[发明专利]一种智能变电站网络异常流量分析方法

说明书

本发明涉及电力变电技术领域，具体涉及一种智能变电站网络异常流量分析方法，具体为S1在智能变电站站控层交换机的镜像端口设置实时捕获系统；S2获取实时捕获系统内的网络报文并提取报文的基本信息；S3基于变电站配置文件，建立IP地址和MAC地址的对应规则；S4将接收的数据包中的目的地址与建立的NAC地址比对，进行异常流量检测；S5通过获取实时网络报文并进行协议匹配，进行异常协议检测；S6通过观察网络报文分析系统是否有告警信息输出，判断检测规则的合理性与有效性；本发明可以便捷的进行数据筛选，为数据分析减少了大量的工作量，大大提高了工作效率，实现变电站网络异常流量信息的实时上报与告警输出。

技术领域

本发明涉及电力变电技术领域，具体涉及一种智能变电站网络异常流量分析方法。

背景技术

智能变电站是采用先进、可靠、集成和环保的智能设备，以全站信息数字化、通信平台网络化、信息共享标准化为基本要求，自动完成信息采集、测量、控制、保护、计量和检测等基本功能，同时，具备支持电网实时自动控制、智能调节、在线分析决策和协同互动等高级功能的变电站。近年来随着智能电网的发展，国内正在推广智能变电站的建设。智能变电站内部采用了三层两网的网络结构，设备间的各种数据交互都通过网络实现。2015年12月23日乌克兰电网大范围事件，被认为是世界上首次黑客入侵导致电网瘫痪事件，该事件使得工控安全得到了广泛关注。由于各种异常行为(恶意攻击、病毒程序、非法访问等)的传播与破坏都需要利用网络来完成，所以对网络流量监控与分析是目前对网络异常行为进行有效发现与防御的主要手段之一。在专利申请号为201610202100.1的专利文件中，公开了一种智能变电站网络异常流量检测方法，包括以下几个步骤：(1)配置变电站交换机的镜像端口，通过镜像端口接入变电站网络；(2)解析捕获的报文；(3)对累计的报文信息按照不同的源地址进行统计分析，判断每个源地址是否存在异常流量；(4)对累计的报文信息按照不同的源/目的地址进行统计分析，判断每对源/目的地址之间是否存在异常流量；(5)将异常信息发送给远方调度系统，存储累计的报文信息，返回步骤(2)，进行新一轮异常流量检测。本发明给出了实时可靠的变电站网络异常流量识别方法，并最终实现变电站网络异常流量信息的实时上报与告警输出。

上述专利文件用于实现变电站网络异常流量信息的实时上报与告警输出，因此本发明提出了适用于对智能变电站网络异常流量分析方法。开展了采集数据的分析与预处理研究，为从流量的角度分析智能变电站信息安全问题提供了典型网络入侵方式下的流量数据集，以及通信系统流量特征数据集。

发明内容

针对现有技术的不足，本发明公开了一种智能变电站网络异常流量分析方法，本发明通过采集数据的分析与预处理研究，为从流量的角度分析智能变电站信息安全问题提供了典型网络入侵方式下的流量数据集，以及通信系统流量特征数据集。

本发明通过以下技术方案予以实现：

一种智能变电站网络异常流量分析方法，所述分析方法包括以下步骤：

S1在智能变电站站控层交换机的镜像端口设置实时捕获系统；

S2获取实时捕获系统内的网络报文并提取报文的基本信息；

S3基于变电站配置文件，建立IP地址和MAC地址的对应规则；

S4将接收的数据包中的目的地址与建立的NAC地址比对，进行异常流量检测；

S5通过获取实时网络报文并进行协议匹配，进行异常协议检测；

S6通过观察网络报文分析系统是否有告警信息输出，判断检测规则的合理性与有效性。

更进一步的，所述实时捕获系统采用时间驱动的通信方式，每隔一段固定时间进行一次采样值的发送。