一种电力私有协议的安全监测方法技术

本发明专利技术提供一种电力私有协议的安全监测方法，该发明专利技术应用Progressive neural networks（渐进式神经网络模型）于电力私有协议的识别与解析，为电力私有协议的安全监测提供基础保障；根据电力私有协议网络通信数据，生成动态电力私有协议安全监测规则，为电力私有协议安全监测提供依据，大大减少纯人工创建规则导致误操作等情况的发生；通过对电力私有协议识别与解析、安全监测规则建立以及通信数据安全监测，实现了对于电力私有协议的安全监测，突破了传统的应用协议级安全监测必须依赖于完整协议规范的限制，可有效拓展安全监测系统的覆盖范围。 1

A security monitoring method for private electric power protocol

The invention provides a security monitoring method for power private protocols. The invention applies the identification and analysis of the Progressive neural networks (progressive neural network model) to the private electric power protocol, and provides a basic guarantee for the security monitoring of the power private protocol; the dynamic electricity is generated by the network communication data of the power private agreement network. The security monitoring rules of force private protocol provide the basis for the security monitoring of power private agreement, and greatly reduce the occurrence of misoperation caused by the pure manual creation rules. Through the identification and analysis of the private power protocol, the establishment of the security monitoring rules and the security monitoring of the communication data, the security of the private power protocol is realized. Monitoring, the breakthrough of the traditional application protocol level security monitoring must depend on the limitations of the complete protocol specification, and can effectively expand the coverage of the security monitoring system. One

【技术实现步骤摘要】
一种电力私有协议的安全监测方法
本专利技术涉及电力监控网络系统领域，更具体地，涉及一种电力私有协议的安全监测方法。
技术介绍
随着信息技术的飞速发展、国际政治经济竞争的加剧，能源、电力、通信、水利等国家关键信息基础设施面临日益严峻的网络攻击风险，2010年发生的伊朗核电站“震网”攻击事件和2015年、2016年乌克兰电网连续两次遭受攻击导致的大面积停电事件，表明网络空间的恶意攻击已成为电网安全稳定运行的现实威胁。因此，电力监控系统的网络安全直接关系着国家安全。电力系统主要应用的工控协议有包括IEC101/102/103/104在内的IEC60870-5协议以及包括MMS、GOOSE和SV等在内的IEC61850协议，除此之外，由于各个方面的需求，也应用着各种私有协议，如国网IEC103协议等。对于标准协议，由于存在对应的国际或者内部标准，实现监测与管控相对容易；而针对私有协议，因为协议规范未知，所以先验信息未知，在学术研究中，称为先验信息匮乏或损失，根据概率论，先验信息损失，只能观测到后验概率，因为无法还原字段规格的联合概率分布，从理论上来讲，永远不可能求解字段的正确位置，更难以实现对其协议通信的安全监测。不过通常应用环境下的私有协议，也是在借鉴已有协议标准的基础上，通过不同的组合形式演变而来，如国网IEC103协议，正是借鉴了国际IEC103协议和IEC104协议规范。同时，电力监控系统中，也包括其他很多特征不明显的私有通信协议，针对此类应用情况，本专利论述通过基于Progressiveneuralnetworks（渐进式神经网络模型）实现对电力私有协议的识别、解析与安全监测。在针对电网应用场景涉及到的工控协议IEC61850、IEC60870-5、MODBUS-TCP以及其他电力通信议进行深度学习的基础上，生成协议解析神经网络，实现对电力私有协议的解析与针对性的安全监测。
技术实现思路
本专利技术提供一种为电力私有协议的安全监测提供基础保障的电力私有协议的安全监测方法。为了达到上述技术效果，本专利技术的技术方案如下：一种电力私有协议的安全监测方法，包括以下步骤：S1：识别与解析电力私有协议；S2：基于识别与解析出的电力私有协议，建立电力私有协议安全监测规则；S3：根据建立的电力私有协议安全监测规则，安全监测电力私有协议通信数据。进一步地，所述步骤S1的具体过程是：S11：构建一个基础协议数据分析提取网络，并且随机初始化所有连接的权重；S12：将已知的协议通信数据应用于所述分析提取网络中，分析提取网络处理这些解析并且进行学习；S13：若分析提取网络解析出的动作是正确的，则进行奖励，否则惩罚，以拟合最佳连接权重；S14：经过对于已知通信协议的识别与解析训练，学习私有协议的识别与解析，并提取相应的字段，期间搭建模拟环境，使用该私有协议的通信软件，设置针对性的通信内容，深度学习该通信数据输入与输出，对学习结果进行奖励与惩罚，提升深度学习算法的准确率。进一步地，所述步骤S2的具体过程是：基于识别与解析出的电力私有协议，对电力系统中的私有协议网络流量提取相应的操作指令和数据字段；通过对操作指令数据范围进行统计分析，得出操作指令有效性配置；通过对各种操作指令的使用频率进行统计，对于使用概率极低的数据指令配置为可疑数据指令；通过数据字段类型与范围统计分析，生成数据字段有效性配置策略；对于时间字段，统计其最早时间，时间字段的范围应该在最早时间至当前时间加上时间同步合理偏差；对于数据字段通过进行线性回归分析，生成数据字段的动态阈值配置。进一步地，所述步骤S3的具体过程是：1）操作指令有效性检测：根据有效数据指令配置，判断数据指令是否是协议有效，对于无效指令进行告警；2）可疑操作指令检测：根据可以操作指令黑名单配置，对在黑名单指令中的数据指令进行告警；3）数据字段有效性检测：基于数据字段有效性配置，对于无效传输数据进行告警；4）数据字段阈值检测：基于数据字段动态阈值范围配置，在阈值配置之外的传输数据进行告警。进一步地，所述基础协议数据分析提取网络进行的操作包括以下过程：S111：基础数据类型提取：（1）位数据提取：通过对输入的字节，按照BIT位进行有序拆分,按照BIT位输出进行提取，比如输入字节49，输出0、0、1、1、0、0、0、1BIT位；（2）字节整数拆分提取：对于输入单个字节，按照BIT位进行有序拆分组合，按照整数输出进行学习，比如输入字节49，输出【0，49】、【0，0，49】，【0，0，1，17】、【1，17】等多种整数序列；（3）整数提取：对于输入单个或多个字节的整数，按照字节进行有序拆分与组合，按照整数输出进行提取；（4）浮点数提取：对于输入浮点数，按照浮点数进行提取；（5）字符提取：输入字节流，按照以’\0’结尾输出字符串；不判断结尾字符输出字符串；S112：复合数据类型提取，包括时间、实数数据类型提取；S113：字符编码提取，包括常用的UTF8编码提取、GBK编码提取、UNICODE编码提取；S114：常用编码规则，包括BASE64解码提取、ASN.1解码提取、URL解码提取、OLE通信产常用到的Unmarshalling提取；S115：多类型数据组合、嵌套提取，包括对数据分组，学习数据分组格式。与现有技术相比，本专利技术技术方案的有益效果是：本专利技术应用Progressiveneuralnetworks（渐进式神经网络模型）于电力私有协议的识别与解析，为电力私有协议的安全监测提供基础保障；根据电力私有协议网络通信数据，生成动态电力私有协议安全监测规则，为电力私有协议安全监测提供依据，大大减少纯人工创建规则导致误操作等情况的发生；通过对电力私有协议识别与解析、安全监测规则建立以及通信数据安全监测，实现了对于电力私有协议的安全监测，突破了传统的应用协议级安全监测必须依赖于完整协议规范的限制，可有效拓展安全监测系统的覆盖范围。附图说明图1为本专利技术流程图；图2为实施例1中人工神经网络模型；图3为实施例1中Progressiveneuralnetworks模型图；图4为实施例1中IEC103应用服务数据单元结构图；图5为实施例1中私有协议通信数据样例；图6为实施例1中私有协议解析效果图；图7为实施例1中操作指令规则图；图8为实施例1中数据字段规则图。具体实施方式附图仅用于示例性说明，不能理解为对本专利的限制；为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。下面结合附图和实施例对本专利技术的技术方案做进一步的说明。实施例1本专利技术提出的针对电力私有协议的安全监测方案，由电力私有协议识别与解析、电力私有协议安全监测规则建立和电力私有协议通信数据安全监测三部分组成，如图1所示。电力私有协议识别与解析由于私有协议规范的构建通常都根据自身通信环境需求，对已有通信协议进行定制化而得来，其基本原理与已有协议相同或则类似，本专利技术采用基于Progressiveneuralnetworks（渐进式神经网络模型），对电力系统中常用的IEC60870-5（IEC102/103/104等）、IEC71850（GOOSE、SV、MMS）以及其他应本文档来自技高网...

【技术保护点】
1.一种电力私有协议的安全监测方法，其特征在于，包括以下步骤：

【技术特征摘要】
1.一种电力私有协议的安全监测方法，其特征在于，包括以下步骤：S1：识别与解析电力私有协议；S2：基于识别与解析出的电力私有协议，建立电力私有协议安全监测规则；S3：根据建立的电力私有协议安全监测规则，安全监测电力私有协议通信数据。2.根据权利要求1所述的电力私有协议的安全监测方法，其特征在于，所述步骤S1的具体过程是：S11：构建一个基础协议数据分析提取网络，并且随机初始化所有连接的权重；S12：将已知的协议通信数据应用于所述分析提取网络中，分析提取网络处理这些解析并且进行学习；S13：若分析提取网络解析出的动作是正确的，则进行奖励，否则惩罚，以拟合最佳连接权重；S14：经过对于已知通信协议的识别与解析训练，学习私有协议的识别与解析，并提取相应的字段，期间搭建模拟环境，使用该私有协议的通信软件，设置针对性的通信内容，深度学习该通信数据输入与输出，对学习结果进行奖励与惩罚，提升深度学习算法的准确率。3.根据权利要求2所述的电力私有协议的安全监测方法，其特征在于，所述步骤S2的具体过程是：基于识别与解析出的电力私有协议，对电力系统中的私有协议网络流量提取相应的操作指令和数据字段；通过对操作指令数据范围进行统计分析，得出操作指令有效性配置；通过对各种操作指令的使用频率进行统计，对于使用概率极低的数据指令配置为可疑数据指令；通过数据字段类型与范围统计分析，生成数据字段有效性配置策略；对于时间字段，统计其最早时间，时间字段的范围应该在最早时间至当前时间加上时间同步合理偏差；对于数据字段通过进行线性回归分析，生成数据字段的动态阈值配置。4.根据权利要求3所述的电力私有协议的安全监测方法，其特征在于，所述步骤S3的具...

【专利技术属性】
技术研发人员：钟志明，何建宗，汪杰，林少华，苏扬，曾伟忠，吴钟飞，刘贯科，李祺威，段孟雍，徐文辉，陈凤超，刘沛林，何鑫，林亮成，邵凯田，
申请(专利权)人：广东电网有限责任公司东莞供电局，
类型：发明
国别省市：广东,44