[发明专利]基于机器学习的电力监控系统的网络安全主动防御方法

权利要求书

1.一种基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，包括以下步骤：

基于电力监控系统的实体网络系统，搭建虚拟蜜场网络；

根据实体网络系统中的正常数据流量以及正常行为，形成白名单；

对所述虚拟蜜场网络进行网络安全监测；

对虚拟蜜场网络中出现的数据流量或行为进行分析判断；

若确定为攻击行为，则自动对电力监控系统的安全策略进行更新；若确定为非攻击行为且不在白名单内，则自动更新白名单。

2.如权利要求1所述的基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，所述正常数据流量包括各个实体主机之间的传输数据流量；

所述正常行为包括主机操作行为，数据库读写操作，上位机对控制器下达的指令和控制器返回给上位机的数据。

3.如权利要求2所述的基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，所述白名单包括正常数据流量的白名单，主机操作行为的白名单，上位机对控制器下达的指令的白名单，控制器返回给上位机的数据的白名单和数据库读写操作的白名单；

所述正常数据流量的白名单信息包括数据流量对应的源IP，目的IP，源端口，目的端口，服务，流量行为和数据内容格式；

所述主机操作行为的白名单信息包括日志信息；

所述上位机对控制器下达的指令的白名单信息包括指令对应的主机IP，下达的动作指令，指令范围和执行周期；

所述控制器返回给上位机的数据的白名单信息包括数据对应的控制器IP，现场观察项和返回的数值范围；

所述数据库读写操作的白名单信息包括读写操作对应的访问来源IP，访问范围，和读写的数据。

4.如权利要求1所述的基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，

对虚拟蜜场网络中出现的数据流量和行为进行判断分析，具体包括：

所述数据流量或行为是否在白名单内，若是则继续监控；

若否则判断是否满足任一预设攻击条件，若是，则确定为攻击行为；若否，则确定为非攻击行为。

5.如权利要求4所述的基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，所述预设攻击条件包括是否为外部IP、是否符合主流攻击特征库，是否对系统正常运行产生影响以及是否人为操作。

6.如权利要求1所述的基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，若确定为攻击行为，则自动对电力监控系统的安全策略进行更新，具体包括记录攻击行为的攻击IP、MAC地址、访问端口、源端口、服务和攻击行为，在实体网络系统中的各个实体主机中进行数据同步。

7.如权利要求1所述的基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，所述基于电力监控系统的实体网络系统，搭建虚拟蜜场网络；具体包括：

获取所述电力监控系统的实体网络对应的实体网络信息；

基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络；

其中，所述虚拟蜜场网络对应的虚拟网络信息与所述实体网络对应的所述实体网络信息相同，所述预设仿真技术的仿真精度高于设定阈值。

8.如权利要求7所述的基于机器学习的电力监控系统的网络安全主动防御方法，其特征在于，

所述电力监控系统的实体网络中包括若干个实体分区，每个实体分区包括若干个实体主机；

所述获取所述电力监控系统的实体网络对应的实体网络信息包括：

获取各个实体主机对应的实体主机信息和各个所述实体主机之间的第一网络拓扑信息，以及各个所述实体分区之间的第二网络拓扑信息；

所述实体主机信息包括所述实体主机的操作系统的关联数据、应用系统的关联数据和数据库的关联数据，以及实体监测工具对应的配置数据。