持续对电力无线专网进行监测观察,保证电力无线专网的安全运行。
需要说明的是,如图2所示,在调整阶段对异常流量和异常业务终端进行阻断处理之后,在阻断成功的情况下,返回监测阶段,持续对电力无线专网进行监测观察;在阻断不成功的情况下,进行异常业务告警。
也可以在阻断不成功的情况下,返回执行对异常流量和异常业务终端进行阻断处理,迭代3次后仍阻断不成功,则进行异常业务告警。
上述三个阶段(监控阶段、分析阶段和调整阶段)形成闭环的过程,确保电力无线专网运行的安全性,从而保证电力系统的稳定运行。
图3是本发明提供的电力无线专网异常流量分析阻断系统的结构示意图,如图3所示,该系统包括流量获取单元1、分析单元2和阻断单元3,其中:
流量获取单元1,用于在电力无线专网运行过程中,获取终端网络流量;
分析单元2,用于基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;
阻断单元3,用于在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
在实际应用中,在电力无线专网运行过程中,流量获取单元1获取终端网络流量;分析单元2基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;阻断单元3在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
需要说明的是,网络管理系统通过持续对运行中的电力无线专网进行监控、分析和调整,实现电力无线转网的安全运行。图2是本发明提供的电力无线专网异常流量分析阻断方法的流程示意图之二,如图2所示,本发明提供的电力无线专网异常流量分析阻断方法主要包括:监控阶段、分析阶段和调整阶段。
监控阶段,主要包括通过网络管理系统和LTE终端采集所需要的终端网络流量属性信息,获取终端设备产生的网络流量。
分析阶段,主要包括对监控阶段获取到的网络流量进行异常流量的判断和异常流量解析。
调整阶段,主要包括对非法设备、异常流量和异常业务终端设备的阻断处理;以及判断是否阻断成功以及异常业务告警。
针对非法设备中的干扰终端,提出基站配置调整和接入认证阻断等接入阻断方案。对网络异常流量,及时采取异常流量阻断方法保证网络业务正常运行,进一步对非法终端,提出基于分布式认证网关的认证阻断方案,对于正常业务终端在网络中生成的异常数据和流量,采用业务流阻断隔离等方式完成对应的阻断。
监控阶段中,流量获取单元1通过网络管理系统和LTE终端采集所需要的终端网络流量属性信息,获取终端设备产生的网络流量。
完成终端网络流量属性信息的采集后,进入分析阶段。
终端网络流量属性信息通过LTE终端和网络管理系统获取,包括无线侧接入终端的IMEI号、USIM号、MAC地址和IP地址,还包括网络流量的应用层协议、传输层协议、报文长度、报文时隙以及报文方向等信息。其中,传输层协议包括TCP协议、UDP协议等信息。
进一步地,进入分析阶段,分析单元2根据终端网络流量的属性信息,需要对终端网络流量中是否包含异常流量进行判断,在终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,阻断点为异常流量流经的网络节点。再通过流量解析功能,对异常流量进行深入字段解析,确定产生异常流量的异常业务终端的IMEI号、USIM号、MAC地址和IP地址,以及端口号。之后,进入调整阶段。
在检测到网络中的异常流量以后,为避免电力无线专网业务遭到异常流量的严重干扰,需要选择有效的异常流量阻断点及时进行异常流量阻断,可以选择度数最大的网络节点作为阻断点。
某个网络节点的度数被定义为直接与该网络节点相连的邻居网络节点的个数。如果将电力无限专网核心网侧业务流量流经各网络节点的路径组成一个无向无权网络,那么,其网络节点的度数可以衡量该网络节点在支持网络业务流量中的重要程度。
其中,对异常流量的判断,可以根据历史数据,在预设监控周期内流量与历史数据的差值超过阈值的情况下,可以判定为异常流量。其中,在不影响本发明实施的情况下,阈值和预设监控周期可根据统计情况灵活设置调整。也可以利用签名的思想,对报文进行签名,进而在检查签名是否正确时,实现对网络异常流量的检测。
进一步地,进入调整阶段,阻断单元3在阻断点对异常流量进行阻断处理,并通过认证网关来完成对应IP地址、MAC地址和IMEI号异常业务终端设备的接入拒绝。
为了保证网络正常,如果发现异常流量,可以尽早采取阻断措施。
由于对异常流量和异常业务终端的阻断过程相对独立,根据需求调整阻断顺序,或同步进行阻断处理。
本发明提供的电力无线专网异常流量分析阻断系统,在电力无线专网运行的过程中持续监测分析,并对异常流量以及异常业务终端进行针对性的阻断,能有效地提高电力无线专网安全水平,保证电力通信端到端的安全传输及系统的可靠运行。
需要说明的是,本发明提供的电力无线专网异常流量分析阻断系统,在具体执行时,可以基于上述任一实施例所述的电力无线专网异常流量分析阻断方法来实现,对此本实施例不作赘述。
图4是本发明提供的电子设备的结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行电力无线专网异常流量分析阻断方法,该方法包括:在电力无线专网运行过程中,获取终端网络流量;基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的电力无线专网异常流量分析阻断方法,该方法包括:在电力无线专网运行过程中,获取终端网络流量;基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的电力无线专网异常流量分析阻断方法,该方法包括:在电力无线专网运行过程中,获取终端网络流量;基于终端网络流量的属性信息,在确定终端网络流量中包含异常流量的情况下,获取异常流量的阻断点,并对异常流量进行解析以获取产生异常流量的异常业务终端;在阻断点对异常流量进行阻断处理,并对异常业务终端进行接入阻断处理。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种电力无线专网异常流量分析阻断方法,其特征在于,包括:
在电力无线专网运行过程中,获取终端网络流量;
基于终端网络流量的属性信息,在确定所述终端网络流量中包含异常流量的情况下,获取所述异常流量的阻断点,并对所述异常流量进行解析以获取产生所述异常流量的异常业务终端;
在所述阻断点对所述异常流量进行阻断处理,并对所述异常业务终端进行接入阻断处理;
对所述异常业务终端进行接入阻断处理,包括:
在所述异常业务终端处于分区业务场景的情况下,利用所述电力无线专网核心网中业务网关的端口对所述异常业务终端进行隔离阻断;所述分区业务场景为不同无线电分区的业务场景;
在所述异常业务终端处于同区业务场景的情况下,根据所述异常业务终端的接入点名称,对所述异常业务终端进行隔离阻断;所述同区业务场景为处于同一无线电分区的业务场景;
获取所述异常流量的阻断点,包括:
基于预设评估指标和预设评估策略,构建评估模型;所述预设评估指标为评估网络节点关键度的度量标准,所述度量标准包括网络节点的度数、业务流量介数、正常业务流量介数以及异常业务流量介数;所述预设评估策略包括利用所述评估指标对网络节点关键度的测度方法;
基于所述评估模型,利用所述评估策略对所述异常流量流经的各个网络节点进行关键度评估,获取各个网络节点的评估分值;
在任一评估分值处于预设区间的情况下,确定与所述任一评估分值对应的网络节点为所述阻断点;
确定所述终端网络流量中包含异常流量,包括:
基于所述终端网络流量的属性信息,根据所述终端网络流量中任一业务的数据包类型,获取目标业务中任一超过预设时长Tk的连续时间段内数据包的平均长度;
在所述平均长度大于预设门限Hk的情况下,确定所述目标业务产生的流量为所述异常流量;
在所述阻断点对所述异常流量进行阻断处理之后,还包括:
步骤1,重新获取所述终端网络流量;
步骤2,在确定重新获取的终端网络流量中包含剩余异常流量的情况下,调整所述度量标准中参数权重,获取新阻断点;
步骤3,在所述新阻断点对所述剩余异常流量进行阻断处理;
步骤4,迭代执行步骤1至步骤3,直至所述终端网络流量中无异常流量,执行步骤1。
2.根据权利要求1所述的电力无线专网异常流量分析阻断方法,其特征在于,在获取终端网络流量之前,基于终端设备的设备信息,对所述终端设备的合法性进行判断;
在确定终端设备中包含非法终端设备的情况下,对所述非法终端设备进行阻断处理;
在确定终端设备中包含合法终端设备的情况下,确定所述合法终端设备的所述属性信息,所述属性信息用于获取所述终端网络流量。
3.根据权利要求2所述的电力无线专网异常流量分析阻断方法,其特征在于,对所述非法终端设备进行阻断处理,包括:
通过所述电力无线专网的认证网关对所述非法终端设备进行接入拒绝处理,并在所述电力无线专网的5G通信终端关闭动态主机配置协议,所述动态主机配置协议是所述非法终端设备与所述电力无线专网之间的配置协议。
4.一种电力无线专网异常流量分析阻断系统,其特征在于,包括:
流量获取单元,用于在电力无线专网运行过程中,获取终端网络流量;
分析单元,用于基于终端网络流量的属性信息,在确定所述终端网络流量中包含异常流量的情况下,获取所述异常流量的阻断点,并对所述异常流量进行解析以获取产生所述异常流量的异常业务终端;
阻断单元,用于在所述阻断点对所述异常流量进行阻断处理,并对所述异常业务终端进行接入阻断处理;
对所述异常业务终端进行接入阻断处理,包括:
在所述异常业务终端处于分区业务场景的情况下,利用所述电力无线专网核心网中业务网关的端口对所述异常业务终端进行隔离阻断;所述分区业务场景为不同无线电分区的业务场景;
在所述异常业务终端处于同区业务场景的情况下,根据所述异常业务终端的接入点名称,对所述异常业务终端进行隔离阻断;所述同区业务场景为处于同一无线电分区的业务场景;
获取所述异常流量的阻断点,包括:
基于预设评估指标和预设评估策略,构建评估模型;所述预设评估指标为评估网络节点关键度的度量标准,所述度量标准包括网络节点的度数、业务流量介数、正常业务流量介数以及异常业务流量介数;所述预设评估策略包括利用所述评估指标对网络节点关键度的测度方法;
基于所述评估模型,利用所述评估策略对所述异常流量流经的各个网络节点进行关键度评估,获取各个网络节点的评估分值;
在任一评估分值处于预设区间的情况下,确定与所述任一评估分值对应的网络节点为所述阻断点;
确定所述终端网络流量中包含异常流量,包括:
基于所述终端网络流量的属性信息,根据所述终端网络流量中任一业务的数据包类型,获取目标业务中任一超过预设时长Tk的连续时间段内数据包的平均长度;
在所述平均长度大于预设门限Hk的情况下,确定所述目标业务产生的流量为所述异常流量;
在所述阻断点对所述异常流量进行阻断处理之后,还包括:
步骤1,重新获取所述终端网络流量;
步骤2,在确定重新获取的终端网络流量中包含剩余异常流量的情况下,调整所述度量标准中参数权重,获取新阻断点;
步骤3,在所述新阻断点对所述剩余异常流量进行阻断处理;
步骤4,迭代执行步骤1至步骤3,直至所述终端网络流量中无异常流量,执行步骤1。
5.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至3任一项所述电力无线专网异常流量分析阻断方法步骤。
6.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述电力无线专网异常流量分析阻断方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110468023.5A CN113259943B (zh) | 2021-04-28 | 2021-04-28 | 一种电力无线专网异常流量分析阻断方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110468023.5A CN113259943B (zh) | 2021-04-28 | 2021-04-28 | 一种电力无线专网异常流量分析阻断方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113259943A CN113259943A (zh) | 2021-08-13 |
CN113259943B true CN113259943B (zh) | 2022-12-20 |
Family
ID=77222150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110468023.5A Active CN113259943B (zh) | 2021-04-28 | 2021-04-28 | 一种电力无线专网异常流量分析阻断方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113259943B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114268957B (zh) * | 2021-11-30 | 2023-07-04 | 中国联合网络通信集团有限公司 | 异常业务数据处理方法、装置、服务器及存储介质 |
CN114584356A (zh) * | 2022-02-24 | 2022-06-03 | 烽台科技(北京)有限公司 | 网络安全监控方法及网络安全监控系统 |
CN115759734B (zh) * | 2022-10-19 | 2024-01-12 | 国网物资有限公司 | 基于指标的电力业务供应链监控方法、装置、设备和介质 |
CN116366346B (zh) * | 2023-04-04 | 2024-03-22 | 中国华能集团有限公司北京招标分公司 | 一种dns流量还原方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014123996A (ja) * | 2014-04-02 | 2014-07-03 | Mitsubishi Electric Corp | ネットワーク監視装置及びプログラム |
CN110784458A (zh) * | 2019-10-21 | 2020-02-11 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
CN111163115A (zh) * | 2020-04-03 | 2020-05-15 | 深圳市云盾科技有限公司 | 一种基于双引擎的物联网安全监测方法及系统 |
CN111262849A (zh) * | 2020-01-13 | 2020-06-09 | 东南大学 | 一种基于流表信息的网络异常流量行为识别阻断的方法 |
-
2021
- 2021-04-28 CN CN202110468023.5A patent/CN113259943B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014123996A (ja) * | 2014-04-02 | 2014-07-03 | Mitsubishi Electric Corp | ネットワーク監視装置及びプログラム |
CN110784458A (zh) * | 2019-10-21 | 2020-02-11 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
CN111262849A (zh) * | 2020-01-13 | 2020-06-09 | 东南大学 | 一种基于流表信息的网络异常流量行为识别阻断的方法 |
CN111163115A (zh) * | 2020-04-03 | 2020-05-15 | 深圳市云盾科技有限公司 | 一种基于双引擎的物联网安全监测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113259943A (zh) | 2021-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113259943B (zh) | 一种电力无线专网异常流量分析阻断方法及系统 | |
Jurcut et al. | Introduction to IoT security | |
Verma et al. | Security of RPL based 6LoWPAN Networks in the Internet of Things: A Review | |
Mayzaud et al. | A distributed monitoring strategy for detecting version number attacks in RPL-based networks | |
Pöhls et al. | RERUM: Building a reliable IoT upon privacy-and security-enabled smart objects | |
Santoro et al. | A hybrid intrusion detection system for virtual jamming attacks on wireless networks | |
Lin et al. | Adaptive security-related data collection with context awareness | |
CN112261021B (zh) | 软件定义物联网下DDoS攻击检测方法 | |
Fayssal et al. | Anomaly-based behavior analysis of wireless network security | |
Saeedi | Machine learning for DDOS detection in packet core network for IoT | |
Sou et al. | Random packet inspection scheme for network intrusion prevention in LTE core networks | |
Appiah-Kubi et al. | Decentralized intrusion prevention (DIP) against co-ordinated cyberattacks on distribution automation systems | |
Raja et al. | A review on distributed denial of service attack in smart grid | |
US20240171484A1 (en) | Methods and Apparatuses for Providing an Analytic Result Relating to Tunneling Traffic to a Consumer Network Function | |
Raposo et al. | Securing wirelesshart: monitoring, exploring and detecting new vulnerabilities | |
Zhang et al. | On effective data aggregation techniques in host–based intrusion detection in manet | |
Sedjelmaci et al. | Secure attack detection framework for hierarchical 6G-enabled internet of vehicles | |
La et al. | A misbehavior node detection algorithm for 6LoWPAN Wireless Sensor Networks | |
Thorat et al. | SDN-based machine learning powered alarm manager for mitigating the traffic spikes at the IoT gateways | |
Ratnayake et al. | An intelligent approach to detect probe request attacks in IEEE 802.11 networks | |
EP3557838A1 (en) | Monitoring the behaviour of at least one communication device | |
Lange et al. | Event Prioritization and Correlation based on Pattern Mining Techniques | |
Vien et al. | On the handover security key update and residence management in LTE networks | |
Heigl et al. | A resource-preserving self-regulating Uncoupled MAC algorithm to be applied in incident detection | |
Sounni et al. | Distributed denial of service attacks detection using statistical process control in centralized wireless networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |