一种针对于电力监控系统的攻击取证与溯源方法

技术领域

本发明涉及电力安全技术领域，特别是一种针对于电力监控系统的攻击取证与溯源方法。

背景技术

电力监控系统用于监视和控制电力生产及供应过程，并基于计算机及网络技术为发电，输电、变电、配电及调度等业务中有监测和控制等重要作用，可以降低业务的运作成本，提高生产效率。

然而，近年来，针对电力监控系统的攻击越来越多，但目对前电力监控系统的安全防护缺乏、人岗不匹配等问题，使得电力监控系统的安全性低。。

发明内容

有鉴于此，本发明的目的是提出一种针对于电力监控系统的攻击取证与溯源方法，旨在解决现有电力监控系统的安全性的问题。

本发明采用以下方案实现：一种针对于电力监控系统的攻击取证与溯源方法，包括以下步骤：

采集所述电力监控系统中的网络流数据；

对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

进一步地，所述对所述网络流数据进行特征分析，得到所述网络流数据的特征参数具体为：

对所述网络流数据中的每一条流数据进行特征解析，获得解析结果；

根据所述解析结果，获得所述流数据的开始时间和结束时间、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

进一步地，在特征参数与预存储的异常特征参数相匹配之后，还包括：

确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息。

进一步地，所述确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息，包括

确定与所述异常特征参数相匹配的目标报警类型与报警等级；

根据所述报警类型和所述报警等级，生成对应的提示信息。

进一步地，所述方法还包括：

对所述每一条流数据中的数据内容进行解析，确定对应的操作行为；

若所述操作行为存在异常操作行为时，则根据所述特征参数确定目的IP地址；

以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断。

进一步地，所述以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断，具体为：向所述目的IP地址所在的终端发送断网指令，以阻断所述操作行为；其中，所述断网指令用于指示所述目的IP地址所在的终端关闭物理联网端口。

进一步地，所述对所述网络数据流进行溯源，包括：

基于链路测试技术、日志记录技术或ICMP的报文技术，确定所述网络数据流的攻击源。

本发明还提供了一种针对于电力监控系统的攻击取证与溯源系统，具体包括：

采集模块，用于采集所述电力监控系统中的网络流数据；

特征分析模块，用于对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

判定模块，用于若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

本发明还提供了一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上文所述的方法。

本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上文所述的方法。

与现有技术相比，本发明有以下有益效果：本发明通过采集所述电力监控系统中的网络流数据；对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。由于可对网络流数据进行特征分析得到特征参数，并在特征参数与预设数据库中异常特征参数相匹配时，则判定存在网络攻击，并进行溯源，从而能简单有效的确保电力监控系统的安全性。

附图说明

图1为本发明一实施例的方法流程示意图。

图2为本发明实施例的另一实施例提供的电力监控系统的安全管理方法的流程示意图。

图3为本发明实施例的一实施例提供的电力监控系统的安全管理装置的结构示意图。

图4为本发明实施例的另一实施例提供的电力监控系统的安全管理装置的结构示意图。

图5为本发明实施例的一实施例提供的终端设备的结构示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

请参阅图1，本申请实施例提供的一种电力监控系统的安全管理方法，包括：

步骤S101，采集所述电力监控系统中的网络流数据。

具体地，可通过网络数据采集器在电力监控系统的网络进出口处，采集电力监控系统中的网络流数据，并将所述网络流数据进行存储。

步骤S102，对所述网络流数据进行特征分析，得到所述网络流数据的特征参数。

具体地，在对网络流数据进行采集的过程中，可通过基于流数据采集技术采集每一条流数据，并对采集到的每一条流数据进行特征分析，得到每一条流数据的特征参数。

在一个实施例中，所述对所述网络流数据进行特征分析，得到所述网络流数据的特征参数，包括：对所述网络流数据中的每一条流数据进行特征解析，获得解析结果；根据所述解析结果，获得所述流数据的开始时间和结束时间、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

具体地，可根据流协议对所述每一条流数据进行还原，得到每一条流数据的开始时间和结束时间、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

步骤S103，若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

具体地，在预设数据库中存储异常特征参数，当特征参数与异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

在一种应用场景中，如存储预设数据库中包含异常攻击流量的异常特征参数和正常操作行为特征，当根据流数据中的开始时间和结束时间、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量信息等特征参数与预存储异常攻击流量的异常特征参数相匹配时，就判定存在网络攻击，并对所述网络数据流进行溯源；或者根据流数据中的数据内容解析出流数据的操作行为，当流数据要执行的操作行为与预设数据库中的正常操作行不匹配时，判定存在网络攻击，并对所述网络数据流进行溯源，以找到网络数据流的攻击源。

在一个实施例中，所述对所述网络数据流进行溯源，包括：基于链路测试技术、日志记录技术或ICMP的报文技术，确定所述网络数据流的攻击源。

具体地，对所述网络数据流进行溯源可根据溯源算法确定攻击源。如可以根据链路测试技术进行溯源，预先加装跟踪程序，根据跟踪程序查找数据流的上一跳路径，进行逐跳回溯，直至找到攻击源；或者，基于日志记录技术可以将经过路由器所有数据包存储下来，在判定网络攻击时，可以到上一跳路由器上查看网络攻击数据包是否在存储信息中，如果在，则说明网络攻击数据包经过了该路由器，该路由器在网络攻击的路径上；否则不在网络攻击路径上。然后逐跳查询，最后构建出网络攻击路径，追踪到网络攻击源头。在经过路由器所有数据包存储过程中，为了节省空间可以是将通过压缩算法对数据包的进行压缩后存储。或者，基于ICMP的报文技术是当判定网络攻击时，数据包在通过路由器是以一定概率生成ICMP反向追踪(ICMP traceback，iTrace)消息，一个iTrace消息由下一跳信息、上一跳信息、时间戳以及其他信息组成，当目的主机收到攻击者发送的足够数量的iTrace消息后,能构造出消息的转发路径，从而可以确定攻击源。

在一个实施例中，当接收到新的异常特征参数，将所述新的异常特征参数存入至所述数据库中，以更新数据库中的异常特征参数。

在一个实施例中，在特征参数与预存储的异常特征参数相匹配之后，还包括：确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息。

具体地，在特征参数与预存储的异常特征参数相匹配后，若所述异常特征参数预先匹配了报警方式，将匹配的报警方式作为目标报警方式，并根据目标报警方式进行生成对应的提示信息。若所述异常特征参数预先未匹配报警方式，将预设的报警方式作为目标报警方式，并根据目标报警方式进行生成对应的提示信息。报警方式包括但不限于通过声音、系统显示提示、邮件提示等方式。

在一个实施例中，所述确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息，包括：确定与所述异常特征参数相匹配的目标报警类型与报警等级；根据所述报警类型和所述报警等级，生成对应的提示信息。

具体地，可对异常特征参数的报警方式和报警等级进行预设，当确定了流数据属于哪种异常特征参数时，确定与异常特征参数相匹配的目标报警类型和报警等级，用目标报警方式并以对应的报警等级进行报警。

在一个实施例中，请参阅图2，所述安全管理方法还包括步骤S201至步骤S203：

步骤S201，对所述每一条流数据中的数据内容进行解析，确定对应的操作行为。

具体地，在网络攻击中，很多恶意行为是隐藏在具体的数据内容中，可对流数据中的数据内容进行解析，解析出数据内容对应的操作行为。

步骤S202，若所述操作行为存在异常操作行为时，则根据所述特征参数确定目的IP地址。

具体地，若解析出的操作行为与预设的异常操作行为相同时，则获取参数特征中目的IP地址。

步骤S203，以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断。

具体地，通过预设方式阻断对应的操作行为，所述操作行为为将要控制对目的IP地址所在终端进行对应的操作行为，从而可以保护电力监控系统的安全。

在一个实施例中，所述以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断，包括：向所述目的IP地址所在的终端发送断网指令，以阻断所述操作行为；其中，所述断网指令用于指示所述目的IP地址所在的终端关闭物理联网端口。

具体地，可以向目的IP地址所在的终端发送用于关闭其物理联网端口的断网指令，并对相关用户进行提示。

在另一个实施例中，所述以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断，包括：通过向目的IP地址所在的终端发送以太网冲撞帧，以阻断所述操作行为。

本申请实施例通过采集所述电力监控系统中的网络流数据；对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。由于可对网络流数据进行特征分析得到特征参数，并在特征参数与预设数据库中异常特征参数相匹配时，则判定存在网络攻击，并可进行溯源，从而能简单有效的确保电力监控系统的安全性。

对应于上文实施例所述的电力监控系统的安全管理方法，图3示出了本申请实施例提供的电力监控系统的安全管理装置的结构框图，为了便于说明，仅示出了与本申请实施例相关的部分。参照图3，该装置包括：

采集模块301，用于采集所述电力监控系统中的网络流数据；

特征分析模块302，用于对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

判定模块303，用于若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。

在一个实施例中，所述特征分析模块包括：

分析单元，用于对所述网络流数据中的每一条流数据进行特征解析，获得解析结果；

获得单元，用于根据所述解析结果，获得所述流数据的开始时间和结束时间、源IP地址、目的IP地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

在一个实施例中，如图4所示，所述安全管理装置还包括报警模块；

所述报警模块304，用于在特征参数与预存储的异常特征参数相匹配之后，确定与所述异常特征参数相匹配的目标报警方式，并根据所述目标报警方式生成对应的提示信息。

在一个实施例中，所述报警模块具体用于：确定与所述异常特征参数相匹配的目标报警类型与报警等级；根据所述报警类型和所述报警等级，生成对应的提示信息。

在一个实施例中，所述安全管理装置还包括：

内容解析模块，用于对所述每一条流数据中的数据内容进行解析，确定对应的操作行为；

确定模块，用于若所述操作行为存在异常操作行为时，则根据所述特征参数确定目的IP地址；

阻断模块，用于以预设方式对作用于所述目的IP地址所在的终端的所述操作行为进行阻断。

在一个实施例中，所述阻断模块具体用于：向所述目的IP地址所在的终端发送断网指令，以阻断所述操作行为；其中，所述断网指令用于指示所述目的IP地址所在的终端关闭物理联网端口。

在一个实施例中，所述对所述网络数据流进行溯源，包括：基于链路测试技术、日志记录技术或ICMP的报文技术，确定网络数据流的攻击源。

本申请实施例通过采集所述电力监控系统中的网络流数据；对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；若所述特征参数与预设数据库中异常特征参数相匹配，则判定存在网络攻击，并对所述网络数据流进行溯源。由于可对网络流数据进行特征分析得到特征参数，并在特征参数与预设数据库中异常特征参数相匹配时，则判定存在网络攻击，并可进行溯源，从而能简单有效的确保电力监控系统的安全性。

如图5所示，本发明的一个实施例还提供一种终端设备500包括：处理器501，存储器502以及存储在所述存储器502中并可在所述处理器501上运行的计算机程序503，例如电力监控系统的安全管理程序。所述处理器501执行所述计算机程序703时实现上述各个电力监控系统的安全管理方法实施例中的步骤。所述处理器501执行所述计算机程序503时实现上述各装置实施例中各模块的功能。

示例性的，所述计算机程序703可以被分割成一个或多个模块，所述一个或者多个模块被存储在所述存储器502中，并由所述处理器501执行，以完成本发明。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序703在所述终端设备500中的执行过程。例如，所述计算机程序503可以被分割成采集模块、特征分析模块和判定模块，各模块具体功能在上述实施例中已有描述，此处不再赘述。

所述终端设备500可以是台式电脑、笔记本电脑、超级移动个人计算机(Ultra-Mobile Personal Computer，UMPC)、电力设备、上网本、个人数字助理(Personal DigitalAssistant，PDA)、可穿戴设备、增强现实（Augmented Reality，AR）/虚拟现实(VirtualReality，VR)设备、手机、机器人等计算设备。所述计算设备可包括，但不仅限于，处理器501，存储器502。本领域技术人员可以理解，图5仅仅是终端设备500的示例，并不构成对终端设备500的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器501可以是中央处理单元（Central Processing Unit，CPU），还可以是其他通用处理器、数字信号处理器（Digital Signal Processor，DSP）、专用集成电路（Application Specific Integrated Circuit，ASIC）、现场可编程门阵列（Field-Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器502可以是所述终端设备500的内部存储单元，例如终端设备500的硬盘或内存。所述存储器502也可以是所述终端设备500的外部存储设备，例如所述终端设备500上配备的插接式硬盘，智能存储卡（Smart Media Card，SMC），安全数字（SecureDigital，SD）卡，闪存卡（Flash Card）等。进一步地，所述存储器502还可以既包括所述终端设备500的内部存储单元也包括外部存储设备。所述存储器502用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器502还可以用于暂时地存储已经输出或者将要输出的数据。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。