[发明专利]一种新能源厂站涉网端实时交互过程异常检测方法及系统

权利要求书

1.一种新能源厂站涉网端实时交互过程异常检测方法，其特征在于，包括：

基于预先设定的特征向量，对新能源厂站涉网端的报文数据包进行解析，得到所述报文数据包对应的各特征向量数据；

基于所述特征向量数据，通过K-NN算法与各类异常报文的样本数据并行比对，得到所述报文数据包的类别；

所述类别包括：正常报文类型和异常报文类型；其中所述异常报文类型包括：网络攻击、畸形报文和违规业务指令；

所述特征向量由所述异常报文类型设定。

2.如权利要求1所述的方法，其特征在于，所述特征向量类型的设定包括：

基于网络攻击设定的特征向量包括：源地址，目的地址，源端口或目的端口，确定网络攻击场景数据；

基于畸形报文设定的特征向量类型包括：报文长度；

基于违规业务指令设定的特征向量包括：报文下发时间，报文下发频次和报文携带命令。

3.如权利要求2所述的方法，其特征在于，所述基于预先设定的特征向量，对新能源厂站涉网端的报文数据包进行解析，得到所述报文数据包对应的各特征向量数据，包括：

基于异常报文类型将所述报文包解析为多个线程程序；

基于每个线程程序，将所述报文数据包进行解析，得到各特征向量数据；

所述数据包中包括多个报文数据；

每个报文数据都包括预先设定的特征向量。

4.如权利要求3所述的方法，其特征在于，所述基于所述特征向量数据，通过K-NN算法与各类异常报文的样本数据并行比对，得到所述报文数据包的类别，包括：

基于所述多个线程程序，并行计算每个报文数据包中各特征向量数据与各异常报文类型对应的样本数据之间的欧式距离；

若欧式距离均大于设定阈值，则当前报文数据包为正常报文类型；否则，根据所述欧式距离判断当前报文数据包的异常报文类型；

其中每个线程程序分别对应一种异常报文类型。

5.如权利要求4所述的方法，其特征在于，所述欧式距离通过下式计算：

其中d(x₁,x₂)为特征向量数据与异常报文类型对应的样本数据之间的欧式距离，x_1k为第k类异常样本特征向量的位置，x_2k为第k类特征向量数据的位置。

6.如权利要求4所述的方法，其特征在于，所述根据所述欧式距离判断当前报文数据包的异常报文类型，包括：

按照设定数量优先选择欧式距离小的报文数据；

统计所述报文数据对应的异常报文类型；

最多的异常报文类型为前报文数据包的异常报文类型。

7.一种新能源厂站涉网端实时交互过程异常检测系统，其特征在于，所述系统，包括：

解析模块：基于预先设定的特征向量，对新能源厂站涉网端的报文数据包进行解析，得到所述报文数据包对应的各特征向量数据；

比对模块：基于所述特征向量数据，通过K-NN算法与各类异常报文的样本数据并行比对，得到所述报文数据包的类别；

所述比对模块得到的类别包括：正常报文类型和异常报文类型；其中所述异常报文类型包括：网络攻击、畸形报文和违规业务指令；

所述解析模块中的特征向量由所述异常报文类型设定。

8.如权利要求7所述的系统，其特征在于，所述解析模块中包括：特征向量类型设定子模块；

所述特征向量类型设定子模块，包括：

网络攻击特征向量设定单元：基于网络攻击设定的特征向量包括：源地址，目的地址，源端口或目的端口，确定网络攻击场景数据；

畸形报文特征向量设定单元：基于畸形报文设定的特征向量类型包括：报文长度；

违规业务指令特征向量设定单元：基于违规业务指令设定的特征向量包括：报文下发时间，报文下发频次和报文携带命令。