[发明专利]网络安全检测方法及装置

说明书

技术领域

本发明涉及网络通讯技术领域，特别是涉及网络安全检测方法及装置。

背景技术

随着电力自动化水平的提高，通信技术和网络技术的发展，电力系统越来越依赖电力信息网络来保障其安全、可靠和高效的运行，信息网络的安全直接关系到电力系统的安全，因此保证电力系统信息安全显得尤为重要。

随着一体化智能运行系统研发及应用的深入发展，基于OSB总线的各种应用之间的交互快速增长，安全问题逐渐突出，传统的电力二次系统安全防护面临巨大的新挑战。与传统独立的应用系统不同，一体化智能运行系统各应用之间的系统边界更加模糊，应用间交互更加复杂。结合生产控制系统的网络及业务特征，综合运用多种先进的信息安全技术手段，设计合理使用的应用服务特征识别及应用交互行为分析系统，在应对二次系统安全防护新问题，确保系统安全稳定运行方面具有重要意义。

伴随着带宽的增加，电力二次系统网络上的应用和业务也不断的丰富，如控制业务流量，监控业务流量和其它误操作流量等等。与此同时，网络攻击的成本和技术门槛大幅下降，网络上会出现各种攻击和异常流量。在这种流量成分日益复杂，异常流量海量涌现的情况下，对业务行为交互模式的深入分析从而全面了解业务流量的各种分布以及变化趋势就显得十分必要了。

传统方法是采用IDS技术（Intrusion Detection System，入侵检测检测），就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息，并对其进行关键字判断，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。也可以通过对每个设备判断流量，当流量大于阈值时，则判断为异常。然而，往往有些设备流量较大时，设备数据流属于正常情况，采用关键字或阈值的判断方式，常将正常的设备数据流误判为异常，从而得出网络异常，检测精确度低。

发明内容

基于此，有必要针对检测精度低的问题，提供一种网络安全检测方法及装置。

一种网络安全检测方法，包括步骤：

采集网络中各设备的流量数据，将各所述流量数据进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流；

存储所述设备数据流；

将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较；

若设备数据流属于第一指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围；

若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常；

若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

一种网络安全检测装置，包括：

采集模块，用于采集网络中各设备的流量数据；

归一化模块，用于将各所述流量数据进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流；

存储模块，用于存储所述设备数据流；

异常判断模块，用于将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较；

若设备数据流属于第一指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围；

若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常；

若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。