(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211197795.0 (22)申请日 2022.09.29 (71)申请人 国网重庆市电力公司电力科 学研究 院 地址 401123 重庆市渝北区北部新区黄山 大道中段80号办公 综合楼 申请人 国网重庆市电力公司 　 国家电网有限公司 (72)发明人 周文　欧睿　熊伟　魏甦　李杰　 张友强　曾治强　李筱天　罗媛媛　 魏燕　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 陈法君(51)Int.Cl. H04L 9/40(2022.01) H04L 41/06(2022.01) H04L 41/12(2022.01) (54)发明名称 一种配网电力监控系统业务流量监测方法 及装置 (57)摘要 本发明公开了一种配网电力监控系统业务 流量监测方法及装置， 监测方法包括如下步骤： S1： 实时获取配电自动化主站与终端之间通信的 网络流量数据； S2： 基于电力监控系统资产特征 库和获取的网络流量数据， 完成设备类型识别； S3： 根据识别出的设备， 基于S1获得网络流量数 据的完成对应的业务类型识别； S4： 基于步骤S1 获取的网络流量数据， 获取网络空间各设备之间 的通信关系， 结合步骤S2的设备类型识别结果及 步骤S3的业务类型识别结果， 以可视化方式动态 展现网络拓扑以及各设备的运行状态， 并实时推 送告警信息。 本发明可实现资产 自动识别、 拓扑 绘制、 工控业务全流量审计、 攻击溯源分析等多 维度告警展示功能， 及时提供处置建议， 避免安 全事件的发生。 权利要求书2页 说明书6页 附图1页 CN 115550034 A 2022.12.30 CN 115550034 A 1.一种配网电力监控系统业务流量监测方法， 其特征在于， 所述业务流量监测方法包 括如下步骤： S1： 实时获取配电自动化主站与终端之间通信的网络流 量数据； S2： 基于电力监控系统资产特 征库和获取的网络流 量数据， 完成设备类型识别； S3： 根据识别出的设备， 基于S1 获得网络流 量数据的完成对应的业 务类型识别； S4： 基于步骤S1获取的网络流量数据， 获取网络空间各设备之间的通信关系， 结合步骤 S2的设备类型识别结果及步骤S 3的业务类型识别结果， 以可视化方式动态展现 网络拓扑以 及各设备的运行状态。 2.如权利要求1所述的配网电力监控系统业务流量监测方法， 其特征在于， 步骤S2进行 设备类型识别包括实现未知设备的接入探测及设备 特征的多维画像， 有效识别未知资产。 3.如权利要求2所述的配网电力监控系统业务流量监测方法， 其特征在于， 对未知资产 识别过程具体包括： S21： 流量监测审计， 基于实时获得网络流量数据， 提取通信流中的IP、 MAC信息， 比对电 力监控系统资产特 征库判断是否为未知设备。 4.如权利要求3所述的配网电力监控系统业务流量监测方法， 其特征在于， 对未知资产 识别过程还 包括： S22： 提取未知设备的厂商及型号信息， 形成未知资产元数据录入未知资产表等待确 认； S23： 对新增未知资产进行主动指纹探测， 获取服务端口开放情况、 端口应用类型中的 至少一种信息， 于未知资产表中健全未知资产信息， 丰富相应未知资产的特征画像， 完成相 应未知资产的确认； S24： 基于更新完成的未知资产表完成电力监控系统资产特 征库的完 善更新。 5.如权利要求1所述的配网电力监控系统业务流量监测方法， 其特征在于， 步骤S3的业 务类型识别包括： S31： 基于采集的网络流量数据， 获取至少一种下述信息： 流量大小信息、 波峰波谷信 息、 流量突变情况信息， 比对预建立的流量特征基线库， 对网络流量异常事件进 行实时监测 与预警； S32： 基于采集的网络流量数据， 分析每条链路信息， 比对预建立的通信链路基线库， 对 非法通信链路、 非法协议的使用、 非法服 务开启事件进行实时监测与预警； S33： 基于采集的网络流量数据， 解析电力工控协议， 提取每条业务行为， 比对预建立的 业务安全基线库， 判断当前业务行为是否偏离业务安全基线， 及时发现可能存在的未知威 胁。 6.如权利要求5所述的配网电力监控系统业务流量监测方法， 其特征在于， 所述流量特 征基线库、 通信链路基线库和业务安全基线库为通过正常的流量大小、 链路信息和 业务行 为进行自学习并建模获得。 7.如权利要求1所述的配网电力监控系统业务流量监测方法， 其特征在于， 步骤S4具体 包括： S41： 基于步骤S1 获得的网络流 量数据构建主站与子站设备之间的通信关系， 并汇总； S42： 结合步骤S2的设备类型识别结果及步骤S3的业务类型识别结果形成具备各节点权　利　要　求　书 1/2 页 2 CN 115550034 A 2详细信息的拓扑 结构图， 以可视化方式动态展现网络环境中各设备的通信情况； S43： 在发生未知设备接入、 跨区互联事件、 非法协议、 非法链路告警时， 同步直观展示 在通信拓扑图上。 8.一种配网电力监控系统业务流量监测装置， 其特征在于， 所述业务流量监测装置包 括： 数据采集单 元、 数据处 理单元和数据展示单 元； 所述数据采集单元被配置为完成配电自动化主站与终端之间通信的网络流量数据的 实时获取； 所述数据处理单元被配置为完成配网电力监控系统中网络空间各设备之间的通信关 系识别、 设备类型识别、 业 务类型识别； 所述数据展示单元用于以可视化方式动态展现配网电力监控系统的网络拓扑以及各 设备的运行状态， 并实时推送告警信息 。 9.如权利要求8所述的配网电力监控系统业务流量监测装置， 其特征在于， 数据处理单 元进行设备类型识别包括： 实现未知设备 的接入探测及设备特征 的多维画像， 有效识别未 知资产； 对未知资产识别过程具体包括： 流量监测 审计， 基于实时获得网络流量数据， 提取通信流中的IP、 MAC信息， 比对电力监 控系统资产特 征库判断是否为未知设备； 提取未知设备的厂 商及型号信息， 形成未知资产元 数据录入未知资产表等待确认； 对新增未知资产进行主动指纹探测， 获取服务端口开放情况、 端口应用类型中的至少 一种信息， 于未知资产 表中健全 未知资产信息， 丰富相应未知资产的特征画像， 完成相应未 知资产的确认； 基于更新完成的未知资产表完成电力监控系统资产特 征库的完 善更新。 10.如权利要求8所述的配网电力监控系统业务流量监测装置， 其特征在于， 数据处理 单元进行业 务类型识别包括： 基于采集的网络流量数据， 获取至少一种下述信息： 流量大小信息、 波峰波谷信息、 流 量突变情况信息， 比对预建立的流量特征基线库， 对网络流量异常事件进行实时监测与预 警； 基于采集的网络流量数据， 分析每条链路信 息， 比对预建立的通信链路基线库， 对非法 通信链路、 非法协议的使用、 非法服 务开启事件进行实时监测与预警； 基于采集的网络流量数据， 解析电力 工控协议， 提取每条业务行为， 比对预建立的业务 安全基线库， 判断当前业 务行为是否偏离业 务安全基线， 及时发现可能存在的未知威胁。 11.如权利要求8所述的配网电力监控系统业务流量监测装置， 其特征在于， 所述数据 展示单元基于获得的网络流量数据构建主站与子站设备之 间的通信关系； 同时结合设备类 型识别结果及的业务类型识别结果形成具备各节 点详细信息的拓扑结构图， 以可视化方式 动态展现网络环境中各设备的通信情况； 并在发生未知设备接入、 跨区互联事件、 非法协 议、 非法链路告警时， 同步 直观展示在通信拓扑图上。权　利　要　求　书 2/2 页 3 CN 115550034 A 3