本发明涉及流量异常检测,属于网络安全。
背景技术:
1、随着信息技术在电力自动控制领域的推广,网络攻击成为影响电力工控系统正常运行的关键因素,电力工控系统的信息传输和交互以通信协议的流量数据为载体,流量数据的应用层报文在传输过程中存在被窃取及篡改等风险,而现有电网工控系统内防水平低且其安全监测和防护缺乏内部网络流量异常检测的现状,因此,现有缺少对电网工控系统信息进行安全防护的技术手段。
技术实现思路
1、本发明的目的是为了解决现有缺少对电网工控系统信息进行防护的问题,提出了电力工控网络流量异常检测方法。
2、电力工控网络流量异常检测方法,所述方法包括以下内容:
3、步骤1、捕获电力工况系统通信过程中的流量数据,并提取应用层报文;
4、步骤2、将捕获的流量数据与设定流量阈值比较,若流量数据大于设定流量阈值,则判定流量数据异常,否则进入步骤3;
5、步骤3、根据iec 60870-5-104协议对应用层报文进行解析,获取报文各字段的数值,若有一个字段的数值超出协议规定范围,则判定报文异常,将异常字段发送至黑名单模块,并阻断后续流量。
6、优选地,步骤1中,利用交换机镜像端口捕获电力工况系统通信过程中的流量数据。
7、优选地,所述方法还包括步骤4:
8、检测异常报文的长度,根据异常报文的数据长度,判定异常类型。
9、优选地,检测异常报文的长度,具体为:
10、步骤41、利用当前t时刻的异常报文,预测t+1时刻的报文,判断t+1时刻的报文是否超出协议规定范围,如果否,执行步骤42,如果是,执行步骤43;
11、步骤42、根据t时刻的异常报文,判定异常类型,
12、步骤43、使t=t+1,执行步骤41,统计连续出现异常报文的长度,从而判定异常类型。
13、本发明的有益效果是:
14、本发明通过对流量数据和报文进行动态检测,提升异常流量检测精度,实现了工控数据流中的异常流量的动态检测,对保障工控系统的正常运行具有重要意义。
15、本发明还能通过检测报文长度,判断异常类型,从而更准确的判断出异常原因,从而及时处理及修复网络,保护网络安全。
1.电力工控网络流量异常检测方法,其特征在于,所述方法包括以下内容:
2.根据权利要求1所述的电力工控网络流量异常检测方法,其特征在于,步骤1中,利用交换机镜像端口捕获电力工况系统通信过程中的流量数据。
3.根据权利要求1所述的电力工控网络流量异常检测方法,其特征在于,所述方法还包括步骤4:
4.根据权利要求3所述的电力工控网络流量异常检测方法,其特征在于,检测异常报文的长度,具体为: