CN115733679A - 一种面向数据流转的电力监控数据的溯源方法 - Google Patents
一种面向数据流转的电力监控数据的溯源方法 Download PDFInfo
- Publication number
- CN115733679A CN115733679A CN202211418861.2A CN202211418861A CN115733679A CN 115733679 A CN115733679 A CN 115733679A CN 202211418861 A CN202211418861 A CN 202211418861A CN 115733679 A CN115733679 A CN 115733679A
- Authority
- CN
- China
- Prior art keywords
- data
- monitoring
- attack
- marking
- comparing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向数据流转的电力监控数据的溯源方法,涉及攻击数据溯源技术领域,解决了只是根据对应数据的地址信息进行溯源,但部分不法分子会将攻击数据内部的地址信息进行篡改,导致很难找到对应攻击束紧的溯源地的技术问题,根据处理结果将对应的区块标记为异常区块,对判定为异常区块内部的不同设备端进行监视,查看不同设备端在监测时间段内所发送的监测数据,并将此监测数据与攻击数据进行比对,对不同的设备端进行流量监测,根据监测结果,对指定的设备端进行管理,充分提升电力监控数据的溯源效果,并且能从所传输的大数据内快速找到对应的攻击数据,不仅有效提升对应攻速数据的溯源速度,还充分确保了电力平台的安全性。
Description
技术领域
本发明属于攻击数据溯源技术领域,具体是一种面向数据流转的电力监控数据的溯源方法。
背景技术
溯源指的是往数据上游寻找发源的地方,比喻向上寻求历史根源。
公开号为CN112822213A的发明提供了一种针对于电力监控系统的攻击取证与溯源方法,方法包括:采集所述电力监控系统中的网络流数据;对所述网络流数据进行特征分析,得到所述网络流数据的特征参数;若所述特征参数与预设数据库中异常特征参数相匹配,则判定存在网络攻击,并对所述网络数据流进行溯源。本申请实施例可对网络流数据进行特征分析得到特征参数,并在特征参数与预设数据库中异常特征参数相匹配时,则判定存在网络攻击,并可进行溯源,从而能简单有效的确保电力监控系统的安全性。
在数据流转过程中,会产生大量的数据,数据过于杂乱而且容量过大,在电力监控数据过程中,会产生大量的攻击数据,但因数据过于杂乱,很难找到对应攻击数据的发源地,因现有的溯源方式,只是根据对应数据的地址信息进行溯源,但部分不法分子会将攻击数据内部的地址信息进行篡改,导致很难找到对应攻击束紧的溯源地。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一;为此,本发明提出了一种面向数据流转的电力监控数据的溯源方法,用于解决只是根据对应数据的地址信息进行溯源,但部分不法分子会将攻击数据内部的地址信息进行篡改,导致很难找到对应攻击束紧的溯源地的技术问题。
为实现上述目的,根据本发明的第一方面的实施例提出一种面向数据流转的电力监控数据的溯源方法,包括以下步骤:
S1、根据电力监控大数据云端,将多组不同的设备端进行依次划分,将多组属于同一网络宽带的设备划分为一个区块,将属于同一电力监控区域的多个区块划分为同一分区,并对不同分区、不同区块以及不同设备端进行依次标记;
S2、通过云端数据库对数据流转过程中的攻击数据进行识别,并通过提取攻击数据的公网IP地址,找到对应的发送分区;
S3、对分区内不同区块所发送的数据进行合并处理分析,将所发送的数据与攻击数据进行合并分析,得到发送数据的相似度,再将相似度与预设值进行比对,并生成对应的比对信号,根据比对信号存在的次数以及此发送数据的停留时长进行处理,根据处理结果将对应的区块标记为异常区块;
S4、对判定为异常区块内部的不同设备端进行监视,查看不同设备端在监测时间段内所发送的监测数据,并将此监测数据与攻击数据进行比对,根据比对结果,对不同的设备端进行不同标记,若不存在比对结果,则对不同的设备端进行流量监测,根据监测结果,对指定的设备端进行管理。
优选的,步骤S2中,对攻击数据进行识别的具体方式为:
S21、对每组所输入的数据进行比对,从云端数据库内提取对应的病毒分区,将每组数据与病毒分区内部的病毒数据进行比对处理,得到重合度CH,当CH>X1时,其中H1为预设值,具体取值由操作人员拟定,将此数据标记为待监视数据,反之,不进行任何处理;
S22、对已经标记为待监视数据的数据流进行实时监测,查看此数据流是否具有篡改代码、节点攻击、网络监听以及口令入侵等攻击行为,若存在上述行为,将此数据流标记为攻击数据,反之,不进行任何标记。
优选的,所述步骤S3中,将所发送的数据与攻击数据进行合并分析的具体方式为:
S31、限定监测时段T1,获取此监测时段T所有区块发送的数据,并将发送的数据与攻击数据进行比对,得到相似度XSi-k,其中i代表不同的数据,k代表不同的区块,将相似度XSi-k与预设参数Y1进行比对,当XSi-k>Y1时,将此数据标记为异常数据,生成异常相似信号,反之,不生成任何信号;
S32、获取监测时段T内异常相似信号所出现的次数,并标记为CSk,再对若干组异
常数据所停留的总时长标记为SSk,其中k代表不同的区块,采用得
到区块判定参数PDk,其中C1、C2均为预设的固定系数因子;
S33、将PDk与预设参数Y2进行比对,Y2为预设参数,具体取值由操作人员根据经验拟定,当PDk>Y2时,判定此区块为异常区块,反之,判定此区块为正常区块。
优选的,所述步骤S4中,将此监测数据与攻击数据进行比对的具体方式为:
S41、确定监测时间段T2,T2取值5h,将攻击数据提取出,并将此攻击数据标记为待比对数据,依次将监测时间段T2内所出现的所有监测数据与待比对数据进行比对,得到比对参数BDCe,其中e代表不同设备端所发送的监测数据,将比对参数BDCe与预设参数Y3进行比对,其中Y3取值98%,根据比对结果查看是否将对应的设备端进行封禁或标记为待监测设备;
S42、对待监测设备所发送的数据采用特殊网络通道进行传输,并采用对应的监测软件对特殊网络通道进行实时监测,若出现对应的病毒数据或攻击数据,直接对传输此数据的设备端采用步骤S411的方式进行封禁,充分提升电力监控数据的溯源效果,并且能从所传输的大数据内快速找到对应的攻击数据。
优选的,所述步骤S41中,将比对参数BDCe与预设参数Y3进行比对的具体方式为:
S411、当BDCe≥Y3时,直接将发送对应监测数据的设备端标记为异常设备,并获取异常设备的MAC地址,并将其MAC地址拉入黑名单,不再接收此MAC地址所发送的数据,并同时将此MAC地址与云端所存的MAC参数进行比对,若不存在比对结果,代表此MAC地址已被修改,则获取对应设备端的网络节点编号,对此网络节点编号进行禁用;
S412、当BDCe<Y3时,对不同的设备端进行流量监测,同时选定监测时间段T3,T3取值2h,并将不同设备端所产生的流量参数标记为LLx,其中x代表不同的设备端,将流量参数LLx与预设参数Y4进行比对,其中Y4的具体取值由操作人员拟定,当LLx>Y4时,将此设备端标记为待监测设备,反之,不进行标记。
与现有技术相比,本发明的有益效果是:根据电力监控大数据云端,将多组不同的设备端进行依次划分,将多组属于同一网络宽带的设备划分为一个区块,并对不同分区、不同区块以及不同设备端进行依次标记,通过云端数据库对数据流转过程中的攻击数据进行识别,找到对应的发送分区,对分区内不同区块所发送的数据进行合并处理分析,得到发送数据的相似度,再将相似度与预设值进行比对,并生成对应的比对信号,根据比对信号存在的次数以及此发送数据的停留时长进行处理,根据处理结果将对应的区块标记为异常区块,对判定为异常区块内部的不同设备端进行监视,查看不同设备端在监测时间段内所发送的监测数据,并将此监测数据与攻击数据进行比对,对不同的设备端进行流量监测,根据监测结果,对指定的设备端进行管理,充分提升电力监控数据的溯源效果,并且能从所传输的大数据内快速找到对应的攻击数据,不仅有效提升对应攻速数据的溯源速度,还充分确保了电力平台的安全性。
附图说明
图1为本发明方法流程示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一
请参阅图1,本申请提供了一种面向数据流转的电力监控数据的溯源方法,包括以下步骤:
S1、根据电力监控大数据云端,将多组不同的设备端进行依次划分,将多组属于同一网络宽带的设备划分为一个区块,将属于同一电力监控区域的多个区块划分为同一分区,并对不同分区、不同区块以及不同设备端进行依次标记;
S2、通过云端数据库对数据流转过程中的攻击数据进行识别,并通过提取该攻击数据的公网IP地址,找到对应的发送分区,对攻击数据进行识别的具体方式为:
S21、对每组所输入的数据进行比对,从云端数据库内提取对应的病毒分区,将每组数据与病毒分区内部的病毒数据进行比对处理,得到重合度CH,当CH>X1时,其中H1为预设值,具体取值由操作人员拟定,将此数据标记为待监视数据,反之,不进行任何处理;
S22、对已经标记为待监视数据的数据流进行实时监测,查看此数据流是否具有篡改代码、节点攻击、网络监听以及口令入侵等攻击行为,若存在上述行为,将此数据流标记为攻击数据,反之,不进行任何标记;
S3、对分区内不同区块所发送的数据进行合并处理分析,将所发送的数据与攻击数据进行合并分析,得到发送数据的相似度,再将相似度与预设值进行比对,并生成对应的比对信号,根据比对信号存在的次数以及此发送数据的停留时长进行处理,根据处理结果将对应的区块标记为异常区块,其中将所发送的数据与攻击数据进行合并分析的具体方式为:
S31、限定监测时段T1,T1取值1h,获取此监测时段T所有区块发送的数据,并将发送的数据与攻击数据进行比对,得到相似度XSi-k,其中i代表不同的数据,k代表不同的区块,将相似度XSi-k与预设参数Y1进行比对,Y1的具体取值由操作人员根据经验拟定,当XSi-k>Y1时,将此数据标记为异常数据,生成异常相似信号,反之,不生成任何信号;
S32、获取监测时段T内异常相似信号所出现的次数,并标记为CSk,再对若干组异
常数据所停留的总时长标记为SSk,其中k代表不同的区块,采用得
到区块判定参数PDk,其中C1、C2均为预设的固定系数因子;
S33、将PDk与预设参数Y2进行比对,Y2为预设参数,具体取值由操作人员根据经验拟定,当PDk>Y2时,判定此区块为异常区块,反之,判定此区块为正常区块;
S4、对判定为异常区块内部的不同设备端进行监视,查看不同设备端在监测时间段内所发送的监测数据,并将此监测数据与攻击数据进行比对,根据比对结果,对不同的设备端进行不同标记,若不存在比对结果,则对不同的设备端进行流量监测,根据监测结果,对指定的设备端进行管理,其中将此监测数据与攻击数据进行比对的具体方式为:
S41、确定监测时间段T2,T2取值5h,将攻击数据提取出,并将此攻击数据标记为待比对数据,依次将监测时间段T2内所出现的所有监测数据与待比对数据进行比对,得到比对参数BDCe,其中e代表不同设备端所发送的监测数据,将比对参数BDCe与预设参数Y3进行比对,其中Y3取值98%,根据比对结果查看是否将对应的设备端进行封禁或标记为待监测设备;
S411、当BDCe≥Y3时,直接将发送对应监测数据的设备端标记为异常设备,并获取该异常设备的MAC地址,并将其MAC地址拉入黑名单,不再接收此MAC地址所发送的数据,并同时将此MAC地址与云端所存的MAC参数进行比对,若不存在比对结果,代表此MAC地址已被修改,则获取对应设备端的网络节点编号,对此网络节点编号进行禁用;
S412、当BDCe<Y3时,对不同的设备端进行流量监测,同时选定监测时间段T3,T3取值2h,并将不同设备端所产生的流量参数标记为LLx,其中x代表不同的设备端,将流量参数LLx与预设参数Y4进行比对,其中Y4的具体取值由操作人员拟定,当LLx>Y4时,将此设备端标记为待监测设备,反之,不进行标记(具体的,一般的设备端在发送病毒软件时,自身也会受到病毒软件的影响,在受到影响过程中,病毒软件会在电脑空闲期自行下载大量的捆绑软件至设备端内,便导致设备端内部的流量参数持续升高);
S42、对待监测设备所发送的数据采用特殊网络通道进行传输,并采用对应的监测软件对特殊网络通道进行实时监测,若出现对应的病毒数据或攻击数据,直接对传输此数据的设备端采用步骤S411的方式进行封禁,充分提升电力监控数据的溯源效果,并且能从所传输的大数据内快速找到对应的攻击数据(具体的,对应的监测软件由外部的操作人员自行编程或者选择自行软件,且特殊的网络通道也由外部的操作人员进行建设)。
实施例二
本实施例在具体实施过程中,相较于实施例一,其具体区别在于T1取值0.6h,T2取值4h,T3取值1.5h。
实验
部分人员将实施例一以及实施例二散布于实验中进行体验,得到使用人员的体验参数,其中体验参数由下表所示:
实施例一 | 实施例二 | |
体验参数 | 89.5 | 88.6 |
由表中数据可知,实施例一的数据优于实施例二,部分操作人员可由个人需求选择对应的实施例。
上述公式中的部分数据均是去除量纲取其数值计算,公式是由采集的大量数据经过软件模拟得到最接近真实情况的一个公式;公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者通过大量数据模拟获得。
本发明的工作原理:根据电力监控大数据云端,将多组不同的设备端进行依次划分,将多组属于同一网络宽带的设备划分为一个区块,将属于同一电力监控区域的多个区块划分为同一分区,并对不同分区、不同区块以及不同设备端进行依次标记,通过云端数据库对数据流转过程中的攻击数据进行识别,并通过提取该攻击数据的公网IP地址,找到对应的发送分区,对分区内不同区块所发送的数据进行合并处理分析,将所发送的数据与攻击数据进行合并分析,得到发送数据的相似度,再将相似度与预设值进行比对,并生成对应的比对信号,根据比对信号存在的次数以及此发送数据的停留时长进行处理,根据处理结果将对应的区块标记为异常区块,对判定为异常区块内部的不同设备端进行监视,查看不同设备端在监测时间段内所发送的监测数据,并将此监测数据与攻击数据进行比对,根据比对结果,对不同的设备端进行不同标记,若不存在比对结果,则对不同的设备端进行流量监测,根据监测结果,对指定的设备端进行管理,充分提升电力监控数据的溯源效果,并且能从所传输的大数据内快速找到对应的攻击数据。
以上实施例仅用以说明本发明的技术方法而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方法进行修改或等同替换,而不脱离本发明技术方法的精神和范围。
Claims (5)
1.一种面向数据流转的电力监控数据的溯源方法,其特征在于,包括以下步骤:
S1、根据电力监控大数据云端,将多组不同的设备端进行依次划分,将多组属于同一网络宽带的设备划分为一个区块,将属于同一电力监控区域的多个区块划分为同一分区,并对不同分区、不同区块以及不同设备端进行依次标记;
S2、通过云端数据库对数据流转过程中的攻击数据进行识别,并通过提取攻击数据的公网IP地址,找到对应的发送分区;
S3、对分区内不同区块所发送的数据进行合并处理分析,将所发送的数据与攻击数据进行合并分析,得到发送数据的相似度,再将相似度与预设值进行比对,并生成对应的比对信号,根据比对信号存在的次数以及此发送数据的停留时长进行处理,根据处理结果将对应的区块标记为异常区块;
S4、对判定为异常区块内部的不同设备端进行监视,查看不同设备端在监测时间段内所发送的监测数据,并将此监测数据与攻击数据进行比对,根据比对结果,对不同的设备端进行不同标记,若不存在比对结果,则对不同的设备端进行流量监测,根据监测结果,对指定的设备端进行管理。
2.根据权利要求1所述的一种面向数据流转的电力监控数据的溯源方法,其特征在于,步骤S2中,对攻击数据进行识别的具体方式为:
S21、对每组所输入的数据进行比对,从云端数据库内提取对应的病毒分区,将每组数据与病毒分区内部的病毒数据进行比对处理,得到重合度CH,当CH>X1时,其中H1为预设值,具体取值由操作人员拟定,将此数据标记为待监视数据,反之,不进行任何处理;
S22、对已经标记为待监视数据的数据流进行实时监测,查看此数据流是否具有篡改代码、节点攻击、网络监听以及口令入侵等攻击行为,若存在上述行为,将此数据流标记为攻击数据,反之,不进行任何标记。
3.根据权利要求2所述的一种面向数据流转的电力监控数据的溯源方法,其特征在于,所述步骤S3中,将所发送的数据与攻击数据进行合并分析的具体方式为:
S31、限定监测时段T1,获取此监测时段T所有区块发送的数据,并将发送的数据与攻击数据进行比对,得到相似度XSi-k,其中i代表不同的数据,k代表不同的区块,将相似度XSi-k与预设参数Y1进行比对,当XSi-k>Y1时,将此数据标记为异常数据,生成异常相似信号,反之,不生成任何信号;
S32、获取监测时段T内异常相似信号所出现的次数,并标记为CSk,再对若干组异常数据
所停留的总时长标记为SSk,其中k代表不同的区块,采用得到区块
判定参数PDk,其中C1、C2均为预设的固定系数因子;
S33、将PDk与预设参数Y2进行比对,Y2为预设参数,具体取值由操作人员根据经验拟定,当PDk>Y2时,判定此区块为异常区块,反之,判定此区块为正常区块。
4.根据权利要求3所述的一种面向数据流转的电力监控数据的溯源方法,其特征在于,所述步骤S4中,将此监测数据与攻击数据进行比对的具体方式为:
S41、确定监测时间段T2,T2取值5h,将攻击数据提取出,并将此攻击数据标记为待比对数据,依次将监测时间段T2内所出现的所有监测数据与待比对数据进行比对,得到比对参数BDCe,其中e代表不同设备端所发送的监测数据,将比对参数BDCe与预设参数Y3进行比对,其中Y3取值98%,根据比对结果查看是否将对应的设备端进行封禁或标记为待监测设备;
S42、对待监测设备所发送的数据采用特殊网络通道进行传输,并采用对应的监测软件对特殊网络通道进行实时监测,若出现对应的病毒数据或攻击数据,直接对传输此数据的设备端采用步骤S411的方式进行封禁,充分提升电力监控数据的溯源效果,并且能从所传输的大数据内快速找到对应的攻击数据。
5.根据权利要求4所述的一种面向数据流转的电力监控数据的溯源方法,其特征在于,所述步骤S41中,将比对参数BDCe与预设参数Y3进行比对的具体方式为:
S411、当BDCe≥Y3时,直接将发送对应监测数据的设备端标记为异常设备,并获取异常设备的MAC地址,并将其MAC地址拉入黑名单,不再接收此MAC地址所发送的数据,并同时将此MAC地址与云端所存的MAC参数进行比对,若不存在比对结果,代表此MAC地址已被修改,则获取对应设备端的网络节点编号,对此网络节点编号进行禁用;
S412、当BDCe<Y3时,对不同的设备端进行流量监测,同时选定监测时间段T3,T3取值2h,并将不同设备端所产生的流量参数标记为LLx,其中x代表不同的设备端,将流量参数LLx与预设参数Y4进行比对,其中Y4的具体取值由操作人员拟定,当LLx>Y4时,将此设备端标记为待监测设备,反之,不进行标记。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211418861.2A CN115733679A (zh) | 2022-11-14 | 2022-11-14 | 一种面向数据流转的电力监控数据的溯源方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211418861.2A CN115733679A (zh) | 2022-11-14 | 2022-11-14 | 一种面向数据流转的电力监控数据的溯源方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115733679A true CN115733679A (zh) | 2023-03-03 |
Family
ID=85295444
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211418861.2A Pending CN115733679A (zh) | 2022-11-14 | 2022-11-14 | 一种面向数据流转的电力监控数据的溯源方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115733679A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118014599A (zh) * | 2024-04-09 | 2024-05-10 | 深圳市海域达赫科技有限公司 | 基于区块链的数据溯源及追踪方法、系统、设备及介质 |
-
2022
- 2022-11-14 CN CN202211418861.2A patent/CN115733679A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118014599A (zh) * | 2024-04-09 | 2024-05-10 | 深圳市海域达赫科技有限公司 | 基于区块链的数据溯源及追踪方法、系统、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN112819336B (zh) | 一种基于电力监控系统网络威胁的量化方法及系统 | |
CN111147513B (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
KR20080066653A (ko) | 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
CN113378899B (zh) | 非正常账号识别方法、装置、设备和存储介质 | |
CN104794399A (zh) | 一种基于海量程序行为数据的终端防护系统及方法 | |
CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
CN114143037A (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
CN115733679A (zh) | 一种面向数据流转的电力监控数据的溯源方法 | |
CN117834311B (zh) | 一种用于网络安全的恶意行为识别系统 | |
KR20130020862A (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
CN112134906B (zh) | 一种网络流量敏感数据识别及动态管控方法 | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
CN112751863A (zh) | 一种攻击行为分析方法及装置 | |
CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
Ogino | Evaluation of machine learning method for intrusion detection system on Jubatus | |
CN105827627A (zh) | 一种信息获取方法和装置 | |
CN113037749B (zh) | 一种c&c信道判别方法及系统 | |
CN118413388B (zh) | 一种基于网络安全测试的在线评价系统及方法 | |
CN113296831B (zh) | 应用标识的提取方法、装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |