[发明专利]一种电力监控系统异常流量检测方法

权利要求书

1.一种电力监控系统异常流量检测方法，其特征在于，包括：

步骤1：流量采集，所述流量采集包括：

捕获报文，根据报文类型进行数量统计,存储于数据库中，累计存储为第一数据流量信息，所述第一数据流量信息为一段时间的真实数据流量信息；

通过pcap包的重放工具集，将捕获的所述第一数据流量信息进行拆分，并根据需要修报文信息，以指定速度将第二数据流量信息回放到网络中，所述第二数据流量信息为修改后的数据流量；

通过抓包网络工具，捕获第三数据流量信息中网络异常流量以及入侵异常流量，所述第三数据流量信息为第一数据流量信息和第二数据流量信息的合集；

步骤2：流量检测，所述流量检测包括：

对第三数据流量信息进行分类；

查看网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况；

在数据库中录入第四数据流量信息，并将所述第四数据流量信息分类后存储到数据库中，建立正常属性列表，所述第四数据流量信息为正常状态下的数据流量信息；

将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比，进行异常检测。

2.根据权利要求1所述的一种电力监控系统异常流量检测方法，其特征在于，所述流量采集中数据库中存储的第一数据流量信息包含存储流量特征，包括：

主站、场站的通信流量；

生产控制区与管理信息区的数据流量。

3.根据权利要求1所述的一种电力监控系统异常流量检测方法，其特征在于，所述pcap包的重放工具集包括：

Tcpprep工具、Tcprewrite工具、Tcpreplay工具。

4.根据权利要求3所述的一种电力监控系统异常流量检测方法，其特征在于，所述Tcpprep工具具体为：

将第一数据流量信息拆分为客户端和服务端，默认客户端，并存放为缓存文件。

5.根据权利要求3所述的一种电力监控系统异常流量检测方法，其特征在于，Tcprewrite工具具体为：

重写第一数据流量信息的TCP/IP层和数据链路层的头信息。

6.根据权利要求3所述的一种电力监控系统异常流量检测方法，其特征在于，Tcpreplay工具具体为：

以可控的速度将第二数据流量信息回放到网络中。

7.根据权利要求1所述的一种电力监控系统异常流量检测方法，其特征在于，所述网络异常流量以及入侵异常流量，包括：延迟、掉包、节流、重发、乱序、篡改、典型网络攻击，DDOS和扫描。

8.根据权利要求1所述的一种电力监控系统异常流量检测方法，其特征在于，将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比，采用分类比较的方法。