The object of the present invention is to propose a method for identifying illegal network channels applicable to the station domain of new energy plants, instead of manual inspection, to effectively monitor and eliminate such illegal network channels through technical means, aiming at the security risks such as illegal outreach, long-distance operation and maintenance, and network outreach of monitoring center of new energy plants and stations. There are three types of typical long-distance illegal network channels for operation and maintenance of new energy plant stations. The first is the operation and maintenance channels between the equipment outside the station area and the fan monitoring system and power control system in safety zone I. The second is the operation and maintenance channels between the equipment outside the station area and the power prediction system in safety zone II. The third is the weather prediction system in the large area of equipment and management information outside the station area. Operational and maintenance channels between systems.
【技术实现步骤摘要】
一种新能源厂站远程运维非法网络通道识别方法
本专利技术属于信息安全
,具体涉及一种新能源厂站远程运维非法网络通道识别方法。
技术介绍
以风能、太阳能为代表的新能源厂站是未来电网发展的大势所趋。新能源发电不仅环保清洁,而且其储能充足,可有效应对日益严峻的环境污染和化石能源短缺问题。利用新能源来逐步代替传统的煤、石油或天然气等化石能源来进行发电,是今后电力工业发展的主要趋势。近年来,新能源产业规模的不断扩大,以光电、风电为代表的新能源厂站规模呈快速增长态势,装机容量将快速取代水电、火电等传统能源的统治地位。随着越来越多新能源厂站的建设和入网,诸如违规外联、远程运维、厂站监控中心网络外连等网络安全风险问题也日益突出。新能源厂站相较于传统厂站来说,个体规模较小,地理位置普遍位于较为偏远的郊区甚至山区,现场维护人员配置不足。部分设备提供商为降低后期运行维护成本,建设了发电集团的集中控制中心(以下简称“集控中心”),通过接入多个风电场生产控制大区对场站安全区I的监控系统和安全区II的功率预测系统进行远程监视、控制及维护。同时,新能源厂站普遍存在允许设备厂商通过互联网进行...
【技术保护点】
1.一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,该方法包括以下步骤:①首先,根据新能源厂站网络建设规划,建立网络IP白名单;②基于建立的网络IP白名单来分析是否存新能源厂站站域网络设备是否存在违规外联行为;③如果发现可疑IP,则记录通信会话五元组信息(源IP、目的IP、源端口、目的端口、传输层协议),并保存到非法通道告警数据库;④如果没有发现可疑IP情况下,仍需要基于协议特征串匹配的识别方法,来监测新能源厂站站域外的设备或系统与站域内的风机监控系统、功率控制系统、功率预测系统和天气预报系统之间是否存在使用QQ或Teamviewer软件来进行远程运维的操作,...
【技术特征摘要】
1.一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,该方法包括以下步骤:①首先,根据新能源厂站网络建设规划,建立网络IP白名单;②基于建立的网络IP白名单来分析是否存新能源厂站站域网络设备是否存在违规外联行为;③如果发现可疑IP,则记录通信会话五元组信息(源IP、目的IP、源端口、目的端口、传输层协议),并保存到非法通道告警数据库;④如果没有发现可疑IP情况下,仍需要基于协议特征串匹配的识别方法,来监测新能源厂站站域外的设备或系统与站域内的风机监控系统、功率控制系统、功率预测系统和天气预报系统之间是否存在使用QQ或Teamviewer软件来进行远程运维的操作,若在网络流量中发现存在远程控制协议,则记录通信会话五元组信息,并保存到非法通道告警数据库中;⑤若既没有发现可疑IP也没有发现存在远程控制协议,则丢弃流量。2.如权利要求1所述的一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,所述步骤④中的协议特征串匹配的识别方法包括基于QQ协议特征远程控制协议识别方法和基于Teamviewer远程运维协议特征串匹配识别方法。3.如权利要求2所述的一种适用于新能源厂站远程运维非法网络通道识别方法,其特征在于,所述的基于QQ协议特征远程控制协议识别方法包括以下步骤:该方法是通过应用层协议特征字段和有效载荷长度来确认识别;上述的应用层协议包括控制端及其服务器、被控制端及其服务器;QQ远程控制通道分为建立与未建立两种;当QQ远程控制通道建立,控制端点击“请求控制对方电脑”发起远程控制被控制端的请求,被控制端点击“接受”该请求时,被控端与服务器通信的应用层协议特征字段的QQ命令字以及有效载荷长度的特征为:被控端向服务器发送的数据包中的QQ命令字段为十进制的205,应用层有效载荷长度为103、135、或215。服务器向被控端发送的数据包中的QQ命令字段为十进制的206,应用层有效载荷长度为159、167、或271。控端与服务器通信的应用层协议特征字段的QQ命令字以及有效载荷长度的特征为:控制端向服务器发送的数据包中的QQ命令...
【专利技术属性】
技术研发人员:赵博,张驯,赵金雄,袁晖,朱小琴,龚波,魏峰,李方军,宋曦,党倩,尚闻博,孙碧颖,杨凡,
申请(专利权)人:国网甘肃省电力公司电力科学研究院,国网甘肃省电力公司,国网甘肃省电力公司信息通信公司,
类型:发明
国别省市:甘肃,62
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。