[发明专利]一种用于变电站网络环境的网络流量异常分析与识别方法

摘要

本发明公开了一种用于变电站网络环境的网络流量异常分析与识别方法，包括以下步骤：通过流量监测装置旁路接入变电站站控层网络，在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置，流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析；将解析的协议头信息按一种方法进行处理；同时将解析后的网络流量数据按另一种方法进行处理；完成网络流量异常分析与识别。本发明通过两种方案分析和识别变电站现场环境中是否存在有无线热点并违规接入了互联网，对变电站现场环境的网络实现了有效监测，提高了网络安全。

主权项

1.一种用于变电站网络环境的网络流量异常分析与识别方法，其特征在于：包括以下步骤：步骤一、通过流量监测装置旁路接入变电站站控层网络，在变电站站控层网络的汇接处将网络流量数据通过交换机镜像到流量监测装置，流量监测装置通过内置的协议解析模块对网络流量数据按变电站站控层网络协议进行解析；步骤二、将解析的协议头信息按下述步骤10‑步骤14进行处理；同时将解析后的网络流量数据按下述步骤20‑步骤25进行处理；完成网络流量异常分析与识别；步骤10、将确定没有非法入侵的网络流量监测阶段定义为学习期；在学习期内，将解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表定义为白名单；步骤11、对于学习期之后接收的网络流量数据，首先由工作人员将不在白名单中且可以确认为非法入侵网络流量数据的协议头信息定义为黑名单；步骤12、对于定义黑名单之后接收的网络流量数据，判断解析的协议头信息的源IP地址、目的IP地址、目的端口表和协议表是否在白名单中，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是否在黑名单中，如果在，则判断为非法入侵网络流量数据并发出非法入侵报警，如果不在，则判断为可疑网络流量数据并发出可疑报警；步骤13、由工作人员对可疑网络流量数据进行人为判断，如果判断为非法入侵网络流量数据，则将其纳入黑名单；如果判断为正常网络流量数据，则将其纳入白名单；步骤14、对于新接收的网络流量数据，重复步骤12和步骤13；步骤20、将解析后的网络流量数据按如下四种分类进行流量数据采样：第一种、单位时间内按源IP统计的流量数据，第二种、单位时间内按目的IP统计的流量数据，第三种、单位时间内按协议类型统计的流量数据，第四种、单位时间内按目的端口统计的流量数据；步骤21、确定一段时间为采样基线生成期，在该生成期内，针对四种流量数据，分别计算最小指标平均值LCL和最大指标平均值UCL；步骤22、对于采样基线生成期之后接收的网络流量数据，用步骤20的方法按四种分类进行流量数据采样，分别判断四种采样流量数据是否在[LCL，UCL]范围内，如果在，则判断为正常网络流量数据，不报警；如果不在，则判断其是正偏离还是负偏离；步骤23、如果是正偏离，则由工作人员分析流量增加原因，如果是负偏离，则由工作人员分析流量减少原因，同时判断为可疑网络流量数据并发出可疑报警；步骤24、由工作人员分析是否因为有害程序引起的异常，如果是，则将该网络流量数据纳入黑名单列表并发出非法入侵报警，以后新接收的网络流量数据如果与黑名单数据相同则直接发出非法入侵报警；如果不是，则将其视为无害数据且不作处理；步骤25、对于新接收的网络流量数据，重复步骤22和步骤25。