本發(fā)明涉及一種基于網(wǎng)絡(luò)流量的智能分析管控方法、系統(tǒng)、介質(zhì)及設(shè)備。該發(fā)明通過(guò)在站控層網(wǎng)絡(luò)的匯接處將站內(nèi)通信數(shù)據(jù)通過(guò)交換機(jī)鏡像到流量監(jiān)測(cè)裝置；對(duì)鏡像后的站內(nèi)通信數(shù)據(jù)進(jìn)行過(guò)濾、特征匹配，生成告警信息并對(duì)告警信息進(jìn)行處置；對(duì)鏡像后的站內(nèi)通信數(shù)據(jù)進(jìn)行模型訓(xùn)練；通過(guò)訓(xùn)練的模型對(duì)站內(nèi)通信數(shù)據(jù)進(jìn)行通信判定，生成告警信息并對(duì)告警信息進(jìn)行處置。本申請(qǐng)采用實(shí)時(shí)和非實(shí)時(shí)，發(fā)現(xiàn)廠站網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及裝置信息；通過(guò)采集樣本集，進(jìn)行學(xué)習(xí)和訓(xùn)練，獲取正常的通信特征，并對(duì)不滿足已知正常通信特征的通信進(jìn)行實(shí)時(shí)的過(guò)濾、分析、歸類(lèi)、告警、處置；為適應(yīng)變化的網(wǎng)絡(luò)通信，增加模型自動(dòng)調(diào)整、優(yōu)化、學(xué)習(xí)功能，以不斷提高發(fā)現(xiàn)異常數(shù)據(jù)的準(zhǔn)確性。

技術(shù)領(lǐng)域

本申請(qǐng)屬于工控安全領(lǐng)域，具體而言，涉及基于網(wǎng)絡(luò)流量的智能分析管控方法、系統(tǒng)、介質(zhì)及設(shè)備。

背景技術(shù)

隨著信息化和工業(yè)化融合的不斷深入，工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián)，從封閉走向開(kāi)放，從自動(dòng)化走向智能化，同時(shí)，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)復(fù)雜度也在不斷增加在生產(chǎn)力顯著提高的同時(shí)，工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅。由于工業(yè)控制系統(tǒng)的復(fù)雜度不斷提高，首先加大了網(wǎng)絡(luò)管理人員對(duì)于整個(gè)網(wǎng)絡(luò)的管理難度，同時(shí)無(wú)法直觀感知網(wǎng)絡(luò)中的設(shè)備信息及狀態(tài)；其次，在由于為了應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，通常會(huì)將工業(yè)控制系統(tǒng)的實(shí)時(shí)生產(chǎn)控制區(qū)劃分為獨(dú)立的網(wǎng)絡(luò)，進(jìn)行隔離，然而由于一些其他原因會(huì)出現(xiàn)，設(shè)備的跨網(wǎng)訪問(wèn)或者設(shè)備的不正確接入，以及攻擊者在攻擊之前的嗅探等非正常通信，這些通信數(shù)據(jù)對(duì)網(wǎng)絡(luò)的正常運(yùn)行暫時(shí)無(wú)太大影響，但確是很?chē)?yán)重的隱患，在當(dāng)前的工業(yè)控制系統(tǒng)中很難及時(shí)發(fā)現(xiàn)并處理這類(lèi)的安全隱患；再次，隨著通信技術(shù)的發(fā)展，WIFI技術(shù)憑借自身的優(yōu)勢(shì)被廣泛應(yīng)用，在為人們帶來(lái)廣泛便利的同時(shí)，卻帶來(lái)了較大的安全隱患，尤其是在工業(yè)控制現(xiàn)場(chǎng)，無(wú)線熱點(diǎn)的使用可以輕易突破隔離網(wǎng)絡(luò)限制，將本應(yīng)物理隔離的工業(yè)控制系統(tǒng)連接到互聯(lián)網(wǎng)上，形成極大的安全隱患；最后由于電網(wǎng)不同網(wǎng)絡(luò)分區(qū)的網(wǎng)絡(luò)和業(yè)務(wù)換分不同等要求，對(duì)于監(jiān)管系統(tǒng)也提出了在軟件系統(tǒng)架構(gòu)、數(shù)據(jù)展示、部署等方面的要求。

由于變電站工作環(huán)境特殊，目前沒(méi)有相關(guān)流量監(jiān)測(cè)分析系統(tǒng)滿足電力環(huán)境的要求。存在以下問(wèn)題：

1、潛在安全威脅或正在進(jìn)行的安全事件發(fā)現(xiàn)的及時(shí)性以及自動(dòng)處置問(wèn)題。

2、根據(jù)職能數(shù)據(jù)分析模型，發(fā)現(xiàn)潛在異常數(shù)據(jù)問(wèn)題。

3、發(fā)現(xiàn)異常/非法熱點(diǎn)，及與熱點(diǎn)相關(guān)的無(wú)線連接及通信問(wèn)題。

4、智能識(shí)別廠站網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及裝置信息問(wèn)題。

5、跨區(qū)跨網(wǎng)部署問(wèn)題。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┮环N基于網(wǎng)絡(luò)流量的智能分析管控方法、系統(tǒng)、介質(zhì)及設(shè)備，以解決現(xiàn)有技術(shù)存在的技術(shù)問(wèn)題。它依據(jù)廠站（指電力系統(tǒng)中的發(fā)電廠、變電站）的全量通信數(shù)據(jù)，采用實(shí)時(shí)和非實(shí)時(shí)，智能與人工相結(jié)合的方式分析通信數(shù)據(jù)，發(fā)現(xiàn)廠站網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及裝置信息；通過(guò)采集樣本集，進(jìn)行學(xué)習(xí)和訓(xùn)練，獲取正常的通信特征，并對(duì)不滿足已知正常通信特征的通信進(jìn)行實(shí)時(shí)的過(guò)濾、分析、歸類(lèi)、告警、處置；為適應(yīng)變化的網(wǎng)絡(luò)通信，增加模型自動(dòng)調(diào)整、優(yōu)化、學(xué)習(xí)功能，以不斷提高發(fā)現(xiàn)異常數(shù)據(jù)的準(zhǔn)確性。

本申請(qǐng)的實(shí)施例通過(guò)如下方式實(shí)現(xiàn)：

基于網(wǎng)絡(luò)流量的智能分析管控方法包括：

步驟1：通過(guò)在站控層網(wǎng)絡(luò)的匯接處將站內(nèi)通信數(shù)據(jù)通過(guò)交換機(jī)鏡像到流量監(jiān)測(cè)裝置；

步驟2：執(zhí)行方案1、方案2、方案3中的一種方案、兩種方案或三種方案；方案1是對(duì)鏡像后的站內(nèi)通信數(shù)據(jù)進(jìn)行過(guò)濾、特征匹配；方案2是對(duì)鏡像后的站內(nèi)通信數(shù)據(jù)進(jìn)行模型訓(xùn)練,通過(guò)訓(xùn)練的模型對(duì)站內(nèi)通信數(shù)據(jù)進(jìn)行通信判定；方案3是通過(guò)對(duì)鏡像后的監(jiān)測(cè)裝置的熱點(diǎn)監(jiān)測(cè)模塊，發(fā)現(xiàn)并甄別熱點(diǎn)的合法性，同時(shí)持續(xù)監(jiān)測(cè)無(wú)線熱點(diǎn)是否已經(jīng)有無(wú)線設(shè)備接入，是否正在通過(guò)無(wú)線熱點(diǎn)進(jìn)行無(wú)線網(wǎng)絡(luò)通訊；