[发明专利]一种基于水轮发电机组发电状态进行网络安全防护的方法

说明书

本发明公开了一种基于水轮发电机组发电状态进行网络安全防护的方法，包括：对处于不同发电状态的水轮机组的工控网络流量进行采集，形成不同发电状态的水轮机行为流量；对不同发电状态的水轮机行为流量进行清洗和提纯，建立水轮机行为画像模型；基于水轮机行为画像模型，对工控网络实时流量进行采集和分析，发现与水轮机行为画像模型的差异，定位差异点；对差异点设备进行综合研判，并根据研判结果识别网络攻击行为，如果是网络攻击，则启动安全防护措施，否则根据研判数据调整水轮机行为画像模型。本发明能够为电力工控网络提供一种主动式安全防护方法，改变现有方法基于恶意代码、攻击行为特征库等被动式防护不适用电力工控实际环境的问题。

技术领域

本发明属于工控网络安全技术领域，具体涉及一种基于水轮发电机组发电状态进行网络安全防护的方法。

背景技术

水轮发电机组是水电厂生产运行的基础关键设备，其所处的工控网络是国家网络安全定义的重要关键基础设施，该网络的安全、稳定运行，对电力系统的安全起着重要作用。但由于水电厂工控网络和传统的互联网存在很大的区别，如工控网络和互联网完全物理隔离、可用性优先级比保密性更高、更新换代周期非常长等，因此，传统的用于互联网的网络安全防护方法，不适用于水电工控网络的安全运行要求，如基于病毒和木马特征检测的杀毒软件、基于特征库匹配的防火墙、基于恶意攻击行为特征分析的态势感知系统，在电力工控网络中安装后有可能导致删除、阻断、干扰正常程序，引发机组停机等严重事故或因内外网物理隔离，特征库长期得不到更新，导致安全防护方法失效等问题，因此，针对水电工控网络的安全防护方法，必须结合水电工控网络的实际业务特征进行针对性的分析，才能制定出既满足水电工控网络和电力行业安全要求，又不影响水电厂实际业务正常运行的安全防护方法。

而水电厂工控网络环境由于是与互联网物理隔离的，其实际的业务特征包括：网络孤岛特征明显、设备自动化程度高、人工操作并不频繁、业务高度模式化、网络流量规律性很强等，水轮机处于不同状态时，整个网络中的流量存在明显的特征化信息，因此，如果能够针对水轮机处于不同状态时的行为进行画像，就能准确地识别出正常行为和异常行为的区别，然后结合专家判断、自动化检查工具等手段，实现网络攻击行为和异常行为的快速定位和处置，极大的提高水电工控网络的安全防护能力。

发明内容

本发明的目的在于提供一种基于水轮发电机组发电状态进行网络安全防护的方法，适用于水电厂的工控系统网络，该方法将水轮机处于不同状态时，从底层的现场设备层、现场控制层到上层的过程监控层、MES层的网络流量进行一定时期的行为画像，构建出可视化的行为模型，准确地识别出正常行为和异常行为的区别，然后结合专家判断、自动化检查工具等手段，实现网络攻击行为和异常行为的快速定位和处置，能有效提高水电工控网络的安全防护水平。

本发明是通过如下技术方案实现的：

一种基于水轮发电机组发电状态进行网络安全防护的方法，该方法包括：

对处于不同发电状态的水轮机组的工控网络流量进行采集，形成不同发电状态的水轮机行为流量；

对不同发电状态的水轮机行为流量进行清洗和提纯，建立水轮机行为画像模型；

基于水轮机行为画像模型，对工控网络实时流量进行采集和分析，发现与水轮机行为画像模型的差异，定位差异点。对差异点设备进行综合研判，并根据研判结果识别网络攻击行为，如果是网络攻击，则启动安全防护措施，如果不是，则根据研判数据调整水轮机行为画像模型。

和现有技术相比较，本发明提供的网络安全防护方法，有益效果在于：

1)该方法完全针对水电厂的工控网络实际特征进行分析和设计，特别适合水电厂的网络安全防护要求和电力行业的网络安全防护制度等规定，能够实现网络攻击行为和异常行为的快速定位和处置，极大的提高水电工控网络的安全防护能力；