[发明专利]一种电力监控系统设备违规外联检测方法、系统及介质

说明书

本发明公开了一种电力监控系统设备违规外联检测方法、系统及介质，本发明方法包括对相互隔离的不同网段的电力监控系统设备执行端口扫描，存储探测到各个电力监控系统设备的开放端口及其对应的服务特征数据；计算不同网段的两个电力监控系统设备的服务特征数据之间的相似度，如果任意两个电力监控系统设备的服务特征数据之间的相似度超过预设阈值，则判定该两个电力监控系统设备中的至少一台电力监控系统设备同时连接两个不同网段。本发明能够快速准确检测出电力监控系统设备的网络违规外联情况，适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中的实际配置情况，具有检测准确度高、检测速度快、实施方便快捷的优点。

技术领域

本发明涉及电力监控系统网络安全检测技术，具体涉及一种电力监控系统设备违规外联检测方法、系统及介质。

背景技术

近年来，网络安全形势日益严峻。能源和电力等领域的关键信息基础设施可能遭到重点攻击，是网络安全的重中之重。电力行业网络安全的核心是其采集控制系统——即电力监控系统的安全。电力监控系统运行于与外界几乎是物理隔离的网络环境中，一旦这个边界被打破，控制设备将暴露在外部网络中，而这些设备恰恰是软硬件受限而防护水平较低的，这将带来巨大的安全风险。在电力监控系统中，出于业务与网络冗余的需要，一台控制或采集设备同时连入多个内部局域网是很常见的。但如果由于设计缺陷或运维人员的人为因素，使得设备同时连入了内部控制网络与办公网甚至是互联网，就发生了违规跨区连接。排除违规跨连隐患的有效手段是现场排查网络结构，目前的现场检查主要依靠人工查线，但该方式遇到以下两个难题：一是电力监控系统网络结构呈栅格状，比较复杂，在短时间内查清网络拓扑对专业知识要求很高；二是并网电厂网络运维力量薄弱，现场无法查看网络设备中的配置，经常遇到现场网线标签缺失、接线混乱的情况，难以继续追查线的去向。总的来说，人工排查方式耗时多、易遗漏。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种电力监控系统设备违规外联检测方法、系统及介质，本发明能够快速准确检测出电力监控系统设备的网络违规外联情况，适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中的实际配置情况，具有检测准确度高、检测速度快、实施方便快捷的优点。

为了解决上述技术问题，本发明采用的技术方案为：

一种电力监控系统设备违规外联检测方法，实施步骤包括：

1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描，检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据；

2)针对电力监控系统网络中的每一个设备，分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度，如果该相似度超过预设阈值，则判定该设备违规外联。

可选地，步骤1)中的执行端口扫描具体是指对端口号从1-65535的所有端口进行探测。

可选地，步骤1)中的执行端口扫描具体是指对指定的多种端口进行探测。

可选地，所述指定的多种端口包括端口号分别为22、139、177、513、3389、443、80、111的八种端口。

可选地，所述服务特征数据为预设的独特性权值，所述独特性权值用于量化表示对应服务特征的独特性，独特性权值越高则服务特征的独特性越好。

可选地，步骤2)中相似度的函数表达式如下：

上式中，Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度，n为所有的服务特征数量，w(i)为第i项服务特征的独特性权值，W为所有服务特征的独特性权值之和，f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务特征，若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1，否则f(i)的值为0。