CN114268451B - 电力监控网络安全缓冲区构建方法、装置、设备和介质 - Google Patents
电力监控网络安全缓冲区构建方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN114268451B CN114268451B CN202111345163.XA CN202111345163A CN114268451B CN 114268451 B CN114268451 B CN 114268451B CN 202111345163 A CN202111345163 A CN 202111345163A CN 114268451 B CN114268451 B CN 114268451B
- Authority
- CN
- China
- Prior art keywords
- data packet
- field
- operation behavior
- behavior sequence
- fields
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012544 monitoring process Methods 0.000 title claims abstract description 28
- 238000006243 chemical reaction Methods 0.000 claims abstract description 98
- 238000001514 detection method Methods 0.000 claims abstract description 80
- 238000001914 filtration Methods 0.000 claims abstract description 49
- 238000003860 storage Methods 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 156
- 230000006870 function Effects 0.000 claims description 48
- 238000012706 support-vector machine Methods 0.000 claims description 21
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 19
- 230000015654 memory Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 238000010276 construction Methods 0.000 claims description 6
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 claims description 4
- 230000009471 action Effects 0.000 claims description 2
- 238000004806 packaging method and process Methods 0.000 abstract description 3
- 238000012549 training Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 11
- 230000005856 abnormality Effects 0.000 description 10
- 230000008859 change Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种电力监控网络安全缓冲区构建方法、装置、计算机设备和存储介质。该方法包括:检查电力系统远端设备发送的请求数据包包含的各字段是否符合对应的字段规则,并将各字段均符合对应字段规则的请求数据包作为第一候选数据包;对根据第一候选数据包的字段生成的操作行为序列执行检测操作,对第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包;根据目标转换策略对第二候选数据包中的字段进行转换处理,将转换后得到的字段封装得到最终数据包并发送至电力核心控制系统。采用本方法能够提高电力系统安全性。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种电力监控网络安全缓冲区构建方法、装置、计算机设备和存储介质。
背景技术
电力系统的运行与控制需要信息的传输和交互,如RTU等电力系统远端设备将请求数据包传输至核心控制系统,核心控制系统接收远端设备发送的请求数据包以进行电力调度。在电力系统的数据传输过程中,请求数据包会遭到攻击信息的攻击,攻击信息会严重影响电力系统的运行。因此,对电力系统进行安全防护是十分重要的。
现有技术中,通常会借助常用的转换策略,例如,数据混淆策略,对电力系统中的请求数据包的字段进行转换处理以实现电力系统中的攻击信息进行安全防护。
但是,仅利用上述方法,并不能对所有的攻击信息进行安全防护,容易被针对性设计攻击信息模式,电力系统的安全性较低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升电力系统安全性的的电力监控网络安全缓冲区构建方法、装置、计算机设备和存储介质。
第一方面,提供了一种电力监控网络安全缓冲区构建方法,该方法包括:
接收电力系统远端设备发送的请求数据包;
检查请求数据包包含的各字段是否符合对应的字段规则,并将各字段均符合对应字段规则的请求数据包作为第一候选数据包;
根据第一候选数据包的字段,生成操作行为序列,对操作行为序列执行检测操作,根据操作行为序列的检测结果对第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包;
根据目标转换策略对第二候选数据包中的字段进行转换处理,得到转换后的字段,将转换后的字段重新封装得到最终数据包,并将最终数据包发送至电力核心控制系统。
在其中一个实施例中,检查请求数据包包含的各字段是否符合对应的字段规则,包括:
获取请求数据包的数据结构集合和规则集合,数据结构集合包括请求数据包包含的各字段的字段值,规则集合包括请求数据包包含的各字段分别对应的字段规则;
针对各字段,确定数据结构集合中的字段值是否符合字段对应的字段规则。
在其中一个实施例中,获取请求数据包的数据结构集合和规则集合,包括:
对请求数据包进行解封装,得到请求数据包包含的各字段的名称和字段值;
获取请求数据包对应的协议类型,根据协议类型确定请求包包含的各字段对应的字段规则;
将名称和字段值以键值对的形式作为数据结构集合的元素,以构建请求数据包的数据结构集合;
将字段规则作为规格集合的元素,以构建请求数据包的规则集合。
在其中一个实施例中,字段包括功能码字段,根据第一候选数据包的字段,生成操作行为序列,包括:
获取第一候选数据包的接收时间和功能码字段;
按照接收时间的先后顺序,将功能码字段进行排序,得到行为序列;
按照预设步长滑动预设时间窗口,分割行为序列,得到多个操作行为序列。
在其中一个实施例中,对操作行为序列执行检测操作,包括:
获取操作行为序列的五元组信息,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型;
根据五元组信息,对操作行为序列进行分类,得到多个子操作行为序列;
将子操作行为序列输入至异常行为检测模型中,得到子操作行为序列的检测结果。
在其中一个实施例中,异常检测模型为单类支持向量机模型,将子操作行为序列输入至异常行为检测模型中,得到子操作行为序列的检测结果,包括:
对子操作行为序列进行向量化处理,得到向量化数据;
将向量化数据输入单类支持向量机模型中,输出检测结果。
在其中一个实施例中,根据操作行为序列的检测结果对第一候选数据包执行过滤操作,包括:
若检测结果为子操作行为序列存在异常,则将子操作行为序列中最后的功能码字段所对应的最后一个第一候选数据包丢弃。
在其中一个实施例中,根据目标转换策略对第二候选数据包中的字段进行转换处理,包括:
从预设的策略数据库中随时选择一个转换策略作为目标转换策略,策略数据库包括多个转换策略。
在其中一个实施例中,多个转换策略包括第一转换策略和第二转换策略;
第一转换策略包括将第二候选数据包包含的各字段的字段值进行互换;
第二转换策略包括利用数据混淆技术对第二候选数据包包含的字段进行转换处理。
在其中一个实施例中,该方法还包括:
在接收到针对策略数据库的更新操作时,基于更改操作确定更新后的策略数据库。
第二方面,提供了一种电力监控网络安全缓冲区构建装置,该装置包括:
接收模块,用于接收电力系统远端设备发送的请求数据包;
检查模块,用于检查所述请求数据包包含的各字段是否符合对应的字段规则,并将各所述字段均符合对应字段规则的所述请求数据包作为第一候选数据包;
过滤模块,用于根据所述第一候选数据包的字段,生成操作行为序列,对所述操作行为序列执行检测操作,根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包;
转换模块,用于根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,并将所述最终数据包发送至电力核心控制系统。
在其中一个实施例中,该检查模块具体用于:
获取请求数据包的数据结构集合和规则集合,数据结构集合包括请求数据包包含的各字段的字段值,规则集合包括请求数据包包含的各字段分别对应的字段规则;
针对各字段,确定数据结构集合中的字段值是否符合字段对应的字段规则。
在其中一个实施例中,该检查模块还用于:
对请求数据包进行解封装,得到请求数据包包含的各字段的名称和字段值;
获取请求数据包对应的协议类型,根据协议类型确定请求包包含的各字段对应的字段规则;
将名称和字段值以键值对的形式作为数据结构集合的元素,以构建请求数据包的数据结构集合;
将字段规则作为规格集合的元素,以构建请求数据包的规则集合。
在其中一个实施例中,字段包括功能码字段,该过滤模块用于:
获取第一候选数据包的接收时间和功能码字段;
按照接收时间的先后顺序,将功能码字段进行排序,得到行为序列;
按照预设步长滑动预设时间窗口,分割行为序列,得到多个操作行为序列。
在其中一个实施例中,该过滤模块还用于:
获取操作行为序列的五元组信息,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型;
根据五元组信息,对操作行为序列进行分类,得到多个子操作行为序列;
将子操作行为序列输入至异常行为检测模型中,得到子操作行为序列的检测结果。
在其中一个实施例中,该过滤模块还具体用于:
对子操作行为序列进行向量化处理,得到向量化数据;
将向量化数据输入单类支持向量机模型中,输出检测结果。
在其中一个实施例中,该过滤模块还具体用于:
若检测结果为子操作行为序列存在异常,则将子操作行为序列中最后的功能码字段所对应的最后一个第一候选数据包丢弃。
在其中一个实施例中,该转换模块具体用于:
从预设的策略数据库中随时选择一个转换策略作为目标转换策略,策略数据库包括多个转换策略。
在其中一个实施例中,该转换模块还具体用于:
多个转换策略包括第一转换策略和第二转换策略;
第一转换策略包括将第二候选数据包包含的各字段的字段值进行互换;
第二转换策略包括利用数据混淆技术对第二候选数据包包含的字段进行转换处理。
在其中一个实施例中,该装置还包括:
更新模块,用于在接收到针对策略数据库的更新操作时,基于更改操作确定更新后的策略数据库。
第三方面,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该计算机程序被该处理器执行时实现如上述第一方面所述的电力监控网络安全缓冲区构建方法。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所述的电力监控网络安全缓冲区构建方法。
上述电力监控网络安全缓冲区构建方法、装置、计算机设备和存储介质,通过检查电力系统远端设备发送的请求数据包包含的各字段是否符合对应的字段规则,并将各字段均符合对应字段规则的请求数据包作为第一候选数据包;对根据第一候选数据包的字段生成的操作行为序列执行检测操作,根据操作行为序列的检测结果对第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包;根据目标转换策略对第二候选数据包中的字段进行转换处理,得到转换后的字段,并将转换后的字段重新封装后得到最终数据包后才将最终数据包发送至电力核心控制系统。在本申请实施例中,通过检查电力系统远端设备发送的请求数据包包含的各字段是否符合对应的字段规则得到了第一候选数据包,实现了对请求数据包的第一次过滤,即通过过滤存在异常的请求数据包,实现了电力系统的一级安全防护;然后根据所述第一候选数据包的字段,生成操作行为序列,对所述操作行为序列执行检测操作,根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,通过对存在异常的请求数据包第二次过滤,实现了电力系统的二级安全防护,进一步提升了电力系统的安全性;在经过两次过滤操作后,根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,实现了电力系统的三级安全防护,实现了电力监控网络安全缓冲区的构建,进一步提高了电力系统中传输请求数据包的安全性。本申请实施例通过多级防护,极大的提高了电力系统的安全性。
附图说明
图1为一个实施例中电力监控网络安全缓冲区构建方法的应用环境图;
图2为一个实施例中电力监控网络安全缓冲区构建方法的流程示意图;
图3为一个实施例中104规约的示意图;
图4为一个实施例中步骤202的流程示意图;
图5为一个实施例中步骤301的流程示意图;
图6为一个实施例中步骤203的流程示意图;
图7为一个实施例中滑动时间窗口的示意图;
图8为一个实施例中步骤203的流程示意图;
图9为一个实施例中步骤603的流程示意图;
图10为一个实施例中对第一候选数据包执行过滤操作的流程示意图;
图11为一个实施例中电力监控网络安全缓冲区构建方法的流程示意图;
图12为一个实施例中电力监控网络安全缓冲区构建装置的结构框图;
图13为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
电力系统的运行与控制需要信息的传输和交互,如RTU等电力系统远端设备将请求数据包传输至核心控制系统,核心控制系统接收远端设备发送的请求数据包以进行电力调度。在电力系统的数据传输过程中,请求数据包会遭到攻击信息的攻击,攻击信息会严重影响电力系统的运行。因此,对电力系统进行安全防护是十分重要的。
现有技术中,通常会借助常用的转换策略,对电力系统中的请求数据包的字段进行转换处理以实现电力系统中的攻击信息进行安全防护,以数据混淆策略为例,改变请求数据包中功能码的长度,在功能码中加入冗余位,以隐藏请求数据包的数据信息,实现对攻击信息的防护。
但是,仅通过常用的转换策略来防护攻击信息,容易被针对性设计攻击信息模式,电力系统的安全性较低。
有鉴于此,本申请实施例提供了一种能够提升电力系统安全性的电力监控网络安全缓冲区构建方法。
本申请实施例提供的电力监控网络安全缓冲区构建方法,可以应用于如图1 所示的实施环境中,该实施环境包括电力系统远端设备101、安全缓冲区102和电力核心控制系统103,其中该电力监控网络安全缓冲区构建方法在安全缓冲区 102中实现。安全缓冲区102接收电力系统远端设备101发送的请求,并对该数据请求进行数据处理,将数据处理后的数据发送至电力核心控制系统103,其中该数据处理过程包括一次过滤、二次过滤和动态转换过程。电力核心控制系统 103对接收到数据做出响应,并将响应结果发送至电力系统远端设备101。
需要说明的是,本申请实施例提供的电力监控网络安全缓冲区构建方法,其执行主体可以是电力监控网络安全缓冲区构建装置,该电力监控网络安全缓冲区构建装置可以通过软件、硬件或者软硬件结合的方式实现成为终端的部分或者全部。
下述方法实施例中,均以执行主体是终端为例来进行说明,其中,终端可以是个人计算机、笔记本电脑、媒体播放器、智能电视、智能手机、平板电脑和便携式可穿戴设备等,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。
请参考图2,其示出了本申请实施例提供的一种电力监控网络安全缓冲区构建方法的流程图。如图2所示,该电力监控网络安全缓冲区构建方法可以包括以下步骤:
步骤201,接收电力系统远端设备发送的请求数据包。
其中,电力系统远端设备包括操作员站、远程终端控制系统对应的终端设备以及业务系统对应的终端设备。该业务系统包括配电室智能运维、电网调度系统以及电网运行管理系统等。
可选的,终端上安装有抓包软件,例如Wireshark、tcpdump等等。终端借助抓包软件抓取电力系统远端设备发送的请求数据包。
步骤202,检查请求数据包包含的各字段是否符合对应的字段规则,并将各字段均符合对应字段规则的请求数据包作为第一候选数据包。
其中,该步骤对应的数据处理过程为图1中所示一次过滤过程。
其中,不同协议类型的请求数据包包含的字段不同。以104规约对应的请求数据包为例,如图3所示,请求数据包包含的字段包括:启动字符、APDU 的长度length、控制域1、控制域2、控制域3、控制域4、类型标识以及传送原因等等。不同协议的规约中针对不同字段的值,设置有对应的字段规则。例如 104规约中“启动字符”字段,该字段对应的字段规则为“固定为68H”。
可选的,终端对接收到请求数据包进行解析,得到该请求数据包包括的字段以及各字段的字段值。而且终端存储有各字段的字段规则表。针对解析得到的字段,终端将该字段与字段规则表进行匹配,得到该字段对应的字段规则,然后判断该字段对应的字段值是否符合字段规则。以104规约中“启动字符”字段为例,该字段对应的字段规则为“固定为68H”,可以判断判断请求数据包中“启动字符”字段的值是否为“68H”,若是“68H”,则说明“启动字符”字段符合字段规则。
可选的,针对请求数据包中各个字段,分别判断该字段是否符合对应字段规则,若所有的字段均符合对应的字段规则,则将保留该请求数据包,将该请求数据包作为第一候选数据包。若该请求数据包中存在一个或多个字段不符合对应的字段,则该请求数据包丢弃。
步骤203,根据第一候选数据包的字段,生成操作行为序列,对操作行为序列执行检测操作,根据操作行为序列的检测结果对第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包。
其中,该步骤对应的数据处理过程为图1中所示二次过滤过程。
可选的,终端中保存在各类型协议的控制操作对应的功能码字段。以104 规约规约规约为例,其功能码字段是类型标识和传送原因。终端根据第一候选数据包的功能码字段,得到各第一候选数据包对应的控制操作,将多个第一候选数据包对应的控制操作按照预设的排序规则进行排序得到该多个第一候选数据包对应的操作行为序列。其中,该排序规则包括根据请求数据包的接收时间或者源IP地址信息排序。
可选的,获取候选数据包的源IP地址。将候选数据包中源IP地址信息一样的候选数据包归为一类。针对每类候选数据包,根据候选数据包的字段,生成对应的操作行为序列。
可选的,借助异常行为检测模型对操作行为序列进行异常检测。其中该异常行为检测模型包括支持向量机模型、神经网络模型以及二叉树模型等等。
可选的,将操作行为序列输入至异常行为检测模型中进行检测,输出检测结果。该检测结果包括该操作行为序列存在异常和该操作行为序列不存在异常。当检测结果为该操作行为序列存在异常时,并定位异常信息所在位置,并确定该异常信息所在位置对应的第二候选数据包,并将该第二候选数据包丢弃。
步骤204,根据目标转换策略对第二候选数据包中的字段进行转换处理,得到转换后的字段,将转换后的字段重新封装得到最终数据包,并将最终数据包发送至电力核心控制系统。
其中,该步骤对应的数据处理过程为图1中所示动态转换过程。
其中,该目标转化策略包括数据混淆策略和字段内容置换等策略。
其中,电力核心控制系统包括电量调度控制系统。
可选的,将转换后的字段重新封装的方法为:获取该第二候选数据包对应的协议类型,按照协议类型的格式,获取转换后的字段对应的字段值,将字段值进行封装得到最终数据包。
在本申请实施例中,通过检查电力系统远端设备发送的请求数据包包含的各字段是否符合对应的字段规则得到了第一候选数据包,实现了对请求数据包的第一次过滤,即通过过滤存在异常的请求数据包,实现了电力系统的一级安全防护;然后根据所述第一候选数据包的字段,生成操作行为序列,对所述操作行为序列执行检测操作,根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,通过对存在异常的请求数据包第二次过滤,实现了电力系统的二级安全防护,进一步提升了电力系统的安全性;在经过两次过滤操作后,根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,实现了电力系统的三级安全防护,进一步提高了电力系统中传输请求数据包的安全性。
在本申请实施中,参见图4,基于图1所示的实施例,本实施例涉及的是步骤202中将检查请求数据包包含的各字段是否符合对应的字段规则,包括:
步骤301,获取请求数据包的数据结构集合和规则集合。
其中,数据结构集合包括请求数据包包含的各字段的字段值,规则集合包括请求数据包包含的各字段分别对应的字段规则。
可选的,终端针对各种类型的协议存储有协议映射关系表,该协议映射关系表包括协议类型编号和数据结构集合格式和规则集合格式。终端获取该请求数据包对应的协议类型,根据协议类型获取确定该协议类型对应的协议类型编号。然后终端通过查表的方式获取该协议类型编号对应的数据结构集合格式和规则集合格式。按照数据结构集合格式和规则集合格式,生成对应的数据结构集合和规则集合。
步骤302,针对各字段,确定数据结构集合中的字段值是否符合字段对应的字段规则。
可选的,根据字段信息,查询数据结构集合得到该字段对应的字段值;查询规则集合得到该字段对应的规则集合,然后判断该字段值是否符合字段对应的字段规则。
本申请实施例通过获取请求数据包的数据结构集合和规则集合,并针对各字段,确定数据结构集合中的字段值是否符合字段对应的字段规则,实现了对请求数据包的第一次过滤。通过过滤存在异常的请求数据包,实现了电力系统的一级安全防护。
在本申请实例中,参照图5,基于图4所示的实施例,上述步骤301获取请求数据包的数据结构集合和规则集合,包括步骤401、步骤402,步骤403和步骤404:
步骤401,对请求数据包进行解封装,得到请求数据包包含的各字段的名称和字段值。
可选的,将请求数据包按照网络层级进行层层封装。该层级包括物理层、数据链路层、网络层、传输层和应用层。
步骤402,获取请求数据包对应的协议类型,根据协议类型确定请求包包含的各字段对应的字段规则。
可选的,根据解析得到的应用层信息,获取该请求数据包对应的协议类型。该协议类型包括TCP协议、UDP协议、TCP/IP协议、FTP协议、DNS协议、 SSL/TLS协议以及HTTP协议等协议类型中的一种。
步骤403,将名称和字段值以键值对的形式作为数据结构集合的元素,以构建请求数据包的数据结构集合。
可选的,利用XML语言定义请求数据包范式。基于XML的电力系统数据包范式描述说明如表1所示。
表1基于XML的电力系统数据包范式
以104规约为例,按照上述基于XML的电力系统数据包范式描述104规约,得到如表2中信息。
表2基于XML范式的IEC 104协议数据包范式示例
可选的,终端对基于XML的电力系统数据包范式进行读取,构建数据结构 S={S1,S2,S3,...,Sm},其中Sj=(name,value),j=1,…,m,集合中的元素是name和 value的键值对,其中name表示字段名称,value表示字段值。终端读取<filed></filed>标签中的name属性值得字段名称并且读取<filed>value</filed>标签中的value得到字段值。将得到的将名称和字段值以键值对的形式作为数据结构集合的元素,以构建请求数据包的数据结构集合。
步骤404,将字段规则作为规格集合的元素,以构建请求数据包的规则集合。
可选的,终端对基于XML的电力系统数据包范式进行读取,读取即<rule>content</rule>标签中的content,得到第i个字段对应的字段规则Ri,最后生成规则集合R={(R1,R2,R3,...,Rn}。
本申请实施例通过将名称和字段值以键值对的形式作为数据结构集合的元素以构建请求数据包的数据结构集合,将字段规则作为规格集合的元素,以构建请求数据包的规则集合,实现了将不同类型协议对应数据结构集合和规则集合按照统一的数据结构格式进行描述,降低由于协议类型复杂多样带来的数据处理难度,提高数据处理效率。
在本申请实施例中,请参照图6,基于图2所示的实施例,字段包括功能码字段,上述步骤203中根据第一候选数据包的字段,生成操作行为序列,包括步骤501、步骤502和步骤503:
步骤501,获取第一候选数据包的接收时间和功能码字段。
可选的,终端在利用抓包软件请求数据包的同时保存该请求数据包的捕获时刻,将该时刻作为第一候选数据包的接收时间。
可选的,功能码字段包括功能码字段名称。终端中保存在各类型协议的控制操作对应的功能码字段。终端根据协议类型确定对应的功能码字段,以104 规约规约规约为例,其功能码字段是类型标识和传送原因。可选的,当功能码字段包括多个字段时,则将该多个字段名称进行组合得到该功能码字段的名称,例如,以104规约规约规约为例,该功能码字段的名称格式为“类型标识名字- 传送原因名字”。
步骤502,按照接收时间的先后顺序,将功能码字段进行排序,得到行为序列。
可选的,按照时间先后顺序,将各功能码ai进行排序,得到对应的行为序列。
步骤503,按照预设步长滑动预设时间窗口,分割行为序列,得到多个操作行为序列。
其中,如图7所示,预设时间窗口信息包括时间窗口的固定长度Tsequence以及时间窗口增量长度ΔTsequence,其中,ΔTsequence的值与协议类型相关。
可选的,终端中存储有ΔTsequence与协议类型的映射关系表,终端在检测到请求数据包对应的协议类型后,利用查表的方式,得到对应的ΔTsequence。
可选的,该ΔTsequence值可由人工借助输入设备输入至终端中。终端在对过去一段时间内的请求数据包的协议类型进行统计,得到拥有最多数量的请求数据包的协议类型。终端显示该协议类型,提示用户输入对应的ΔTsequence值。
如图7所示,按照预设步长滑动预设时间窗口,分割行为序列,得到操作行为序列S1和操作行为序列S2。
该实施例通过按照接收时间的先后顺序,将功能码字段进行排序得到行为序列,并按照预设步长滑动预设时间窗口分割行为序列,得到多个操作行为序列,借助滑动时间窗口得到操作行为序列,实现了控制行为的上下文信息的联系。
本申请实施例中,请参照图8,基于图6所示的实施例的基础上,上述步骤 203中对操作行为序列执行检测操作,包括步骤601、步骤602和步骤603。
步骤601,获取操作行为序列的五元组信息。
其中,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型。
可选的,终端通过解析请求数据包,得到传输层信息、网络层信息以及应用层信息。终端读取传输层信息,获取源IP地址和目的IP地址,读取网络层信息,获取源端口号和目的端口号,并读取应用层信息得到应用层协议类型。
步骤602,根据五元组信息,对操作行为序列进行分类,得到多个子操作行为序列。
可选的,当多个操作行为序列的五元组信息均相同时,则将该多个操作行为序列归为一类,生成各类别对应的子操作行为序列。
步骤603,将子操作行为序列输入至异常行为检测模型中,得到子操作行为序列的检测结果。
可选的,该异常行为检测模型包括单类支持向量机(OCSVM)模型以及长短期记忆人工神经网络(LSTM)模型。
该实施例通过根据五元组信息,对操作行为序列进行分类,得到多个子操作行为序列,并将将子操作行为序列输入至异常行为检测模型中,得到子操作行为序列的检测结果,实现了对相同通信链路的请求数据包对应的行为序列的检测,而且通过对子操作行为序列进行异常行为检测,实现了基于子操作行为序列的上下文信息,对操作行为的异常行为检测,提高异常行为检测的准确性。
本申请实施例中,请参照图9,基于图8所示的实施例,异常检测模型为单类支持向量机模型,上述步骤603将子操作行为序列输入至异常行为检测模型中,得到子操作行为序列的检测结果,包括步骤701和步骤702:
步骤701,对子操作行为序列进行向量化处理,得到向量化数据。
可选的,终端利用CBOW模型或skip-gram模型,对子操作行为序列进行向量化处理。
可选的,终端中预设有向量维度信息,按照预设的向量维度信息,对子操作行为序列进行向量化处理,得到向量化数据,统一该向量化数据的维度信息。
步骤702,将向量化数据输入单类支持向量机模型中,输出检测结果。
可选的,该单类支持向量机模型的训练过程包括:获取训练数据,用训练数据对初始单类支持向量机模型进行迭代训练,得到单类支持向量机模型。
其中,该训练数据为历史正常子操作序列。该历史正常子操作序列包括过去一个时间内的不存在异常的历史子操作行为序列,其中该时间段的长度为1 年、1月或几月。
可选的,终端会将检测结果为不存在异常点的子操作行为序列作为历史正常子操作序列保存至对应的存储路径中。该存储路径可能位于终端,也可能位于服务器上。
可选地,单类支持向量机模型可以是终端自行训练的;可选地,为了节约终端的计算资源,单类支持向量机模型也可以由服务器训练,训练完成后发送至终端。
可选的,终端或服务器在对单类支持向量机模型进行训练时,会调用存储的历史正常子操作序列。
可选地,终端还可以将训练数据集划分为训练集和测试集,通过训练集训练得到故障检测模型,并通过测试集对故障检测模型的模型效果进行验证,若故障检测模型通过验证,则确定训练完成,得到最终的单类支持向量机模型。
该实施例通过对子操作行为序列进行向量化处理,得到向量化数据,并将向量化数据输入单类支持向量机模型中,输出检测结果。由于是利用单类支持向量机模型进行异常行为检测,在进行单类支持向量机模型训练时仅需要使用正常行为序列,克服实际生产环境中异常行为序列难以获取的问题。
本申请实施例中,请参照图10,基于图8或图9所示的实施例,步骤103 根据操作行为序列的检测结果对第一候选数据包执行过滤操作,包括:
若检测结果为子操作行为序列存在异常,则将子操作行为序列中最后的功能码字段所对应的最后一个第一候选数据包丢弃。
可选的,在每次对当前时间窗口对应的子操作行为序列进行检测后,都会根据检测结果,更新对应的操作行为序列,以使下一个时间窗口中并不包括检测到异常的候选数据包对应的功能码。
其中,该子操作行为序列对应有按照时间信息排序的多个候选数据包,由于是通过滑动时间窗口实现了子操作行为序列的更新,对于当前时间窗口中除了之前的功能码字段对应的候选数据包,已经通过之前的时间窗口进行检测过确定其为正常状态,因此,对于当前窗口对应子操作行为序列,若存在异常,则只需将子操作行为序列中最后的功能码字段所对应的最后一个第一候选数据包丢弃。
可选的,终端对于存在异常的子操作行为序列,分析异常存在原因。
该实施例通过将存在异常的子操作行为序列中最后的功能码字段所对应的最后一个候选数据包丢弃,实现了对异常数据包的过滤,提高了电力系统的安全性。
本申请实施例中,基于图2所示的实施例,步骤204中根据目标转换策略对第二候选数据包中的字段进行转换处理,包括:
从预设的策略数据库中随时选择一个转换策略作为目标转换策略,策略数据库包括多个转换策略。
其中,多个转换策略包括第一转换策略和第二转换策略。
可选的,第一转换策略包括将第二候选数据包包含的各字段的字段值进行互换,例如,随机生成一个小于字段个数的数值,根据生成的数值定位到相应的字段,将该字段前后的内容进行互换。
可选的,第二转换策略包括利用数据混淆技术对第二候选数据包包含的字段进行转换处理,例如,将功能码字段的字段值的长度进行扩充,增加冗余内容,可以将8bit扩充为16bit,混淆其原有的特征和内容。
可选的,终端对该多个转换策略设置编号,编号分别为1、2、3、…。终端在需要选择转换策略时,可利用random函数确定转换策略对应的编号,根据该编号获取对应的转换策略。
本申请实施例通过从预设的策略数据库中随时选择一个转换策略作为目标转换策略,由于每次对第二候选数据包进行转换处理的转换策略是随机确定的,增加了恶意攻击者猜测到转换策略的难度。
本申请实施例中,在接收到针对策略数据库的更新操作时,基于更改操作确定更新后的策略数据库。可选的,该更新操作包括增加/减少策略数据库中的转换策略和随机调换策略数据库中的各转换策略的编号。
本申请实施例通过在接收到针对策略数据库的更新操作时,基于更改操作确定更新后的策略数据库,实现了策略数据库的灵活性,进一步增加了恶意攻击者猜测到转换策略的难度。
本申请实施例中,如图11所示,提供了一种电力监控网络安全缓冲区构建方法,该方法包括以下步骤:
步骤801,接收电力系统远端设备发送的请求数据包。
步骤802,对请求数据包进行解封装,得到请求数据包包含的各字段的名称和字段值。
步骤803,获取请求数据包的数据结构集合和规则集合。
其中,获取请求数据包的数据结构集合和规则集合的具体过程包括:将名称和字段值以键值对的形式作为数据结构集合的元素,以构建请求数据包的数据结构集合;将字段规则作为规格集合的元素,以构建请求数据包的规则集合。
步骤804,针对各字段,确定数据结构集合中的字段值是否符合字段对应的字段规则。
步骤805,将各字段均符合对应字段规则的请求数据包作为第一候选数据包。
步骤806,获取第一候选数据包的接收时间和功能码字段,按照接收时间的先后顺序,将功能码字段进行排序,得到行为序列。
步骤807,按照预设步长滑动预设时间窗口,分割行为序列,得到多个操作行为序列。
步骤808,获取操作行为序列的五元组信息,并根据五元组信息,对操作行为序列进行分类,得到多个子操作行为序列。
其中,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型。
步骤809,对子操作行为序列进行向量化处理,得到向量化数据,将向量化数据输入单类支持向量机模型中,输出检测结果。
步骤810,若检测结果为子操作行为序列存在异常,则将子操作行为序列中最后的功能码字段所对应的最后一个第一候选数据包丢弃,将过滤后得到的请求数据包作为第二候选数据包。
步骤811,从预设的策略数据库中随时选择一个转换策略作为目标转换策略。
其中,该策略数据库包括第一转换策略和第二转换策略,其中第一转换策略为将第二候选数据包包含的各字段的字段值进行互换;第二转换策略为利用数据混淆技术对第二候选数据包包含的字段进行转换处理。在接收到针对策略数据库的更新操作时,基于更改操作确定更新后的策略数据库。
步骤812,根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,并将所述最终数据包发送至电力核心控制系统。
在本申请实施例中,通过检查电力系统远端设备发送的请求数据包包含的各字段是否符合对应的字段规则得到了第一候选数据包,实现了对请求数据包的第一次过滤和电力系统的一级安全防护;然后根据所述第一候选数据包的字段,生成操作行为序列,对所述操作行为序列执行检测操作,根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,通过对存在异常的请求数据包第二次过滤,实现了电力系统的二级安全防护,进一步提升了电力系统的安全性,同时由于借助滑动时间窗口得到操作行为序列,实现了控制行为的上下文信息的联系,提高异常行为检测的准确性。在经过两次过滤操作后,根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,实现了电力系统的三级安全防护,进一步提高了电力系统中传输请求数据包的安全性,而且由于从预设的策略数据库中随时选择一个转换策略作为目标转换策略,增加了恶意攻击者猜测到转换策略的难度。本申请实施例通过多级防护,极大的提高了电力系统安全性。
应该理解的是,虽然图2、图4-6、图8-9、以及图11的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2、图4-6、图8-9、以及图11中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在本申请实施例中,如图12所示,提供了一种电力监控网络安全缓冲区构建装置,包括:接收模块、检查模块、过滤模块和转换模块,其中:
接收模块,用于接收电力系统远端设备发送的请求数据包;
检查模块,用于检查所述请求数据包包含的各字段是否符合对应的字段规则,并将各所述字段均符合对应字段规则的所述请求数据包作为第一候选数据包;
过滤模块,用于根据所述第一候选数据包的字段,生成操作行为序列,对所述操作行为序列执行检测操作,根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包;
转换模块,用于根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,并将所述最终数据包发送至电力核心控制系统。
在一个实施例中,该检查模块具体用于:
获取请求数据包的数据结构集合和规则集合,数据结构集合包括请求数据包包含的各字段的字段值,规则集合包括请求数据包包含的各字段分别对应的字段规则;
针对各字段,确定数据结构集合中的字段值是否符合字段对应的字段规则。
在一个实施例中,字段包括功能码字段,该过滤模块用于:
获取第一候选数据包的接收时间和功能码字段;
按照接收时间的先后顺序,将功能码字段进行排序,得到行为序列;
按照预设步长滑动预设时间窗口,分割行为序列,得到多个操作行为序列。
在一个实施例中,该过滤模块还用于:
获取操作行为序列的五元组信息,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型;
根据五元组信息,对操作行为序列进行分类,得到多个子操作行为序列;
将子操作行为序列输入至异常行为检测模型中,得到子操作行为序列的检测结果。
在一个实施例中,该过滤模块还具体用于:
对子操作行为序列进行向量化处理,得到向量化数据;将向量化数据输入单类支持向量机模型中,输出检测结果。
在一个实施例中,该过滤模块还具体用于:
若检测结果为子操作行为序列存在异常,则将子操作行为序列中最后的功能码字段所对应的最后一个第一候选数据包丢弃。
在一个实施例中,该转换模块具体用于:
从预设的策略数据库中随时选择一个转换策略作为目标转换策略,策略数据库包括多个转换策略。
在一个实施例中,该转换模块还具体用于:
多个转换策略包括第一转换策略和第二转换策略;第一转换策略包括将第二候选数据包包含的各字段的字段值进行互换;第二转换策略包括利用数据混淆技术对第二候选数据包包含的字段进行转换处理。
在一个实施例中,该装置还包括更新模块,其中,该更新模块,用于在接收到针对策略数据库的更新操作时,基于更改操作确定更新后的策略数据库。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图13所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种电力监控网络安全缓冲区构建方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图13中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM) 或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种电力监控网络安全缓冲区构建方法,其特征在于,所述方法包括:
接收电力系统远端设备发送的请求数据包;
检查所述请求数据包包含的各字段是否符合对应的字段规则,并将各所述字段均符合对应字段规则的所述请求数据包作为第一候选数据包;
根据所述第一候选数据包的字段,生成操作行为序列,对所述操作行为序列执行检测操作,根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包;
根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,并将所述最终数据包发送至电力核心控制系统;
其中,所述检查所述请求数据包包含的各字段是否符合对应的字段规则,包括:
获取所述请求数据包的数据结构集合和规则集合,所述数据结构集合包括所述请求数据包包含的各字段的字段值,所述规则集合包括所述请求数据包包含的各字段分别对应的字段规则;
针对各所述字段,确定所述数据结构集合中的所述字段值是否符合所述字段对应的字段规则;
所述字段包括功能码字段,所述根据所述第一候选数据包的字段,生成操作行为序列,包括:
获取所述第一候选数据包的接收时间和功能码字段;
按照所述接收时间的先后顺序,将功能码字段进行排序,得到行为序列;
按照预设步长滑动预设时间窗口,分割所述行为序列,得到多个所述操作行为序列;
所述对所述操作行为序列执行检测操作,包括:
获取所述操作行为序列的五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型;
根据所述五元组信息,对所述操作行为序列进行分类,得到多个子操作行为序列;
将所述子操作行为序列输入至异常行为检测模型中,得到所述子操作行为序列的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取所述请求数据包的数据结构集合和规则集合,包括:
对所述请求数据包进行解封装,得到所述请求数据包包含的各所述字段的名称和字段值;
获取所述请求数据包对应的协议类型,根据所述协议类型确定所述请求数据包包含的各所述字段对应的字段规则;
将所述名称和所述字段值以键值对的形式作为数据结构集合的元素,以构建所述请求数据包的数据结构集合;
将所述字段规则作为所述规则集合的元素,以构建所述请求数据包的规则集合。
3.根据权利要求1所述的方法,其特征在于,所述异常行为检测模型为单类支持向量机模型,所述将所述子操作行为序列输入至所述异常行为检测模型中,得到所述子操作行为序列的检测结果,包括:
对所述子操作行为序列进行向量化处理,得到向量化数据;
将所述向量化数据输入所述单类支持向量机模型中,输出所述检测结果。
4.根据权利要求1或3所述的方法,其特征在于,所述根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,包括:
若检测结果为所述子操作行为序列存在异常,则将所述子操作行为序列中最后的功能码字段所对应的最后一个所述第一候选数据包丢弃。
5.根据权利要求1所述的方法,其特征在于,根据目标转换策略对所述第二候选数据包中的字段进行转换处理,包括:
从预设的策略数据库中随时选择一个转换策略作为所述目标转换策略,所述策略数据库包括多个所述转换策略。
6.根据权利要求5所述的方法,其特征在于,所述多个所述转换策略包括第一转换策略和第二转换策略;
所述第一转换策略包括将所述第二候选数据包包含的各所述字段的字段值进行互换;
所述第二转换策略包括利用数据混淆技术对所述第二候选数据包包含的所述字段进行转换处理。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在接收到针对所述策略数据库的更新操作时,基于所述更新操作确定更新后的策略数据库。
8.一种电力监控网络安全缓冲区构建装置,其特征在于,所述装置包括:
接收模块,用于接收电力系统远端设备发送的请求数据包;
检查模块,用于检查所述请求数据包包含的各字段是否符合对应的字段规则,并将各所述字段均符合对应字段规则的所述请求数据包作为第一候选数据包;
过滤模块,用于根据所述第一候选数据包的字段,生成操作行为序列,对所述操作行为序列执行检测操作,根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作,将过滤后得到的请求数据包作为第二候选数据包;
转换模块,用于根据目标转换策略对所述第二候选数据包中的字段进行转换处理,得到转换后的字段,将所述转换后的字段重新封装得到最终数据包,并将所述最终数据包发送至电力核心控制系统;
其中,所述检查模块具体用于:
获取所述请求数据包的数据结构集合和规则集合,所述数据结构集合包括所述请求数据包包含的各字段的字段值,所述规则集合包括所述请求数据包包含的各字段分别对应的字段规则;
针对各所述字段,确定所述数据结构集合中的所述字段值是否符合所述字段对应的字段规则;
所述字段包括功能码字段,所述过滤模块具体用于:
获取所述第一候选数据包的接收时间和功能码字段;
按照所述接收时间的先后顺序,将功能码字段进行排序,得到行为序列;
按照预设步长滑动预设时间窗口,分割所述行为序列,得到多个所述操作行为序列;
获取所述操作行为序列的五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号和应用层协议类型;
根据所述五元组信息,对所述操作行为序列进行分类,得到多个子操作行为序列;
将所述子操作行为序列输入至异常行为检测模型中,得到所述子操作行为序列的检测结果。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111345163.XA CN114268451B (zh) | 2021-11-15 | 2021-11-15 | 电力监控网络安全缓冲区构建方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111345163.XA CN114268451B (zh) | 2021-11-15 | 2021-11-15 | 电力监控网络安全缓冲区构建方法、装置、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114268451A CN114268451A (zh) | 2022-04-01 |
| CN114268451B true CN114268451B (zh) | 2024-04-16 |
Family
ID=80825029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111345163.XA Active CN114268451B (zh) | 2021-11-15 | 2021-11-15 | 电力监控网络安全缓冲区构建方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114268451B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702460A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 基于SVM的Modbus TCP通讯的异常检测方法 |
| CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
| CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
| CN106790170A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种数据包过滤方法及装置 |
| CN110909811A (zh) * | 2019-11-28 | 2020-03-24 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
| CN111177176A (zh) * | 2019-11-18 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 数据检测方法、装置及存储介质 |
| CN111431864A (zh) * | 2020-02-28 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 车联网监控系统、方法、装置及可读存储介质 |
| CN111538642A (zh) * | 2020-07-02 | 2020-08-14 | 杭州海康威视数字技术股份有限公司 | 一种异常行为的检测方法、装置、电子设备及存储介质 |
| CN111585948A (zh) * | 2020-03-18 | 2020-08-25 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于电网大数据的网络安全态势智能预测方法 |
| CN113037553A (zh) * | 2021-03-11 | 2021-06-25 | 湖南大学 | 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9998426B2 (en) * | 2014-01-30 | 2018-06-12 | Sierra Nevada Corporation | Bi-directional data security for control systems |
| US11418632B2 (en) * | 2015-12-15 | 2022-08-16 | Intel Corporation | High speed flexible packet classification using network processors |
| AU2017326353A1 (en) * | 2016-09-14 | 2019-04-04 | Carbon Black, Inc. | Cybersecurity incident detection based on unexpected activity patterns |
| CN110443059A (zh) * | 2018-05-02 | 2019-11-12 | 中兴通讯股份有限公司 | 数据保护方法及装置 |
-
2021
- 2021-11-15 CN CN202111345163.XA patent/CN114268451B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702460A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 基于SVM的Modbus TCP通讯的异常检测方法 |
| CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
| CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
| CN106790170A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种数据包过滤方法及装置 |
| CN111177176A (zh) * | 2019-11-18 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 数据检测方法、装置及存储介质 |
| CN110909811A (zh) * | 2019-11-28 | 2020-03-24 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
| CN111431864A (zh) * | 2020-02-28 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 车联网监控系统、方法、装置及可读存储介质 |
| CN111585948A (zh) * | 2020-03-18 | 2020-08-25 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于电网大数据的网络安全态势智能预测方法 |
| CN111538642A (zh) * | 2020-07-02 | 2020-08-14 | 杭州海康威视数字技术股份有限公司 | 一种异常行为的检测方法、装置、电子设备及存储介质 |
| CN113037553A (zh) * | 2021-03-11 | 2021-06-25 | 湖南大学 | 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 |
Non-Patent Citations (3)
| Title |
|---|
| Modbus/TCP多层访问控制过滤技术;蒋臣;王华忠;凌志浩;路伟;;《自动化仪表》(第7期);全文 * |
| 基于深度包检测的列车通信网络入侵检测系统的设计与实现;费力;《中国优秀硕士学位论文全文数据库》(第12期);第1-77页 * |
| 工业控制系统中基于单类支持向量机异常检测方法研究;李超;蔡宇晴;贾凡;黄学臻;;《微型机与应用》(第23期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114268451A (zh) | 2022-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107122221B (zh) | 用于正则表达式的编译器 | |
| CN112003870A (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
| CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
| CN112468488A (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
| Yang et al. | iFinger: Intrusion detection in industrial control systems via register-based fingerprinting | |
| CN111866024B (zh) | 一种网络加密流量识别方法及装置 | |
| CN107026821A (zh) | 报文的处理方法及装置 | |
| KR20140061359A (ko) | 앵커링된 패턴들 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN104580133A (zh) | 恶意程序防护方法与系统及其过滤表格更新方法 | |
| CN113992349B (zh) | 恶意流量识别方法、装置、设备和存储介质 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN111177779A (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| JP2019110513A (ja) | 異常検知方法、学習方法、異常検知装置、および、学習装置 | |
| CN112052156B (zh) | 一种模糊测试方法、装置和系统 | |
| CN113904811B (zh) | 异常检测方法、装置、计算机设备和存储介质 | |
| CN114268451B (zh) | 电力监控网络安全缓冲区构建方法、装置、设备和介质 | |
| CN111598711A (zh) | 目标用户账号识别方法、计算机设备及存储介质 | |
| CN115426137A (zh) | 恶意加密网络流量检测溯源方法及系统 | |
| Mubarak et al. | Industrial datasets with ICS testbed and attack detection using machine learning techniques | |
| Illy et al. | A hybrid multistage DNN-based collaborative IDPS for high-risk smart factory networks | |
| CN113194015A (zh) | 一种物联网智能家居设备安全控制方法及系统 | |
| JP2017182520A (ja) | 制御装置、制御方法及びプログラム | |
| CN111314131A (zh) | 任务下发方法和装置、存储介质和电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |