一种电力物联网安全防御终端及其控制系统技术方案

本发明专利技术公开了一种电力物联网安全防御终端及其控制系统，包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块，其中，所述风险判断模块通过对主体信任的识别和动态感知以生成评分和有关与主体和环境相关的潜在风险的报告；所述场景感知模块用于安全浏览设备链接以执行设备的身份验证；所述安全验证评估模块与所述安全浏览模块连接以连续提供评估数据；所述安全浏览模块将控制平台和数据连接起来，并根据来自数据的通信会话为所有访问请求建立安全浏览策略。本发明专利技术能够加强电力物联网终端网络安全分析、预警和风险防范能力，加强电力物联网终端网络安全整体的业务安全。安全。安全。

【技术实现步骤摘要】
一种电力物联网安全防御终端及其控制系统


[0001]本专利技术涉及电力物联网相关
，尤其是一种电力物联网安全防御终端及其控制系统。

技术介绍

[0002]电力物联网是物联网在智能电网中的应用，是信息通信技术发展到一定阶段的结果，其将有效整合通信基础设施资源和电力系统基础设施资源，提高电力系统信息化水平，改善电力系统现有基础设施利用效率，为电网发、输、变、配、用电等环节提供重要技术支撑；
[0003]电力物联网由于网络专用、协议专用等特点，亟需在传统基于网络报文攻击特征分析的基础上，进一步研究适用于电力物联网终端的安全监测技术手段，提升电力物联网在终端面抵御各类攻击威胁的能力。

技术实现思路

[0004]本专利技术要解决的技术问题是提供一种电力物联网安全防御终端及其控制系统。
[0005]为解决上述技术问题，本专利技术所采取的技术专利技术如下：
[0006]一方面，本专利技术公开一种电力物联网安全防御终端及其控制系统，包括。
[0007]作为本专利技术的一种优选技术专利技术，包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块，其中，所述风险判断模块通过对主体信任的识别和动态感知以生成评分和有关与主体和环境相关的潜在风险的报告；所述场景感知模块用于安全浏览设备链接以执行设备的身份验证；所述安全验证评估模块与所述安全浏览模块连接以连续提供评估数据；所述安全浏览模块将控制平台和数据连接起来，并根据来自数据的通信会话为所有访问请求建立安全浏览策略。
[0008]另一方面，本专利技术公开一种电力物联网安全防御控制系统，包括流量特征白名单监测、语法语义特征监测、设备网络访问行为特征监测、构建设备画像，其中流量特征白名单监测包括采集良性的网络流量报文首部的基础属性，应用基于属性分类的报文聚类方法，对数据进行预处理形成一个三元组集合，再将每个集合进行属性分类，最后通过特征词提取，得到网络流量外在特征白名单；所述语法语义特征监测包括分析终端网络流量中的关键字段和关键字组合的频率与时隙，建立协议关键字白名单，通过分析关键字与关键字组合的频率与时隙，确定设备画像的协议关键字频率与时隙的安全阈值；所述设备网络访问行为特征监测通过设备网络访问行为基线，实现对设备网络访问行文的监测；通过网络流量的外在特征、协议关键字阈值和设备网络访问行为基线构建设备画像。
[0009]作为本专利技术的一种优选技术专利技术，所述流量特征白名单监测包括：数据预处理，提取网络流秩序中的报文信息，对网络流秩序进行分词处理，IP取目的IP用f1表示，流量类型f2，报文大小f3，报文时隙f4，报文方向f5，其中IP部分取后八位，报文时隙由当前报文时间减去上个相邻报文时间得到，报文方向的接收用1表示，发送用2表示，运用报文聚类方法定
义一组三元组集合表示网络流秩序向量：
[0010]A＝(S,P,V)
[0011]其中，集合S是需要处理的数据集即报文集合，集合P是网络流秩序中的属性组成即集合f
i
，V是属性f
i
中的具体值。
[0012]作为本专利技术的一种优选技术专利技术，所述流量特征白名单监测还包括：按属性分类，对于某一属性P
i
，如果报文与报文之间的V
i
(V
i
∈P
i
)相同，则将报文划分为同一簇，形成初步的聚类结果；对属性分类的结果进行过滤，用于反应报文的特征：先计算每个V
i
的集合数量，再除以总报文数，去除结果大于0.05的属性。
[0013]作为本专利技术的一种优选技术专利技术，所述流量特征白名单监测还包括：特征词提取，将V
i
按集合数量降序排序，对应V
i
中的每个报文S
i
(S
i
∈V
i
)进行交运算得到V
i
特征词集合,直到获得所有关于f
i
的特征词集合，根据特征词集合建立网络流秩序白名单；在实行安全监测时，将报文首部信息与网络流秩序白名单中的集合匹配，如果没有出现在集合中则判断为异常。
[0014]作为本专利技术的一种优选技术专利技术，所述语法语义特征监测包括：根据语法与语义检测报文数据段的异常情况；其中根据语法内容，使用数据段切分的同步解析方法，在识别到关键字段后，将其与关键字段的白名单匹配，若其没有在白名单中则认为语法出现异常；根据语义内容，使用统计网络报文每种协议的关键字使用次数，并计算关键字单位时间内出现的次数，得到频率阈值，根据计算结果，评估安全阈值实现语义检测。
[0015]作为本专利技术的一种优选技术专利技术，语法测报文数据段的异常情况包括：关键字位置己知时的同步解析，在同步解析的处理时，如果先匹配已知位置的关键字组合，根据关键字的数量设置多个切入点，快速读取对应的内容；关键字位置未知时的同步解析，如果关键字位置不确定，把报文的数据段分块处理，根据实际需要插入n
‑
1个扫描点，之后开始对每一个数据分块解析，将解析到的数据与关键字段匹配，最终完成对于关键字位置未知的同步解析；根据上述两个条件实现对不同情况关键字的报文解析后，通过先验知识与协议己知关键字和字段内容的匹配，如果出现了位置字段或者未知数据内容则判断协议报文出现语法异常。
[0016]作为本专利技术的一种优选技术专利技术，语义测报文数据段的异常情况包括：A、通过终端设备良性设备通信时的流量数据，将其转换为自然语言，筛选其数据段中重复字段的次数记为x
i
，计算x
i
与总报文T的比值得到各个关键字的频率f
i
[0017]f
i
＝x
i
/T
[0018]B、针对每个关键字y
i
，以y
i
出现的报文为样本即T
i
＝y
i
∩T，再对T
i
执行上一步中的筛选得到T
i
中的关键字；将T
i
的每个关键字与合并得到y
i
的关键字组合，之后根据上式计算关键字组合的频率；
[0019]C、计算相邻的不同关键字首次出现的时间差，取最大时间差作为最大响应时间，最小值为最快响应时间；
[0020]D、记录f
i
根据实际运行状态设置T的窗口范围即最远记录点，选取频率较高的若干f
i
构成设备的语义画像,当f
i
与当前数据偏差较大时或关键字之间超出正常的时间分布时，认为设备出现异常状态。
[0021]作为本专利技术的一种优选技术专利技术，构建设备画像包括：
[0022]A、选取公共数据集，读入数据集的pcap文件，跳过首部信息的24个字节；
[0023]B、处理数据包包头信息共16字节，将每条流量数据看作一帧读取到数据包头说明进入新的一帧；
[0024]C、处理链路层信息共14字节，保存第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力物联网安全防御终端，其特征在于，包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块，其中，所述风险判断模块通过对主体信任的识别和动态感知以生成评分和有关与主体和环境相关的潜在风险的报告；所述场景感知模块用于安全浏览设备链接以执行设备的身份验证；所述安全验证评估模块与所述安全浏览模块连接以连续提供评估数据；所述安全浏览模块将控制平台和数据连接起来，并根据来自数据的通信会话为所有访问请求建立安全浏览策略。2.一种电力物联网安全防御控制系统，其特征在于：包括流量特征白名单监测、语法语义特征监测、设备网络访问行为特征监测、构建设备画像，其中流量特征白名单监测包括采集良性的网络流量报文首部的基础属性，应用基于属性分类的报文聚类方法，对数据进行预处理形成一个三元组集合，再将每个集合进行属性分类，最后通过特征词提取，得到网络流量外在特征白名单；所述语法语义特征监测包括分析终端网络流量中的关键字段和关键字组合的频率与时隙，建立协议关键字白名单，通过分析关键字与关键字组合的频率与时隙，确定设备画像的协议关键字频率与时隙的安全阈值；所述设备网络访问行为特征监测通过设备网络访问行为基线，实现对设备网络访问行文的监测；通过网络流量的外在特征、协议关键字阈值和设备网络访问行为基线构建设备画像。3.根据权利要求2所述的一种电力物联网安全防御控制系统，其特征在于：所述流量特征白名单监测包括：数据预处理，提取网络流秩序中的报文信息，对网络流秩序进行分词处理，IP取目的IP用f1表示，流量类型f2，报文大小f3，报文时隙f4，报文方向f5，其中IP部分取后八位，报文时隙由当前报文时间减去上个相邻报文时间得到，报文方向的接收用1表示，发送用2表示，运用报文聚类方法定义一组三元组集合表示网络流秩序向量：A＝(S,P,V)其中，集合S是需要处理的数据集即报文集合，集合P是网络流秩序中的属性组成即集合f
i
，V是属性f
i
中的具体值。4.根据权利要求3所述的一种电力物联网安全防御控制系统，其特征在于：所述流量特征白名单监测还包括：按属性分类，对于某一属性P
i
，如果报文与报文之间的V
i
(V
i
∈P
i
)相同，则将报文划分为同一簇，形成初步的聚类结果；对属性分类的结果进行过滤，用于反应报文的特征：先计算每个V
i
的集合数量，再除以总报文数，去除结果大于0.05的属性。5.根据权利要求4所述的一种电力物联网安全防御控制系统，其特征在于：所述流量特征白名单监测还包括：特征词提取，将V
i
按集合数量降序排序，对应V
i
中的每个报文S
i
(S
i
∈V
i
)进行交运算得到V
i
特征词集合,直到获得所有关于f
i
的特征词集合，根据特征词集合建立网络流秩序白名单；在实行安全监测时，将报文首部信息与网络流秩序白名单中的集合匹配，如果没有出现在集合中则判断为异常。6.根据权利要求5所述的一种电力物联网安全防御控制系统，其特征在于：所述语法语义特征监测包括：根据语法与语义检测报文数据段的异常情况；其中根据语法内容，使用数据段切分的同步解析方法，在识别到关键字段后，将其与关键字段的白名单匹配，若其没有...

【专利技术属性】
技术研发人员：王颖，左晓军，刘惠颖，侯波涛，郭禹伶，刘硕，常杰，郗波，史丽鹏，
申请(专利权)人：国家电网有限公司国网河北能源技术服务有限公司，
类型：发明
国别省市：