CN113904811B

CN113904811B - 异常检测方法、装置、计算机设备和存储介质

Info

Publication number: CN113904811B
Application number: CN202111085937.XA
Authority: CN
Inventors: 吕启深; 黄湛华; 赵欢; 严玉婷; 田治仁; 张�林; 张宏钊
Original assignee: Shenzhen Power Supply Co ltd
Current assignee: Shenzhen Power Supply Co ltd
Priority date: 2021-09-16
Filing date: 2021-09-16
Publication date: 2023-11-24
Anticipated expiration: 2041-09-16
Also published as: CN113904811A

Abstract

本申请涉及一种异常检测方法、装置、计算机设备和存储介质。所述方法包括：获取南向设备发送的通信报文的有效载荷信息和标志位信息；根据有效载荷信息和标志位信息，确定通信报文的网络协议类型；根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常；网络协议类型是否异常表示与南向设备通信的北向主站是否存在入侵行为。采用本方法能够及时快速的判断网络协议类型是否出现异常，从而判断是否存在入侵行为，保障了通信过程中数据传输的安全。

Description

异常检测方法、装置、计算机设备和存储介质

技术领域

本申请涉及检测技术领域，特别是涉及一种异常检测方法、装置、计算机设备和存储介质。

背景技术

随着智能电网的不断发展，智能配电房的出现大大提高了配电网的供电能力和供电质量。配电房的南向设备与电力系统的北向主站之间进行数据交换过程中，容易出现黑客或者病毒程序入侵。

在现有技术中，在南向设备与北向主站进行数据传输过程中，黑客或者病毒程序可能通过南向设备发送给北向主站的报文信息入侵北向主站，当北向主站出现数据泄露等情况后才确定存在入侵行为。

然而，现有技术对数据传输过程中的入侵行为无法快速准确检测。

发明内容

基于此，有必要针对上述技术问题，提供一种能够对数据传输过程中的入侵行为进行快速准确检测的异常检测方法、装置、计算机设备和存储介质。

一种异常检测方法，所述方法包括：

获取南向设备发送的通信报文的有效载荷信息和标志位信息；

根据所述有效载荷信息和所述标志位信息，确定所述通信报文的网络协议类型；

根据所述网络协议类型和标准网络协议类型，确定所述网络协议类型是否异常；所述网络协议类型是否异常表示与所述南向设备通信的北向主站是否存在入侵行为。

在其中一个实施例中，所述根据所述网络协议类型和标准网络协议类型，确定所述网络协议类型是否异常，包括：

若所述网络协议类型和标准网络协议类型一致，则确定所述网络协议类型正常；

若所述网络协议类型和标准网络协议类型不一致，则确定所述网络协议类型异常。

在其中一个实施例中，所述方法还包括：

获取所述通信报文中的通信数据的行为特征；

将所述行为特征与入侵行为特征库中的异常行为特征进行匹配；

若所述入侵行为特征库中存在与所述行为特征匹配的异常行为特征，则确定所述南向设备与所述北向主站在通信过程中存在异常行为。

在其中一个实施例中，所述方法还包括：

获取所述南向设备与所述北向主站通信过程中出现异常的历史网络报文；

提取所述出现异常的历史网络报文中的异常行为特征；

根据所述异常行为特征构建所述入侵行为特征库。

在其中一个实施例中，所述方法还包括：

根据所述通信报文获取所述南向设备的通信权限信息；

若预设的权限控制列表中不存在所述通信权限信息，则输出预警信息，所述预警信息用于提醒所述南向设备出现越权访问；所述权限控制列表中包括所述南向设备的所有通信权限。

在其中一个实施例中，所述方法还包括：

获取所述南向设备发送的历史通信报文；

分析所述历史通信报文获取协议特征和协议种类；

根据所述协议特征和协议种类确定协议的功能；

根据所述协议的功能为所述南向设备分配通信权限，以生成所述权限控制列表。

在其中一个实施例中，所述根据所述有效载荷信息和所述标志位信息，确定所述通信报文的网络协议类型，包括：

将所述有效载荷信息和所述标志位信息输入协议识别模型中，得到所述通信报文的网络协议类型；所述协议识别模型为根据历史通信报文的有效载荷信息、标志位信息和对应的网络协议类型训练得到的。

一种异常检测装置，所述装置包括：

第一获取模块，用于获取南向设备发送的通信报文的有效载荷信息和标志位信息；

第一确定模块，用于根据所述有效载荷信息和所述标志位信息，确定所述通信报文的网络协议类型；

第二确定模块，用于根据所述网络协议类型和标准网络协议类型，确定所述网络协议类型是否异常；所述网络协议类型是否异常表示与所述南向设备通信的北向主站是否存在入侵行为。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

上述异常检测方法、装置、计算机设备和存储介质，通过获取南向设备发送的通信报文的有效载荷信息和标志位信息，根据有效载荷信息和标志位信息，确定通信报文的网络协议类型，根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常，从而判断与南向设备通信的北向主站是否存在入侵行为。在正常情况下，配电房的南向设备与电力系统的北向主站之间的协议类型是固定的，而黑客或者病毒程序是通过改变网络协议类型从南向设备入侵北向主站的。因此，本实施例根据网络协议类型能够及时快速的判断通信报文是否出现异常，从而判断是否存在入侵行为，保障了通信过程中数据传输的安全。

附图说明

图1为一个实施例中异常检测方法的应用环境图；

图2为一个实施例中异常检测方法的流程示意图；

图3为另一个实施例中异常检测步骤的流程示意图；

图4为又一个实施例中异常检测方法的流程示意图；

图5为又一个实施例中异常检测方法的流程示意图；

图6为又一个实施例中异常检测方法的流程示意图；

图7为又一个实施例中异常检测方法的流程示意图；

图8为一个实施例中异常检测装置的结构框图；

图9为另一个实施例中异常检测装置的结构框图；

图10为又一个实施例中异常检测装置的结构框图；

图11为又一个实施例中异常检测装置的结构框图；

图12为又一个实施例中异常检测装置的结构框图；

图13为又一个实施例中异常检测装置的结构框图；

图14为又一个实施例中异常检测装置的结构框图；

图15为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的异常检测方法，可以应用于如图1所示的应用环境中。其中，远程主站1通过网络与各终端2通过网络进行通信。远程主站1获取各终端2发送的通信报文的有效载荷信息和标志位信息，根据有效载荷信息和标志位信息，确定通信报文的网络协议类型，根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常，进而判断是否存在入侵行为。其中，远程主站1是电力系统中的北向主站，可以用独立的服务器或者是多个服务器组成的服务器集群来实现；终端2可以但不限于是配电网系统中的各种电网设备，例如南向设备、配电设备、计量设备、新能源设备、监测设备等。

在一个实施例中，如图2所示，提供了一种异常检测方法，以该方法应用于图1中的远程主站为例进行说明，包括以下步骤：

步骤201，获取南向设备发送的通信报文的有效载荷信息和标志位信息。

其中，通信报文是指配电房的南向设备向电力系统的北向主站传输的通信报文，该通信报文可以是网络报文流量数据中的任一报文。各种类型的通信报文都具有对信息的特殊编码方式，这些特殊编码方式是为了存储信息或交换信息。通信报文中的有效载荷信息可以体现出通信报文所属应用软件的识别特征、字节数等信息，例如，对于超文本传输协议(Hyper Text Transfer Protocol，HTTP)应用的有效载荷信息包括其识别特征“获取资源(GET)”和字节数“4”；比特流(BitTorrent)的有效载荷信息包括其识别特征“比特流协议(BitTorrent Protocol)”、字节数“19”。标志位信息包括运算结果标志位、状态控制标志位、32位标志寄存器增加的标志位等。例如，运算结果标志位包括：进位标志(Carry Flag，CF)、奇偶标志(Parity Flag，PF)、辅助进位标志(Auxiliary Carry Flag，AF)等，状态控制标志位包括：追踪标志(Trap Flag，TF)、中断允许标志(Interrupt-enable Flag，IF)、方向标志(Direction Flag，DF)，32位标志寄存器增加的标志位包括：输入/输出特权标志(I/OPrivilege Level，IOPL)、嵌套任务标志(Nested Task，NT)、重启动标志(Restart Flag，RF)、虚拟8086方式标志(Virtual 8086Mode，VM)。

在本实施例中，当配电房的南向设备向电力系统的北向主站传输通信报文时，远程主站获取通信报文中的有效载荷信息和标志位信息。可选地，可以选择传输过程中的第一个通信报文的有效载荷信息和标志位信息。可选地，可以按照发送报文的时间间隔有规律或者无规律的随机选择某一通信报文的有效载荷信息和标志位信息。可选地，可以按照发送报文的数量级频率选择某一通信报文中的有效载荷信息和标志位信息。可选地，可以获取每一个通信报文的有效载荷信息和标志位信息，本实施例对于以何种形式获取通信报文中的有效载荷信息和标志位信息的方式不做限定。

步骤202，根据有效载荷信息和标志位信息，确定通信报文的网络协议类型。

其中，网络协议是指互相通信的对等实体之间交换信息时所必须遵守的规则的集合。配电房的南向设备向电力系统的北向主站正常传输过程中，南向设备与北向主站之间的网络协议类型是固定的。通信报文中的有效载荷信息可以体现出通信报文所属应用软件的识别特征、字节数等信息，为判断通信报文的网络协议类型提供多种判断依据。例如，超文本传输协议(Hyper Text Transfer Protocol，HTTP)应用的有效载荷信息包括其识别特征“获取资源(GET)”和字节数“4”，其对应的网络协议类型为传输层协议(TransmissionControl Protocol，TCP)；比特流(BitTorrent)的有效载荷信息包括其识别特征“比特流协议(BitTorrent Protocol)”、字节数“19”，其对应的网络协议类型为传输层协议(UserDatagram Protocol，UDP)等。

在本实施例中，根据通信报文的有效载荷信息和标志位信息，得到通信报文的网络协议类型。可选的，通过相应的算法构建神经网络模型，将有效载荷信息和标志位信息作为输入信号，通过神经网络模型输出通信报文的网络协议类型。可选的，通过有效载荷信息、标志位信息与网络协议类型的对应关系，对有效载荷信息和标志位信息分配权重，计算得到对应的网络协议类型。本实施例对于选择哪种方法获得网络协议类型不做限定，仅需要通过通信报文的有效载荷信息和标志位信息，得出通信报文的网络协议类型即可。

步骤203，根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常。

其中，当网络协议类型出现异常的情况下，南向设备可能会存在入侵行为，入侵行为是指黑客利用电脑网络和系统安全漏洞对网络进行攻击破坏或窃取资料。具体的，配电网的南向设备可能在黑客或者病毒程序的控制下根据入侵需要，改变通信协议类型入侵北向主站，造成北向主站的数据发生泄露，甚至损坏服务器。

在本实施例中，将配电房的南向设备与电力系统的北向主站之间的常用协议类型作为标准的网络协议类型，将标准的网络协议类型存储至远程主站中。远程主站中的标准的网络协议类型包括了所有南向设备与北向主站之间的协议类型。将网络协议类型与标准网络协议类型进行对比，如果网络协议类型与标准网络协议类型相同，则网络协议类型正常，南向设备与北向主站通信过程中无入侵行为；如果网络协议类型与标准网络协议类型不相同，则网络协议类型出现异常，南向设备与北向主站通信过程中可能存在入侵行为。

本实施例提供的异常检测方法，通过获取南向设备发送的通信报文的有效载荷信息和标志位信息，根据有效载荷信息和标志位信息，确定通信报文的网络协议类型，根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常，从而判断与南向设备通信的北向主站是否存在入侵行为。在正常情况下，配电房的南向设备与电力系统的北向主站之间的协议类型是固定的，而黑客或者病毒程序是通过改变网络协议类型从南向设备入侵北向主站的。因此，本实施例根据网络协议类型能够及时快速的判断通信报文是否出现异常，从而判断是否存在入侵行为，保障了通信过程中数据传输的安全。

在上述图2所示实施例的基础上，在另一个实施例中，详细说明根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常的具体实现过程，包括：

若网络协议类型和标准网络协议类型一致，则确定网络协议类型正常；若网络协议类型和标准网络协议类型不一致，则确定网络协议类型异常。

在本实施例中，根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常。其中，标准网络协议类型是指在南向设备与北向主站正常通信过程中的所有网络协议类型。如果网络协议类型和标准网络协议类型一致，则确定网络协议类型正常；如果网络协议类型和标准网络协议类型不一致，则确定网络协议类型异常。当南向设备与北向主站通信过程中存在多个标准协议类型时，如果网络协议类型和多个标准协议类型中的任何一个协议类型一致，都可以确定网络协议类型正常；如果网络协议类型和多个标准协议类型中的任何一个协议类型都不一致，则可以确定网络协议类型异常。可选地，还可以通过计算网络协议类型与标准网络协议类型的相似度，如果网络协议类型与标准网络协议类型的相似度大于等于预设阈值，则网络协议正常；如果网络协议类型与标准网络协议类型的相似度小于预设阈值，则网络协议出现异常，即与南向设备通信的北向主站可能存在入侵行为。

本实施例提供的异常检测方法，根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常。在南向设备与北向主站正常通信过程中，网络协议类型是固定的，黑客或者病毒程序入侵过程中会改变网络协议类型，通过南向设备进入北向主站，泄露北向主站的信息，甚至破坏服务器。因此，通过比较网络协议类型与标准网络协议类型，能够更快速准确地判断是否存在入侵行为，该方法形式简单，易于实现。

在上述图2所示实施例的基础上，在另一个实施例中，为了进一步保证南向设备与北向主站数据传输过程的安全，还可以通过通信报文中的通信数据的行为特征来检测异常，以图3为例，本申请实施例的异常检测方法还包括：

S301，获取通信报文中的通信数据的行为特征。

具体的，通信数据的行为特征是指在通信过程中，数据表现出的基本特征。

在本实施例中，南向设备向北向主站传输数据的过程中，远程主站获取通信报文中的通信数据的行为特征，远程主站获取到的行为特征用于判断在通信过程中是否存在异常行为。可选的，可以通过神经网络模型获取行为特征，将通信报文中的通信数据输入到神经网络模型，经过训练后得到通信数据的行为特征。可选的，可以通过关键词提取的方式获取通信报文中通信数据的行为特征。本实施例对于以何种形式获取通信报文中的通信数据的行为特征的方式不做限定。

S302，将行为特征与入侵行为特征库中的异常行为特征进行匹配；若是，也即入侵行为特征库中存在与行为特征匹配的异常行为特征，则执行步骤S303；若否，也即入侵行为特征库中不存在与行为特征匹配的异常行为特征，则执行步骤S304。

S303，确定南向设备与北向主站在通信过程中不存在异常行为。

S304，确定南向设备与北向主站在通信过程中存在异常行为。

在本实施例中，当南向设备向北向主站传输数据过程中，如果出现了异常行为，提取异常行为的异常行为特征，并将异常行为特征存储至远程主站，远程主站中的入侵行为特征库中包括了所有已经出现过的入侵行为特征。将行为特征与入侵行为特征库中的异常行为特征进行匹配，例如，可以计算行为特征与入侵行为特征库中的每个异常行为特征之间的相似度，如果任何一个相似度大于等于预设阈值，认为入侵行为特征库中存在于行为特征相似的入侵行为特征，则确定南向设备与北向主站在通信过程中存在异常行为；如果任何一个相似度小于预设阈值，认为入侵行为特征库中不存在于行为特征相似的入侵行为特征，则确定南向设备与北向主站在通信过程中不存在异常行为。

本实施例提供的异常检测方法，通过获取通信报文中的通信数据的行为特征，将行为特征与入侵行为特征库中的异常行为特征进行匹配，如果入侵行为特征库中存在与行为特征匹配的异常行为特征，则确定南向设备与北向主站在通信过程中存在异常行为；如果入侵行为特征库中不存在与行为特征匹配的异常行为特征，则确定南向设备与北向主站在通信过程中不存在异常行为。通信数据的行为特征能够快速判断通信数据是否出现异常，本实施例将行为特征与入侵行为特征库中的异常行为特征进行匹配，判断通信数据的行为特征是否与历史时间出现的异常行为特征匹配，更快速准确地判断通信数据中是否存在异常行为。

在上述图3所示实施例的基础上，在另一个实施例中，重点介绍构建入侵行为特征库的过程，以图4为例，本申请实施例的异常检测方法还包括：

S401，获取南向设备与北向主站通信过程中出现异常的历史网络报文。

具体的，历史网络报文是指当下时刻之前，配电房的南向设备向电力系统的北向主站已经传输过的所有的通信报文。异常的历史网络报文是指历史时间内配电房的南向设备向电力系统的北向主站传输的所有出现异常的通信报文。其中，异常的历史网络报文可以是标准协议运行在非标准端口的行为以及对运行在任意端口应用层协议的攻击行为数据。

在本实施例中，远程主站获取南向设备与北向主站通信过程中的历史网络报文，再筛选出异常的历史网络报文。可选的，通过对历史网络报文进行数据标记，根据标记结果获得异常的历史网络报文，可选的，也可以获取历史网络报文的有效载荷信息和标志位信息，根据协议识别模型，得到历史通信报文的网络协议类型，根据网络协议类型判断历史网络报文是否存在异常，再筛选出存在异常的历史网络报文。

S402，提取出现异常的历史网络报文中的异常行为特征。

在本实施例中，通过步骤S401获取到的南向设备与北向主站通信过程中出现异常的历史网络报文，通过学习其行为特征，提取异常的历史网络报文中的异常行为特征。可选的，通过统计学方法统计出偏离训练集统计分布的数据，这些偏离训练集统计分布的数据被认为是异常的。例如，通过统计学中的主成分分析法提取出现异常的历史网络报文中的异常行为特征。可选的，通过聚类方法在训练集上创建一些集群，计算数据点和集群见得距离，如果距离高于预设阈值，则该数据点存在异常。例如，通过聚类方法中的K-means聚类方法提取出现异常的历史网络报文中的异常行为特征。

S403，根据异常行为特征构建入侵行为特征库。

在本实施例中，通过步骤402提取出现异常的历史网络报文中的异常行为特征，根据异常的历史网络报文中的异常行为特征构建入侵行为特征库。入侵行为特征库包括了所有网络报文中的异常行为特征，未来时间如果出现异常行为时，也需要提取该异常行为的异常行为特征，将该异常行为的异常行为特征存储至入侵行为特征库中，该入侵行为特征库需要不断进行扩充和丰富。

本实施例提供的异常检测方法，通过获取南向设备与北向主站通信过程中出现异常的历史网络报文，提取出现异常的历史网络报文中的异常行为特征，根据异常行为特征构建入侵行为特征库。本实施例通过不断学习南向设备与北向主站通信过程中异常数据的特征，持续丰富入侵行为特征库，获得更多的异常行为特征的入侵行为特征库，能够更精准地识别入侵行为，对入侵行为的检测更加快速精准。

在上述图2所示实施例的基础上，在另一个实施例中，还可以进一步的通过南向设备的通信权限来检测入侵行为，以图5为例，本申请实施例的异常检测方法还包括：

S501，根据通信报文获取南向设备的通信权限信息。

具体的，权限信息是指为了保证职责的有效履行，任职者必须具备的，对某事项进行决策的范围和程度。通信权限信息是指在通信过程中，对通信过程进行决策的范围和程度。

在本实施例中，根据通信报文的有效载荷信息和标志位信息，确定通信报文的网络协议类型，根据网络协议类型的协议特征和协议种类，获得网络协议的分类，根据网络协议的分类确定网络协议的职能，再根据网络协议的职能，获取南向设备的通信权限信息。可选的，网络协议的分类适用于文本数据的传输。可选的，网络协议的分类适用于音频、视频数据、图片数据的传输等。

S502，判断预设的权限控制列表中是否存在通信权限信息，若是，也即预设的权限控制列表中不存在通信权限信息，则执行步骤S503；若否，也即预设的权限控制列表中存在通信权限信息，则执行步骤S504。

S503，南向设备出现越权访问，输出预警信息。

S504，南向设备没有出现越权访问。

在本实施例中，判断预设的权限控制列表中是否存在通信权限信息，如果预设的权限控制列表中不存在通信权限信息，即南向设备出现越权访问，输出报警信息；如果预设的权限控制列表中存在通信权限信息，则南向设备没有出现越权访问。其中，预设的权限控制列表中包括所有南向设备的通信权限信息。

本实施例提供的异常检测方法，根据通信报文获取南向设备的通信权限信息，判断预设的权限控制列表中是否存在通信权限信息，如果预设的权限控制列表中不存在通信权限信息，则输出预警信息，提醒南向设备出现越权访问；如果预设的权限控制列表中存在通信权限信息，则南向设备没有出现越权访问。通信权限信息能够直观的反映出是否存在越权访问，本实施例通过通信权限信息更精确地判断南向设备是否出现越权访问，保证了南向设备与北向主站之间的通信安全。

在上述图5所示实施例的基础上，在另一个实施例中，介绍权限控制列表列表的获取方法，以图6为例，本申请实施例的异常检测方法还包括：

S601，获取南向设备发送的历史通信报文。

在本实施例中，远程主站获取南向设备发送的历史通信报文。可选的，南向设备发送的所有历史通信报文全部存储在服务器中，远程主站通过访问服务器获得历史通信报文。可选的，南向设备发送的所有历史通信报文全部以压缩包形式存储于终端中，终端设备通过网络发送历史通信报文的压缩包给远程主站。

S602，分析历史通信报文获取协议特征和协议种类。

在本实施例中，步骤S601获得的南向设备发送的历史通信报文，通过分析该历史通信报文来获取协议特征和协议种类。可选的，可以通过主成分分析法分析历史通信报文，获取协议特征和协议种类。可选的，可以通过建立神经网络模型，将历史通信报文作为输入，经过模型训练后，获得协议特征和协议种类。本实施例对于通过何种方式提取历史通信报文中的协议特征和协议种类不做限定。

S603，根据协议特征和协议种类确定协议的功能。

在本实施例中，根据协议特征和协议种类确定协议的功能，本质上为通过协议特征和协议种类确定协议的功能。例如，根据网络协议类型，获得网络协议特征和网络协议种类，根据网络协议特征和网络协议种类确定协议的功能。可选的，网络协议的分类适用于文本数据的传输。可选的，网络协议的分类适用于音频、视频数据、图片数据的传输等。

S604，根据协议的功能为南向设备分配通信权限，以生成权限控制列表。

在本实施例中，步骤603根据协议的分类确定了协议的功能，根据协议功能的不同，为南向设备分配不同的权限，再根据南向设备分配的权限，构建权限控制列表。例如，根据网络协议类型，获得网络协议特征和网络协议种类，根据网络协议特征和网络协议种类确定协议的功能，然后根据协议功能的不同，为不同的网络协议的设备分配不同的权限，再根据不同的网络协议分配的权限，构建网络协议的权限控制列表。

本实施例提供的异常检测方法，获取南向设备发送的历史通信报文，分析历史通信报文获取协议特征和协议种类，通过协议特征和协议种类，获得协议的分类，根据协议的分类确定协议的功能，根据协议功能的不同，为南向设备分配不同的权限，再根据南向设备分配的权限，构建权限控制列表。本实施例通过学习南向设备与北向主站通信过程中历史通信报文，分析历史通信报文获取协议特征和协议种类，通过协议特征和协议种类确定协议的功能，根据协议的功能为南向设备分配通信权限，以生成权限控制列表，通过权限控制列表判断是否存在越权访问，进一步保证了南向设备与北向主站之间数据传输的安全。

在上述图2所示实施例的基础上，在另一个实施例中，详细说明根据有效载荷信息和标志位信息，确定通信报文的网络协议类型的具体实现过程，包括：

将有效载荷信息和标志位信息输入协议识别模型中，得到通信报文的网络协议类型；协议识别模型为根据历史通信报文的有效载荷信息、标志位信息和对应的网络协议类型训练得到的。

具体的，协议识别模型是指能够根据训练数据进行不断的自我训练学习的模型，常见的识别模型有神经网络模型、卷积网络模型等。假设协议识别模型为神经网络模型时，神经网络模型即为机器学习中的神经网络模型，神经网络(Neural Networks，NN)是由大量的、简单的处理单元(称为神经元)广泛地互相连接而形成的复杂神经网络系统，它反映了人脑功能的许多基本特征，是一个高度复杂的非线性动力学习系统。神经网络模型是以神经元的数学模型为基础来描述的。神经网络中的人工神经网络(Artificial NeuralNetworks)，是对人类大脑系统的一阶特性的一种描述。

在本实施例中，将步骤201获得的有效载荷信息和标志位信息作为协议识别模型的输入，经过协议识别模型不断地自我的修正，当协议识别模型的输出信息达到预设的准确率时，则训练过程结束，输出通信报文的网络协议类型。例如，使用神经网络模型作为协议识别模型，人工神经网络模型中的每一组训练数据都包括有效载荷信息、标志位信息以及起标识作用的网络协议类型，该神经网络模型不断地自我的修正，当神经网络模型的输出信息达到预定的准确率时，监督学习过程结束，输出通信报文的网络协议类型。其中，神经网络模型可以为支持向量机，贝叶斯分类器等用于分类识别的模型。

本实施例提供的异常检测方法，将有效载荷信息和标志位信息输入协议识别模型中，得到通信报文的网络协议类型。通过对历史通信报文的有效载荷信息、标志位信息和对应的网络协议类型这些数据进行训练，得到协议识别模型。通过大量数据训练得到的协议识别模型，使用该协议识别模型得到的网络协议类型更加精准，进而能更精准的判断是否存在入侵过程。

在本实施例中，如图7所示，异常检测方法主要包括以下步骤：

S701：获取南向设备发送的通信报文的有效载荷信息和标志位信息；

S702：根据有效载荷信息和标志位信息，确定通信报文的网络协议类型；

S703：根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常，若是，则执行步骤S704；若否，则执行步骤S716；

S704：网络协议类型和标准网络协议类型不同，可能出现异常；

S705：获取南向设备与北向主站通信过程中出现异常的历史网络报文；

S706：提取出现异常的历史网络报文中的异常行为特征；

S707：根据异常行为特征构建入侵行为特征库；

S708：获取通信报文中的通信数据的行为特征；

S709：将行为特征与入侵行为特征库中的异常行为特征进行匹配；若是，则执行步骤S710；若否，则执行步骤S716；

S710：入侵行为特征库中存在与行为特征匹配的异常行为特征，则确定南向设备与北向主站在通信过程中存在异常行为；

S711：分析历史通信报文获取协议特征和协议种类；

S712：根据协议特征和协议种类确定协议的功能；

S713：根据协议的功能为南向设备分配通信权限，以生成权限控制列表。

S714：判断预设的权限控制列表中是否存在通信权限信息；若是，则执行步骤S715；若否，则执行步骤S716；

S715：预设的权限控制列表中不存在通信权限信息，存在越权访问，则输出预警信息；

S716：数据传输过程正常。

本实施例提供的异常检测方法，通过通信报文的有效载荷信息和标志位信息，确定通信报文的网络协议类型，根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常，再将行为特征与入侵行为特征库中的异常行为特征进行匹配，判断通信过程中存在异常行为，最后根据通信报文获取南向设备的通信权限信息，若预设的权限控制列表中不存在通信权限信息，则输出预警信息，预警信息用于提醒南向设备出现越权访问。本实施例通过协议识别模型对异常网络报文流量数据准确判断，通过对通信过程的网络协议类型的分析进行入侵检测，能够准确检测通信过程中的入侵行为，通过不断丰富特征库，获得更多异常特征的入侵行为特征库进行异常比对，能够准确识别入侵行为。同时从网络协议类型、行为特征和通信权限信息判断通信过程三个步骤更精确地判断通信过程是否存在异常行为，使判断过程更及时和精确。

应该理解的是，虽然图2-7的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-7中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图8所示，提供了一种异常检测装置，包括：第一获取模块11、第一确定模块12和第二确定模块13，其中：

第一获取模块11，用于获取南向设备发送的通信报文的有效载荷信息和标志位信息；

第一确定模块12，用于根据有效载荷信息和标志位信息，确定通信报文的网络协议类型；

第二确定模块13，用于根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常；网络协议类型是否异常表示与南向设备通信的北向主站是否存在入侵行为。

在上述实施例的基础上，可选的，如图9所示，上述第二确定模块13，包括：第一确定单元131和第二确定单元132，其中：

第一确定单元131：若网络协议类型和标准网络协议类型一致，则确定网络协议类型正常；

第二确定单元132：若网络协议类型和标准网络协议类型不一致，则确定网络协议类型异常。

在上述实施例的基础上，可选的，如图10所示，提供了一种异常检测装置，还包括：第二获取模块21、匹配模块22和第三确定模块23，其中：

第二获取模块21：用于获取通信报文中的通信数据的行为特征；

匹配模块22：用于将行为特征与入侵行为特征库中的异常行为特征进行匹配；

第三确定模块23：若入侵行为特征库中存在与行为特征匹配的异常行为特征，则确定南向设备与北向主站在通信过程中存在异常行为。

在上述实施例的基础上，可选的，如图11所示，提供了一种异常检测装置，还包括：第三获取模块24、提取模块25和构建模块26，其中：

第三获取模块24：用于获取南向设备与北向主站通信过程中出现异常的历史网络报文；

提取模块25：用于提取出现异常的历史网络报文中的异常行为特征；

构建模块26：用于根据异常行为特征构建入侵行为特征库。

在上述实施例的基础上，可选的，如图12所示，提供了一种异常检测装置，还包括：第四获取模块31和输出模块32，其中：

第四获取模块31：用于根据通信报文获取南向设备的通信权限信息；

输出模块32：若预设的权限控制列表中不存在通信权限信息，则输出预警信息，预警信息用于提醒南向设备出现越权访问；权限控制列表中包括南向设备的所有通信权限。

在上述实施例的基础上，可选的，如图13所示，提供了一种异常检测装置，还包括：第五获取模块33、分析模块34、第四确定模块35和生成模块36，其中：

第五获取模块33：用于获取南向设备发送的历史通信报文；

分析模块34：用于分析历史通信报文获取协议特征和协议种类；

第四确定模块35：用于根据协议特征和协议种类确定协议的功能；

生成模块36：用于根据协议的功能为南向设备分配通信权限，以生成权限控制列表。

在上述实施例的基础上，可选的，如图14所示，上述第一确定模块12，包括：第一获取单元121，其中：

第一获取单元121：用于将有效载荷信息和标志位信息输入协议识别模型中，得到通信报文的网络协议类型；协议识别模型为根据历史通信报文的有效载荷信息、标志位信息和对应的网络协议类型训练得到的。

关于异常检测装置的具体限定可以参见上文中对于异常检测方法的限定，在此不再赘述。上述异常检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图15所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种异常检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图15中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

根据有效载荷信息和标志位信息，确定通信报文的网络协议类型；

根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常；网络协议类型是否异常表示与南向设备通信的北向主站是否存在入侵行为。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：

根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常，包括：

若网络协议类型和标准网络协议类型一致，则确定网络协议类型正常；

若网络协议类型和标准网络协议类型不一致，则确定网络协议类型异常。

获取通信报文中的通信数据的行为特征；

将行为特征与入侵行为特征库中的异常行为特征进行匹配；

若入侵行为特征库中存在与行为特征匹配的异常行为特征，则确定南向设备与北向主站在通信过程中存在异常行为。

获取南向设备与北向主站通信过程中出现异常的历史网络报文；

提取出现异常的历史网络报文中的异常行为特征；

根据异常行为特征构建入侵行为特征库。

根据通信报文获取南向设备的通信权限信息；

若预设的权限控制列表中不存在通信权限信息，则输出预警信息，预警信息用于提醒南向设备出现越权访问；权限控制列表中包括南向设备的所有通信权限。

获取南向设备发送的历史通信报文；

分析历史通信报文获取协议特征和协议种类；

根据协议特征和协议种类确定协议的功能；

根据协议的功能为南向设备分配通信权限，以生成权限控制列表。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：根据有效载荷信息和标志位信息，确定通信报文的网络协议类型，包括：

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据网络协议类型和标准网络协议类型，确定网络协议类型是否异常，包括：

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：

获取通信报文中的通信数据的行为特征；

将行为特征与入侵行为特征库中的异常行为特征进行匹配；

提取出现异常的历史网络报文中的异常行为特征；

根据异常行为特征构建入侵行为特征库。

根据通信报文获取南向设备的通信权限信息；

获取南向设备发送的历史通信报文；

分析历史通信报文获取协议特征和协议种类；

根据协议特征和协议种类确定协议的功能；

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据有效载荷信息和标志位信息，确定通信报文的网络协议类型，包括：

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.一种异常检测方法，其特征在于，所述方法包括：

当配电房的南向设备向电力系统的北向主站传输通信报文时，所述北向主站获取所述南向设备发送的通信报文的有效载荷信息和标志位信息，所述有效载荷信息用于表征所述通信报文所属应用软件的识别特征和字节数，所述标志位信息包括运算结果标志位、状态控制标志位和标志寄存器增加的标志位；

所述北向主站将所述有效载荷信息和所述标志位信息输入协议识别模型中，得到所述通信报文的网络协议类型；所述协议识别模型为根据历史通信报文的有效载荷信息、标志位信息和对应的网络协议类型训练得到的，所述协议识别模型为神经网络模型；

所述北向主站根据所述网络协议类型和标准网络协议类型，确定所述网络协议类型是否异常；所述网络协议类型是否异常表示与所述南向设备通信的北向主站是否存在入侵行为。

2.根据权利要求1所述的方法，其特征在于，所述北向主站根据所述网络协议类型和标准网络协议类型，确定所述网络协议类型是否异常，包括：

若所述网络协议类型和标准网络协议类型一致，则所述北向主站确定所述网络协议类型正常；

若所述网络协议类型和标准网络协议类型不一致，则所述北向主站确定所述网络协议类型异常。

3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述北向主站获取所述通信报文中的通信数据的行为特征；

所述北向主站将所述行为特征与入侵行为特征库中的异常行为特征进行匹配；

若所述入侵行为特征库中存在与所述行为特征匹配的异常行为特征，则所述北向主站确定所述南向设备与所述北向主站在通信过程中存在异常行为。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

所述北向主站获取所述南向设备与所述北向主站通信过程中出现异常的历史网络报文；

所述北向主站提取所述出现异常的历史网络报文中的异常行为特征；

所述北向主站根据所述异常行为特征构建所述入侵行为特征库。

5.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述北向主站根据所述通信报文获取所述南向设备的通信权限信息；

若预设的权限控制列表中不存在所述通信权限信息，则所述北向主站输出预警信息，所述预警信息用于提醒所述南向设备出现越权访问；所述权限控制列表中包括所述南向设备的所有通信权限。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

所述北向主站获取所述南向设备发送的历史通信报文；

所述北向主站分析所述历史通信报文获取协议特征和协议种类；

所述北向主站根据所述协议特征和协议种类确定协议的功能；

所述北向主站根据所述协议的功能为所述南向设备分配通信权限，以生成所述权限控制列表。

7.一种异常检测装置，其特征在于，所述装置包括：

第一获取模块，用于当配电房的南向设备向电力系统的北向主站传输通信报文时，所述北向主站获取所述南向设备发送的通信报文的有效载荷信息和标志位信息，所述有效载荷信息用于表征所述通信报文所属应用软件的识别特征和字节数，所述标志位信息包括运算结果标志位、状态控制标志位和标志寄存器增加的标志位；

第一确定模块，用于所述北向主站将所述有效载荷信息和所述标志位信息输入协议识别模型中，得到所述通信报文的网络协议类型；所述协议识别模型为根据历史通信报文的有效载荷信息、标志位信息和对应的网络协议类型训练得到的，所述协议识别模型为神经网络模型；

第二确定模块，用于所述北向主站根据所述网络协议类型和标准网络协议类型，确定所述网络协议类型是否异常；所述网络协议类型是否异常表示与所述南向设备通信的北向主站是否存在入侵行为。

8.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。