本發(fā)明公開了一種基于流量特征的電力終端漏洞攻擊防護方法，屬于智能電網(wǎng)終端設(shè)備安全技術(shù)領(lǐng)域。通過采集電力終端設(shè)備與主站間的通訊流量數(shù)據(jù)，并將電力終端設(shè)備正常工作狀態(tài)下和受攻擊狀態(tài)下的通訊流量數(shù)據(jù)分類為正樣本、負(fù)樣本；再對正樣本、負(fù)樣本進行特征提取及選擇，形成樣本特征向量；選取分類器進行機器學(xué)習(xí)，生成漏洞攻擊識別模型。在具體應(yīng)用場景中，采集工作中電力終端設(shè)備與主站間的實時通訊流量數(shù)據(jù)并對其進行特征提取，形成檢測特征向量；再將檢測特征向量輸入漏洞攻擊檢測模型，可判斷電力終端是否受到攻擊。本發(fā)明方法可對電力終端設(shè)備進行安全監(jiān)測，并不依賴解析數(shù)據(jù)包內(nèi)部信息，可有效增強電力系統(tǒng)的安全可靠性。

技術(shù)領(lǐng)域

本發(fā)明屬于智能電網(wǎng)終端設(shè)備安全技術(shù)領(lǐng)域，涉及流量識別領(lǐng)域與特征建模領(lǐng)域，方法核心是采集大量電力終端流量數(shù)據(jù)樣本，利用數(shù)據(jù)提取特征，建立機器學(xué)習(xí)模型，并使用構(gòu)建的模型識別利用電力終端漏洞實現(xiàn)的攻擊行為。

背景技術(shù)

電網(wǎng)中的電力終端設(shè)備的安全可靠是電力系統(tǒng)穩(wěn)定運行的根本。智能電網(wǎng)業(yè)務(wù)系統(tǒng)存在大量的電力終端設(shè)備，如FTU(饋線終端單元)、RTU(遠程終端單元)、智能電表集中器、繼電保護裝置等。電力終端通過監(jiān)測、控制、保護的作用影響著電力的生產(chǎn)過程，在電力生產(chǎn)的“發(fā)電”-“變電”-“輸電”-“配電”的過程中，起著至關(guān)重要的作用。如，我國電網(wǎng)對配電自動化要求越來越高,而配電自動化的核心在于饋線自動化,饋線自動化的基本單元則是饋線終端單元FTU,它對整個配電自動化起十分重要的作用，若FTU受到攻擊，電網(wǎng)系統(tǒng)將受到很大程度的干擾。

然而，電力終端設(shè)備一般工作在開放環(huán)境下，并且都具有一定的運算能力和無線通信功能，導(dǎo)致其更容易被攻擊者攻擊，從而威脅智能電網(wǎng)的安全。這些設(shè)備與傳統(tǒng)的信息網(wǎng)絡(luò)中的設(shè)備不同，設(shè)計之初往往只為了實現(xiàn)某些特定的業(yè)務(wù)功能，業(yè)務(wù)邏輯簡單，并且沒有統(tǒng)一的安全標(biāo)準(zhǔn)來對其進行安全測試，所以安全風(fēng)險較高。這些電力終端由于本身存在一些安全漏洞，攻擊者可以利用已知的漏洞對其進行攻擊，或者在電力終端中植入木馬，將其作為跳板入侵主站，對于部署于用戶側(cè)的電力終端設(shè)備，如智能電表等，惡意攻擊者往往可以利用電力終端設(shè)備存在的已知漏洞對其滲透，獲取電力終端設(shè)備的root權(quán)限，從而對其進行控制和破壞。

在電力終端的安全防護中，對攻擊準(zhǔn)確有效的識別是對電力終端進行安全防護的必要條件，只有對電力終端遭受的攻擊進行準(zhǔn)確的定位及識別，才能盡可能的減小攻擊造成的損害，對其進行針對性的防護。

發(fā)明內(nèi)容

本發(fā)明針對現(xiàn)有技術(shù)存在的問題，提出了一種基于流量特征的電力終端漏洞攻擊防護方法，通過構(gòu)建電力終端漏洞攻擊的識別模型，能夠檢測到電力終端是否遭受攻擊，進而為開展針對性的防護工作提供指導(dǎo)，實時對電力終端進行安全監(jiān)測。

本發(fā)明是通過以下技術(shù)方案得以實現(xiàn)的：

本發(fā)明提供一種基于流量特征的電力終端漏洞攻擊防護方法，包括：

S01對電力終端設(shè)備與主站之間的通訊過程進行監(jiān)測，對通訊流量數(shù)據(jù)進行抓包采集，并將正常工作狀態(tài)下的電力終端設(shè)備通訊流量數(shù)據(jù)標(biāo)記為正樣本，將受攻擊狀態(tài)下的電力終端設(shè)備通訊流量數(shù)據(jù)標(biāo)記為負(fù)樣本。

S02對正樣本與負(fù)樣本進行特征提取，輸出。

S03對S02輸出的特征進行選擇，作為樣本特征向量，選擇監(jiān)督學(xué)習(xí)方法進行訓(xùn)練(具體可采用決策樹算法)，生成漏洞攻擊檢測模型。

S04采集實際工作場景中的電力終端設(shè)備與主站間的實時通訊流量數(shù)據(jù)，作為待測樣本；S05對待測流量數(shù)據(jù)進行特征提取，輸出為待測樣本的特征向量。

S06將待測樣本的特征向量輸入漏洞攻擊檢測模型，以檢測電力終端是否受到攻擊。

S07若發(fā)現(xiàn)該電力終端已受到攻擊，暫時關(guān)閉該終端與主站的通訊進程，并嘗試判斷該攻擊所屬的攻擊類型，防止攻擊造成更大危害；若檢測結(jié)果為不存在攻擊，則維持通信進程，等待下一次檢測。