[发明专利]一种针对于电力监控系统的攻击取证与溯源方法

权利要求书

1.一种针对于电力监控系统的攻击取证与溯源方法，其特征在于，包括以下步骤：

采集所述电力监控系统中的网络流数据；

对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

2.根据权利要求1所述的一种针对于电力监控系统的攻击取证与溯源方法，其特征在于，所述对所述网络流数据进行特征分析，得到所述网络流数据的特征参数具体为：

对所述网络流数据中的每一条流数据进行特征解析，获得解析结果；

根据所述解析结果，获得所述流数据的开始时间和结束时间、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

3.根据权利要求1所述的一种针对于电力监控系统的攻击取证与溯源方法，其特征在于，在特征参数与预存储的异常特征参数相匹配之后，还包括：

确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息。

4.根据权利要求3所述的一种针对于电力监控系统的攻击取证与溯源方法，其特征在于，所述确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息，包括

确定与所述异常特征参数相匹配的目标报警类型与报警等级；

根据所述报警类型和所述报警等级，生成对应的提示信息。

5.根据权利要求2所述的一种针对于电力监控系统的攻击取证与溯源方法，其特征在于，所述方法还包括：

对所述每一条流数据中的数据内容进行解析，确定对应的操作行为；

若所述操作行为存在异常操作行为时，则根据所述特征参数确定目的IP地址；

以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断。

6.根据权利要求5所述的一种针对于电力监控系统的攻击取证与溯源方法，其特征在于，所述以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断，具体为：向所述目的IP地址所在的终端发送断网指令，以阻断所述操作行为；其中，所述断网指令用于指示所述目的IP地址所在的终端关闭物理联网端口。

7.根据权利要求1-6任一项所述的针对于电力监控系统的攻击取证与溯源方法，其特征在于，所述对所述网络数据流进行溯源，包括：

基于链路测试技术、日志记录技术或ICMP的报文技术，确定所述网络数据流的攻击源。

8.一种针对于电力监控系统的攻击取证与溯源系统，其特征在于，包括：

采集模块，用于采集所述电力监控系统中的网络流数据；

特征分析模块，用于对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

判定模块，用于若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

9.一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。