本發明提供了一種電力監控系統異常流量檢測方法，捕獲真實數據流量、分類，并對捕獲的真實數據流量信息進行拆分，根據需要修報文信息，以指定速度將修改后的數據流量回放到網絡中，結合網絡中各個主機發起連接和被連接的屬性記錄中各個屬性的分布狀況，分類對比數據庫中正常狀態下的數據流量信息建立正常屬性列表，進行異常檢測的方法，實現對業務系統面臨的安全風險如網絡攻擊、系統漏洞等可以起到預防作用，從而保證了系統的安全性，同時可以避免出現安全問題，采用分析和檢測的方法，避免一旦數據被非法訪問甚至泄漏導致的損失。

技術領域

本發明涉及電力監控通信技術領域，尤其涉及一種電力監控系統異常流量檢測方法。

背景技術

隨著計算機技術、互聯網技術在電力行業的發展應用，電力系統網絡中出現延遲、掉包、亂序等異常流量或DDOS等入侵異常流量，導致大數據在為業務帶來巨大價值的同時，也帶來了潛在的安全風險。

目前，對于異常流量的監控通過檢測已產生的異常的目標IP，然后向清洗設備宣告異常，清洗設備對異常進行特定的清洗策略簡單的過濾清洗，這種方法的需要檢測設備對大量的目標進行統計檢測，還需要照出目標IP，其準確率不高且清洗設備的測量過于簡單，

電網中新能源接入、移動互聯網的非法互聯、各種系統軟件漏洞，為智能電網的安全帶來新的挑戰，其安全防護不到位、大數據的數據集中、數據量大、數據價值大等新特點的安全風險更加凸顯，可能構成攻擊電網內部的跳板，給全網安全帶來隱患。一方面，傳統業務系統面臨的安全風險如網絡攻擊、系統漏洞等依然存在；另一方面，一旦數據被非法訪問甚至泄漏損失非常巨大，智能電網安全需要保證的是全網行為安全性。

發明內容

本發明提供了一種電力監控系統異常流量檢測方法，通過快捷準確的分析通信報文來進行異常流量的檢測，避免出現系統漏洞及網絡安全問題；以及保護數據，防止數據被非法訪問甚至泄漏。

為了達到上述目的，本發明實施例采用以下技術方案：

提供一種電力監控系統異常流量檢測方法，包括

步驟1：流量采集，所述流量采集包括：

捕獲報文，根據報文類型進行數量統計,存儲于數據庫中，累計存儲為第一數據流量信息，所述第一數據流量信息為一段時間的真實數據流量信息；，

通過pcap包的重放工具集，將捕獲的所述第一數據流量信息進行拆分，并根據需要修報文信息，以指定速度將第二數據流量信息回放到網絡中，所述第二數據流量信息為修改后的數據流量；

通過抓包網絡工具，捕獲第三數據流量信息中網絡異常流量以及入侵異常流量，所述第三數據流量信息為第一數據流量信息和第二數據流量信息的合集；

步驟2：流量檢測，所述流量檢測包括：

對第三數據流量信息進行分類；

查看網絡中各個主機發起連接和被連接的屬性記錄中各個屬性的分布狀況；

在數據庫中錄入第四數據流量信息，并將所述第四數據流量信息分類后存儲到數據庫中，建立正常屬性列表，所述第四數據流量信息為正常狀態下的數據流量信息；

將捕獲的所述第三數據流量信息、所述屬性記錄的分布狀況、所述正常屬性列表進行對比，進行異常檢測。

可選的，所述流量采集中數據庫中存儲的第一數據流量信息包含存儲流量特征，包括：主站、場站的通信流量；生產控制區與管理信息區的數據流量。

可選的，所述pcap包的重放工具集主要包括：Tcpprep工具、Tcprewrite工具、Tcpreplay工具。

可選的，所述Tcpprep工具具體為：將第一數據流量信息拆分為客戶端和服務端，默認客戶端，并存放為緩存文件。