[发明专利]一种基于水轮发电机组发电状态进行网络安全防护的方法有效
| 申请号: | 202110205928.3 | 申请日: | 2021-02-24 |
| 公开(公告)号: | CN112995175B | 公开(公告)日: | 2022-12-02 |
| 发明(设计)人: | 毕玉冰;董夏昕;介银娟;刘超飞;崔逸群;朱博迪;王文庆;邓楠轶;高原英 | 申请(专利权)人: | 西安热工研究院有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L67/12;F03B15/00 |
| 代理公司: | 西安智大知识产权代理事务所 61215 | 代理人: | 何会侠 |
| 地址: | 710032 陕*** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 水轮 发电 机组 状态 进行 网络安全 防护 方法 | ||
1.一种基于水轮发电机组发电状态进行网络安全防护的方法,其特征在于,包括如下步骤:
对处于不同发电状态的水轮机组的工控网络流量进行采集,形成不同发电状态的水轮机行为流量;
对不同发电状态的水轮机行为流量进行清洗和提纯,建立水轮机行为画像模型;
基于水轮机行为画像模型,对工控网络实时流量进行采集和分析,发现与水轮机行为画像模型的差异,定位差异点;对差异点设备进行综合研判,并根据研判结果识别网络攻击行为,如果是网络攻击,则启动安全防护措施,如果不是,则根据研判数据调整水轮机行为画像模型;
所述的对处于不同发电状态的水轮机组的工控网络流量进行采集,形成不同发电状态的水轮机行为流量的过程的步骤包括:
A、发电状态定义:根据水轮机组转速、机端电压、出口断路器状态和边断路器状态,将水轮机组的发电状态分为以下类型:
1)水轮机组停机态:水轮机组转速小于5%额定转速,机端电压小于10%额定电压,出口断路器在分闸位或高压侧中、边断路器均在分闸位;
2)水轮机组空转态:水轮机组转速大于95%额定转速,机端电压小于10%额定电压,出口断路器在分闸位或高压侧中、边断路器均在分闸位;
3)水轮机组空载态:水轮机组转速大于95%额定转速,机端电压大于85%额定电压,出口断路器在分闸位或高压侧中、边断路器均在分闸位;
4)水轮机组发电态:水轮机组转速大于95%额定转速,机端电压大于85%额定电压,出口断路器在合闸位且高压侧中、边断路器任一断路器在合闸位;
5)水轮机组不定态:不满足停机态、空转态、空载态、发电态四种状态的任意一种;
6)水轮机组检修态:水电厂计算机监控系统画面将状态设置为检修态,机组自动发电控制AGC和自动电压控制AVC的一切流程都处于闭锁操作;
B、设置流量采集点:在水电厂计算机监控系统的生产控制大区I区核心交换机和边界交换机、生产控制大区II区的汇聚交换机和边界交换机、管理信息大区的核心交换机上设置流量镜像端口;
C、设置流量采集期限:为流量采集设置一个时间范围,以月为单位,默认不少于6个月,以便采集的数量足以支撑建立一个精确的行为画像模型;
D、流量采集:通过流量镜像端口采集生产控制大区I区和II区以及管理信息大区的设定时间范围内的全部网络流量;
E、流量标记:根据水轮机组当前的发电状态,将采集的流量打上数据分类标签;
F、流量汇聚:将分类后的数据流量存入一台数据仓库服务器中的不同类的临时仓库,每一类临时仓库代表一种发电状态的水轮机行为流量数据。
2.如权利要求1所述的方法,其特征在于,所述的将采集的流量打上数据分类标签的步骤如下:
A、发电状态获取:从水电计算机监控系统获取当前水轮机组的机组转速、机端电压、出口断路器状态、边断路器状态,并根据水轮机组发电状态定义规则确定当前的发电状态;
B、流量封装:将发电状态转换为一个字节长度的二进制代码,添加到当前数据包的头部,形成带发电状态的数据包流量。
3.如权利要求1所述的方法,其特征在于,所述的对不同发电状态的水轮机行为流量进行清洗和提纯,建立水轮机行为画像模型的具体步骤如下:
A、数据抽取:从数据仓库服务器中的临时仓库中,提取出不同发电状态的水轮机行为流量数据;
B、数据转换:按照大数据技术的数据转换标准方法,对流量数据进行空值处理、规范化数据格式、拆分数据、验证数据合法性和数据替换,实现数据规则过滤、数据排序和数据类型统一转换;
C、数据加载:将转换后的数据加载到数据仓库服务器的正式仓库中;
D、行为画像:对加载后的数据进行画像,画像中包含画像行为的相似度,相似度基于不同发电状态的流量数据包的数据请求方式、请求时段、请求间隔、协议类型、数据请求对象IP、数据包格式、数据包大小、请求对象访问路径、响应包格式、响应包内容、请求时间分布、上下文请求逻辑关系和差错等待时间总和生成;所述相似度与行为画像一一对应;
E、画像存储:将形成的画像存储到数据仓库服务器的行为画像数据库中。
4.如权利要求1所述的方法,其特征在于,所述的基于水轮机行为画像模型,对工控网络实时流量进行采集和分析,发现与水轮机行为画像模型的差异,定位差异点;对差异点设备进行综合研判,并根据研判结果识别网络攻击行为,如果是网络攻击,则启动安全防护措施,如果不是,则根据研判数据调整水轮机行为画像模型的过程和具体步骤包括:
A、流量采集:通过镜像端口采集生产控制大区I区和II区以及管理信息大区的实时网络流量;
B、流量标记:根据水轮机组当前的发电状态,将采集的流量打上数据分类标签;
C、数据转换:按照大数据技术的数据转换标准方法,对流量数据进行空值处理、规范化数据格式、拆分数据、验证数据合法性和数据替换,实现数据规则过滤、数据排序和数据类型统一转换;
D、流量画像相似度计算:对转换的数据进行画像相似度计算,相似度基于流量数据包的数据请求方式、请求时段、请求间隔、协议类型、数据请求对象IP、数据包格式、数据包大小、请求对象访问路径、响应包格式、响应包内容、请求时间分布、上下文请求逻辑关系和差错等待时间总和生成;
E、画像相似度匹配:逐一将画像相似度与行为画像库中的行为画像进行相似度比较,当偏差在±1%时,作为匹配成功的依据,如果偏差超过±1%,则仍然流量存在明显差异,即流量中有异常行为,则转入差异分析、异常定位步骤;
F、差异分析:对流量中的偏差进行分析,查找偏差原因,并根据以下策略进行处理:
1)非网络攻击行为:属于因设备故障和网络传输异常原因造成的偏差,则视为有效偏差,放行本次数据流量包,并将该数据流量包的特征添加到对应的发电状态行为模型中;
2)网络攻击行为:属于恶意代码感染和网络入侵恶意攻击行为,则视为无效偏差,阻断该流量包,进入异常定位步骤;
G、异常定位:根据数据流量转发路径,回溯路径中的每一个节点设备,对设备采用专家或自动化安全检查工具进行检查,定位异常,并采取网络安全防护手段进行恶意代码查杀、漏洞补丁、设备下线和问题修复处理。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西安热工研究院有限公司,未经西安热工研究院有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110205928.3/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种运输物料的平衡机器人
- 下一篇:一步可剥光感指甲油胶及其制造方法
