[发明专利]新能源厂站非法网络通道的识别方法及厂站系统

权利要求书

1.一种新能源厂站非法网络通道的识别方法，其特征在于，包括：

采集新能源发电采集终端侧的网络通道的状态信息；

将所述网络通道的状态信息与特征数据库进行比对分析，所述特征数据库包括流量特征、网络协议特征以及规则序列关联模型；

分析出所述网络通道的状态信息有非法网络通道特征时，标记所述网络通道为非法网络通道；

所述采集新能源发电采集终端侧的网络通道的状态信息之前，还包括：

定期采集所述新能源发电采集终端侧的所述网络通道的状态信息，所述新能源发电采集终端位于厂站系统中，所述网络通道的状态信息包括所述厂站系统中的设备硬件信息、系统管理信息、端口流量信息和服务权限信息；

根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模，所述网络业务关系包括主从关系、控制关系、协同关系、数据交互中一种或多种；

根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的物理实体关系进行建模，所述物理实体关系包括映射关系、管辖关系、IP对应关系、设备接入认证关系中一种或多种；

根据所述网络业务关系和所述物理实体关系，建立所述厂站系统在正常状态下的网络拓扑连接模型；

根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征、所述网络协议特征和终端设备权限；

根据所述网络拓扑连接模型、所述网络协议特征和所述终端设备权限建立所述新能源发电采集终端在合法网络通道连接状态下的规则序列关联模型，所述规则序列关联模型包括所述新能源发电采集终端的数据流、控制流、发包频率、发包频次、发包权限认证序列，并将所述规则序列关联模型加入所述特征数据库。

2.如权利要求1所述的新能源厂站非法网络通道的识别方法，其特征在于，所述定期采集所述新能源发电采集终端侧的所述网络通道的状态信息之后，所述根据所述网络通道的状态信息对所述新能源发电采集终端在所述厂站系统中的网络业务关系进行建模以前，还包括：

根据安全状态指标，确定当前所述新能源发电采集终端是否属于正常状态；

若所述新能源发电采集终端处于非正常状态，则丢弃本次采集到的所述网络通道的状态信息。

3.如权利要求1所述的方法，其特征在于，所述将所述网络通道的状态信息与特征数据库进行比对分析包括：

若未能从所述网络通道的状态信息中找到与所述网络协议特征相匹配的数据，则确定所述网络通道的状态信息有非法网络通道特征；

根据所述特征数据库中的所述流量特征分析出所述网络通道的状态信息存在流量指标异常，则确定所述网络通道的状态信息有非法网络通道特征；

根据所述规则序列关联模型，在所述网络通道的状态信息中识别出不符合安全规定的远程应用软件数据和不符合安全策略的远程端口开放事件时，确定所述网络通道的状态信息有非法网络通道特征；

根据所述规则序列关联模型，在所述网络通道的状态信息中识别出非法业务访问事件时，确定所述网络通道的状态信息有非法网络通道特征；

根据所述规则序列关联模型，在所述网络通道的状态信息中识别出非法用户的正常业务访问事件时，确定所述网络通道的状态信息有非法网络通道特征；

根据所述规则序列关联模型，在所述网络通道的状态信息中识别出合法用户的超出权限业务访问时，确定所述网络通道的状态信息有非法网络通道特征；

根据所述规则序列关联模型，在所述网络通道的状态信息中识别出非法跨区访问事件时，确定所述网络通道的状态信息有非法网络通道特征；

根据所述规则序列关联模型，在所述网络通道的状态信息中识别出非法授权运行事件时，确定所述网络通道的状态信息有非法网络通道特征。

4.如权利要求1所述的方法，其特征在于，所述根据所述网络业务关系和所述网络拓扑连接模型分析出所述新能源发电采集终端在所述厂站系统中的所述流量特征包括：

对所述端口流量信息进行多维度的流量数据提取操作，得到多个维度的流量数据；

根据所述多个维度的流量数据构建所述流量特征，所述流量特征为通过各个维度来描述所述新能源发电采集终端的特征数据。