[发明专利]一种基于流量特征的电力终端漏洞攻击防护方法

说明书

本发明公开了一种基于流量特征的电力终端漏洞攻击防护方法，属于智能电网终端设备安全技术领域。通过采集电力终端设备与主站间的通讯流量数据，并将电力终端设备正常工作状态下和受攻击状态下的通讯流量数据分类为正样本、负样本；再对正样本、负样本进行特征提取及选择，形成样本特征向量；选取分类器进行机器学习，生成漏洞攻击识别模型。在具体应用场景中，采集工作中电力终端设备与主站间的实时通讯流量数据并对其进行特征提取，形成检测特征向量；再将检测特征向量输入漏洞攻击检测模型，可判断电力终端是否受到攻击。本发明方法可对电力终端设备进行安全监测，并不依赖解析数据包内部信息，可有效增强电力系统的安全可靠性。

技术领域

本发明属于智能电网终端设备安全技术领域，涉及流量识别领域与特征建模领域，方法核心是采集大量电力终端流量数据样本，利用数据提取特征，建立机器学习模型，并使用构建的模型识别利用电力终端漏洞实现的攻击行为。

背景技术

电网中的电力终端设备的安全可靠是电力系统稳定运行的根本。智能电网业务系统存在大量的电力终端设备，如FTU(馈线终端单元)、RTU(远程终端单元)、智能电表集中器、继电保护装置等。电力终端通过监测、控制、保护的作用影响着电力的生产过程，在电力生产的“发电”-“变电”-“输电”-“配电”的过程中，起着至关重要的作用。如，我国电网对配电自动化要求越来越高,而配电自动化的核心在于馈线自动化,馈线自动化的基本单元则是馈线终端单元FTU,它对整个配电自动化起十分重要的作用，若FTU受到攻击，电网系统将受到很大程度的干扰。

然而，电力终端设备一般工作在开放环境下，并且都具有一定的运算能力和无线通信功能，导致其更容易被攻击者攻击，从而威胁智能电网的安全。这些设备与传统的信息网络中的设备不同，设计之初往往只为了实现某些特定的业务功能，业务逻辑简单，并且没有统一的安全标准来对其进行安全测试，所以安全风险较高。这些电力终端由于本身存在一些安全漏洞，攻击者可以利用已知的漏洞对其进行攻击，或者在电力终端中植入木马，将其作为跳板入侵主站，对于部署于用户侧的电力终端设备，如智能电表等，恶意攻击者往往可以利用电力终端设备存在的已知漏洞对其渗透，获取电力终端设备的root权限，从而对其进行控制和破坏。

在电力终端的安全防护中，对攻击准确有效的识别是对电力终端进行安全防护的必要条件，只有对电力终端遭受的攻击进行准确的定位及识别，才能尽可能的减小攻击造成的损害，对其进行针对性的防护。

发明内容

本发明针对现有技术存在的问题，提出了一种基于流量特征的电力终端漏洞攻击防护方法，通过构建电力终端漏洞攻击的识别模型，能够检测到电力终端是否遭受攻击，进而为开展针对性的防护工作提供指导，实时对电力终端进行安全监测。

本发明是通过以下技术方案得以实现的：

本发明提供一种基于流量特征的电力终端漏洞攻击防护方法，包括：

S01对电力终端设备与主站之间的通讯过程进行监测，对通讯流量数据进行抓包采集，并将正常工作状态下的电力终端设备通讯流量数据标记为正样本，将受攻击状态下的电力终端设备通讯流量数据标记为负样本。

S02对正样本与负样本进行特征提取，输出。

S03对S02输出的特征进行选择，作为样本特征向量，选择监督学习方法进行训练(具体可采用决策树算法)，生成漏洞攻击检测模型。

S04采集实际工作场景中的电力终端设备与主站间的实时通讯流量数据，作为待测样本；S05对待测流量数据进行特征提取，输出为待测样本的特征向量。

S06将待测样本的特征向量输入漏洞攻击检测模型，以检测电力终端是否受到攻击。

S07若发现该电力终端已受到攻击，暂时关闭该终端与主站的通讯进程，并尝试判断该攻击所属的攻击类型，防止攻击造成更大危害；若检测结果为不存在攻击，则维持通信进程，等待下一次检测。