一种电力物联网安全防御终端及其控制系统的制作方法

本发明涉及电力物联网相关，尤其是一种电力物联网安全防御终端及其控制系统。

背景技术：

1、电力物联网是物联网在智能电网中的应用，是信息通信技术发展到一定阶段的结果，其将有效整合通信基础设施资源和电力系统基础设施资源，提高电力系统信息化水平，改善电力系统现有基础设施利用效率，为电网发、输、变、配、用电等环节提供重要技术支撑；

2、电力物联网由于网络专用、协议专用等特点，亟需在传统基于网络报文攻击特征分析的基础上，进一步研究适用于电力物联网终端的安全监测技术手段，提升电力物联网在终端面抵御各类攻击威胁的能力。

技术实现思路

1、本发明要解决的技术问题是提供一种电力物联网安全防御终端及其控制系统。

2、为解决上述技术问题，本发明所采取的技术发明如下：

3、一方面，本发明公开一种电力物联网安全防御终端及其控制系统，包括。

4、作为本发明的一种优选技术发明，包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块，其中，所述风险判断模块通过对主体信任的识别和动态感知以生成评分和有关与主体和环境相关的潜在风险的报告；所述场景感知模块用于安全浏览设备链接以执行设备的身份验证；所述安全验证评估模块与所述安全浏览模块连接以连续提供评估数据；所述安全浏览模块将控制平台和数据连接起来，并根据来自数据的通信会话为所有访问请求建立安全浏览策略。

5、另一方面，本发明公开一种电力物联网安全防御控制系统，包括流量特征白名单监测、语法语义特征监测、设备网络访问行为特征监测、构建设备画像，其中流量特征白名单监测包括采集良性的网络流量报文首部的基础属性，应用基于属性分类的报文聚类方法，对数据进行预处理形成一个三元组集合，再将每个集合进行属性分类，最后通过特征词提取，得到网络流量外在特征白名单；所述语法语义特征监测包括分析终端网络流量中的关键字段和关键字组合的频率与时隙，建立协议关键字白名单，通过分析关键字与关键字组合的频率与时隙，确定设备画像的协议关键字频率与时隙的安全阈值；所述设备网络访问行为特征监测通过设备网络访问行为基线，实现对设备网络访问行文的监测；通过网络流量的外在特征、协议关键字阈值和设备网络访问行为基线构建设备画像。

6、作为本发明的一种优选技术发明，所述流量特征白名单监测包括：数据预处理，提取网络流秩序中的报文信息，对网络流秩序进行分词处理，ip取目的ip用f1表示，流量类型f2，报文大小f3，报文时隙f4，报文方向f5，其中ip部分取后八位，报文时隙由当前报文时间减去上个相邻报文时间得到，报文方向的接收用1表示，发送用2表示，运用报文聚类方法定义一组三元组集合表示网络流秩序向量：

7、a＝(s,p,v)

8、其中，集合s是需要处理的数据集即报文集合，集合p是网络流秩序中的属性组成即集合fi，v是属性fi中的具体值。

9、作为本发明的一种优选技术发明，所述流量特征白名单监测还包括：按属性分类，对于某一属性pi，如果报文与报文之间的vi(vi∈pi)相同，则将报文划分为同一簇，形成初步的聚类结果；对属性分类的结果进行过滤，用于反应报文的特征：先计算每个vi的集合数量，再除以总报文数，去除结果大于0.05的属性。

10、作为本发明的一种优选技术发明，所述流量特征白名单监测还包括：特征词提取，将vi按集合数量降序排序，对应vi中的每个报文si(si∈vi)进行交运算得到vi特征词集合,直到获得所有关于fi的特征词集合，根据特征词集合建立网络流秩序白名单；在实行安全监测时，将报文首部信息与网络流秩序白名单中的集合匹配，如果没有出现在集合中则判断为异常。

11、作为本发明的一种优选技术发明，所述语法语义特征监测包括：根据语法与语义检测报文数据段的异常情况；其中根据语法内容，使用数据段切分的同步解析方法，在识别到关键字段后，将其与关键字段的白名单匹配，若其没有在白名单中则认为语法出现异常；根据语义内容，使用统计网络报文每种协议的关键字使用次数，并计算关键字单位时间内出现的次数，得到频率阈值，根据计算结果，评估安全阈值实现语义检测。

12、作为本发明的一种优选技术发明，语法测报文数据段的异常情况包括：关键字位置己知时的同步解析，在同步解析的处理时，如果先匹配已知位置的关键字组合，根据关键字的数量设置多个切入点，快速读取对应的内容；关键字位置未知时的同步解析，如果关键字位置不确定，把报文的数据段分块处理，根据实际需要插入n-1个扫描点，之后开始对每一个数据分块解析，将解析到的数据与关键字段匹配，最终完成对于关键字位置未知的同步解析；根据上述两个条件实现对不同情况关键字的报文解析后，通过先验知识与协议己知关键字和字段内容的匹配，如果出现了位置字段或者未知数据内容则判断协议报文出现语法异常。

13、作为本发明的一种优选技术发明，语义测报文数据段的异常情况包括：a、通过终端设备良性设备通信时的流量数据，将其转换为自然语言，筛选其数据段中重复字段的次数记为xi，计算xi与总报文t的比值得到各个关键字的频率fi

14、fi＝xi/t

15、b、针对每个关键字yi，以yi出现的报文为样本即ti＝yi∩t，再对ti执行上一步中的筛选得到ti中的关键字；将ti的每个关键字与合并得到yi的关键字组合，之后根据上式计算关键字组合的频率；

16、c、计算相邻的不同关键字首次出现的时间差，取最大时间差作为最大响应时间，最小值为最快响应时间；

17、d、记录fi根据实际运行状态设置t的窗口范围即最远记录点，选取频率较高的若干fi构成设备的语义画像,当fi与当前数据偏差较大时或关键字之间超出正常的时间分布时，认为设备出现异常状态。

18、作为本发明的一种优选技术发明，构建设备画像包括：

19、a、选取公共数据集，读入数据集的pcap文件，跳过首部信息的24个字节；

20、b、处理数据包包头信息共16字节，将每条流量数据看作一帧读取到数据包头说明进入新的一帧；

21、c、处理链路层信息共14字节，保存第1至第6字节的目的mac地址和第7至第12位的源mac地址，第13、14字节的标识符表示网络层协议类型，记录arp(0806h)、ipv4(0800h)与ipv6(86ddh)的数量；

22、d、处理网络层信息，记录udp(11h)与tcp(06h)第24位的传输层协议类型，并记录icmp(06h)协议；

23、e、处理传输层信息，记录tcp与udp协议的端口访问信息，寻找下一个数据包包头。

24、作为本发明的一种优选技术发明，构建设备画像还包括：设备网络流量分析和数据包分析，所述设备网络流量分析包括通过筛选tcp/ip堆栈的网络层传输层的流，完成正常流量的分析和受攻击流量的分析；所述数据包分析包括使用dpkt库来解析数据链路层和传输层物，完成物联网设备网络行为的解析。

25、采用上述技术发明所产生的有益效果在于：本发明可以增强电力物联网终端网络安全的监测效果，改善现阶段电力物联网终端网络安全机制、终端身份认证机制、终端安全监测的潜在隐患。基于网络流秩序和协议深度解析层面分析终端异常的技术，并通过终端设备画像，实现对现场网络安全状态异常的监测识别，保障承载业务的协同应用和安全安全浏览，能够加强电力物联网终端网络安全分析、预警和风险防范能力，加强电力物联网终端网络安全整体的业务安全。