【技术实现步骤摘要】
一种变电站的恶意网络入侵检测方法、系统、设备及介质
[0001]本申请涉及网络安全
,尤其涉及一种变电站的恶意网络入侵检测方法
、
系统
、
设备及介质
。
技术介绍
[0002]随着信息技术的不断发展,电网系统作为国计民生的一项重要部分也逐渐迈入信息化进程
。
通过互联网技术,电网系统在供配电的可靠性及高效性方面有了显著的提高,但也面临着诸多挑战
。
[0003]随着电网规模的不断扩大,电网系统也越来越容易遭到外部恶意网络的入侵,犯罪分子通过层出不穷的技术手段入侵电网系统,盗取电网内部数据,以谋取不当利益
。
虽然目前已有一些相应的技术可以实现电网网络系统的防护及预警,但效果不尽如人意,且多数都是事后告警,即电网系统数据被窃取之后防护系统才能得知消息,无法做到事前预警
。
技术实现思路
[0004]本申请实施例提供了一种变电站的恶意网络入侵检测方法
、
系统
、
设备及介质,...
【技术保护点】
【技术特征摘要】
1.
一种变电站的恶意网络入侵检测方法,其特征在于,所述方法包括以下步骤:步骤
S1
:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;步骤
S2
:对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;步骤
S3
:若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;步骤
S4
:基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;步骤
S5
:若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警
。2.
根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤
S1
之后,所述方法还包括:通过
libpcap
数据包捕获库对所述网络镜像流量进行处理;过滤所述网络镜像流量中无效的流量数据
。3.
根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤
S2
中,完整性检查的过程,具体为:检验所述网络镜像流量的
IP
头校验和,以判断所述网络镜像流量的数据头部格式是否正确;若所述数据头部格式不正确,则产生报错并丢弃所述网络镜像流量;若所述数据头部格式正确,则检查队列中是否出现事件
。4.
根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤
S4
,具体包括:基于区域检测规则确定所述事件是否属于跨区域行为;基于恶意域名规则确定所述事件是否属于黑名单中的行为;基于恶意软件检测规则确定所述事件中是否包含恶意软件
。5.
根据权利要求4所述的一种变电站的恶意网络入侵检测方法,其特征在于,基于恶意文件检测规则确定所述事件中是否包含恶意文件的过程,具体为:提取指定文件的哈希;所述指定文件的类型包括:
hostname、method、url
;基于提取的哈希进行文件还原;基于恶意软件特征库,比对还原出来的文件,检测所述指定文件中的病毒
。6.
根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤
S5
,具体包括:基于所述网络镜像流量获取所述恶意入侵行为的样本流量;分析所述样本流量,绘制恶意入侵者的设...
【专利技术属性】
技术研发人员:杜慧珺,彭佳,赵丽娜,袁传新,卢一鸣,李文敬,张恒,冯雯雯,董洋,刘越,王馨,
申请(专利权)人:国网山东省电力公司泰安供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。