[发明专利]一种基于冒泡排序法的电站工控系统异常流量识别方法

权利要求书

1.一种基于冒泡排序法的电站工控系统异常流量识别方法，其特征在于，包括以下步骤：

1)根据电站工控系统节点数量在实时库中创建监测点，每个节点对应接收流量包字节长度简称接收流量长度、接收流量包字节长度排序序号简称接收流量序号、发送流量包字节长度简称发送流量长度、发送流量包字节长度排序序号简称发送流量序号，创建监测点数量为工控系统节点数乘以4；

2)布置流量抓包工具，以端口镜像方式获取工控系统中的网络流量，以秒为单位按照源IP、目标IP将对流量包字节长度进行归类统计，对比节点与IP对应关系，将各节点实时接收、发送的流量长度计算出来并存入实时库；

3)从实时库读取所有节点的实时接收流量长度组成队列，按冒泡排序法对该队列进行排序，得到节点接收流量长度对应的序号数据，存入实时库，对发送流量长度队列按照同样方式处理；

4)以秒为单位更新各节点接收、发送流量长度及对应序号数据，与前一时刻对比，找出序号变化超阈值的节点进行实时报警；

5)对所有节点的接收流量长度按最近一小时进行累加得到当前小时累计接收流量长度，将当前小时累计接收流量长度组成的队列按冒泡排序法进行排序，得到当前小时累计接收流量序号，以同样方式处理前一小时累计接收流量长度，得到前一小时序号，再以同样方式处理累计发送流量，得到两组序号；

6)将当前小时累计接收流量序号与前一小时序号进行对比，变化超阈值的节点进行报警，对实时接收流量序号与当前小时累计接收流量序号偏差超阈值的节点也进行报警，以同样方式处理小时累计发送流量。

2.根据权利要求1所述基于冒泡排序法的电站工控系统异常流量识别方法，其特征在于：适用于多个工控系统之间异常流量识别，将各工控系统当节点处理即可；能够进一步按工控系统中通讯协议种类进行细分后再进行排序、报警处理；对于实时流量的统计能够改成3-5秒，对于累计的时间也能够改成半个小时或两个小时。

3.根据权利要求1所述基于冒泡排序法的电站工控系统异常流量识别方法，其特征在于：无需像传统网络攻击流量检测方式那样构建特征库，能够同时对已知类型、未知类型网络攻击产生的异常流量进行识别，实现实时监测及报警。

4.根据权利要求1所述基于冒泡排序法的电站工控系统异常流量识别方法，其特征在于：报警方式，对于实时接收流量序号、实时发送流量序号、小时累计接收流量序号、小时累计发送流量序号的报警以4种不同颜色标注，对于序号变化最大及符合双重报警的节点以闪烁方式标注。