[发明专利]一种新能源厂站涉网端实时交互过程异常检测方法及系统

说明书

一种新能源厂站涉网端实时交互过程异常检测方法及系统，基于预先设定的特征向量，对新能源厂站涉网端应用层的报文数据包进行解析，得到报文包对应的各特征向量数据；基于特征向量数据，通过K‑NN算法与各类异常报文的样本数据并行比对，得到报文数据包的类别。本方案基于预先设定的特征向量，有目的性的获取报文数据包中的特征向量数据用于共计类别分析，提高了分析效率；通过将报文数据的特征字段与异常数据的样本数据进行比对并通过K‑NN匹配算法对报文数据的类别进行比对判断，判别方法简单易于实现，无需估计参数，无需训练，且适合稀有事件、多分类问题，有效实现对新能源厂站的多分类特征的匹配，有效提升新能源厂站系统安全防护水平。

技术领域

本发明涉及电力信息安全领域，具体涉及一种新能源厂站涉网端实时交互过程异常检测方法及系统。

背景技术

随着全球新能源互联网的飞速发展与普及，为引入全新生产技术，提升能源生产效率，大批新能源厂站接入互联网。新能源涉网终端由此产生，涉网终端通过新能源厂站路由器与主站设备通信。通信过程具体表现为主站通过使用工控专有协议下发操作命令给各从站设备，从站设备接收主站命令并将信息采集结果反馈给主站。这个过程若由于意外情况接入外网，并且被恶意利用，将不仅会影响正常的厂站调度管理的业务，更严重的结果是导致厂站业务紊乱、数据篡改、现场机器受损，引发重大的安全事故。近年来针对大型新能源厂站系统的高级持续性威胁攻击事件时有发生，包括震网病毒、Duqu病毒、“方程式”组织病毒库，给关键新能源厂站系统带来了重大破坏，其安全性问题日益严峻。

综上所述，新能源厂站系统面对大量的安全隐患，且攻击类型众多。当厂站系统遭受意外情况或恶意攻击时，需要面向大量的攻击场景对厂站涉网端数据包进行攻击分析，造成分析效率低下，无法快速且精确的进行攻击类型的匹配识别。

发明内容

为了解决现有技术攻击类型分析效率低下，无法快速且精确的进行攻击类型的匹配识别的问题，本发明提供了一种新能源厂站涉网端实时交互过程异常检测方法及系统。

本发明提供的技术方案是：

一种新能源厂站涉网端实时交互过程异常检测方法，其特征在于，包括：

基于预先设定的特征向量，对新能源厂站涉网端层的报文数据包进行解析，得到所述报文数据包对应的各特征向量数据；

基于所述特征向量数据，通过K-NN算法与各类异常报文的样本数据并行比对，得到所述报文数据包的类别；

所述类别包括：正常报文类型和异常报文类型；其中所述异常报文类型包括：网络攻击、畸形报文和违规业务指令；

所述特征向量由所述异常报文类型设定。

优选的，所述特征向量类型的设定包括：

基于网络攻击设定的特征向量包括：源地址，目的地址，源端口或目的端口，确定网络攻击场景数据；

基于畸形报文设定的特征向量类型包括：报文长度；

基于违规业务指令设定的特征向量包括：报文下发时间，报文下发频次和报文携带命令。

优选的，所述基于预先设定的特征向量，对新能源厂站涉网端的报文数据包进行解析，得到所述报文包对应的各特征向量数据，包括：

基于异常报文类型将所述报文包解析为多个线程程序；

基于每个线程程序，将所述报文数据包进行解析，得到各特征向量数据；

所述数据包中包括多个报文数据；

每个报文数据都包括预先设定的特征向量。

优选的，所述基于所述特征向量数据，通过K-NN算法与各类异常报文的样本数据并行比对，得到所述报文数据包的类别，包括：