[发明专利]一种变电站二次设备集中安防运维方法及系统

权利要求书

1.一种变电站二次设备集中安防运维方法，其特征在于，包括如下步骤：

S1.在录波器与调度数据网之间接入合规并网装置，合规并网装置实时接收站内录波器上送的数据，用于防止录波器数据被非法篡改或与录波器连接的链路遭受网络攻击等问题的发生，对包括数据源IP、MAC地址、设备端口、数据格式、携带病毒的情况进行检查，利用入侵检测技术筛选出符合预先通信设置和格式、内容审计要求的录波数据，过滤出符合入侵特征的威胁数据，利用反向追踪技术，追溯到恶意代码、非法行为的来源，进行威胁拦截和阻断；

S2.合规并网装置利用威胁和对抗分析相结合的方式对感知到的威胁进行风险预警和综合评估，录波主站对合规并网装置上报的风险进行综合评估和等级评定，制定相应的短期对策，包括高危端口暂时屏蔽、数据传输链路转移的应对办法，使得风险暂时规避，获取更多时间制定长期有效的安防策略；

S3.对风险进行策略的制定和验证，进行攻防演练，确认策略的有效性、可行性和归属类别，在全网范围内实施有效防御措施，运维管理平台利用策略部署的方式进行分布式合规并网装置安防体系策略库的版本升级，用于实现变电站内合规并网装置安全策略的统一部署和集中运维的目标，提高装置自身的安全防护能力。

2.根据权利要求1所述的变电站二次设备集中安防运维方法，其特征在于，所述入侵检测技术即基于入侵检测的威胁主动感知，建立录波数据特征库和入侵特征信息库，对录波数据的需求内容进行定义，对已出现过的包括非法入侵的风险行为进行特征提取，利用适合于海量数据环境的基于深度信念网络的多类支持向量机入侵检测技术进行数据筛选，具体包括如下步骤：

1)特征降维：对高维、非线性接收到的数据进行DBN特征降维处理，去除冗余特征；

2)深度检测：利用深度数据包检测对低维特征数据检测其传输协议、头部信息和有效载荷，使用录波数据特征库和网络攻击入侵特征信息库进行快速匹配；

3)数据筛选：采用MSVN分类器分离出不同类别的数据。

3.根据权利要求2所述的变电站二次设备集中安防运维方法，其特征在于，所述不同类别的数据包含录波数据、威胁数据和其他数据三类：

1)录波数据：将遵循协议要求且符合暂态数据交换通用格式标准的录波数据，与其他数据初步分离开来，录波数据需经过合规并网装置安全检查，确认安全后上送录波主站；

2)威胁数据：利用入侵特征信息库，主动感知带有攻击性质的入侵行为或企图，发出威胁入侵告警信号，并对识别到的包括恶意代码、病毒、漏洞的威胁进行有效隔离；

3)其他数据：非录波数据和威胁数据，可以设定保留期限，将其进行暂存处理，保留期间无主站主动召唤，不得上传，减少网路开销。

4.根据权利要求2所述的变电站二次设备集中安防运维方法，其特征在于，所述反向追踪技术即基于反向追踪的威胁追溯诊断，网络攻击者在实施攻击之时或之后，会留下包括登录的记录、文件权限更改的证据，利用基于自适应概率标记的IP反向追踪技术对威胁数据进行破译，消除威胁者伪造IP标记的影响，重构攻击的完整路径阻断威胁，并根据收集的信息利用安防体系进行威胁诊断和跟踪处理，具体包括如下步骤：

1)启动追踪：根据威胁入侵告警信号，发起反向追踪，并做相应的追踪任务编号，实现威胁追踪任务的并行处理；

2)范围确定：IP首部包含8位生存时间TTL字段，设置了数据包可以经过的最多路由器数，对接入网端口进行统一TTL值配置，依据数据包每经过一个路由器TTL值减1的特性，从TTL值的变化推断数据包经过的路由器跳数，自适应调整标记数据包的概率，从而确定IP标记追踪的路由器范围；

3)反向标记：利用开始时刻和路由器范围，触发该范围内路由器级数的标记工作；

4)路径重构：进行威胁攻击路径的反向重构，追溯威胁发起者的实际物理地址；

5)威胁诊断：合规并网装置根据攻击路径，可迅速采取包括限流、过滤的拦截手段，阻断威胁并控制影响范围，利用合规并网装置部署的包括漏洞扫描、病毒查杀、设备安全检查、权限检查、日志审计、服务检查的安防手段对控制的威胁进行诊断定位，并持续跟踪处理。