[发明专利]一种基于流量特征的电力终端漏洞攻击防护方法

权利要求书

1.一种基于流量特征的电力终端漏洞攻击防护方法，其特征在于，结合电力终端与主站通信特点，考虑到实际攻击存在对数据包进行加密或重新编码的场景，使用流量特征实现对攻击行为的判断与安全防护，具体为：将电力终端设备正常工作状态下和受攻击状态下的通讯流量数据分类为正样本、负样本；再对正样本、负样本进行特征提取及选择形成样本特征向量；选取分类器进行机器学习，生成漏洞攻击识别模型，利用所述漏洞攻击识别模型对待测通讯流量数据进行判断；

对通讯流量数据进行特征提取，包括如下19个特征：

1）对于一段包含n个数据包的序列，代表第i个数据包的包长，提取以下8个关于包长的特征：

包长均值

包长标准差

一阶中心距

二阶中心距

三阶中心距

四阶中心距

包长偏度

包长峰度

2）对于所述数据包的序列，每个数据包的到达时间为，还提取以下4个时间特征：

数据包到达平均时间间隔

数据包到达时间间隔标准差

最大数据包到达时间间隔

最小数据包到达时间间隔

3）还提取以下特征：

假设数据包序列中IP地址种类数为j，IP地址种类丰富度

假设数据包序列中占比最大的IP地址数量为n’，则获得IP地址集中度特征

假设数据包序列中端口号种类数为k，端口号种类丰富度

假设数据包序列中占比最大的端口号数量为n’’，则获得端口号集中度特征

数据包序列中数据包到达频率

数据包序列中数据包最高到达频率

数据包序列中数据包最低到达频率 。

2.根据权利要求1所述的一种基于流量特征的电力终端漏洞攻击防护方法，其特征在于，所述的方法具体包括以下步骤：

S01对电力终端设备与主站之间的通讯过程进行监测，对通讯流量数据进行抓包采集，并将正常工作状态下的电力终端设备通讯流量数据标记为正样本，将受攻击状态下的电力终端设备通讯流量数据标记为负样本；

S02 对正样本与负样本进行特征提取；

S03 对S02提取的特征进行选择，作为样本特征向量，选择监督学习方法进行训练，生成漏洞攻击识别模型；

S04 采集实际工作场景中的电力终端设备与主站间的实时通讯流量数据，作为待测样本；

S05 对待测流量数据进行特征提取，输出为待测样本的特征向量；

S06 将待测样本的特征向量输入漏洞攻击识别模型，以检测电力终端是否受到攻击；

S07 若发现该电力终端已受到攻击，暂时关闭该终端与主站的通讯进程；若检测结果为不存在攻击，则维持通信进程，等待下一次检测。

3.根据权利要求1所述的一种基于流量特征的电力终端漏洞攻击防护方法，其特征在于，在特征提取的过程中，若出现一段时间内数据包数量过少造成计算失败，该时间段内数据包将保留信息至下一时间段进行合并，与下一时间段监测的数据包共同计算特征向量。

4.根据权利要求1所述的一种基于流量特征的电力终端漏洞攻击防护方法，其特征在于，在特征提取的过程中，若出现重要信息读取失败，包括：IP地址信息、端口号信息丢失，造成计算失败，则所在时间段内数据包将被报告异常，通知监测系统。