一种电力监控系统设备违规外联检测方法、系统及介质转让专利
申请号 : CN202010114928.8
文献号 : CN111314178B
文献日 : 2021-06-25
发明人 : 朱宏宇 , 田建伟 , 罗伟强 , 陈乾 , 刘绚 , 徐先勇
申请人 : 国网湖南省电力有限公司 , 国网湖南省电力有限公司电力科学研究院 , 国家电网有限公司
摘要 :
权利要求 :
1.一种电力监控系统设备违规外联检测方法,其特征在于实施步骤包括:
1)分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据;
2)针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预设阈值,则判定该设备违规外联;所述相似度的函数表达式如下:
上式中,Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度,n为所有的服务特征数量,w(i)为第i项服务特征的独特性权值,W为所有服务特征的独特性权值之和,f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务特征,若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1,否则f(i)的值为0。
2.根据权利要求1所述的电力监控系统设备违规外联检测方法,其特征在于,步骤1)中的执行端口扫描具体是指对端口号从1‑65535的所有端口进行探测。
3.根据权利要求1所述的电力监控系统设备违规外联检测方法,其特征在于,步骤1)中的执行端口扫描具体是指对指定的多种端口进行探测。
4.根据权利要求3所述的电力监控系统设备违规外联检测方法,其特征在于,所述指定的多种端口包括端口号分别为22、139、177、513、3389、443、80、111的八种端口。
5.根据权利要求1所述的电力监控系统设备违规外联检测方法,其特征在于,所述服务特征数据为预设的独特性权值,所述独特性权值用于量化表示对应服务特征的独特性,独特性权值越高则服务特征的独特性越好。
6.一种电力监控系统设备违规外联检测系统,其特征在于包括:端口扫描程序单元,用于分别对相互隔离的电力监控系统网络、外部公共网络中的设备执行端口扫描,检测电力监控系统网络、外部公共网络中各个设备的开放端口及其对应的服务特征数据;
跨联检测程序单元,用于针对电力监控系统网络中的每一个设备,分别计算该设备和外部公共网络中的任意设备两者之间的服务特征数据的相似度,如果该相似度超过预设阈值,则判定该设备违规外联;所述相似度的函数表达式如下:上式中,Sim(A,B)表示不同网段的两个电力监控系统设备A和B的服务特征数据之间的相似度,n为所有的服务特征数量,w(i)为第i项服务特征的独特性权值,W为所有服务特征的独特性权值之和,f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务特征,若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1,否则f(i)的值为0。
7.一种电力监控系统设备违规外联检测系统,包括计算机设备,其特征在于,该计算机设备被编程或配置以执行权利要求1~5中任意一项所述电力监控系统设备违规外联检测方法的步骤。
8.一种电力监控系统设备违规外联检测系统,包括计算机设备,其特征在于,该计算机设备的存储器上存储有被编程或配置以执行权利要求1~5中任意一项所述电力监控系统设备违规外联检测方法的计算机程序。
9.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有被编程或配置以执行权利要求1~5中任意一项所述电力监控系统设备违规外联检测方法的计算机程序。
说明书 :
一种电力监控系统设备违规外联检测方法、系统及介质
技术领域
背景技术
电力监控系统的安全。电力监控系统运行于与外界几乎是物理隔离的网络环境中,一旦这
个边界被打破,控制设备将暴露在外部网络中,而这些设备恰恰是软硬件受限而防护水平
较低的,这将带来巨大的安全风险。在电力监控系统中,出于业务与网络冗余的需要,一台
控制或采集设备同时连入多个内部局域网是很常见的。但如果由于设计缺陷或运维人员的
人为因素,使得设备同时连入了内部控制网络与办公网甚至是互联网,就发生了违规跨区
连接。排除违规跨连隐患的有效手段是现场排查网络结构,目前的现场检查主要依靠人工
查线,但该方式遇到以下两个难题:一是电力监控系统网络结构呈栅格状,比较复杂,在短
时间内查清网络拓扑对专业知识要求很高;二是并网电厂网络运维力量薄弱,现场无法查
看网络设备中的配置,经常遇到现场网线标签缺失、接线混乱的情况,难以继续追查线的去
向。总的来说,人工排查方式耗时多、易遗漏。
发明内容
违规外联情况,适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络设备中
的实际配置情况,具有检测准确度高、检测速度快、实施方便快捷的优点。
违规外联。
特征的独特性权值之和,f(i)用于表示两个电力监控系统设备A和B是否都具有第i项服务
特征,若两个电力监控系统设备A和B都具有第i项服务特征则f(i)的值为1,否则f(i)的值
为0。
对应的服务特征数据;
设阈值,则判定该设备违规外联。
测方法的计算机程序。
段的两个电力监控系统设备的服务特征数据之间的相似度,如果任意两个电力监控系统设
备的服务特征数据之间的相似度超过预设阈值,则判定不同网段的两个电力监控系统设备
为存在网络跨接的同一电力监控系统设备,本发明能够快速准确检测出电力监控系统设备
的网络违规外联情况,适用于呈栅格状的复杂电力监控系统网络结构、无需注意查看网络
设备中的实际配置情况,具有检测准确度高、检测速度快、实施方便快捷的优点。
附图说明
具体实施方式
违规外联。
接请求,若目标IP地址所属的设备响应了连接请求。则说明该设备开放了相应端口,若目标
设备超过设定时间未应答连接请求,则判断该设备未开放相应端口。作为一种可选的实施
方式,步骤1)中的执行端口扫描具体是指对端口号从1‑65535的所有端口进行探测,这种方
式准确但耗时。作为一种可选的实施方式,步骤1)中的执行端口扫描具体是指对指定的多
种端口进行探测,例如可对常见一百余种服务的默认端口进行探测,包括FTP(21)、SSH
(22)、Telnet(23)等,这种方式可能遗漏部分端口但扫描更快。上述两种执行端口扫描的方
式在使用中可根据网络规模和现场检测时间长度进行选择。
种端口及其服务特征数据如表1所示:
的可能性较小。因此需要考虑多个特征对设备指纹独特性的贡献大小,综合得出两两设备
信息之间的相似性。本方法赋予了表1中不同特征不同的权值(表1中“独特性权值”列),权
值越高,特征独特性越好。步骤2)中相似度的函数表达式如下:
务特征的独特性权值,W为所有服务特征的独特性权值之和,f(i)用于表示两个电力监控系
统设备A和B是否都具有第i项服务特征,若两个电力监控系统设备A和B都具有第i项服务特
征则f(i)的值为1,否则f(i)的值为0。Sim(A,B)的值越高,说明设备A与设备B的相似度越
高,越可能是一台同时连接了两个不同网段。
开展针对特定服务的特征探测,例如获取HTTPS的证书哈希值、SSH服务SSH Server key
(Host Key)的哈希值等。参见前文计算不同网段的两个电力监控系统设备的服务特征数据
之间的相似度的函数表达式可知,f(i)的值为1表示两个电力监控系统设备A和B都具有第i
项服务特征,此时w(i)/W即可计算出两个电力监控系统设备A和B两者对应第i项服务特征
的权值ai,权值ai是按该服务特征在不同设备之间发生碰撞的可能性高低来取值的。以图3
为例,139端口对应的服务特征数据为Netbios主机名(Netbios Name),其计算的权值a1;
177端口对应的服务特征数据为Xdmcp主机名(Xdmcp Name),其计算的权值a2;22端口对应
的服务特征数据为SSH主机名(SSH Server key),其计算的权值a3;513端口对应的服务特
征数据为Rlogin主机名(Rlogin Server key),其计算的权值ai;111端口对应的服务特征
数据为Rpc映射端口信息(RPC Info),其计算的权值ai+1;依次类推。最终采用设备指纹画像
算法采用式(1)所示函数表达式将所有有效的(f(i)值为1)服务特征的权值ai之和则构成
了两个电力监控系统设备的服务特征数据之间的相似度,在不同网段的设备两两之间的相
似度计算完成后,相似度越高的设备就越有可能违规跨区连接了不同网段。
对应的服务特征数据;
设阈值,则判定该设备违规外联。
需要说明的是,上述电力监控系统设备违规外联检测系统可以根据需要采用下述两种可选
的实施方式中的一种:
通过该电力监控系统设备违规外联检测系统(计算机设备)来执行前述电力监控系统设备
违规外联检测方法的步骤2)以实现电力监控系统设备违规外联检测。该方式下,可以有效
降低电力监控系统设备违规外联检测系统的设备费用和实施成本。
后接入电力监控系统网络、外部公共网络两个网段。例如,首先接入电力监控系统网络(参
见图2中的位置①),执行前述电力监控系统设备违规外联检测方法的步骤1)探测到电力监
控系统网络中各个电力监控系统设备的开放端口及其对应的服务特征数据;然后接入外部
公共网络(参见图2中的位置②),执行前述电力监控系统设备违规外联检测方法的步骤1)
探测到外部公共网络中各个电力监控系统设备的开放端口及其对应的服务特征数据;在此
基础上即可执行前述电力监控系统设备违规外联检测方法的步骤2)以实现电力监控系统
设备违规外联检测,通过计算不同网段设备两两之间的相似度,相似度高的设备就可能违
规同时接入了不同网段。参见图2,该电力监控系统包括电力监控系统网络、电厂网络、外部
公共网络。电力监控系统网络中部署有调度主站及变电站,包括变电站SCADA系统、主站核
心控制系统,变电站SCADA系统、主站核心控制系统通过调度数据网与电厂的设备相连。电
厂网络和电力监控系统网络之间设有纵向加密认证装置,电厂包括局域网交换机以及与其
相连的风机、普通调试笔记本、风机集群功率控制系统,电厂网络通过反向隔离装置与外部
公共网络相连。外部公共网络包括气象服务器和路由器,且路由器连接到互联网。其中电厂
网络、外部公共网络作为相互隔离的不同网段,分别连接有电力监控系统设备违规外联检
测装置1和电力监控系统设备违规外联检测装置2,用于判断是否有电力监控系统设备同时
连接了电厂网络、外部公共网络。
这些电力监控系统设备违规外联检测系统(计算机设备)将探测到各个电力监控系统设备
的开放端口及其对应的服务特征数据汇集到一个电力监控系统设备违规外联检测系统(计
算机设备),并通过该电力监控系统设备违规外联检测系统(计算机设备)来执行前述电力
监控系统设备违规外联检测方法的步骤2)以实现电力监控系统设备违规外联检测。
检测方法的计算机程序。
的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也
应视为本发明的保护范围。