[发明专利]一种针对于电力监控系统的攻击取证与溯源方法

说明书

本发明提供了一种针对于电力监控系统的攻击取证与溯源方法，方法包括：采集所述电力监控系统中的网络流数据；对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。本申请实施例可对网络流数据进行特征分析得到特征参数，并在特征参数与预设数据库中异常特征参数相匹配时，则判定存在网络攻击，并可进行溯源，从而能简单有效的确保电力监控系统的安全性。

技术领域

本发明涉及电力安全技术领域，特别是一种针对于电力监控系统的攻击取证与溯源方法。

背景技术

电力监控系统用于监视和控制电力生产及供应过程，并基于计算机及网络技术为发电，输电、变电、配电及调度等业务中有监测和控制等重要作用，可以降低业务的运作成本，提高生产效率。

然而，近年来，针对电力监控系统的攻击越来越多，但目对前电力监控系统的安全防护缺乏、人岗不匹配等问题，使得电力监控系统的安全性低。。

发明内容

有鉴于此，本发明的目的是提出一种针对于电力监控系统的攻击取证与溯源方法，旨在解决现有电力监控系统的安全性的问题。

本发明采用以下方案实现：一种针对于电力监控系统的攻击取证与溯源方法，包括以下步骤：

采集所述电力监控系统中的网络流数据；

对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

进一步地，所述对所述网络流数据进行特征分析，得到所述网络流数据的特征参数具体为：

对所述网络流数据中的每一条流数据进行特征解析，获得解析结果；

根据所述解析结果，获得所述流数据的开始时间和结束时间、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

进一步地，在特征参数与预存储的异常特征参数相匹配之后，还包括：

确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息。

进一步地，所述确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息，包括

确定与所述异常特征参数相匹配的目标报警类型与报警等级；

根据所述报警类型和所述报警等级，生成对应的提示信息。

进一步地，所述方法还包括：

对所述每一条流数据中的数据内容进行解析，确定对应的操作行为；

若所述操作行为存在异常操作行为时，则根据所述特征参数确定目的IP地址；

以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断。

进一步地，所述以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断，具体为：向所述目的IP地址所在的终端发送断网指令，以阻断所述操作行为；其中，所述断网指令用于指示所述目的IP地址所在的终端关闭物理联网端口。

进一步地，所述对所述网络数据流进行溯源，包括：

基于链路测试技术、日志记录技术或ICMP的报文技术，确定所述网络数据流的攻击源。

本发明还提供了一种针对于电力监控系统的攻击取证与溯源系统，具体包括：

采集模块，用于采集所述电力监控系统中的网络流数据；

特征分析模块，用于对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

判定模块，用于若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。