一种电力监控系统设备违规外联检测方法、系统及介质转让专利
申请号 : CN202010114928.8
文献号 : CN111314178B
文献日 : 2021-06-25
发明人 : 朱宏宇 , 田建伟 , 罗伟强 , 陈乾 , 刘绚 , 徐先勇
申请人 : 国网湖南省电力有限公司 , 国网湖南省电力有限公司电力科学研究院 , 国家电网有限公司
摘要 :
本发明公开了一种电力监控系统设备违规外联检测方法、系统及介质,本发明方法包括对相互隔离的不同网段的电力监控系统设备执行端口扫描,存储探测到各个电力监控系统设备的开放端口及其对应的服务特征数据;计算不同网段的两个电力监控系统设备的服务特征数据之间的相似度,如果任意两个电力监控系统设备的服务特征数据之间的相似度超过预设阈值,则判定该两个电力监控系统设备中的至少一台电力监控系统设备同时连接两个不同网段。本发明能够快速准确检测出电力监控系统设备的网络违规外联情况,适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中的实际配置情况,具有检测准确度高、检测速度快、实施方便快捷的优点。
权利要求 :
1.一种电力监控系统设备违规外联检测方法,其特征在于实施步骤包括:
1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据;
2)针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预设阈值,则判定该设备违规外联;所述相似度的函数表达式如下:
上式中,Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度,n为所有的服务特征数量,w(i)为第i项服务特征的独特性权值,W为所有服务特征的独特性权值之和,f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务特征,若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1,否则f(i)的值为0。
2.根据权利要求1所述的电力监控系统设备违规外联检测方法,其特征在于,步骤1)中的执行端口扫描具体是指对端口号从1‑65535的所有端口进行探测。
3.根据权利要求1所述的电力监控系统设备违规外联检测方法,其特征在于,步骤1)中的执行端口扫描具体是指对指定的多种端口进行探测。
4.根据权利要求3所述的电力监控系统设备违规外联检测方法,其特征在于,所述指定的多种端口包括端口号分别为22、139、177、513、3389、443、80、111的八种端口。
5.根据权利要求1所述的电力监控系统设备违规外联检测方法,其特征在于,所述服务特征数据为预设的独特性权值,所述独特性权值用于量化表示对应服务特征的独特性,独特性权值越高则服务特征的独特性越好。
6.一种电力监控系统设备违规外联检测系统,其特征在于包括:端口扫描程序单元,用于分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据;
跨联检测程序单元,用于针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预设阈值,则判定该设备违规外联;所述相似度的函数表达式如下:上式中,Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度,n为所有的服务特征数量,w(i)为第i项服务特征的独特性权值,W为所有服务特征的独特性权值之和,f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务特征,若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1,否则f(i)的值为0。
7.一种电力监控系统设备违规外联检测系统,包括计算机设备,其特征在于,该计算机设备被编程或配置以执行权利要求1~5中任意一项所述电力监控系统设备违规外联检测方法的步骤。
8.一种电力监控系统设备违规外联检测系统,包括计算机设备,其特征在于,该计算机设备的存储器上存储有被编程或配置以执行权利要求1~5中任意一项所述电力监控系统设备违规外联检测方法的计算机程序。
9.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有被编程或配置以执行权利要求1~5中任意一项所述电力监控系统设备违规外联检测方法的计算机程序。
说明书 :
一种电力监控系统设备违规外联检测方法、系统及介质
技术领域
[0001] 本发明涉及电力监控系统网络安全检测技术,具体涉及一种电力监控系统设备违规外联检测方法、系统及介质。
背景技术
[0002] 近年来,网络安全形势日益严峻。能源和电力等领域的关键信息基础设施可能遭到重点攻击,是网络安全的重中之重。电力行业网络安全的核心是其采集控制系统——即
电力监控系统的安全。电力监控系统运行于与外界几乎是物理隔离的网络环境中,一旦这
个边界被打破,控制设备将暴露在外部网络中,而这些设备恰恰是软硬件受限而防护水平
较低的,这将带来巨大的安全风险。在电力监控系统中,出于业务与网络冗余的需要,一台
控制或采集设备同时连入多个内部局域网是很常见的。但如果由于设计缺陷或运维人员的
人为因素,使得设备同时连入了内部控制网络与办公网甚至是互联网,就发生了违规跨区
连接。排除违规跨连隐患的有效手段是现场排查网络结构,目前的现场检查主要依靠人工
查线,但该方式遇到以下两个难题:一是电力监控系统网络结构呈栅格状,比较复杂,在短
时间内查清网络拓扑对专业知识要求很高;二是并网电厂网络运维力量薄弱,现场无法查
看网络设备中的配置,经常遇到现场网线标签缺失、接线混乱的情况,难以继续追查线的去
向。总的来说,人工排查方式耗时多、易遗漏。
电力监控系统的安全。电力监控系统运行于与外界几乎是物理隔离的网络环境中,一旦这
个边界被打破,控制设备将暴露在外部网络中,而这些设备恰恰是软硬件受限而防护水平
较低的,这将带来巨大的安全风险。在电力监控系统中,出于业务与网络冗余的需要,一台
控制或采集设备同时连入多个内部局域网是很常见的。但如果由于设计缺陷或运维人员的
人为因素,使得设备同时连入了内部控制网络与办公网甚至是互联网,就发生了违规跨区
连接。排除违规跨连隐患的有效手段是现场排查网络结构,目前的现场检查主要依靠人工
查线,但该方式遇到以下两个难题:一是电力监控系统网络结构呈栅格状,比较复杂,在短
时间内查清网络拓扑对专业知识要求很高;二是并网电厂网络运维力量薄弱,现场无法查
看网络设备中的配置,经常遇到现场网线标签缺失、接线混乱的情况,难以继续追查线的去
向。总的来说,人工排查方式耗时多、易遗漏。
发明内容
[0003] 本发明要解决的技术问题:针对现有技术的上述问题,提供一种电力监控系统设备违规外联检测方法、系统及介质,本发明能够快速准确检测出电力监控系统设备的网络
违规外联情况,适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中
的实际配置情况,具有检测准确度高、检测速度快、实施方便快捷的优点。
违规外联情况,适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中
的实际配置情况,具有检测准确度高、检测速度快、实施方便快捷的优点。
[0004] 为了解决上述技术问题,本发明采用的技术方案为:
[0005] 一种电力监控系统设备违规外联检测方法,实施步骤包括:
[0006] 1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据;
[0007] 2)针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预设阈值,则判定该设备
违规外联。
违规外联。
[0008] 可选地,步骤1)中的执行端口扫描具体是指对端口号从1‑65535的所有端口进行探测。
[0009] 可选地,步骤1)中的执行端口扫描具体是指对指定的多种端口进行探测。
[0010] 可选地,所述指定的多种端口包括端口号分别为22、139、177、513、3389、443、80、111的八种端口。
[0011] 可选地,所述服务特征数据为预设的独特性权值,所述独特性权值用于量化表示对应服务特征的独特性,独特性权值越高则服务特征的独特性越好。
[0012] 可选地,步骤2)中相似度的函数表达式如下:
[0013]
[0014] 上式中,Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度,n为所有的服务特征数量,w(i)为第i项服务特征的独特性权值,W为所有服务
特征的独特性权值之和,f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务
特征,若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1,否则f(i)的值
为0。
特征的独特性权值之和,f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务
特征,若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1,否则f(i)的值
为0。
[0015] 此外,本发明还提供一种电力监控系统设备违规外联检测系统,包括:
[0016] 端口扫描程序单元,用于分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其
对应的服务特征数据;
对应的服务特征数据;
[0017] 跨联检测程序单元,用于针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预
设阈值,则判定该设备违规外联。
设阈值,则判定该设备违规外联。
[0018] 此外,本发明还提供一种电力监控系统设备违规外联检测系统,包括计算机设备,该计算机设备被编程或配置以执行所述电力监控系统设备违规外联检测方法的步骤。
[0019] 此外,本发明还提供一种电力监控系统设备违规外联检测系统,包括计算机设备,该计算机设备的存储器上存储有被编程或配置以执行所述电力监控系统设备违规外联检
测方法的计算机程序。
测方法的计算机程序。
[0020] 此外,本发明还提供一种计算机可读存储介质,该计算机可读存储介质上存储有被编程或配置以执行所述电力监控系统设备违规外联检测方法的计算机程序。
[0021] 和现有技术相比,本发明具有下述优点:本发明分别对相互隔离的不同网段的电力监控系统设备执行端口扫描,存储开放端口及其对应的服务特征数据;分别计算不同网
段的两个电力监控系统设备的服务特征数据之间的相似度,如果任意两个电力监控系统设
备的服务特征数据之间的相似度超过预设阈值,则判定不同网段的两个电力监控系统设备
为存在网络跨接的同一电力监控系统设备,本发明能够快速准确检测出电力监控系统设备
的网络违规外联情况,适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络
设备中的实际配置情况,具有检测准确度高、检测速度快、实施方便快捷的优点。
段的两个电力监控系统设备的服务特征数据之间的相似度,如果任意两个电力监控系统设
备的服务特征数据之间的相似度超过预设阈值,则判定不同网段的两个电力监控系统设备
为存在网络跨接的同一电力监控系统设备,本发明能够快速准确检测出电力监控系统设备
的网络违规外联情况,适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络
设备中的实际配置情况,具有检测准确度高、检测速度快、实施方便快捷的优点。
附图说明
[0022] 图1为本发明实施例方法的基本流程示意图。
[0023] 图2为本发明实施例中的检测工具部署的拓扑结构示意图。
[0024] 图3为本发明实施例方法的检测原理示意图。
具体实施方式
[0025] 如图1所示,本实施例电力监控系统设备违规外联检测方法的实施步骤包括:
[0026] 1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据;
[0027] 2)针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预设阈值,则判定该设备
违规外联。
违规外联。
[0028] 参见图1,步骤2)的详细步骤包括:
[0029] 2.1)遍历选择电力监控系统网络中的一个设备作为当前设备;
[0030] 2.2)遍历选择外部公共网络中的一个设备作为当前比对设备;
[0031] 2.3)计算当前设备、当前比对设备两者之间的服务特征数据的相似度;
[0032] 2.4)判断相似度超过预设阈值是否成立,如果成立则判定当前设备违规外联;
[0033] 2.5)判断外部公共网络的所有设备是否遍历完毕,如果尚未遍历完毕则跳转执行步骤2.2);否则跳转执行下一步;
[0034] 2.6)判断电力监控系统网络的所有设备是否遍历完毕,如果尚未遍历完毕则跳转执行步骤2.1);否则结束并退出。
[0035] 每一个电力监控系统网络、外部公共网络中的设备都有一个IP地址,对目标网段中的每个IP地址进行端口扫描是现有技术,端口扫描的原理是对目标TCP或UDP端口发起连
接请求,若目标IP地址所属的设备响应了连接请求。则说明该设备开放了相应端口,若目标
设备超过设定时间未应答连接请求,则判断该设备未开放相应端口。作为一种可选的实施
方式,步骤1)中的执行端口扫描具体是指对端口号从1‑65535的所有端口进行探测,这种方
式准确但耗时。作为一种可选的实施方式,步骤1)中的执行端口扫描具体是指对指定的多
种端口进行探测,例如可对常见一百余种服务的默认端口进行探测,包括FTP(21)、SSH
(22)、Telnet(23)等,这种方式可能遗漏部分端口但扫描更快。上述两种执行端口扫描的方
式在使用中可根据网络规模和现场检测时间长度进行选择。
接请求,若目标IP地址所属的设备响应了连接请求。则说明该设备开放了相应端口,若目标
设备超过设定时间未应答连接请求,则判断该设备未开放相应端口。作为一种可选的实施
方式,步骤1)中的执行端口扫描具体是指对端口号从1‑65535的所有端口进行探测,这种方
式准确但耗时。作为一种可选的实施方式,步骤1)中的执行端口扫描具体是指对指定的多
种端口进行探测,例如可对常见一百余种服务的默认端口进行探测,包括FTP(21)、SSH
(22)、Telnet(23)等,这种方式可能遗漏部分端口但扫描更快。上述两种执行端口扫描的方
式在使用中可根据网络规模和现场检测时间长度进行选择。
[0036] 作为一种可选的实施方式示例,本实施例中指定的多种端口包括端口号分别为22、139、177、513、3389、443、80、111的八种端口。
[0037] 本实施例中,服务特征数据为预设的独特性权值,所述独特性权值用于量化表示对应服务特征的独特性,独特性权值越高则服务特征的独特性越好。本实施例中指定的多
种端口及其服务特征数据如表1所示:
种端口及其服务特征数据如表1所示:
[0038] 表1:端口及其服务特征数据表。
[0039]
[0040] 若目标设备开放了表1中列出的端口,则进一步获取每个端口对应服务的独特性权值(详见表1),这些独特性权值均能表征开放此服务的设备身份。
[0041] 实际网络环境中,不同设备的某个服务特征可能相同,而且不同类型的特征发生碰撞的可能性不同,例如HTTP默认页面相同的可能性非常大,不同设备SSH Host key相同
的可能性较小。因此需要考虑多个特征对设备指纹独特性的贡献大小,综合得出两两设备
信息之间的相似性。本方法赋予了表1中不同特征不同的权值(表1中“独特性权值”列),权
值越高,特征独特性越好。步骤2)中相似度的函数表达式如下:
的可能性较小。因此需要考虑多个特征对设备指纹独特性的贡献大小,综合得出两两设备
信息之间的相似性。本方法赋予了表1中不同特征不同的权值(表1中“独特性权值”列),权
值越高,特征独特性越好。步骤2)中相似度的函数表达式如下:
[0042]
[0043] 上式中,Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度,n为所有的服务特征数量(参见表1,本实施例中具体取值为8),w(i)为第i项服
务特征的独特性权值,W为所有服务特征的独特性权值之和,f(i)用于表示两个电力监控系
统设备A和B是否都具有第i项服务特征,若两个电力监控系统设备A和B都具有第i项服务特
征则f(i)的值为1,否则f(i)的值为0。Sim(A,B)的值越高,说明设备A与设备B的相似度越
高,越可能是一台同时连接了两个不同网段。
务特征的独特性权值,W为所有服务特征的独特性权值之和,f(i)用于表示两个电力监控系
统设备A和B是否都具有第i项服务特征,若两个电力监控系统设备A和B都具有第i项服务特
征则f(i)的值为1,否则f(i)的值为0。Sim(A,B)的值越高,说明设备A与设备B的相似度越
高,越可能是一台同时连接了两个不同网段。
[0044] 如图3所示,本实施例预先在数据收集阶段收集电力监控系统现场不同网段的IP地址段。紧接着在步骤1)会对目标IP地址段进行端口开放扫描,根据端口开放情况,进一步
开展针对特定服务的特征探测,例如获取HTTPS的证书哈希值、SSH服务SSH Server key
(Host Key)的哈希值等。参见前文计算不同网段的两个电力监控系统设备的服务特征数据
之间的相似度的函数表达式可知,f(i)的值为1表示两个电力监控系统设备A和B都具有第i
项服务特征,此时w(i)/W即可计算出两个电力监控系统设备A和B两者对应第i项服务特征
的权值ai,权值ai是按该服务特征在不同设备之间发生碰撞的可能性高低来取值的。以图3
为例,139端口对应的服务特征数据为Netbios主机名(Netbios Name),其计算的权值a1;
177端口对应的服务特征数据为Xdmcp主机名(Xdmcp Name),其计算的权值a2;22端口对应
的服务特征数据为SSH主机名(SSH Server key),其计算的权值a3;513端口对应的服务特
征数据为Rlogin主机名(Rlogin Server key),其计算的权值ai;111端口对应的服务特征
数据为Rpc映射端口信息(RPC Info),其计算的权值ai+1;依次类推。最终采用设备指纹画像
算法采用式(1)所示函数表达式将所有有效的(f(i)值为1)服务特征的权值ai之和则构成
了两个电力监控系统设备的服务特征数据之间的相似度,在不同网段的设备两两之间的相
似度计算完成后,相似度越高的设备就越有可能违规跨区连接了不同网段。
开展针对特定服务的特征探测,例如获取HTTPS的证书哈希值、SSH服务SSH Server key
(Host Key)的哈希值等。参见前文计算不同网段的两个电力监控系统设备的服务特征数据
之间的相似度的函数表达式可知,f(i)的值为1表示两个电力监控系统设备A和B都具有第i
项服务特征,此时w(i)/W即可计算出两个电力监控系统设备A和B两者对应第i项服务特征
的权值ai,权值ai是按该服务特征在不同设备之间发生碰撞的可能性高低来取值的。以图3
为例,139端口对应的服务特征数据为Netbios主机名(Netbios Name),其计算的权值a1;
177端口对应的服务特征数据为Xdmcp主机名(Xdmcp Name),其计算的权值a2;22端口对应
的服务特征数据为SSH主机名(SSH Server key),其计算的权值a3;513端口对应的服务特
征数据为Rlogin主机名(Rlogin Server key),其计算的权值ai;111端口对应的服务特征
数据为Rpc映射端口信息(RPC Info),其计算的权值ai+1;依次类推。最终采用设备指纹画像
算法采用式(1)所示函数表达式将所有有效的(f(i)值为1)服务特征的权值ai之和则构成
了两个电力监控系统设备的服务特征数据之间的相似度,在不同网段的设备两两之间的相
似度计算完成后,相似度越高的设备就越有可能违规跨区连接了不同网段。
[0045] 此外,本实施例还提供一种电力监控系统设备违规外联检测系统,包括:
[0046] 端口扫描程序单元,用于分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其
对应的服务特征数据;
对应的服务特征数据;
[0047] 跨联检测程序单元,用于针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预
设阈值,则判定该设备违规外联。
设阈值,则判定该设备违规外联。
[0048] 此外,本实施例还提供一种电力监控系统设备违规外联检测系统,包括计算机设备,该计算机设备被编程或配置以执行前述电力监控系统设备违规外联检测方法的步骤。
需要说明的是,上述电力监控系统设备违规外联检测系统可以根据需要采用下述两种可选
的实施方式中的一种:
需要说明的是,上述电力监控系统设备违规外联检测系统可以根据需要采用下述两种可选
的实施方式中的一种:
[0049] 方式一:非持续监测的方式。将电力监控系统设备违规外联检测系统(计算机设备)依次接入各个网段,并执行前述电力监控系统设备违规外联检测方法的步骤1);然后,
通过该电力监控系统设备违规外联检测系统(计算机设备)来执行前述电力监控系统设备
违规外联检测方法的步骤2)以实现电力监控系统设备违规外联检测。该方式下,可以有效
降低电力监控系统设备违规外联检测系统的设备费用和实施成本。
通过该电力监控系统设备违规外联检测系统(计算机设备)来执行前述电力监控系统设备
违规外联检测方法的步骤2)以实现电力监控系统设备违规外联检测。该方式下,可以有效
降低电力监控系统设备违规外联检测系统的设备费用和实施成本。
[0050] 以图2所示的电力监控系统设备网络为例,该电力监控系统设备网络包括电力监控系统网络、外部公共网络两个网段,因此需要将电力监控系统设备违规外联检测系统先
后接入电力监控系统网络、外部公共网络两个网段。例如,首先接入电力监控系统网络(参
见图2中的位置①),执行前述电力监控系统设备违规外联检测方法的步骤1)探测到电力监
控系统网络中各个电力监控系统设备的开放端口及其对应的服务特征数据;然后接入外部
公共网络(参见图2中的位置②),执行前述电力监控系统设备违规外联检测方法的步骤1)
探测到外部公共网络中各个电力监控系统设备的开放端口及其对应的服务特征数据;在此
基础上即可执行前述电力监控系统设备违规外联检测方法的步骤2)以实现电力监控系统
设备违规外联检测,通过计算不同网段设备两两之间的相似度,相似度高的设备就可能违
规同时接入了不同网段。参见图2,该电力监控系统包括电力监控系统网络、电厂网络、外部
公共网络。电力监控系统网络中部署有调度主站及变电站,包括变电站SCADA系统、主站核
心控制系统,变电站SCADA系统、主站核心控制系统通过调度数据网与电厂的设备相连。电
厂网络和电力监控系统网络之间设有纵向加密认证装置,电厂包括局域网交换机以及与其
相连的风机、普通调试笔记本、风机集群功率控制系统,电厂网络通过反向隔离装置与外部
公共网络相连。外部公共网络包括气象服务器和路由器,且路由器连接到互联网。其中电厂
网络、外部公共网络作为相互隔离的不同网段,分别连接有电力监控系统设备违规外联检
测装置1和电力监控系统设备违规外联检测装置2,用于判断是否有电力监控系统设备同时
连接了电厂网络、外部公共网络。
后接入电力监控系统网络、外部公共网络两个网段。例如,首先接入电力监控系统网络(参
见图2中的位置①),执行前述电力监控系统设备违规外联检测方法的步骤1)探测到电力监
控系统网络中各个电力监控系统设备的开放端口及其对应的服务特征数据;然后接入外部
公共网络(参见图2中的位置②),执行前述电力监控系统设备违规外联检测方法的步骤1)
探测到外部公共网络中各个电力监控系统设备的开放端口及其对应的服务特征数据;在此
基础上即可执行前述电力监控系统设备违规外联检测方法的步骤2)以实现电力监控系统
设备违规外联检测,通过计算不同网段设备两两之间的相似度,相似度高的设备就可能违
规同时接入了不同网段。参见图2,该电力监控系统包括电力监控系统网络、电厂网络、外部
公共网络。电力监控系统网络中部署有调度主站及变电站,包括变电站SCADA系统、主站核
心控制系统,变电站SCADA系统、主站核心控制系统通过调度数据网与电厂的设备相连。电
厂网络和电力监控系统网络之间设有纵向加密认证装置,电厂包括局域网交换机以及与其
相连的风机、普通调试笔记本、风机集群功率控制系统,电厂网络通过反向隔离装置与外部
公共网络相连。外部公共网络包括气象服务器和路由器,且路由器连接到互联网。其中电厂
网络、外部公共网络作为相互隔离的不同网段,分别连接有电力监控系统设备违规外联检
测装置1和电力监控系统设备违规外联检测装置2,用于判断是否有电力监控系统设备同时
连接了电厂网络、外部公共网络。
[0051] 方式二:持续监测的方式,在每一个网段都部署一台电力监控系统设备违规外联检测系统(计算机设备)以执行前述电力监控系统设备违规外联检测方法的步骤1);然后,
这些电力监控系统设备违规外联检测系统(计算机设备)将探测到各个电力监控系统设备
的开放端口及其对应的服务特征数据汇集到一个电力监控系统设备违规外联检测系统(计
算机设备),并通过该电力监控系统设备违规外联检测系统(计算机设备)来执行前述电力
监控系统设备违规外联检测方法的步骤2)以实现电力监控系统设备违规外联检测。
这些电力监控系统设备违规外联检测系统(计算机设备)将探测到各个电力监控系统设备
的开放端口及其对应的服务特征数据汇集到一个电力监控系统设备违规外联检测系统(计
算机设备),并通过该电力监控系统设备违规外联检测系统(计算机设备)来执行前述电力
监控系统设备违规外联检测方法的步骤2)以实现电力监控系统设备违规外联检测。
[0052] 此外,本实施例还提供一种电力监控系统设备违规外联检测系统,包括计算机设备,该计算机设备的存储器上存储有被编程或配置以执行前述电力监控系统设备违规外联
检测方法的计算机程序。
检测方法的计算机程序。
[0053] 此外,本实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有被编程或配置以执行前述电力监控系统设备违规外联检测方法的计算机程序。
[0054] 以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域
的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也
应视为本发明的保护范围。
的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也
应视为本发明的保护范围。