[发明专利]一种智能变电站网络异常流量检测方法

摘要

本发明公开了一种智能变电站网络异常流量检测方法，包括以下几个步骤：(1)配置变电站交换机的镜像端口，通过镜像端口接入变电站网络；(2)解析捕获的报文；(3)对累计的报文信息按照不同的源地址进行统计分析，判断每个源地址是否存在异常流量；(4)对累计的报文信息按照不同的源/目的地址进行统计分析，判断每对源/目的地址之间是否存在异常流量；(5)将异常信息发送给远方调度系统，存储累计的报文信息，返回步骤(2)，进行新一轮异常流量检测。本发明给出了实时可靠的变电站网络异常流量识别方法，并最终实现变电站网络异常流量信息的实时上报与告警输出。

主权项

1.一种智能变电站网络异常流量检测方法，其特征在于，包括以下几个步骤：(1)配置变电站交换机的镜像端口，用于保证所有经过交换机的网络报文的副本都能够从镜像端口输出，通过镜像端口接入变电站网络；(2)解析捕获的报文，过滤空报文，提取报文的源和目的地址以及长度信息，累计一段时间的报文信息；(3)对累计的报文信息按照不同的源地址进行统计分析，获取每个源地址一段时间内的网络流量信息，判断每个源地址是否存在异常流量；(4)对累计的报文信息按照不同的源/目的地址进行统计分析，获取每对源/目的地址之间一段时间内的网络流量信息，判断每对源/目的地址之间是否存在异常流量；(5)显示异常流量信息，并将异常信息发送给远方调度系统，存储累计的报文信息，返回步骤(2)，进行新一轮异常流量检测；步骤(3)中，按照不同的源地址进行统计分析的方法如下：(3a)将步骤(2d)中缓存的所有报文按照源地址进行分组；(3b)累加每个源地址d一段时间Δt1内的报文长度，计算该源地址d平均流量，计算方式为：其中p为Δt1内源地址为d的报文，length为报文长度；(3c)利用每个源地址d在历史时间Δt内的报文信息，计算该源地址d流量理论值，计算方式为：Tflowd＝(∑p.length)/(1000×Δt)，p为Δt内源地址为d的报文；(3d)通过每个源地址流量理论值，判断该源地址的当前流量是否异常，如果不满足其中λ是异常判定系数，则说明该流量为异常流量，将源地址的异常流量信息存储在异常流量存储器中。