[发明专利]一种基于冒泡排序法的电站工控系统异常流量识别方法

说明书

一种基于冒泡排序法的电站工控系统异常流量识别方法，该方法的步骤如下：1)根据电站工控系统节点数量在实时库中创建监测点，包括节点接收、发送的流量长度及对应的排序序号；2)以端口镜像方式获取系统中的网络流量，以秒为单位对流量长度进行归类统计并存储；3)对各节点实时接收、发送流量长度按两个队列分别用冒泡排序法进行排序并存储序号；4)及时更新各节点流量长度及序号数据，累加可得到小时累计流量，再用冒泡排序法得到小时累计序号，对实时序号变化、小时累计序号变化、实时序号与小时累计序号偏差超阈值的节点进行报警。本发明在不影响系统运行的前提下，对已知类型及未知类型的网络攻击产生的异常流量进行实时识别。

技术领域

本发明涉及工控安全监测技术领域，具体涉及一种基于冒泡排序法的电站工控系统异常流量识别方法。

背景技术

针对黑客的网络攻击，开展网络流量的监测分析，对异常流量的识别发现是进行安全防护的第一步。目前流量监测模型主要分为两类：基于特征库和基于行为偏差的检测系统。基于特征库的检测系统主要用于识别已知类型的网络攻击。基于行为偏差的检测系统可用于识别已知和未知的网络攻击，本发明的内容就是一种基于行为偏差的异常流量的识别方法。

电站工控系统是建监视、控制电力等生产、传输的系统，在我国主力电站是燃煤电站，在运行过程中考虑热应力的作用等安全因素，要求机组尽量在目标负荷下平稳运行，即使在升负荷、降负荷过程中，也要做好充分的缓冲准备，保证过程平稳过度。因此，电站工控系统在日常运行过程中，节点间的交互流量变化比较稳定化、平缓。如果某个网络节点接收、发送的流量出现较大的突然变化或持续变化，则系统内可能出现了网络攻击事件。本发明就是基于冒泡排序法对网络节点的接收、发送流量包字节长度进行统计排序，根据序号的变化来识别异常流量。

发明内容

为了克服上述现有技术存在的问题，本发明的目的在于提供一种基于冒泡排序法的电站工控系统异常流量识别方法，在不影响工控系统运行的前提下，无需构建网络攻击特征库，对系统中存在网络攻击产生的异常流量进行实时监测进而识别报警。

为了达到上述目的，本发明采用如下技术方案：

一种基于冒泡排序法的电站工控系统异常流量识别方法，包括以下步骤：

1)根据电站工控系统节点数量在实时库中创建监测点，每个节点对应接收流量包字节长度(简称接收流量长度)、接收流量包字节长度排序序号(简称接收流量序号)、发送流量包字节长度(简称发送流量长度)、发送流量包字节长度排序序号(简称发送流量序号)，创建监测点数量为工控系统节点数乘以4；

2)布置流量抓包工具，以端口镜像方式获取工控系统中的网络流量，以秒为单位按照源IP、目标IP将对流量包字节长度进行归类统计，对比节点与IP对应关系，将各节点实时接收、发送的流量长度计算出来并存入实时库；

3)从实时库读取所有节点的实时接收流量长度组成队列，按冒泡排序法对该队列进行排序，得到节点接收流量长度对应的序号数据，存入实时库，对发送流量长度队列按照同样方式处理；

4)以秒为单位更新各节点接收、发送流量长度及对应序号数据，与前一时刻对比，找出序号变化超阈值的节点进行实时报警；

5)对所有节点的接收流量长度按最近一小时进行累加得到当前小时累计接收流量长度，将当前小时累计接收流量长度组成的队列按冒泡排序法进行排序，得到当前小时累计接收流量序号，以同样方式处理前一小时累计接收流量长度，得到前一小时序号，再以同样方式处理累计发送流量，得到两组序号；

6)将当前小时累计接收流量序号与前一小时序号进行对比，变化超阈值的节点进行报警，对实时接收流量序号与当前小时累计接收流量序号偏差超阈值的节点也进行报警，以同样方式处理小时累计发送流量。