[发明专利]一种智能变电站网络异常流量分析方法

权利要求书

1.一种智能变电站网络异常流量分析方法，其特征在于，所述分析方法包括以下步骤：

S1在智能变电站站控层交换机的镜像端口设置实时捕获系统；

S2获取实时捕获系统内的网络报文并提取报文的基本信息；

S3基于变电站配置文件，建立IP地址和MAC地址的对应规则；

S4将接收的数据包中的目的地址与建立的NAC地址比对，进行异常流量检测；

S5通过获取实时网络报文并进行协议匹配，进行异常协议检测；

S6通过观察网络报文分析系统是否有告警信息输出，判断检测规则的合理性与有效性。

2.根据权利要求1所述的智能变电站网络异常流量分析方法，其特征在于，所述实时捕获系统采用时间驱动的通信方式，每隔一段固定时间进行一次采样值的发送。

3.根据权利要求2所述的智能变电站网络异常流量分析方法，其特征在于，所述实时捕获系统发送的信息包含一次侧的电流模拟信号和电压信号，所述信息通过信号采集器采集并转化为数字信号，合并单元在收到以光纤为介质传输而来的数字信号后就对其进行合并，然后在通过以太网向间隔层的保护装置进行发送。

4.根据权利要求1所述的智能变电站网络异常流量分析方法，其特征在于，进行异常流量检测时，当监听到总线上的数据时将对其进行解析，然后根据解析得到的目的物理地址以及预先设置的网卡接收模式来决定该数据帧是否接收，若接收则产生中断信号向CPU报告，否则舍弃。

5.根据权利要求1所述的智能变电站网络异常流量分析方法，其特征在于，异常流量检测时，网络数据通过滤器分析每个网络数据包首部的值，得到源IP地址以及目的IP地址，通过分析传输层首部，得到源端口号以及目的端口号，通过分析数据链路层首部，得到帧的源MAC地址以及目的MAC地址。

6.根据权利要求5所述的智能变电站网络异常流量分析方法，其特征在于，网络数据分析时，通过滤表达式通过主机的IP地址来过滤指定主机发送和接收的数据包，并根据主机的网络MAC地址来过滤指定主机发送和接收的数据包。

7.根据权利要求6所述的智能变电站网络异常流量分析方法，其特征在于，所述过滤表达完成对指定网络、主机、协议的发送和接收地址的流量过滤，以及指定大小范围的数据包的大小，所述过滤表达式经过关系运算符的组合可过滤多个指定条件的数据包。