【专利摘要】一种网络安全检测的新方法及装置，其方法有：采集各设备的流量数据，将各流量数据来进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流；存储设备数据流；将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据来进行比较；若属于第一指标数据，则将设备数据流与预设特征基线作比较；若属于第二指标数据，则查询该设备数据流对应的历史设备数据流，确定设备数据流的周期性基线，并作比较；若属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，确定预设时间内设备数据流的平均值，并作比较，从而判断出网络异常状态。本发明提高网络安全检测精确度。

  [0001]本发明涉及网络通讯【技术领域】，特别是涉及网络安全检测方法及装置。

  [0002]随着电力自动化水平的提高，通信技术和网络技术的发展，电力系统越来越依赖电力信息网络来保障其安全、可靠和高效的运行，信息网络的安全直接关系到电力系统的安全，因此保证电力系统信息安全显得尤为重要。

  [0003]随着一体化智能运行系统研发及应用的深入发展，基于OSB总线的各种应用之间的交互快速增长，安全问题逐渐突出，传统的电力二次系统安全防护面临巨大的新挑战。与传统独立的应用系统不同，一体化智能运行系统各应用之间的系统边界更加模糊，应用间交互更加复杂。结合生产控制系统的网络及业务特征，综合运用多种先进的信息安全技术手段，设计合理使用的应用服务特征识别及应用交互行为分析系统，在应对二次系统安全防护新问题，确保系统安全稳定运行方面具有重要意义。

  [0004]伴随着带宽的增加，电力二次系统网络上的应用和业务也不断的丰富，如控制业务流量，监控业务流量和其它误操作流量等等。与此同时，网络攻击的成本和技术门槛大幅下降，网络上会出现各种攻击和异常流量。在这种流量成分日益复杂，异常流量海量涌现的情况下，对业务行为交互模式的深入分析从而全面了解业务流量的各种分布以及变化趋势就显得十分必要了。

  [0005]传统方法是采用IDS技术(Intrusion Detection System,入侵检测检测)，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息，并对其进行关键字判断，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。也可以通过对每个设备判断流量，当流量大于阈值时，则判断为异常。然而，往往有些设备流量较大时，设备数据流属于正常情况，采用关键字或阈值的判断方式，常将正常的设备数据流误判为异常，从而得出网络异常，检测精确度低。

  [0006]基于此，有必要针对检测精度低的问题，提供一种网络安全检测方法及装置。

  [0008]采集网络中各设备的流量数据，将各所述流量数据进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流；

  [0010]将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据作比较；

  [0011]若设备数据流属于第一指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围；

  [0012]若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常；

  [0013]若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

  [0016]归一化模块，用于将各所述流量数据进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流；

  [0018]异常判断模块，用于将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较；

  [0019]若设备数据流属于第一指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围；

  [0020]若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常；

  [0021]若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

  [0022]上述网络安全检测的新方法及装置，通过将设备数据流进行归一化后进行存储，判断设备数据流与预设的正常数据流集合是否相符，即判断该设备数据流是否符合规格。比如由于外来入侵或异常病毒等导致新增的设备数据流不属于正常数据流集合，则该网络异常。当符合正常数据流集合时，然后进一步判断设备数据流是否属于第一、第二或第三指标数据，不同指标数据采用不同判断方法，当为周期性或渐变性设备数据流时，根据历史设备数据流来进行判断，从而提高了网络安全检测的准确度。

  [0025]以下针对本发明网络安全检测的新方法及装置的各实施例进行详细的描述。

  [0029]数据采集是所有分析设备的基础，是整个系统数据流的入口。数据采集的大体上可以有Netflow、sFlow、SPAN、SNMP/RM0N四种方式。这些方式是与设备相关的。即某些设备只能支持某一种或几种采集方式。每种采集方式有其固有的优势和局限。[0030]在其中一个实施例中，采用flow流量与镜像流量自适应的复合采集方案，既采集镜像数据，也可以直接采集flow数据。镜像数据是一端口产生的流量备份，作为分析数据数。Flow流量包括网络信息、时间、数量等信息。

  [0031]步骤S102:将各流量数据来进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流。采集的各种流量数据后，本方案会归一化为统一的格式，便于后续分析与存储。

  [0033]存储的方式有很多种，可以直接将获取的设备数据流进行存储。在其中一个实施例中，将流量数据按照vFlow格式进行存储，vFlow格式包括头部数据和数据部数据，其中，头部数据包括版本、流记录个数、系统启动至今时间、系统时间、流序列号、引擎类型、引擎序号、采样率，数据部数据包括源IP地址、目的IP地址、下一跳路由器的IP地址、输入接口索引、输出接口索引、流中报文、在流的报文中第三层字节的总数、流开始的时间、流中最后一个报文被接收时的时间、源端口、目的端口、未使用的字节、TCP标志位、IP协议、发送TCP校验和错误次数、发送TCP重传次数、发送TCP零窗口次数、发送RST包数、发送FIN包书、发送SYN包数、连接成功次数、连接失败次数。可以根据头部数据和数据部数据查询该设备数据流对应的历史设备数据流。以这种方式存储，可以根据头部数据和数据部数据任一进行查询，扩大了查询维度，同时也为后续分析提供了多种分析途径。不限于传统中根据IP地址或端口查询，本方案还可以根据索引、序号等进行查询，同时还可以查询流中最后一个报文被接收时的时间、连接失败次数、发送TCP校验和错误次数等。例如，vFlow格式可以定义如下:

  1.一种网络安全检测方法，其特征在于，包括步骤: 采集网络中各设备的流量数据，将各所述流量数据来进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流； 存储所述设备数据流； 将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较； 若设备数据流属于第一指标数据，则比较所述设备数据流是不是满足预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围； 若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常； 若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

  2.根据权利要求1所述的网络安全检测方法，其特征在于，所述存储所述设备数据流步骤，包括步骤: 根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项。

  3.根据权利要求2所 述的网络安全检测方法，其特征在于，所述根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项步骤之后，还包括步骤: 根据所述预设聚合条件、预设时间粒度、叠加后的流量数据来进行关联分析，生成报表，实时更新并显示所述报表。

  4.根据权利要求2所述的网络安全检测方法，其特征在于，所述根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项步骤之后，还包括步骤: 根据所述预设聚合条件、预设时间粒度、叠加后的流量数据分时段、分线所述的网络安全检测方法，其特征在于，所述存储所述设备数据流步骤，包括步骤:将所述设备数据流按照vFlow格式进行存储，vFlow格式包括头部数据和数据部数据， 其中，头部数据包括版本、流记录个数、系统启动至今时间、系统时间、流序列号、引擎类型、引擎序号、采样率，所述数据部数据包括源IP地址、目的IP地址、下一跳路由器的IP地址、输入接口索引、输出接口索引、流中报文、在流的报文中第三层字节的总数、流开始的时间、流中最后一个报文被接收时的时间、源端口、目的端口、未使用的字节、TCP标志位、IP协议、发送TCP校验和错误次数、发送TCP重传次数、发送TCP零窗口次数、发送RST包数、发送FIN包书、发送SYN包数、连接成功次数、连接失败次数； 根据头部数据和数据部数据查询该设备数据流对应的历史设备数据流。

  6.一种网络安全检测装置，其特征在于，包括:采集模块，用于采集网络中各设备的流量数据； 归一化模块，用于将各所述流量数据来进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流； 存储模块，用于存储所述设备数据流； 异常判断模块，用于将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较； 若设备数据流属于第一指标数据，则比较所述设备数据流是不是满足预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围； 若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常； 若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

  7.根据权利要求6所述的网络安全检测装置，其特征在于，所述存储模块还用于: 根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项。

  8.根据权利要求7所述的网络安全检测装置，其特征在于，还包括关联分析模块，用于根据所述预设聚合条件、预设时间粒度、叠加后的流量数据来进行关联分析，生成报表，实时更新并显示所述报表。`

  9.根据权利要求7所述的网络安全检测装置，其特征是，还包括查询模块，用于根据所述预设聚合条件、预设时间粒度、叠加后的流量数据分时段、分线所述的网络安全检测装置，其特征是，所述存储模块用于将所述设备数据流按照vFlow格式进行存储，vFlow格式包括头部数据和数据部数据， 其中，头部数据包括版本、流记录个数、系统启动至今时间、系统时间、流序列号、引擎类型、引擎序号、采样率，所述数据部数据包括源IP地址、目的IP地址、下一跳路由器的IP地址、输入接口索引、输出接口索引、流中报文、在流的报文中第三层字节的总数、流开始的时间、流中最后一个报文被接收时的时间、源端口、目的端口、未使用的字节、TCP标志位、IP协议、发送TCP校验和错误次数、发送TCP重传次数、发送TCP零窗口次数、发送RST包数、发送FIN包书、发送SYN包数、连接成功次数、连接失败次数； 所述异常判断模块，还用于根据头部数据和数据部数据查询该设备数据流对应的历史设备数据流。