[發明專利]一種基于流量特征的電力終端漏洞攻擊防護方法有效
| 申請號: | 202011295761.6 | 申請日: | 2020-11-18 |
| 公開(公告)號: | CN112491849B | 公開(公告)日: | 2022-08-05 |
| 發明(設計)人: | 呂志寧;鄧巍;王哲;徐文淵;冀曉宇;滕飛;李鵬;習偉 | 申請(專利權)人: | 深圳供電局有限公司;浙江大學;南方電網科學研究院有限責任公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06F21/57;G06N20/00 |
| 代理公司: | 杭州求是專利事務所有限公司 33200 | 代理人: | 萬尾甜;韓介梅 |
| 地址: | 518000 廣東省深圳市*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 流量 特征 電力 終端 漏洞 攻擊 防護 方法 | ||
1.一種基于流量特征的電力終端漏洞攻擊防護方法,其特征在于,結合電力終端與主站通信特點,考慮到實際攻擊存在對數據包進行加密或重新編碼的場景,使用流量特征實現對攻擊行為的判斷與安全防護,具體為:將電力終端設備正常工作狀態下和受攻擊狀態下的通訊流量數據分類為正樣本、負樣本;再對正樣本、負樣本進行特征提取及選擇形成樣本特征向量;選取分類器進行機器學習,生成漏洞攻擊識別模型,利用所述漏洞攻擊識別模型對待測通訊流量數據進行判斷;
對通訊流量數據進行特征提取,包括如下19個特征:
1)對于一段包含n個數據包的序列,代表第i個數據包的包長,提取以下8個關于包長的特征:
包長均值
包長標準差
一階中心距
二階中心距
三階中心距
四階中心距
包長偏度
包長峰度
2)對于所述數據包的序列,每個數據包的到達時間為,還提取以下4個時間特征:
數據包到達平均時間間隔
數據包到達時間間隔標準差
最大數據包到達時間間隔
最小數據包到達時間間隔
3)還提取以下特征:
假設數據包序列中IP地址種類數為j,IP地址種類豐富度
假設數據包序列中占比最大的IP地址數量為n’,則獲得IP地址集中度特征
假設數據包序列中端口號種類數為k,端口號種類豐富度
假設數據包序列中占比最大的端口號數量為n’’,則獲得端口號集中度特征
數據包序列中數據包到達頻率
數據包序列中數據包最高到達頻率
數據包序列中數據包最低到達頻率 。
2.根據權利要求1所述的一種基于流量特征的電力終端漏洞攻擊防護方法,其特征在于,所述的方法具體包括以下步驟:
S01對電力終端設備與主站之間的通訊過程進行監測,對通訊流量數據進行抓包采集,并將正常工作狀態下的電力終端設備通訊流量數據標記為正樣本,將受攻擊狀態下的電力終端設備通訊流量數據標記為負樣本;
S02 對正樣本與負樣本進行特征提取;
S03 對S02提取的特征進行選擇,作為樣本特征向量,選擇監督學習方法進行訓練,生成漏洞攻擊識別模型;
S04 采集實際工作場景中的電力終端設備與主站間的實時通訊流量數據,作為待測樣本;
S05 對待測流量數據進行特征提取,輸出為待測樣本的特征向量;
S06 將待測樣本的特征向量輸入漏洞攻擊識別模型,以檢測電力終端是否受到攻擊;
S07 若發現該電力終端已受到攻擊,暫時關閉該終端與主站的通訊進程;若檢測結果為不存在攻擊,則維持通信進程,等待下一次檢測。
3.根據權利要求1所述的一種基于流量特征的電力終端漏洞攻擊防護方法,其特征在于,在特征提取的過程中,若出現一段時間內數據包數量過少造成計算失敗,該時間段內數據包將保留信息至下一時間段進行合并,與下一時間段監測的數據包共同計算特征向量。
4.根據權利要求1所述的一種基于流量特征的電力終端漏洞攻擊防護方法,其特征在于,在特征提取的過程中,若出現重要信息讀取失敗,包括:IP地址信息、端口號信息丟失,造成計算失敗,則所在時間段內數據包將被報告異常,通知監測系統。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深圳供電局有限公司;浙江大學;南方電網科學研究院有限責任公司,未經深圳供電局有限公司;浙江大學;南方電網科學研究院有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011295761.6/1.html,轉載請聲明來源鉆瓜專利網。
