电力厂站的网络安全监测方法和装置、计算机设备制造方法及图纸

本发明专利技术涉及一种电力厂站的网络安全监测方法和装置、计算机设备、计算机存储介质。上述电力厂站的网络安全监测方法包括：根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量；其中，网络行为特征向量记录网络行为的行为标识参数和时间参数；训练时段包括多个单位时段；根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数；分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间；获取当前所处单位时段各个网络行为发生的当前参数，根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。本发明专利技术可以提高电力厂站安全监测的效果。

Network Safety Monitoring Method, Device and Computer Equipment of Power Plant and Station

【技术实现步骤摘要】
电力厂站的网络安全监测方法和装置、计算机设备
本专利技术涉及网络
，特别是涉及一种电力厂站的网络安全监测方法和装置、计算机设备、计算机存储介质。
技术介绍
随着工业互联网和工业4.0等战略的提出，工业生产的数字化已然成为一种不可阻挡的未来趋势。计算机技术和网络通信技术在电力工业控制系统的广泛应用，传统电力工业控制系统逐步打破了以往的封闭性和专有性，标准、通用的通信协议及软硬件系统应用愈发广泛。2010年伊朗震网病毒事件将工控系统信息安全推到风口浪尖，工控系统信息安全漏洞和隐患开始浮出水面。国内外对电力工控系统后门、漏洞和攻击等方面的研究日益重视和深入，电力工控系统信息安全形势日益严峻，电力厂站的网络安全问题的监测尤为重要。传统方案需要在电力厂站的网络发生相应问题后，针对具体问题进行相应检测，以实现对电力厂站的网络安全的维护，上次电力厂站网络安全的维护方案实时性差。
技术实现思路
基于此，有必要针对传统的电力厂站网络安全的维护方案实时性差的技术问题，提供一种电力厂站的网络安全监测方法和装置、计算机设备、计算机存储介质。一种电力厂站的网络安全监测方法，包括：根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量；其中，网络行为特征向量记录网络行为的行为标识参数和时间参数；训练时段包括多个单位时段；根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数；分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间；获取当前所处单位时段各个网络行为发生的当前参数，根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。在一个实施例中，根据网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程包括：检测网络行为的当前参数是否处于该网络行为的置信区间；若是，则判定该网络行为正常；否则判定该网络行为异常。在一个实施例中，根据网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程之后，还包括：若网络行为异常，在该网络行为的置信区间中识别距该网络行为的当前参数近的区间界限值；计算当前参数与区间界限值之间差值的绝对值，根据绝对值识别该网络行为的异常程度。作为一个实施例，计算当前次数与区间界限值之间差值的绝对值，根据绝对值识别该网络行为的异常程度的过程之后，还包括：若绝对值大于或者等于偏移阈值，输出告警信号。在一个实施例中，置信区间为在训练时段内的各个单位时段产生的行为参数大于设定频率的参数区间。在一个实施例中，网络行为特征向量还记录网络行为的属性参数；根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量的过程之后，还包括：获取各个网络行为在训练时段内各个单位时段的属性参数和时间参数；根据属性参数和时间参数确定各个网络行为在单位时段的行为流向范围；获取当前所处单位时段各个网络行为的当前流向特征，分别根据任意一个网络行为的当前流向特征和该网络行为的行为流向范围监测该网络行为。在一个实施例中，根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量的过程之前，还包括：从电力厂站中采集训练时段内产生的网络流数据和主机日志数据。一种电力厂站的网络安全监测装置，包括：第一确定模块，用于根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量；其中，网络行为特征向量记录网络行为的行为标识参数和时间参数；训练时段包括多个单位时段；第二确定模块，用于根据行为标识参数和时间参数确定各个网络行为在训练时段内各个单位时段发生的行为参数；第三确定模块，用于分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间；第一获取模块，用于获取当前所处单位时段各个网络行为发生的当前参数，根据网络行为的当前参数以及该网络行为的置信区间进行安全监测。一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一实施例提供的电力厂站的网络安全监测方法。一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任一实施例提供的电力厂站的网络安全监测方法。上述电力厂站的网络安全监测方法、装置、计算机设备和计算机存储介质，可以根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量，确定各个网络行为在训练时段内各个单位时段发生的行为参数，以分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间，从而根据当前所处单位时段各个网络行为发生的当前参数以及该网络行为的置信区间进行安全监测，这样便可以在电力厂站网络安全问题发生之前获取相应网络行为的异常信息，以及时采取相应的处理措施，提高电力厂站安全监测的效果。附图说明图1为一个实施例的电力厂站的网络安全监测方法流程图；图2为一个实施例的电力厂站的网络安全监测装置结构示意图；图3为一个实施例的计算机设备内部结构示意图。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本专利技术，并不限定本专利技术的保护范围。需要说明的是，本专利技术实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换，以使这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。本专利技术实施例的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块，而是可选地还包括没有列出的步骤或模块，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。在本文中提及的“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。参考图1所示，图1为一个实施例的电力厂站的网络安全监测方法流程图，包括：S10，根据电力厂站的网络流数据和主机日志数据确定电力厂站在训练时段的各个网络行为特征向量；其中，网络行为特征向量记录网络行为的行为标识参数和时间参数；训练时段包括多个单位时段；上述电力厂站的网络流数据包括电力厂站各个网络设备的网络流数据，主机日志数据包括主机的网络、进程和运维操作等信息。网络行为包括登录、访问和连接等行为，每一次网络行为均可以通过相应的网络行为特征向量表征。上述网络行为特征向量可以记录相应网络行为的标识参数、时间参数和属性参数等信息。上述标识参数为表征本文档来自技高网...

【技术保护点】
1.一种电力厂站的网络安全监测方法，其特征在于，包括如下步骤：根据电力厂站的网络流数据和主机日志数据确定所述电力厂站在训练时段的各个网络行为特征向量；其中，所述网络行为特征向量记录网络行为的行为标识参数和时间参数；所述训练时段包括多个单位时段；根据所述行为标识参数和时间参数确定各个网络行为在所述训练时段内各个单位时段发生的行为参数；分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间；获取当前所处单位时段各个网络行为发生的当前参数，根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测。

【技术特征摘要】
1.一种电力厂站的网络安全监测方法，其特征在于，包括如下步骤：根据电力厂站的网络流数据和主机日志数据确定所述电力厂站在训练时段的各个网络行为特征向量；其中，所述网络行为特征向量记录网络行为的行为标识参数和时间参数；所述训练时段包括多个单位时段；根据所述行为标识参数和时间参数确定各个网络行为在所述训练时段内各个单位时段发生的行为参数；分别根据各个网络行为的行为参数确定该网络行为在一个单位时段内的置信区间；获取当前所处单位时段各个网络行为发生的当前参数，根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测。2.根据权利要求1所述的电力厂站的网络安全监测方法，其特征在于，所述根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程包括：检测所述网络行为的当前参数是否处于该网络行为的置信区间；若是，则判定该网络行为正常；否则判定该网络行为异常。3.根据权利要求1所述的电力厂站的网络安全监测方法，其特征在于，所述根据所述网络行为的当前参数以及该网络行为的置信区间进行安全监测的过程之后，还包括：若所述网络行为异常，在该网络行为的置信区间中识别距该网络行为的当前参数近的区间界限值；计算所述当前参数与所述区间界限值之间差值的绝对值，根据所述绝对值识别该网络行为的异常程度。4.根据权利要求3所述的电力厂站的网络安全监测方法，其特征在于，所述计算所述当前次数与所述区间界限值之间差值的绝对值，根据所述绝对值识别该网络行为的异常程度的过程之后，还包括：若所述绝对值大于或者等于偏移阈值，输出告警信号。5.根据权利要求1所述的电力厂站的网络安全监测方法，其特征在于，所述置信区间为在所述训练时段内的各个单位时段产生的行为参数大于设定频率的参数区间。6.根据权利要求1至5任一项所述的电力厂站的网络安全监测方法，其特征在于，所述网络行为特征向量还记录所述网...

【专利技术属性】
技术研发人员：张文哲，陶文伟，苏扬，易思瑶，刘松，梁志宏，胡朝辉，陈鹏，陈佳捷，吴佩泽，郑伟文，
申请(专利权)人：中国南方电网有限责任公司，鼎信信息科技有限责任公司，
类型：发明
国别省市：广东,44