[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN112367322B - 一种基于冒泡排序法的电站工控系统异常流量识别方法 - Google Patents

一种基于冒泡排序法的电站工控系统异常流量识别方法 Download PDF

Info

Publication number
CN112367322B
CN112367322B CN202011249001.1A CN202011249001A CN112367322B CN 112367322 B CN112367322 B CN 112367322B CN 202011249001 A CN202011249001 A CN 202011249001A CN 112367322 B CN112367322 B CN 112367322B
Authority
CN
China
Prior art keywords
flow
real
time
serial number
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011249001.1A
Other languages
English (en)
Other versions
CN112367322A (zh
Inventor
刘超飞
毕玉冰
崔逸群
朱博迪
王文庆
董夏昕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Thermal Power Research Institute Co Ltd
Original Assignee
Xian Thermal Power Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Thermal Power Research Institute Co Ltd filed Critical Xian Thermal Power Research Institute Co Ltd
Priority to CN202011249001.1A priority Critical patent/CN112367322B/zh
Publication of CN112367322A publication Critical patent/CN112367322A/zh
Application granted granted Critical
Publication of CN112367322B publication Critical patent/CN112367322B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/06Arrangements for sorting, selecting, merging, or comparing data on individual record carriers
    • G06F7/08Sorting, i.e. grouping record carriers in numerical or other ordered sequence according to the classification of at least some of the information they carry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于冒泡排序法的电站工控系统异常流量识别方法,该方法的步骤如下:1)根据电站工控系统节点数量在实时库中创建监测点,包括节点接收、发送的流量长度及对应的排序序号;2)以端口镜像方式获取系统中的网络流量,以秒为单位对流量长度进行归类统计并存储;3)对各节点实时接收、发送流量长度按两个队列分别用冒泡排序法进行排序并存储序号;4)及时更新各节点流量长度及序号数据,累加可得到小时累计流量,再用冒泡排序法得到小时累计序号,对实时序号变化、小时累计序号变化、实时序号与小时累计序号偏差超阈值的节点进行报警。本发明在不影响系统运行的前提下,对已知类型及未知类型的网络攻击产生的异常流量进行实时识别。

Description

一种基于冒泡排序法的电站工控系统异常流量识别方法
技术领域
本发明涉及工控安全监测技术领域,具体涉及一种基于冒泡排序法的电站工控系统异常流量识别方法。
背景技术
针对黑客的网络攻击,开展网络流量的监测分析,对异常流量的识别发现是进行安全防护的第一步。目前流量监测模型主要分为两类:基于特征库和基于行为偏差的检测系统。基于特征库的检测系统主要用于识别已知类型的网络攻击。基于行为偏差的检测系统可用于识别已知和未知的网络攻击,本发明的内容就是一种基于行为偏差的异常流量的识别方法。
电站工控系统是建监视、控制电力等生产、传输的系统,在我国主力电站是燃煤电站,在运行过程中考虑热应力的作用等安全因素,要求机组尽量在目标负荷下平稳运行,即使在升负荷、降负荷过程中,也要做好充分的缓冲准备,保证过程平稳过度。因此,电站工控系统在日常运行过程中,节点间的交互流量变化比较稳定化、平缓。如果某个网络节点接收、发送的流量出现较大的突然变化或持续变化,则系统内可能出现了网络攻击事件。本发明就是基于冒泡排序法对网络节点的接收、发送流量包字节长度进行统计排序,根据序号的变化来识别异常流量。
发明内容
为了克服上述现有技术存在的问题,本发明的目的在于提供一种基于冒泡排序法的电站工控系统异常流量识别方法,在不影响工控系统运行的前提下,无需构建网络攻击特征库,对系统中存在网络攻击产生的异常流量进行实时监测进而识别报警。
为了达到上述目的,本发明采用如下技术方案:
一种基于冒泡排序法的电站工控系统异常流量识别方法,包括以下步骤:
1)根据电站工控系统节点数量在实时库中创建监测点,每个节点对应接收流量包字节长度(简称接收流量长度)、接收流量包字节长度排序序号(简称接收流量序号)、发送流量包字节长度(简称发送流量长度)、发送流量包字节长度排序序号(简称发送流量序号),创建监测点数量为工控系统节点数乘以4;
2)布置流量抓包工具,以端口镜像方式获取工控系统中的网络流量,以秒为单位按照源IP、目标IP将对流量包字节长度进行归类统计,对比节点与IP对应关系,将各节点实时接收、发送的流量长度计算出来并存入实时库;
3)从实时库读取所有节点的实时接收流量长度组成队列,按冒泡排序法对该队列进行排序,得到节点接收流量长度对应的序号数据,存入实时库,对发送流量长度队列按照同样方式处理;
4)以秒为单位更新各节点接收、发送流量长度及对应序号数据,与前一时刻对比,找出序号变化超阈值的节点进行实时报警;
5)对所有节点的接收流量长度按最近一小时进行累加得到当前小时累计接收流量长度,将当前小时累计接收流量长度组成的队列按冒泡排序法进行排序,得到当前小时累计接收流量序号,以同样方式处理前一小时累计接收流量长度,得到前一小时序号,再以同样方式处理累计发送流量,得到两组序号;
6)将当前小时累计接收流量序号与前一小时序号进行对比,变化超阈值的节点进行报警,对实时接收流量序号与当前小时累计接收流量序号偏差超阈值的节点也进行报警,以同样方式处理小时累计发送流量。
本发明适用于多个工控系统之间异常流量识别,将各工控系统当节点处理即可;可进一步按工控系统中通讯协议种类进行细分后再进行排序、报警处理;对于实时流量的统计可以改成3-5秒,对于累计的时间也可以改成半个小时或两个小时。
本发明无需像传统网络攻击流量检测方式那样构建特征库,能够同时对已知类型、未知类型网络攻击产生的异常流量进行识别,实现实时监测及报警。
优选地,报警方式,对于实时接收流量序号、实时发送流量序号、小时累计接收流量序号、小时累计发送流量序号的报警以4种不同颜色标注,对于序号变化最大及符合双重报警的节点以闪烁方式标注。
本发明具有以下有益的技术效果:以端口镜像的方式获取网络流量,对工控系统的运行不产生影响,无需构建已知攻击方式的特征库,对已知类型及未知类型的网络攻击流量都可进行识别,对于短时间的集中攻击流量及长时间的分散攻击流量都可进行识别。
附图说明
图1是本发明识别方法的流程图。
具体实施方式
以下结合附图,对本发明做进一步详细描述。
如图1所示,本发明一种基于冒泡排序法的电站工控系统异常流量识别方法,包括以下步骤:
1)、根据电站工控系统节点数量在实时库中创建监测点,每个节点包括接收流量包字节长度、接收流量包字节长度排序序号、发送流量包字节长度、发送流量包字节长度排序序号,对有k个节点的工控系统,节点集合为{N1,Ni...,Nk},需创建测点数量为k*4个,每个节点对应的四个监测点分别为N#IN_BL_RT、N#IN_BL_ON_RT、N#OUT_BL_RT、N#OUT_BL_ON_RT,其中#表示节点编号。
2)以端口镜像方式获取工控系统中的网络流量,在交换机、路由器观察端口部署全流量抓包工具,以秒为单位按照源IP、目标IP将对流量字节长度进行归类统计,一个节点可能包含多个IP,对比节点与IP对应关系,将各节点实时接收、发送的流量字节长度计算出来并存入实时库。对于源IP、目标IP均为系统内部的所有流量,接收和发送方流量同时增加;对于目标IP为系统外的节点流量,只计入具体节点的发送流量,对于源IP为系统外的节点流量,只计入具体节点的接收流量。
3)实时库读取k个节点的实时接收流量长度组成队列,为k行2列的二维数组,k行表示k个节点,2列表示接收流量长度列、节点编号列,如下表所示,ILk表示第k个节点实时的接收流量长度。
IL<sub>1</sub> 1
IL<sub>2</sub> 2
IL<sub>k</sub> k
用冒泡排序对该队列进行排序,按照长度大的靠前排,即往上冒泡,在算法的k-1趟排序中,对单次的比较,如ILi+1>ILi,则ILi+1与ILi位置互换,节点编号i+1和i位置也同时互换,其中1≤i≤k-1,最多需要经过
Figure GDA0003811433600000051
次比较,冒泡排序执行结束。根据节点标号找到对应的行号就是接收流量长度排序后的序号,得到节点接收流量长度对应的序号数据{A1,A2...,Ak}。
节点Ni接收流量长度的排序序号为Ai,将Ai按照接收流量长度对应的时戳存入节点Ni的接收流量长度序号测点,对所有节点实时发送的流量长度队列按照同样方式处理得到发送流量长度对应的序号数据{B1,B2...,Bk};
4)以秒为单位更新k个节点接收、发送流量长度及对应序号数据,对于节点Ni,实时接收流量长度序号为Ai、实时发送流量长度序号为Bi,前一时刻接收流量长度序号为A'i、发送流量长度序号为B'i,如满足下面条件之一的:
|Ai-A'i|>α,实时接收流量序号变化超阈值;
|Bi-B'i|>α,实时发送流量序号变化超阈值;
对节点Ni进行实时报警,其中α为变化阈值,根据实际网络节点数,一般选取节点数的二分之一。
5)对k个节点的接收流量长度按最近一小时进行累加得到当前小时累计接收流量长度,将k个节点当前小时累计接收流量长度组成的队列按冒泡排序法进行排序(参考步骤3),得到当前小时累计接收流量长度序号{C1,C2...,Ck},以同样方式处理当前小时累计发送流量,得到当前小时累计发送流量长度序号{D1,D2...,Dk}。
对于节点Ni,当前小时累计接收流量长度序号为Ci,当前小时累计发送流量长度序号为Di,前一小时累计接收流量长度序号为C'i、前一小时累计发送流量长度序号为D'i,,如满足下面条件之一的:
|Ci-C'i|>α,当前小时累计接收流量序号变化超阈值;
|Di-D'i|>α,当前小时累计发送流量序号变化超阈值;
|Ai-Ci|>α,实时接收流量长度序号与当前小时累计接收流量长度序号偏差超阈值;
|Bi-Di|>α,实时发送流量长度序号与当前小时累计发送流量长度序号偏差超阈值;
对节点Ni进行实时报警。
6)对于4)、5)步骤中符合条件的节点Ni进行实时报警时,按照不同颜色进行区分,如果序号变化及偏差为k-1,或者符合多个报警的节点,以闪烁方式进行重点提醒。
本发明阐述的实例只是用于帮助阐述本发明,并未对技术方案的所有细节进行详尽叙述,本领域技术人员对部分技术参数进行的替换、修改,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。

Claims (4)

1.一种基于冒泡排序法的电站工控系统异常流量识别方法,其特征在于,包括以下步骤:
1)根据电站工控系统节点数量在实时库中创建监测点,每个节点对应接收流量包字节长度简称接收流量长度、接收流量包字节长度排序序号简称接收流量序号、发送流量包字节长度简称发送流量长度、发送流量包字节长度排序序号简称发送流量序号,创建监测点数量为工控系统节点数乘以4;
2)布置流量抓包工具,以端口镜像方式获取工控系统中的网络流量,以秒为单位按照源IP、目标IP将对流量包字节长度进行归类统计,对比节点与IP对应关系,将各节点实时接收、发送的流量长度计算出来并存入实时库;
3)从实时库读取所有节点的实时接收流量长度组成队列,按冒泡排序法对该队列进行排序,得到节点接收流量长度对应的序号数据,存入实时库,对发送流量长度队列按照同样方式处理;
4)以秒为单位更新各节点接收、发送流量长度及对应序号数据,与前一时刻对比,找出序号变化超阈值的节点进行实时报警;
5)对所有节点的接收流量长度按最近一小时进行累加得到当前小时累计接收流量长度,将当前小时累计接收流量长度组成的队列按冒泡排序法进行排序,得到当前小时累计接收流量序号,以同样方式处理前一小时累计接收流量长度,得到前一小时序号,再以同样方式处理累计发送流量,得到两组序号;
6)将当前小时累计接收流量序号与前一小时序号进行对比,变化超阈值的节点进行报警,对实时接收流量序号与当前小时累计接收流量序号偏差超阈值的节点也进行报警,以同样方式处理小时累计发送流量。
2.根据权利要求1所述基于冒泡排序法的电站工控系统异常流量识别方法,其特征在于:适用于多个工控系统之间异常流量识别,将各工控系统当节点处理即可;能够进一步按工控系统中通讯协议种类进行细分后再进行排序、报警处理;对于实时流量的统计能够改成3-5秒,对于累计的时间也能够改成半个小时或两个小时。
3.根据权利要求1所述基于冒泡排序法的电站工控系统异常流量识别方法,其特征在于:无需像传统网络攻击流量检测方式那样构建特征库,能够同时对已知类型、未知类型网络攻击产生的异常流量进行识别,实现实时监测及报警。
4.根据权利要求1所述基于冒泡排序法的电站工控系统异常流量识别方法,其特征在于:报警方式,对于实时接收流量序号、实时发送流量序号、小时累计接收流量序号、小时累计发送流量序号的报警以4种不同颜色标注,对于序号变化最大及符合双重报警的节点以闪烁方式标注。
CN202011249001.1A 2020-11-10 2020-11-10 一种基于冒泡排序法的电站工控系统异常流量识别方法 Active CN112367322B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011249001.1A CN112367322B (zh) 2020-11-10 2020-11-10 一种基于冒泡排序法的电站工控系统异常流量识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011249001.1A CN112367322B (zh) 2020-11-10 2020-11-10 一种基于冒泡排序法的电站工控系统异常流量识别方法

Publications (2)

Publication Number Publication Date
CN112367322A CN112367322A (zh) 2021-02-12
CN112367322B true CN112367322B (zh) 2022-09-30

Family

ID=74509546

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011249001.1A Active CN112367322B (zh) 2020-11-10 2020-11-10 一种基于冒泡排序法的电站工控系统异常流量识别方法

Country Status (1)

Country Link
CN (1) CN112367322B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113542268B (zh) * 2021-07-14 2023-07-28 中能融合智慧科技有限公司 基于网络链路获取单个工控协议流量的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7823202B1 (en) * 2007-03-21 2010-10-26 Narus, Inc. Method for detecting internet border gateway protocol prefix hijacking attacks
CN102271068A (zh) * 2011-09-06 2011-12-07 电子科技大学 一种dos/ddos攻击检测方法
CN105306436A (zh) * 2015-09-16 2016-02-03 广东睿江科技有限公司 一种异常流量检测方法
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN110677386A (zh) * 2019-08-29 2020-01-10 北京孚耐尔科技有限公司 一种基于大数据的异常流量监测和预测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7823202B1 (en) * 2007-03-21 2010-10-26 Narus, Inc. Method for detecting internet border gateway protocol prefix hijacking attacks
CN102271068A (zh) * 2011-09-06 2011-12-07 电子科技大学 一种dos/ddos攻击检测方法
CN105306436A (zh) * 2015-09-16 2016-02-03 广东睿江科技有限公司 一种异常流量检测方法
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN110677386A (zh) * 2019-08-29 2020-01-10 北京孚耐尔科技有限公司 一种基于大数据的异常流量监测和预测方法及装置

Also Published As

Publication number Publication date
CN112367322A (zh) 2021-02-12

Similar Documents

Publication Publication Date Title
WO2017218636A1 (en) System and method for automated network monitoring and detection of network anomalies
KR20180120558A (ko) 딥러닝 기반 통신망 장비의 장애 예측 시스템 및 방법
CN107888441B (zh) 一种网络流量基线自学习自适应方法
CN111490975A (zh) 一种基于软件定义网络的分布式拒绝服务DDoS攻击溯源系统和方法
CN111181971B (zh) 一种自动检测工业网络攻击的系统
CN109150859B (zh) 一种基于网络流量流向相似性的僵尸网络检测方法
CN111930592A (zh) 一种实时检测日志序列异常的方法和系统
CN112688822B (zh) 基于多点协同的边缘计算故障或安全威胁监测系统与方法
CN110149239B (zh) 一种基于sFlow的网络流量监控方法
CN116055413B (zh) 一种基于云边协同的隧道网络异常识别方法
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
CN111738308A (zh) 基于聚类及半监督学习的监控指标动态阈值检测方法
CN109558727B (zh) 一种路由安全检测方法和系统
CN111262849A (zh) 一种基于流表信息的网络异常流量行为识别阻断的方法
CN114021135B (zh) 一种基于R-SAX的LDoS攻击检测与防御方法
CN116582574B (zh) 一种基于物联网的大气监测系统
CN111935063A (zh) 一种终端设备异常网络访问行为监测系统及方法
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN113660209B (zh) 一种基于sketch与联邦学习的DDoS攻击检测系统及应用
CN112367322B (zh) 一种基于冒泡排序法的电站工控系统异常流量识别方法
CN108366065A (zh) 攻击检测方法和sdn交换机
CN106713307A (zh) 一种检测sdn中流表一致性的方法和系统
CN116170208A (zh) 一种基于半监督isodata算法的网络入侵实时检测方法
CN116032526A (zh) 一种基于机器学习模型优化的异常网络流量检测方法
CN113259367B (zh) 工控网络流量多级异常检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant