[发明专利]一种电力监控系统异常流量检测方法

说明书

本发明提供了一种电力监控系统异常流量检测方法，捕获真实数据流量、分类，并对捕获的真实数据流量信息进行拆分，根据需要修报文信息，以指定速度将修改后的数据流量回放到网络中，结合网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况，分类对比数据库中正常状态下的数据流量信息建立正常属性列表，进行异常检测的方法，实现对业务系统面临的安全风险如网络攻击、系统漏洞等可以起到预防作用，从而保证了系统的安全性，同时可以避免出现安全问题，采用分析和检测的方法，避免一旦数据被非法访问甚至泄漏导致的损失。

技术领域

本发明涉及电力监控通信技术领域，尤其涉及一种电力监控系统异常流量检测方法。

背景技术

随着计算机技术、互联网技术在电力行业的发展应用，电力系统网络中出现延迟、掉包、乱序等异常流量或DDOS等入侵异常流量，导致大数据在为业务带来巨大价值的同时，也带来了潜在的安全风险。

目前，对于异常流量的监控通过检测已产生的异常的目标IP，然后向清洗设备宣告异常，清洗设备对异常进行特定的清洗策略简单的过滤清洗，这种方法的需要检测设备对大量的目标进行统计检测，还需要照出目标IP，其准确率不高且清洗设备的测量过于简单，

电网中新能源接入、移动互联网的非法互联、各种系统软件漏洞，为智能电网的安全带来新的挑战，其安全防护不到位、大数据的数据集中、数据量大、数据价值大等新特点的安全风险更加凸显，可能构成攻击电网内部的跳板，给全网安全带来隐患。一方面，传统业务系统面临的安全风险如网络攻击、系统漏洞等依然存在；另一方面，一旦数据被非法访问甚至泄漏损失非常巨大，智能电网安全需要保证的是全网行为安全性。

发明内容

本发明提供了一种电力监控系统异常流量检测方法，通过快捷准确的分析通信报文来进行异常流量的检测，避免出现系统漏洞及网络安全问题；以及保护数据，防止数据被非法访问甚至泄漏。

为了达到上述目的，本发明实施例采用以下技术方案：

提供一种电力监控系统异常流量检测方法，包括

步骤1：流量采集，所述流量采集包括：

捕获报文，根据报文类型进行数量统计,存储于数据库中，累计存储为第一数据流量信息，所述第一数据流量信息为一段时间的真实数据流量信息；，

通过pcap包的重放工具集，将捕获的所述第一数据流量信息进行拆分，并根据需要修报文信息，以指定速度将第二数据流量信息回放到网络中，所述第二数据流量信息为修改后的数据流量；

通过抓包网络工具，捕获第三数据流量信息中网络异常流量以及入侵异常流量，所述第三数据流量信息为第一数据流量信息和第二数据流量信息的合集；

步骤2：流量检测，所述流量检测包括：

对第三数据流量信息进行分类；

查看网络中各个主机发起连接和被连接的属性记录中各个属性的分布状况；

在数据库中录入第四数据流量信息，并将所述第四数据流量信息分类后存储到数据库中，建立正常属性列表，所述第四数据流量信息为正常状态下的数据流量信息；

将捕获的所述第三数据流量信息、所述属性记录的分布状况、所述正常属性列表进行对比，进行异常检测。

可选的，所述流量采集中数据库中存储的第一数据流量信息包含存储流量特征，包括：主站、场站的通信流量；生产控制区与管理信息区的数据流量。

可选的，所述pcap包的重放工具集主要包括：Tcpprep工具、Tcprewrite工具、Tcpreplay工具。

可选的，所述Tcpprep工具具体为：将第一数据流量信息拆分为客户端和服务端，默认客户端，并存放为缓存文件。