一种电力监控系统设备违规外联检测方法、系统及介质技术方案

本发明专利技术公开了一种电力监控系统设备违规外联检测方法、系统及介质，本发明专利技术方法包括对相互隔离的不同网段的电力监控系统设备执行端口扫描，存储探测到各个电力监控系统设备的开放端口及其对应的服务特征数据；计算不同网段的两个电力监控系统设备的服务特征数据之间的相似度，如果任意两个电力监控系统设备的服务特征数据之间的相似度超过预设阈值，则判定该两个电力监控系统设备中的至少一台电力监控系统设备同时连接两个不同网段。本发明专利技术能够快速准确检测出电力监控系统设备的网络违规外联情况，适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中的实际配置情况，具有检测准确度高、检测速度快、实施方便快捷的优点。

A method, system and medium for detecting the illegal external connection of power monitoring system equipment

【技术实现步骤摘要】
一种电力监控系统设备违规外联检测方法、系统及介质
本专利技术涉及电力监控系统网络安全检测技术，具体涉及一种电力监控系统设备违规外联检测方法、系统及介质。
技术介绍
近年来，网络安全形势日益严峻，网络空间已演变为国际政治斗争的主战场。能源和电力等领域的关键信息基础设施可能遭到重点攻击，是网络安全的重中之重。电力行业网络安全的核心是其采集控制系统——即电力监控系统的安全。电力监控系统运行于与外界几乎是物理隔离的网络环境中，一旦这个边界被打破，控制设备将暴露在外部网络中，而这些设备恰恰是软硬件受限而防护水平较低的，这将带来巨大的安全风险。在电力监控系统中，出于业务与网络冗余的需要，一台控制或采集设备同时连入多个内部局域网是很常见的。但如果由于设计缺陷或运维人员的人为因素，使得设备同时连入了内部控制网络与办公网甚至是互联网，就发生了违规跨区连接。排除违规跨连隐患的有效手段是现场排查网络结构，目前的现场检查主要依靠人工查线，但该方式遇到以下两个难题：一是电力监控系统网络结构呈栅格状，比较复杂，在短时间内查清网络拓扑对专业知识要求很高；二是并网电厂网络运维力量薄弱，现场无法查看网络设备中的配置，经常遇到现场网线标签缺失、接线混乱的情况，难以继续追查线的去向。总的来说，人工排查方式耗时多、易遗漏。
技术实现思路
本专利技术要解决的技术问题：针对现有技术的上述问题，提供一种电力监控系统设备违规外联检测方法、系统及介质，本专利技术能够快速准确检测出电力监控系统设备的网络违规外联情况，适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中的实际配置情况，具有检测准确度高、检测速度快、实施方便快捷的优点。为了解决上述技术问题，本专利技术采用的技术方案为：一种电力监控系统设备违规外联检测方法，实施步骤包括：1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描，检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据；2)针对电力监控系统网络中的每一个设备，分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度，如果该相似度超过预设阈值，则判定该设备违规外联。可选地，步骤1)中的执行端口扫描具体是指对端口号从1-65535的所有端口进行探测。可选地，步骤1)中的执行端口扫描具体是指对指定的多种端口进行探测。可选地，所述指定的多种端口包括端口号分别为22、139、177、513、3389、443、80、111的八种端口。可选地，所述服务特征数据为预设的独特性权值，所述独特性权值用于量化表示对应服务特征的独特性，独特性权值越高则服务特征的独特性越好。可选地，步骤2)中相似度的函数表达式如下：上式中，Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度，n为所有的服务特征数量，w(i)为第i项服务特征的独特性权值，W为所有服务特征的独特性权值之和，f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务特征，若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1，否则f(i)的值为0。此外，本专利技术还提供一种电力监控系统设备违规外联检测系统，包括：端口扫描程序单元，用于分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描，检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据；跨联检测程序单元，用于针对电力监控系统网络中的每一个设备，分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度，如果该相似度超过预设阈值，则判定该设备违规外联。此外，本专利技术还提供一种电力监控系统设备违规外联检测系统，包括计算机设备，该计算机设备被编程或配置以执行所述电力监控系统设备违规外联检测方法的步骤。此外，本专利技术还提供一种电力监控系统设备违规外联检测系统，包括计算机设备，该计算机设备的存储器上存储有被编程或配置以执行所述电力监控系统设备违规外联检测方法的计算机程序。此外，本专利技术还提供一种计算机可读存储介质，该计算机可读存储介质上存储有被编程或配置以执行所述电力监控系统设备违规外联检测方法的计算机程序。和现有技术相比，本专利技术具有下述优点：本专利技术分别对相互隔离的不同网段的电力监控系统设备执行端口扫描，存储开放端口及其对应的服务特征数据；分别计算不同网段的两个电力监控系统设备的服务特征数据之间的相似度，如果任意两个电力监控系统设备的服务特征数据之间的相似度超过预设阈值，则判定不同网段的两个电力监控系统设备为存在网络跨接的同一电力监控系统设备，本专利技术能够快速准确检测出电力监控系统设备的网络违规外联情况，适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中的实际配置情况，具有检测准确度高、检测速度快、实施方便快捷的优点。附图说明图1为本专利技术实施例方法的基本流程示意图。图2为本专利技术实施例中的检测工具部署的拓扑结构示意图。图3为本专利技术实施例方法的检测原理示意图。具体实施方式如图1所示，本实施例电力监控系统设备违规外联检测方法的实施步骤包括：1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描，检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据；2)针对电力监控系统网络中的每一个设备，分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度，如果该相似度超过预设阈值，则判定该设备违规外联。参见图1，步骤2)的详细步骤包括：2.1)遍历选择电力监控系统网络中的一个设备作为当前设备；2.2)遍历选择外部公共网络中的一个设备作为当前比对设备；2.3)计算当前设备、当前比对设备两者之间的服务特征数据的相似度；2.4)判断相似度超过预设阈值是否成立，如果成立则判定当前设备违规外联；2.5)判断外部公共网络的所有设备是否遍历完毕，如果尚未遍历完毕则跳转执行步骤2.2)；否则跳转执行下一步；2.6)判断电力监控系统网络的所有设备是否遍历完毕，如果尚未遍历完毕则跳转执行步骤2.1)；否则结束并退出。每一个电力监控系统网络、外部公共网络中的设备都有一个IP地址，对目标网段中的每个IP地址进行端口扫描是现有技术，端口扫描的原理是对目标TCP或UDP端口发起连接请求，若目标IP地址所属的设备响应了连接请求。则说明该设备开放了相应端口，若目标设备超过设定时间未应答连接请求，则判断该设备未开放相应端口。作为一种可选的实施方式，步骤1)中的执行端口扫描具体是指对端口号从1-65535的所有端口进行探测，这种方式准确但耗时。作为一种可选的实施方式，步骤1)中的执行端口扫描具体是指对指定的多种端口进行探测，例如可对常见一百余种服务的默认端口进行探测，包括FTP(21)、SSH(22)、Telnet(23)等，这种方式可能遗漏部分端口但本文档来自技高网...

【技术保护点】
1.一种电力监控系统设备违规外联检测方法，其特征在于实施步骤包括：/n1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描，检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据；/n2)针对电力监控系统网络中的每一个设备，分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度，如果该相似度超过预设阈值，则判定该设备违规外联。/n

【技术特征摘要】
1.一种电力监控系统设备违规外联检测方法，其特征在于实施步骤包括：
1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描，检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据；
2)针对电力监控系统网络中的每一个设备，分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度，如果该相似度超过预设阈值，则判定该设备违规外联。


2.根据权利要求1所述的电力监控系统设备违规外联检测方法，其特征在于，步骤1)中的执行端口扫描具体是指对端口号从1-65535的所有端口进行探测。


3.根据权利要求1所述的电力监控系统设备违规外联检测方法，其特征在于，步骤1)中的执行端口扫描具体是指对指定的多种端口进行探测。


4.根据权利要求3所述的电力监控系统设备违规外联检测方法，其特征在于，所述指定的多种端口包括端口号分别为22、139、177、513、3389、443、80、111的八种端口。


5.根据权利要求1所述的电力监控系统设备违规外联检测方法，其特征在于，所述服务特征数据为预设的独特性权值，所述独特性权值用于量化表示对应服务特征的独特性，独特性权值越高则服务特征的独特性越好。


6.根据权利要求5所述的电力监控系统设备违规外联检测方法，其特征在于，步骤2)中相似度的函数表达式如下：



上式中，Sim(A,B)表示不同网段的两个电力...

【专利技术属性】
技术研发人员：朱宏宇，田建伟，罗伟强，陈乾，刘绚，徐先勇，
申请(专利权)人：国网湖南省电力有限公司，国网湖南省电力有限公司电力科学研究院，国家电网有限公司，
类型：发明
国别省市：湖南;43