CN114172702A - 一种电网工控系统网络安全监测方法及系统 - Google Patents
一种电网工控系统网络安全监测方法及系统 Download PDFInfo
- Publication number
- CN114172702A CN114172702A CN202111418827.0A CN202111418827A CN114172702A CN 114172702 A CN114172702 A CN 114172702A CN 202111418827 A CN202111418827 A CN 202111418827A CN 114172702 A CN114172702 A CN 114172702A
- Authority
- CN
- China
- Prior art keywords
- information
- network
- industrial control
- power grid
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012544 monitoring process Methods 0.000 title claims abstract description 43
- 238000013139 quantization Methods 0.000 claims abstract description 25
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000007621 cluster analysis Methods 0.000 claims abstract description 16
- 238000004458 analytical method Methods 0.000 claims description 22
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 238000003064 k means clustering Methods 0.000 claims description 8
- 238000003745 diagnosis Methods 0.000 claims description 5
- 230000010365 information processing Effects 0.000 claims description 5
- 238000001514 detection method Methods 0.000 abstract description 25
- 230000000737 periodic effect Effects 0.000 abstract description 5
- 238000011002 quantification Methods 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000009826 distribution Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 241000700605 Viruses Species 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000010224 classification analysis Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电网工控系统网络安全监测方法及系统,该方法包括在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内。可以针对网络安全问题加以监测、及时预警,确保系统运行的安全性与高效性。而网络流量异常检测的运用,则能够根据其周期性数据和流向固定等特点,保障安全监测和预警的可靠性,在实践中得到广泛应用。在信息熵量化的基础上,对传统K‑means聚类分析算法加以优化,使得数据割裂问题得到及时处理,保障监测和预警的实时化,消除网络环境中的安全隐患。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种电网工控系统网络安全监测方法及系统。
背景技术
针对工控系统网络中的病毒攻击和不合法访问等,通过网络流量异常检测可以实现有效控制,相比较于传统网络安全监测装置而言,对于病毒和内部攻击的防护效果会更好。
信息采集、信息分析和信息处理,是异常检测的基本流程,包含了以网络为核心和以设备为核心的检测方式。运用网络流量异常检测技术,能够确保检测工作的持续性,增强了系统的主动防御效果。在检测中,正常检测模型和异常检测模型的构建十分关键,它决定着后续能否正确区分不同的网络流量。在当前实践当中,机器学习和统计分析是两种常用的网络流量异常检测技术,而机器学习的效果则更加优越,能够借助于分类分析、聚类分析和关联分析等提高检测的精确性和高效性。
以生产工作的特点和要求为依据构建工业控制系统,作为一个控制监测局域网络,系统内部的关联性十分密切,只有确保各个环节的高效运转,才能使系统保持良好的运行状态。
网络安全监测装置需要以安全防护技术为核心,通过全流量数据采集与分析的应用,保障变电站的安全性和稳定性。感知设备日志和网络流量异常状况的分析,则能够及时发现系统运行中的安全隐患,满足异常行为检测和工控操作行为审计的要求。
多种功能应用于装置当中,包括了协议监测、流量监测和行为监测等,运用大数据分析技术和大数据存储技术等优化调度监控管理网,通过可视化展示达到监测预警的目的。在电网工控系统的监测预警中,需要对网络行为进行综合分析,包括了系统运行情况、网络流量情况和安全设备日志信息等,实现对风险问题的及时预防和处理。
在信息化时代背景下,电网建设正在朝着自动化、数字化和智能化方向发展,然而由于网络攻击的存在,也会使电网工控系统的运行存在较大的风险,限制了信息通信技术作用的发挥,也会威胁电力系统的供电可靠性与安全性。
尤其是针对配用电系统和智能变电站而言,其遭受的威胁类型也在增多,如果在网络和终端等存在漏洞,将会导致信息安全和系统运行受到影响。网络病毒往往会由于移动介质在接入时缺乏安全防护而传播,进而对整个系统造成损坏。无线通信是 RTU/PLC 和监控网的基本功能,如果此过程缺乏安全控制,也会导致网络攻击的出现。
随着科学技术水平的不断提升,攻击技术也逐渐更新换代,需要工业控制网络不断强化,防止出现破解攻击的问题。在操作系统和控制协议当中出现漏洞后,也会引起电网工控系统的信息安全风险。由于该系统存在一定的特殊性,因此采用传统防护技术无法满足实际需求,必须通过异常检测的方式加以追踪溯源。
发明内容
本发明提供了一种电网工控系统网络安全监测方法及系统。
本发明提供了如下方案:
一种电网工控系统网络安全监测方法,包括:
在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;
采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;
将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内;所述标准信息熵为将采集到的若干个样本信息熵采用K-means聚类分析算法计算获得的聚类中心;所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得的信息熵;所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信息;
根据所述比对结果确定是否发出告警。
优选地:所述样本网络数据流量信息为所述目标设备在以往时间段内正常流量下的网络数据流量信息;判断比对结果是否在目标波动范围内;包括:
若所述比对结果超出所述目标波动范围则发出告警。
优选地:所述样本网络数据流量信息为所述目标设备在以往时间段内异常流量下的网络数据流量信息;判断比对结果是否在目标波动范围内;包括:
若所述比对结果未超出所述目标波动范围则发出告警。
优选地:所述K-means聚类分析算法中K值与所述样本网络数据流量信息中包含的正常流量包个数相同。
优选地:所述正常流量包与非正常流量包采用有标记和无标记进行区分。
优选地:所述在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息之前;
采用网络诊断工具检测所述目标设备的网络是否通畅。
优选地:所述网络诊断工具包括Ping程序。
优选地:根据所述目标设备所在设备区域的安全等级、用途以及功能为依据确定所述目标频率。
优选地:所述特征属性包括IP地址、目的端口、工控协议、源端口。
一种电网工控系统网络安全监测系统,该系统包括:
信息采集单元,用于在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;
信息处理单元,用于采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;
比对单元,用于将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内;所述标准信息熵为将采集到的若干个样本信息熵采用K-means聚类分析算法计算获得的聚类中心;所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得的信息熵;所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信息;
告警单元,用于根据所述比对结果确定是否发出告警。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
通过本发明,可以实现一种电网工控系统网络安全监测方法及系统,在一种实现方式下,该方法可以包括在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内;所述标准信息熵为将采集到的若干个样本信息熵采用K-means聚类分析算法计算获得的聚类中心;所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得的信息熵;所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信息;根据所述比对结果确定是否发出告警。可以针对网络安全问题加以监测、及时预警,确保系统运行的安全性与高效性。而网络流量异常检测的运用,则能够根据其周期性数据和流向固定等特点,保障安全监测和预警的可靠性,在实践中得到广泛应用。在信息熵量化的基础上,对传统K-means 聚类分析算法加以优化,使得数据割裂问题得到及时处理,保障监测和预警的实时化,消除网络环境中的安全隐患。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种电网工控系统网络安全监测方法的流程图;
图2是本发明实施例提供的一种电网工控系统网络安全监测系统的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
参见图1,为本发明实施例一提供的一种电网工控系统网络安全监测方法,如图1所示,该方法可以包括:
S101:在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;
S102:采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;
S103:将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内;所述标准信息熵为将采集到的若干个样本信息熵采用K-means聚类分析算法计算获得的聚类中心;所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得的信息熵;所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信息;
S104:根据所述比对结果确定是否发出告警。
本申请实施例提供的电网工控系统网络安全监测方法,可以针对网络安全问题加以监测、及时预警,确保系统运行的安全性与高效性。而网络流量异常检测的运用,则能够根据其周期性数据和流向固定等特点,保障安全监测和预警的可靠性,在实践中得到广泛应用。在信息熵量化的基础上,对传统K-means 聚类分析算法加以优化,使得数据割裂问题得到及时处理,保障监测和预警的实时化,消除网络环境中的安全隐患。
在实际应用中,可以根据标准信息熵是正常流量下的信息熵还是非正常流量下的信息熵确定发出告警的比对结果。例如,所述样本网络数据流量信息为所述目标设备在以往时间段内正常流量下的网络数据流量信息;判断比对结果是否在目标波动范围内;包括:
若所述比对结果超出所述目标波动范围则发出告警。样本网络数据流量信息为正常流量下的网络数据流量信息时,获得的标准信息熵为正常流量下的信息熵,在进行判断时,待检测信息熵与标准信息熵差距越小,说明流量越正常,因此可以确定此时网络不存在安全风险。反之,当超出目标波动范围后,说明待检测信息熵与标准信息熵差距较大,存在一定的安全风险,此时可以确定发出告警。
当然,在实际应用中,也可以采用异常流量下的网络数据流量信息作为样本网络数据流量信息,则获得的标准信息熵为异常流量下的信息熵。判断方法与正常流量下获得的标准信息熵的对比方法相反。具体的,所述样本网络数据流量信息为所述目标设备在以往时间段内异常流量下的网络数据流量信息;判断比对结果是否在目标波动范围内;包括:
若所述比对结果未超出所述目标波动范围则发出告警。
进一步的,为了优化K-means聚类分析算法防止K值初始值的影响算法的精度,本申请实施例可以提供所述K-means聚类分析算法中K值与所述样本网络数据流量信息中包含的正常流量包个数相同。具体的,所述正常流量包与非正常流量包采用有标记和无标记进行区分。
进一步的,所述在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息之前;
采用网络诊断工具检测所述目标设备的网络是否通畅。具体的,所述网络诊断工具包括Ping程序。
根据所述目标设备所在设备区域的安全等级、用途以及功能为依据确定所述目标频率。所述特征属性包括IP地址、目的端口、工控协议、源端口。
本申请实施例提供的基于K-means聚类分析的电网工控系统网络安全监测方法,包括:
在信息采集、信息分析和信息处理的流程下,实现对网络数据流量的异常监测成为可能。通过对网络流量异常检测的运用,能够根据其周期性数据和流向固定等特点,聚类分析得出流量信息,及时处理数据割裂问题,消除网络环境中的安全隐患。
根据上述的分析,该方法可以通过下述三个模块实现,数据采集模块、数据预处理模块和检测分析模块三个部门分别进行设计。
相较于传统网络系统而言,电网工控系统的运行需要对宕机问题加以严格控制。因此在数据采集的前期,需要对需要采集的设备进行详细的了解,对采集频率的系数进行设定,符合当前设备要求;同时,在进行数据采集开始前,需要确定被采集的设备对象,如交换机、纵向加密认证装置和路由器等设备,确定设备数据链路的畅通。检测方法是利用网络诊断工具Ping程序,当上述被测设备均能够正常地 Ping 通且没有发生数据包丢失时,认为该设备的数据链路畅通,否则产生告警。
从电网工控系统的网络数据流量特点可以看出,异常流量和正常流量在分布特征和属性都存在明显的不同。在量化处理数据流量的特征属性时,可以采用信息熵量化的方法,因此电网工控系统中的流量异常问题,则能够通过特征属性的熵值监测与分析来获取,增强安全监测的可靠性。对于信息总量的描述通常借助于信息熵的概念,当存在较小的信息熵时,那么信息总量就更具有序性,在分布特点上也更加有规律;当存在较大的信息熵时,则其呈现出无序性的特点。
因此,攻击事件IP地址的分布,则可以运用地址熵加以全面分析,当存在较高的地址熵时,那么就会出现混乱的IP地址,同时在分布上也呈现出分散性特征。对于IP地址分布状况的获取,能够及时响应大规模的信息安全事件,从而达到及时预警和处理的目的。
在检测分析模块中,较强的周期性、时序性和稳定性是电网工控系统网络流量数据的基本特征,通过有标记和无标记数据样本对正常流量数据和异常流量数据加以划分,从而增强数据处理的便捷性。
因此在初始化处理有标记数据后,采用聚类分析的方式将两者加以对比,完善分析模型,确保检测规则的合理性与高效性。K-means聚类分析算法能够确保网络流量异常检测的高效性和便捷性,在此过程中需要明确K值,从而在样本当中获得初始中心,测量聚类中心和剩余数据的距离,通过反复的均值计算获得方差最小值,取得良好的检测效果。
但传统K-means算法存在着局限性,聚类结果往往会受到K值初始值的影响,当其发生变化时则会对聚类分析效果造成影响。同时,平均值的变化较大,往往会受到孤立数据点和偏离数据区的影响,无法满足整体数据特征,因此聚类分析的精确性下降。
可以考虑在选择聚类中心初始值时加以全面优化,同时确定合理的K值,从而对K-means聚类分析算法加以创新和改进,增强分析精确性和整体效果。如前所述,正常网络流量流向不会发生较大的改变,这是电网工控系统的基本特点,以此为依据可以通过有标记正常流量包数据确定K值,实现对K-means聚类分析算法的优化。此外,参照点的选择不能应用聚类中心平均值,以中心点代替后则能够消除孤立数据点的干扰。
数据采集的主要功能是针对电网工控系统内每一个需要被采集数据的装置进行持续一段时间的监测,并在监测过程中对设备的数据进行采集,这一采集结果将交由数据预处理模块进行处理。其中,数据采集三类信息:安全类事件(病毒爆发、攻击事件、非法网络访问等);操作类(登录信息、用户操作信息等);运行信息类(网络连接关系、设备运行状态等)。
(1)开始运行后,首先匹配一个合适的采集频率系数,该系数需要以设备区域的安全等级、用途和功能为依据。同时,在对采集频率系数进行调整时也应分析链路的拥塞状况,防止设备宕机;
(2)为了使系统处于良好的运行状态当中,应对设备负荷状况加以实施监测,保证设备采集频率的合理性;
(3)针对电网工控系统对网络流量进行采集时的长度限制,采集数据大多为周期性信息数据,在保证较好时序性的基础上,缩短系统的响应时间,确保数据流向不会发生改变。
数据预处理模块的主要功能是读取数据采集模块传递而来的数据,并且对其中的数据进行分析计算处理。
(1)数据预处理模块开始工作后,首先需要进行对采集数据的特征属性进行信息熵量化,而后对特征属性的熵值进行监测和分析;
(2)根据上述分析结果,借助于信息熵的概念规定,如果信息熵值较小时,判定信息总量更具有有序性,呈现出的结果更加规律,反之,当信息熵值过大时,则认为数据流量中夹杂其它信息,导致结果呈现出无序性的特点;
(3)对单位流量特征属性发生的次数以时间顺序进行记录,实现对数据包的预处理,从而得到攻击事件的IP地址、目的端口、工控协议和源端口的属性熵值。借助于信息熵,也能够快速量化处理网络流量的属性特征,以聚类分析的方式明确特征属性的熵值,可以满足电网工控系统的异常检测需求。
检测分析模块借助于K-means聚类分析算法进行检测。该算法的基本步骤为:通过正常流量包个数的计算来确定 K 值,而聚类初始中心则通过样本数据的随机选取来确定,中心点对象则从 K个数据中加以选择,在分配剩余非中心点对象时则以两者间距为依据,聚类中心获得大量的非中心点对象。对非中心点对象和中心点对象距离加以计算,通过迭代处理后获得实际中心点对象。计算方差最小值,获得数据元素的绝对误差和,建立的聚类中心则能够消除孤立点数据的干扰。
实施例二
参见图2,与本申请实施例一提供的一种电网工控系统网络安全监测方法相对应,如图2所示,本申请实施例二还提供了一种电网工控系统网络安全监测系统,该系统具体可以包括:
信息采集单元201,用于在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;
信息处理单元202,用于采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;
比对单元203,用于将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内;所述标准信息熵为将采集到的若干个样本信息熵采用K-means聚类分析算法计算获得的聚类中心;所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得的信息熵;所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信息;
告警单元204,用于根据所述比对结果确定是否发出告警。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加上必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种电网工控系统网络安全监测方法,其特征在于,所述方法包括:
在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;
采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;
将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内;所述标准信息熵为将采集到的若干个样本信息熵采用K-means聚类分析算法计算获得的聚类中心;所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得的信息熵;所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信息;
根据所述比对结果确定是否发出告警。
2.根据权利要求1所述的电网工控系统网络安全监测方法,其特征在于,所述样本网络数据流量信息为所述目标设备在以往时间段内正常流量下的网络数据流量信息;判断比对结果是否在目标波动范围内;包括:
若所述比对结果超出所述目标波动范围则发出告警。
3.根据权利要求1所述的电网工控系统网络安全监测方法,其特征在于,所述样本网络数据流量信息为所述目标设备在以往时间段内异常流量下的网络数据流量信息;判断比对结果是否在目标波动范围内;包括:
若所述比对结果未超出所述目标波动范围则发出告警。
4.根据权利要求1所述的电网工控系统网络安全监测方法,其特征在于,所述K-means聚类分析算法中K值与所述样本网络数据流量信息中包含的正常流量包个数相同。
5.根据权利要求4所述的电网工控系统网络安全监测方法,其特征在于,所述正常流量包与非正常流量包采用有标记和无标记进行区分。
6.根据权利要求1所述的电网工控系统网络安全监测方法,其特征在于,所述在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息之前;
采用网络诊断工具检测所述目标设备的网络是否通畅。
7.根据权利要求6所述的电网工控系统网络安全监测方法,其特征在于,所述网络诊断工具包括Ping程序。
8.根据权利要求1所述的电网工控系统网络安全监测方法,其特征在于,根据所述目标设备所在设备区域的安全等级、用途以及功能为依据确定所述目标频率。
9.根据权利要求1所述的电网工控系统网络安全监测方法,其特征在于,所述特征属性包括IP地址、目的端口、工控协议、源端口。
10.一种电网工控系统网络安全监测系统,其特征在于,所述系统包括:
信息采集单元,用于在目标频率下周期性的采集电网工控系统内目标设备的网络数据流量信息;
信息处理单元,用于采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测信息熵;
比对单元,用于将所述待检测信息熵与标准信息熵比对,判断比对结果是否在目标波动范围内;所述标准信息熵为将采集到的若干个样本信息熵采用K-means聚类分析算法计算获得的聚类中心;所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得的信息熵;所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信息;
告警单元,用于根据所述比对结果确定是否发出告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111418827.0A CN114172702A (zh) | 2021-11-26 | 2021-11-26 | 一种电网工控系统网络安全监测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111418827.0A CN114172702A (zh) | 2021-11-26 | 2021-11-26 | 一种电网工控系统网络安全监测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114172702A true CN114172702A (zh) | 2022-03-11 |
Family
ID=80480896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111418827.0A Pending CN114172702A (zh) | 2021-11-26 | 2021-11-26 | 一种电网工控系统网络安全监测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172702A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116723059A (zh) * | 2023-08-10 | 2023-09-08 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN106911529A (zh) * | 2015-12-22 | 2017-06-30 | 国网青海省电力公司 | 基于协议解析的电网工控安全检测系统 |
CN109241740A (zh) * | 2018-09-11 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 恶意软件基准测试集生成方法及装置 |
CN109302378A (zh) * | 2018-07-13 | 2019-02-01 | 哈尔滨工程大学 | 一种SDN网络DDoS攻击检测方法 |
CN109522926A (zh) * | 2018-09-28 | 2019-03-26 | 南京航空航天大学 | 基于信息熵聚类的异常检测方法 |
CN110134719A (zh) * | 2019-05-17 | 2019-08-16 | 贵州大学 | 一种结构化数据敏感属性的识别与分类分级方法 |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及系统 |
-
2021
- 2021-11-26 CN CN202111418827.0A patent/CN114172702A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104202336A (zh) * | 2014-09-22 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于信息熵的DDoS攻击检测方法 |
CN106911529A (zh) * | 2015-12-22 | 2017-06-30 | 国网青海省电力公司 | 基于协议解析的电网工控安全检测系统 |
CN109302378A (zh) * | 2018-07-13 | 2019-02-01 | 哈尔滨工程大学 | 一种SDN网络DDoS攻击检测方法 |
CN109241740A (zh) * | 2018-09-11 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 恶意软件基准测试集生成方法及装置 |
CN109522926A (zh) * | 2018-09-28 | 2019-03-26 | 南京航空航天大学 | 基于信息熵聚类的异常检测方法 |
CN110134719A (zh) * | 2019-05-17 | 2019-08-16 | 贵州大学 | 一种结构化数据敏感属性的识别与分类分级方法 |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及系统 |
Non-Patent Citations (3)
Title |
---|
于京: "Linux操作系统", 31 January 2010, 浙江科学技术出版社, pages: 323 - 326 * |
钟志琛: "基于网络流量异常检测的 电网工控系统安全监测技术", 电力信息与通信技术, vol. 15, no. 1, pages 3 * |
钟志琛: "基于网络流量异常检测的电网工控系统安全监测技术", 电力信息与通信技术, vol. 15, no. 1, pages 3 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116723059A (zh) * | 2023-08-10 | 2023-09-08 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
CN116723059B (zh) * | 2023-08-10 | 2023-10-20 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112651006B (zh) | 一种电网安全态势感知系统 | |
CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
CN108646722B (zh) | 一种工业控制系统信息安全仿真模型及终端 | |
EP2532121B1 (en) | Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions | |
US9191398B2 (en) | Method and system for alert classification in a computer network | |
US20190089725A1 (en) | Deep Architecture for Learning Threat Characterization | |
US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
CN109361673B (zh) | 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法 | |
CN102594620A (zh) | 一种基于行为描述的可联动分布式网络入侵检测方法 | |
CN116319061A (zh) | 一种智能控制网络系统 | |
CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
US20180013783A1 (en) | Method of protecting a communication network | |
CN112165470A (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
KR20120087393A (ko) | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 | |
CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
CN114172702A (zh) | 一种电网工控系统网络安全监测方法及系统 | |
CN117879961A (zh) | 一种态势感知系统的威胁预警分析模型 | |
WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
CN107809321B (zh) | 一种安全风险评估和告警生成的实现方法 | |
Raja et al. | Rule generation for TCP SYN flood attack in SIEM environment | |
CN114143160A (zh) | 一种云平台自动化运维系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |