[发明专利]一种电力私有协议的安全监测方法

摘要

本发明提供一种电力私有协议的安全监测方法，该发明应用Progressive neural networks（渐进式神经网络模型）于电力私有协议的识别与解析，为电力私有协议的安全监测提供基础保障；根据电力私有协议网络通信数据，生成动态电力私有协议安全监测规则，为电力私有协议安全监测提供依据，大大减少纯人工创建规则导致误操作等情况的发生；通过对电力私有协议识别与解析、安全监测规则建立以及通信数据安全监测，实现了对于电力私有协议的安全监测，突破了传统的应用协议级安全监测必须依赖于完整协议规范的限制，可有效拓展安全监测系统的覆盖范围。

主权项

1.一种电力私有协议的安全监测方法，其特征在于，包括以下步骤：

S1：识别与解析电力私有协议；

S2：基于识别与解析出的电力私有协议，建立电力私有协议安全监测规则；

S3：根据建立的电力私有协议安全监测规则，安全监测电力私有协议通信数据。

2.根据权利要求1所述的电力私有协议的安全监测方法，其特征在于，所述步骤S1的具体过程是：

S11：构建一个基础协议数据分析提取网络，并且随机初始化所有连接的权重；

S12：将已知的协议通信数据应用于所述分析提取网络中，分析提取网络处理这些解析并且进行学习；

S13：若分析提取网络解析出的动作是正确的，则进行奖励，否则惩罚，以拟合最佳连接权重；

S14：经过对于已知通信协议的识别与解析训练，学习私有协议的识别与解析，并提取相应的字段，期间搭建模拟环境，使用该私有协议的通信软件，设置针对性的通信内容，深度学习该通信数据输入与输出，对学习结果进行奖励与惩罚，提升深度学习算法的准确率。

3.根据权利要求2所述的电力私有协议的安全监测方法，其特征在于，所述步骤S2的具体过程是：

基于识别与解析出的电力私有协议，对电力系统中的私有协议网络流量提取相应的操作指令和数据字段；通过对操作指令数据范围进行统计分析，得出操作指令有效性配置；通过对各种操作指令的使用频率进行统计，对于使用概率极低的数据指令配置为可疑数据指令；

通过数据字段类型与范围统计分析，生成数据字段有效性配置策略；对于时间字段，统计其最早时间，时间字段的范围应该在最早时间至当前时间加上时间同步合理偏差；对于数据字段通过进行线性回归分析，生成数据字段的动态阈值配置。

4.根据权利要求3所述的电力私有协议的安全监测方法，其特征在于，所述步骤S3的具体过程是：

1）操作指令有效性检测：

根据有效数据指令配置，判断数据指令是否是协议有效，对于无效指令进行告警；

2）可疑操作指令检测：

根据可以操作指令黑名单配置，对在黑名单指令中的数据指令进行告警；

3）数据字段有效性检测：

基于数据字段有效性配置，对于无效传输数据进行告警；

4）数据字段阈值检测：

基于数据字段动态阈值范围配置，在阈值配置之外的传输数据进行告警。

5.根据权利要求3所述的电力私有协议的安全监测方法，其特征在于，所述基础协议数据分析提取网络进行的操作包括以下过程：

S111：基础数据类型提取：

位数据提取：

通过对输入的字节，按照BIT位进行有序拆分, 按照BIT位输出进行提取，比如输入字节49，输出0、0、1、1、0、0、0、1BIT位；

（2）字节整数拆分提取：

对于输入单个字节，按照BIT位进行有序拆分组合，按照整数输出进行学习，比如输入字节49，输出【0，49】、【0，0，49】，【0，0，1，17】、【1，17】等多种整数序列；

（3）整数提取：

对于输入单个或多个字节的整数，按照字节进行有序拆分与组合，按照整数输出进行提取；

（4）浮点数提取：

对于输入浮点数，按照浮点数进行提取；

（5）字符提取：

输入字节流，按照以’\0’结尾输出字符串；不判断结尾字符输出字符串；

S112：复合数据类型提取，包括时间、实数数据类型提取；

S113：字符编码提取，包括常用的UTF8编码提取、GBK编码提取、UNICODE编码提取；

S114：常用编码规则，包括BASE64解码提取、ASN.1解码提取、URL解码提取、OLE通信产常用到的Unmarshalling提取；

S115：多类型数据组合、嵌套提取，包括对数据分组，学习数据分组格式。