[发明专利]一种用于电网终端的安全监测方法和系统

权利要求书

1.一种用于电网终端的安全监测方法，其特征在于，所述安全监测方法包括：

基于IPFIX采集网络流数据，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端；或/和，

基于网络协议解析对电网终端的业务安全进行监测，其中所述网络协议解析包括数据包重组或/和数据包方向判别。

2.根据权利要求1所述的安全监测方法，其特征在于，所述正常流量模型基于二分K-means聚类算法而建立。

3.根据权利要求1所述的安全监测方法，其特征在于，所述将所采集的网络流数据与预先建立的正常流量模型进行比对的步骤包括：

基于协直推式信度机-K邻近聚类的网络异常检测算法，将所采集的网络流数据与预先建立的正常流量模型进行比对，基于比对的结果，定位异常的电网终端。

4.根据权利要求1所述的安全监测方法，其特征在于，所述基于网络协议解析对电网终端的业务安全进行监测包括：

步骤1：在分析应用层http协议之前对数据报文的底层协议内容是否符合预设策略进行检查，所述检查的内容包括源网络地址、目的网络地址或/和端口号，如果符合则进入步骤2，否则结束；

步骤2：获取URL地址信息；

步骤3：在获取URL地址信息之后对http应用协议的内容进行检查，所述对http应用协议检测的内容包括是否包含某个字符串。

5.根据权利要求1所述的安全监测方法，其特征在于，所述基于网络协议解析对电网终端的业务安全进行监测包括：

基于SMB协议解析或/和SMB命令解析，对电网终端在网络中的共享访问操作进行监测。

6.根据权利要求1所述的安全监测方法，其特征在于，所述基于网络协议解析对电网终端的业务安全进行监测的步骤包括：

基于TNS协议解析，对电网终端访问oracle数据库的行为进行监测。

7.根据权利要求1所述的安全监测方法，其特征在于，所述数据包方向判别的步骤包括：

获取熟知端口信息，基于熟知端口信息对电网终端当前使用的服务进行判别；

在创建会话时，填充与该会话相关的五元组，以根据该五元组的信息判断当前会话包的方向。

8.根据权利要求7所述的安全监测方法，其特征在于，所述在创建会话时，填充与该会话相关的五元组，以根据该五元组的信息判断当前会话包的方向的步骤包括：

a)若当前传输协议为TCP，并且数据包的目的端口大于等于1024，源端口小于1024时，则判断当前会话包的方向为：S-C，此时S为源端，C为目的端；

b)若当前传输协议为TCP，并且数据包的目的端口小于1024，源端口大于等于1024时，则判断当前会话包的方向为：C-S，此时C为源端，S为目的端；

c)否则，以当前数据包的目的端口为服务端口去执行匹配策略，如果匹配成功，则判断当前会话包的方向为：C-S，此时C为源端，S为目的端；如果匹配不成功，则判断当前会话包的方向为：S-C，此时S为源端，C为目的端。