CN116346434A - 电力系统网络攻击行为监测准确度提升方法及系统 - Google Patents

Abstract

本申请提供了一种电力系统网络攻击行为监测准确度提升方法及其系统，通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；根据所述流量行为信息识别出被访问的对象业务，以及通信协议逻辑组合排序，再结合CMDB基础数据，映射构建业务特征模型。再对所述流量数据进行DPI分析，根据分析结果结合所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。因此，对流量数据进行了结合DFI分析检测和DPI分析检测的检测技术，同时根据流量行为和数据包本身结构特征进行异常攻击行为的判断，大大提高了电力系统网络攻击行为监测的准确度。

Description

电力系统网络攻击行为监测准确度提升方法及系统

技术领域

本申请实施例涉及电力系统网络安全领域，特别是涉及一种电力系统网络攻击行为监测准确度提升方法及系统。

背景技术

传统的电力系统网络的安全数据采集受限于网络通信的同步和阻塞的限制，为了提升性能，先进的事件采集算法都充分利用了异步和非阻塞的方式，但是性能还是难以满足大规模事件处理的需要。

且电力系统网络的攻击监测误报多，误报多的主要原因是传统的特征匹配技术为静态阈值，无法根据被访问对象的业务实际情况进行适配和动态调节。

发明内容

为克服相关技术中存在的问题，本申请提供了一种电力系统网络攻击行为监测准确度提升方法及系统，可以提高电力系统网络受到的攻击行为的检测准确度，提高电力系统网络的安全性。

根据本申请实施例的第一方面，提供一种电力系统网络攻击行为监测准确度提升方法，包括以下步骤：

通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；

根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段；

将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序；

根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务；

根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型；其中，所述业务特征模型包括访问行为模型和通信报文模型；

对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。

根据本申请实施例的第二方面，提供一种电力系统网络攻击行为监测准确度提升系统，包括：

流量行为检测模块，用于通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；

识别模块，用于根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段；

逻辑模块，用于将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序；

关联模块，用于根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务；

映射模块，用于根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型；其中，所述业务特征模型包括访问行为模型和通信报文模型；

判断模块，用于对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。

本申请的电力系统网络攻击行为监测准确度提升方法及其系统，通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；根据所述流量行为信息识别出被访问的对象业务，以及通信协议逻辑组合排序，再结合CMDB基础数据，映射构建业务特征模型。再对所述流量数据进行DPI分析，根据分析结果结合所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。因此，对流量数据进行了结合DFI分析检测和DPI分析检测的检测技术，同时根据流量行为和数据包本身结构特征进行异常攻击行为的判断，大大提高了电力系统网络攻击行为监测的准确度。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

为了更好地理解和实施，下面结合附图详细说明本发明。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例示出的电力系统网络攻击行为监测准确度提升方法的运行环境示意图；

图2为本申请一个实施例示出的电力系统网络攻击行为监测准确度提升方法的流程图；

图3为本申请一个实施例示中对所述流量数据进行资产定位关联的方法流程图；

图4为本申请另一个实施例示出的电力系统网络攻击行为监测准确度提升方法的流程图；

图5为本申请实施例示出的电力系统网络攻击行为监测准确度提升方法的原理图；

图6为本申请实施例示出的电力系统网络攻击行为监测准确度提升系统的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例方式作进一步地详细描述。

应当明确，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请的描述中，需要理解的是，术语“第一”、“第二”、“第三”等仅用于区别类似的对象，而不必用于描述特定的顺序或先后次序，也不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本申请中的具体含义。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。在此所使用的词语“如果”/“若”可以被解释成为“在……时”或“当……时”或“响应于确定”。此外，在本申请的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

请参阅图1，其是本申请实施例示出的电力系统网络攻击行为监测准确度提升方法的应用环境的示意图。如图1所示，所述电力系统网络攻击行为监测准确度提升方法可应用于电力系统网络安全应用领域，其应用环境包括监测客户端101和监测服务器102，监测客户端101与监测服务器102通过有限或无线网络进行交互。

其中，监测客户端101是指位于网关端进行流量数据采集的客户端，可以是用于独立设置的监测客户端软件程序，也可以与其他传统的数据采集程序合并，也可以插件的形式存在，其用于采集网关端的流量数据。

监测客户端101所指向的硬件，本质上是指计算机设备。具体地，其可以是电子设备和个人计算机等类型的计算机设备。监测客户端101可以通过公知的网络接入方式接入互联网，与监测服务器102建立数据通信链路。

监测服务器102作为一个数据服务器，其可以负责进一步连接起相关运行数据服务器以及其他提供相关支持的服务器等，以此构成逻辑上相关联的服务机群，来为相关的终端设备，例如图1中所示的监测客户端101提供服务。所述监测服务器102主要用于接收监测客户端101上传的流量数据进行结合DFI分析检测和DPI分析检测的检测技术，根据流量行为和数据包本身结构特征进行异常攻击行为的判断。

实施例1

下面将结合附图2，对本申请实施例提供的一种电力系统网络攻击行为监测准确度提升方法进行详细介绍。

请参阅图2，本申请实施例提供的一种电力系统网络攻击行为监测准确度提升方法，其主要运行于所述监测服务器102，包括如下步骤：

步骤S101：通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；

步骤S102：根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段；

步骤S103：将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序；

步骤S104：根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务；

步骤S105：根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型；其中，所述业务特征模型包括访问行为模型和通信报文模型；

步骤S106：对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。

本申请的电力系统网络攻击行为监测准确度提升方法，通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；根据所述流量行为信息识别出被访问的对象业务，以及通信协议逻辑组合排序，再结合CMDB基础数据，映射构建业务特征模型。再对所述流量数据进行DPI分析，根据分析结果结合所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。因此，对流量数据进行了结合DFI分析检测和DPI分析检测的检测技术，同时根据流量行为和数据包本身结构特征进行异常攻击行为的判断，大大提高了电力系统网络攻击行为监测的准确度。

对于步骤S101，通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息。

DFI(Deep/Dynamic Flow Inspection，深度/动态流检测)技术与DPI(DeepPacket Inspection，深度包检测)技术进行应用层的载荷匹配不同，采用的是基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。

基于DFI技术的系统在管理维护上的工作量要少于DPI系统，因为同一类型的新应用与旧应用的流量特征不会出现大的变化，因此不需要频繁升级流量行为模型。如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。

但DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，因此并不能完全准确地识别出攻击行为。

在本步骤中，先通过DFI分析技术，获取所述流量数据的流量行为信息。所述流量行为信息包括流量数据的源地址、目的地址、源端口、目的端口和回包响应信息等信息。

对于步骤S102，根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段。

在上一步骤中，通过DFI分析技术，对采集的流量的进行流量行为分析，可分析处源地址、目的地址、源端口、目的端口、通信协议、通信报文长度、回包响应情况等字段。

然后在本在步骤中，根据所述源地址、目的地址、源端口、目的端口和回包响应信息，确定所述流量数据对应的通信协议及其对应的通信报文长度字段。首先，本步骤的分析对象为采集的所有流量数据。其次，通过上述流量行为信息进行匹配，可以对通信协议、通信报文长度字段进行提取和识别。

对于步骤S103，将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序。

一些电力系统网络需要有多协议发布的应用系统，以此正常完整的访问，因此其会设计多个通信协议，且每一个通信协议需要按照一定逻辑顺序依次发起，并且每个协议具有其相应的报文长度。

因此，在本步骤中对上一步骤提取出来的通信协议、通信报文长度字段进行协议交换逻辑组合排序。

并且，在将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序之后，可以继续判断排序后的所述流量数据与对应的通信协议的前后上下文顺序是否一致，以及所述流量数据的通信报文长度与所述通信报文长度字段是否一致，将都不一致的识别为异常通信报文。

通过上述方式可以发现异常通信报文请求，判断的逻辑包括：a.通信协议前后上下文顺序是否一致；b.通信协议的报文长度与获得的通信报文长度字段是否一致。通过以上两个判断逻辑判断是否存在异常通信报文。

对于步骤S104，根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务。

如图3所示，在本步骤中，需要对步骤S101提取出来的目的IP、目的端口、协议类型等信息，进行资产定位和关联。在定位和关联过程，根据配置管理数据库(ConfigurationManagement Database，CMDB)资产库，结合所述流量行为信息中的目的IP、目的端口，定位到具体被访问的对象业务。

对于步骤S105，根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型。

基于资产关联、协议顺序、CMDB基础数据等映射构建业务特征模型，其中，所述业务特征模型包括两级模型，包括访问行为模型和通信报文模型。

在一个实施例中，根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据的历史数据，采用K-means聚类算法，归类出所述访问行为模型；对关键资产的重点监测业务的通信流量数据进行DPI分析，解析传输过程的重点包内的负载信息，基于所述负载信息采用K-means聚类算法，归类出所述通信报文模型。

即一级模型为访问行为模型。通过资产关联、协议顺序、CMDB基础数据等信息，基于上述三种的历史数据，采用K-means聚类算法，归类出正常情况下的访问行为模型。

二级模型为通信报文模型，对关键资产的重点监测业务的通信流量，进行DPI分析，解析传输过程重点包内具体负载信息。基于负载信息采用K-means聚类算法，归类出正常情况下的通信报文模型

DPI全称为Deep Packet Inspection，即深度包检测技术。DPI技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流经过基于DPI技术的流量管理系统时，该系统通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

针对不同的协议类型，DPI识别技术可划分为以下三类：

(1)基于“特征字”的识别技术：不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的“指纹”，这些“指纹”可能是特定的端口、特定的字符串或者特定的bit序列。

(2)应用层网关识别技术：某些业务的控制流和业务流是分离的，业务流没有任何特征。应用层网关需要先识别出控制流，并根据控制流的协议通过特定的应用层网关对其进行解析，从协议内容中识别出相应的业务流。

(3)行为模式识别技术：行为模式识别技术基于对终端已经实施的行为进行分析，判断出用户正在进行的动作或者即将实施的动作。

DPI技术与DFI技术实现机制不同，首先，采用DPI技术由于要逐包进行拆包操作，并与后台数据库进行匹配对比。其次，基于DPI技术的带宽管理系统，总是滞后新应用，需要紧跟新协议和新型应用的产生而不断升级后台应用数据库，否则就不能有效识别、管理新技术下的带宽，提高模式匹配效率。再者，由于DPI采用逐包分析、模式匹配技术，因此，可以对流量中的具体应用类型和协议做到比较准确的识别。

对于步骤S106，对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。

基于DPI分析，对业务分析进行识别，可分为如下三种情况，分别赋予不同的攻击等级标记。

(1)、对采集的所述流量数据进行DPI分析，获取对应的数据包特征数据，如果所述数据包特征数据与预设的攻击行为特征数据匹配，则对所述流量数据添加第一攻击等级标记。在第一种情况下，基于DPI原本的特征匹配识别的出来的业务异常数据，进行可信度标识，采用所述第一攻击等级标记，标识为攻击行为可信度为中高，例如可量化为3级。

(2)、对采集的所述流量数据进行DPI分析，获取对应的负载内容，若所述负载内容不符合所述业务特征模型，则对所述流量数据添加第二攻击等级标记；

在第二种情况下，DPI分析出来的负载内容，不符合前述形成的所述业务特征模型，包括所述访问行为模型和通信报文模型的，定位于异常数据，并通过添加所述第二攻击等级标记进行可信度标识，标识为攻击行为可信度为中级，例如可量化为2级。

(3)、若所述流量数据同时添加所述第一攻击等级标记和第二攻击等级标记，则将所述第一攻击等级标记和第二攻击等级标记转换为第三攻击等级标记。

在第三种情况下，同时符合上述两个条件的，即DPI特征匹配为异常、同时不符合所述业务特征模型的，通过添加所述第三攻击等级标记进行可信度标识，标识攻击行为可信度为高级，例如可量化为4级。

本申请的电力系统网络攻击行为监测准确度提升方法，利用DFI技术和DPI技术结合，采用对攻击行为可信度赋值的形式。定义攻击动作动作的真实性。提升对攻击流量识别的精准度，减少攻击误报。

进一步地，如图4所示，在步骤S106根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为之后，还可以进一步执行如下步骤S107：

对于添加第三攻击等级标记的流量数据，对其进行数据抽取，形成活动热力图，根据所述活动热力图对异常攻击行为的准确度进行二次校验。

对添第三攻击等级标记的流量数据，抽取其源IP地址所对应的攻击者的活动特征，绘制攻击者活动热力图；对添加第二、第三攻击等级标记的流量数据，抽取其源IP地址，若其源IP地址符合所述攻击者活动热力图的分布范围，则对其添加高一级的攻击等级标记。其中，所述攻击者的活动特征包括活动时间、访问对象和通信报文负载内容。

通过上述方式针对曾经标识为可信度高的攻击行为的攻击者，进行数据抽取，形成活动热力图，对攻击动作的准确度进行二次校验。

对攻击等级标记为高的攻击行为，抽取攻击者(源IP)的活动特征，包括时间、访问对象、通信报文负载内容等，绘制攻击者活动热力图。

然后，针对步骤S106提取出来的添加第二、第三攻击等级标记的攻击行为，进行攻击源比对，如在所述活动热力图范围的，则将其攻击等级标记提升一个级别，如不在所述活动热力范围的，则维持原有的攻击等级标记。

在一个实施例中，所述攻击等级标记可以设置为5个级别，分别是：第五攻击等级标记，标识攻击行为可信度极高；第四攻击等级标记，标识攻击行为可信度高；第三攻击等级标记，标识攻击行为可信度中高；第二攻击等级标记，标识攻击行为可信度中；第一攻击等级标记，标识攻击行为可信度低。

通过上述方式，针对关键目标攻击行为的可信度赋值，并基于攻击行为可信度级别，提升对于攻击行为监测的精准性，对攻击行为较高可信度，如添加第四、第五攻击等级标记的攻击行为进行人工干预。

本申请在使用异步非阻塞机制的基础上，设计出了独有的DPI和DFI相融合的技术路线，通过并行计算算法，极大地提升了攻击行为监测准确度。同时确保了事件处理的时序流程，避免了在纯异步模式下容易出现“事件误报”的情况发生。

本申请的原理示意图如图5所示，流量分析的包括DFI分析和DPI分析相结合，在具体分析技术逻辑上，通过流量协议识别、资产定位与关联、协议交换逻辑排序、业务特征模型、业务异常行为识别、攻击者活动热力图分析等步骤实现。通过上述技术，采用多协议发布服务的应用，识别攻击行为的准确性，具有明显提升。

实施例2

作为本申请的另一个实施例，提供一种电力系统网络攻击行为监测准确度提升系统。

请参阅图6，图6为本申请一种电力系统网络攻击行为监测准确度提升系统的结构示意图。所述电力系统网络攻击行为监测准确度提升系统，包括：

流量行为检测模块601，用于通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；

识别模块602，用于根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段；

逻辑模块603，用于将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序；

关联模块604，用于根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务；

映射模块605，用于根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型；其中，所述业务特征模型包括访问行为模型和通信报文模型；

判断模块606，用于对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。

需指出的是上述实施例2为本申请的装置实施例，可以用于执行本申请实施例1中的方法。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中选定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中选定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中选定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种电力系统网络攻击行为监测准确度提升方法，其特征在于，包括以下步骤：

通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；

根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段；

将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序；

根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务；

根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型；其中，所述业务特征模型包括访问行为模型和通信报文模型；

对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。

2.根据权利要求1所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段的步骤包括：

通过DFI分析技术，分析出流量数据的源地址、目的地址、源端口、目的端口和回包响应信息；根据所述源地址、目的地址、源端口、目的端口和回包响应信息，确定所述流量数据对应的通信协议及其对应的通信报文长度字段。

3.根据权利要求1所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序的步骤包括：

将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序之后，判断排序后的所述流量数据与对应的通信协议的前后上下文顺序是否一致，以及所述流量数据的通信报文长度与所述通信报文长度字段是否一致，将都不一致的识别为异常通信报文。

4.根据权利要求1所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务的在步骤包括：

根据CMDB资产库，所述流量行为信息中的目的IP、目的端口，定位到具体被访问的对象业务。

5.根据权利要求1所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型的步骤包括：

根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据的历史数据，采用K-means聚类算法，归类出所述访问行为模型；

对关键资产的重点监测业务的通信流量数据进行DPI分析，解析传输过程的重点包内的负载信息，基于所述负载信息采用K-means聚类算法，归类出所述通信报文模型。

6.根据权利要求1所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为的步骤包括：

对采集的所述流量数据进行DPI分析，获取对应的数据包特征数据，如果所述数据包特征数据与预设的攻击行为特征数据匹配，则对所述流量数据添加第一攻击等级标记；

对采集的所述流量数据进行DPI分析，获取对应的负载内容，若所述负载内容不符合所述业务特征模型，则对所述流量数据添加第二攻击等级标记；

若所述流量数据同时添加所述第一攻击等级标记和第二攻击等级标记，则将所述第一攻击等级标记和第二攻击等级标记转换为第三攻击等级标记。

7.根据权利要求6所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，判断所述流量数据中是否存在异常攻击行为之后，还包括以下步骤：

对于添加第三攻击等级标记的流量数据，对其进行数据抽取，形成活动热力图，根据所述活动热力图对异常攻击行为的准确度进行二次校验。

8.根据权利要求7所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，根据所述活动热力图对异常攻击行为的准确度进行二次校验的步骤包括：

对添第三攻击等级标记的流量数据，抽取其源IP地址所对应的攻击者的活动特征，绘制攻击者活动热力图；对添加第二、第三攻击等级标记的流量数据，抽取其源IP地址，若其源IP地址符合所述攻击者活动热力图的分布范围，则对其添加高一级的攻击等级标记。

9.根据权利要求8所述的电力系统网络攻击行为监测准确度提升方法，其特征在于，所述攻击者的活动特征包括活动时间、访问对象和通信报文负载内容。

10.一种电力系统网络攻击行为监测准确度提升系统，其特征在于，包括：

流量行为检测模块，用于通过DFI分析技术，对采集的流量数据的进行流量行为分析，获取所述流量数据的流量行为信息；

识别模块，用于根据所述流量行为信息识别出所述流量数据的通信协议以及通信报文长度字段；

逻辑模块，用于将识别出的所述流量数据的通信协议，按照其对应的通信报文长度字段进行通信协议逻辑组合排序；

关联模块，用于根据所述流量数据的流量行为信息，对所述流量数据进行资产定位关联，定位到被访问的对象业务；

映射模块，用于根据所述对象业务、所述通信协议逻辑组合排序以及CMDB基础数据，映射构建业务特征模型；其中，所述业务特征模型包括访问行为模型和通信报文模型；

判断模块，用于对采集的所述流量数据进行DPI分析，根据分析结果和所述业务特征模型，判断所述流量数据中是否存在异常攻击行为。

Images