一种电力物联网感知层安全风险状态分析方法及系统

摘要

一种电力物联网感知层安全风险状态分析方法，其特征在于，所述方法包括以下步骤：步骤1，采集并存储所述电力物联网感知层中的所有终端设备的相关信息；步骤2，基于所述相关信息获取多个设备状态类型标签，并判定所述终端设备的安全风险；步骤3，基于预先生成的网络流量特征模型和网络访问行为特征模型获取所述终端设备的网络流量异常情况和网络访问异常行为；步骤4，采用可视化方法分类显示步骤2和步骤3中获得的设备状态类型信息、安全风险信息、网络流量异常情况信息和网络访问异常行为信息。本发明方法分析结果全面准确、分析过程智能快速，同时具备了良好的可视化效果，提高了系统的安全程度。

说明书

技术领域

本发明涉及物联网领域，更具体地，涉及一种电力物联网感知层安全风险状态分析方法及系统。

背景技术

物联网是在互联网的基础上，利用射频识别、二维码、红外感应器、GPS等设备，通过无线数据通信等方式实现设备的相互连接，并以一定方式接入互联网，最终构造的一个覆盖万事万物的智能网络。电力物联网是物联网在电力行业的具体表现形式和应用落地，通过将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备连接起来，产生共享数据，从而为用户、电网、发电厂、供应商和政府社会服务。因此，电力物联网能够以电网为枢纽，发挥平台和共享作用，为全行业和更多市场主体的发展创造更大机遇，提供更具价值的服务。

通常来说，电力物联网包括感知层、网络层、平台层、应用层四层结构。感知层是电力物联网的最底层，由支撑电力物联网的基础设施组成。由于感知层涉及现场采集设备、智能终端、本地通信接入以及边缘物联代理等，因此具有终端类型多样、分布范围广泛等特性。

然而，现有技术中，电力物联网的感知层仍然面临着诸多的安全风险。首先，嵌入式系统容易导致风险。一方面，系统裁剪、应用定制、在线升级困难和通信协议专有等复杂因素的存在，使得大部分感知设备存在大量的安全隐患和安全漏洞。另一方面，由于软硬件计算资源有限，为了保证实时性和可用性，电力物联网系统在设计初期时常常往往无法过多考虑信息安全的需求，这使得现役和在售的配网终端大多处于不设防状态。

其次，电力物联网的终端设备安全程度不高。电力物联网设备的生产厂商意识风险较为薄弱，很多终端设备生产厂商缺乏安全意识和安全能力，这使得他们在终端软硬件设计和开发过程中对于安全性的考虑不足，导致部分终端无消息认证和完整性鉴别机制。这使得终端设备无法判断业务指令是否为伪造或被恶意篡改。因此，攻击者可能通过非法指令导致设备误动，攻击者可在未授权的情况下非法利用或破坏智能终端，从而降低了感知层的安全程度。

第三，电力物联网物理环境存在风险。电力物联网中的物联网设备通常被部署在输、配、用等多个电网环节中，这些智能终端或设备通常存在于无人值守或安全不可控的环境中，这使得攻击者可很容易地直接接触设备实施物理破坏，或者通过对设备进行克隆实现伪造，或者通过近程或远程等多种方式实现信息窃取、软件篡改及远端控制等攻击，降低了物联网感知层的安全性。

因此，亟需一种电力物联网感知层安全风险状态分析方法及系统，能够分析和监测电力物联网感知层异常，及时发现和消除终端设备异常活动，降低感知层安全风险。

发明内容

为解决现有技术中存在的不足，本发明的目的在于，提供一种新的电力物联网感知层安全风险状态分析方法及系统，通过采集终端设备的各类相关信息对设备状态类型进行判定，并基于不同类型识别终端设备的安全风险，以及通过网络相关的特征模型识别到终端的流量异常和网络访问异常情况，从而提供可视化的告警服务。

本发明采用如下的技术方案。

本发明第一方面，涉及一种电力物联网感知层安全风险状态分析方法，其中，方法包括以下步骤：步骤1，采集并存储电力物联网感知层中的所有终端设备的相关信息；步骤2，基于相关信息获取多个设备状态类型标签，并判定终端设备的安全风险；步骤3，基于预先生成的网络流量特征模型和网络访问行为特征模型获取终端设备的网络流量异常情况和网络访问异常行为；步骤4，采用可视化方法分类显示步骤2和步骤3中获得的设备状态类型信息、安全风险信息、网络流量异常情况信息和网络访问异常行为信息。

优选地，相关信息包括确定性信息和网络流量信息；确定性信息包括存活设备的设备唯一性识别号、设备厂家、设备类型、设备型号、软硬件版本信息、业务类型、开放服务端口和MAC地址；网络流量信息包括特征信息，特征信息包括流量设备的协议类型、IP地址、MAC地址、端口、标识信息。

优选地，基于相关信息获取设备状态类型还包括：步骤2.1，从网络流量信息中提取特征信息并基于终端设备进行去重处理；步骤2.2，对确定性信息和特征信息进行对比分析，去除确定性设备的特征信息，从而得到非确定性信息；步骤2.3，基于确定性信息和非确定性信息判断设备状态类型。

优选地，步骤2.3中还包括：步骤2.3.1，基于历史采集的特征信息预先生成设备指纹库，将非确定性信息与设备指纹库中的设备指纹进行比较以获得非确定性信息对应的非确定性设备的设备类型、设备型号以及与设备指纹库中设备指纹之间的相似度；步骤2.3.2，基于确定性信息获取确定性设备，比较确定性信息和注册设备库中的信息，以获得注册的确定性设备和未注册的确定性设备；步骤2.3.3，比较非确定性信息和注册设备库中的信息，以获得注册的非确定性设备和未注册的非确定性设备；步骤2.3.4，获得步骤2.3.1中计算得到的相似度，当相似度大于或等于70％时，认定设备为仿冒设备，否则为非法设备。

优选地，判定终端设备的安全风险还包括：步骤2.4，基于步骤2.3中计算获得的相似度，对仿冒设备的风险系数、非法设备的风险系数进行评估；步骤2.5，基于评估结果查找漏洞库，并标注设备安全漏洞。

优选地，获取终端设备的网络流量异常情况还包括：步骤3.1，对网络流量信息进行分类统计，并识别出其中的流量序列；步骤3.2，基于历史获得的相关信息预先生成网络流量特征模型；步骤3.3，将识别出的流量序列输入至网络流量特征模型中，以获得终端设备的网络流量异常情况。

优选地，网络流量特征模型包括流量阈值模型、网络链路特征参数模型、序列特征模型。

优选地，获取终端设备的网络访问异常行为还包括：步骤3.4，基于历史采集的网络流量信息和所述确定性信息，采用学习算法预先建立网络访问行为特征模型；步骤3.5，将识别出的流量序列输入至网络访问行为特征模型中，以获得终端设备的网络访问异常行为。

优选地，步骤4中还包括：将设备状态类型、设备的风险系数、设备安全漏洞、网络流量异常情况和网络访问异常行为信息分别存储至不同数据表中；基于可视化方法直接或间接读取数据表中的数据并显示。

本发明第二方面，涉及如本发明第一方面中的一种电力物联网感知层安全风险状态分析系统，其中，系统包括数据采集模块、存储池、特征模型库、风险分析模块和状态展示模块；其中，数据采集模块，用于采集所述电力物联网感知层中的所有终端设备的相关信息，并将相关信息存储于所述存储池中；特征模型库，包括注册设备库、网络流量特征模型库和网络访问行为特征模型库；风险分析模块，用于基于相关信息获取设备状态类型，判定终端设备的安全风险，以及基于预先生成的网络流量特征模型和网络访问行为特征模型获取终端设备的网络流量异常情况和网络访问异常行为；状态展示模块，用于采用可视化方法分类显示设备状态类型信息、安全风险信息、网络流量异常情况信息和网络访问异常行为信息。

本发明的有益效果在于，与现有技术相比，本发明中一种电力物联网感知层安全风险状态分析方法及系统，能够通过采集终端设备的各类信息，对终端设备的状态类型，安全风险和网络异常情况进行综合分析和判定，并通过可视化的方法提供异常风险告警。由于本发明中的方法采用确定性与不确定性相结合的检测方法，增强了对于电力物联网感知层网络安全风险分析的准确性，从而避免了由于终端设备处于临时宕机或下线状态时，终端设备被非法替换或防止所引起的误报、漏报现象。本发明方法分析结果全面准确、分析过程智能快速，同时具备了良好的可视化效果，提高了系统的安全程度。

本发明的有益效果还包括：

1、本发明采集了电力物联网感知层中终端设备的状态信息数据和网络流量数据，从终端设备安全风险状态、网络流量异常、网络访问行为异常等三方面，使用统计分析、特征模型、黑白名单行为模型、机器学习等多种分析方法，综合分析电力物联网感知层安全风险，进一步增强了安全风险分析的智能性和精确性，能够大幅降低安全风险预警的误报率。

2、采集终端设备的确定性信息和网络流量信息，通过对两种信息进行比对，获得终端设备的非确定性信息，从而有效的区分出了网络中可能存在的非确定性的设备。通过本发明中的方法，一方面，无需对确定性设备执行额外的分析，从而简化了数据处理过程；另一方面，能够针对非确定性的设备执行额外的数据分析过程，从而对非确定性设备的风险系数和安全漏洞进一步的精确的判断。因此，本发明中的方法兼容了数据处理过程的简单和有效性，处理速度快，效果好。

3、本发明中从非确定性设备中又进一步地划分出仿冒设备、非法设备，并基于不同类型的设备设置不同的风险系数。因此，本发明中的方法能够更加准确地评估设备存在的安全性风险，为设备管理人员提供更为明确的参考建议，有助于机器或运维人员对于设备风险的管控。

4、基于漏洞库的方法对于设备的安全漏洞进行判断，漏洞库容易维护和升级，更便于随时发现设备存在的安全隐患。采用特征模型作为网络流量异常和网络访问行为异常的分析方法，该特征模型将传统的入侵检测攻击特征库、工业物联网攻击特征库和针对电力物联网感知层子网特有的业务类型建立的网络流量序列特征、网络访问行为白模型库相结合，提高了流量异常和行为异常分析的准确性。

5、用数据库方法存储数据处理结果，并采用可视化方式分类分层显示安全风险相关的信息，使得处理结果更加直观、易于理解。

6、本发明中，尽管采集的初始数据内容量大，种类多，但通过对初始数据进行去重等方法的处理后，能够满足采用周期性的重复循环检测。因此，本发明中的安全风险状态分析方法，能够动态、实时地获取到系统内各个设备的安全状况，使动态分析和监测成为可能。

附图说明

图1为本发明一种电力物联网感知层安全风险状态分析方法中的步骤流程示意图；

图2为本发明一种电力物联网感知层安全风险状态分析方法的实现过程示意图。

具体实施方式

下面结合附图对本申请作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本申请的保护范围。

本发明中所采用的电力物联网的感知层中包括的终端设备多种多样。例如，终端设备包括收费POS机(Point Of Sale，销售点终端)、ATM机(Automatic Teller Machine，自动出纳机)、输电状态监测终端、变电状态监测终端、用电信息采集终端、视频终端、智能电表、物联网安全出入控制终端、RTU(Remote Terminal Unit，远程终端单元)和FTU(FeederTerminal Unit，馈线终端单元)等等。这些设备通常会通过位于感知层的核心交换机实现与物联网平台的连接以及数据传输。

图1为本发明一种电力物联网感知层安全风险状态分析方法中的步骤流程示意图。如图1所示，一种电力物联网感知层安全风险状态分析方法，其中，方法包括步骤1至步骤4。

步骤1，采集并存储电力物联网感知层中的所有终端设备的相关信息。

优选地，相关信息包括确定性信息和网络流量信息。

具体来说，在电力物联网感知层网络中，物联网平台可以通过网络通信的方式，使用HTTP协议向终端设备发出数据采集请求，此时，感知层网络中存活的终端设备收到请求后，会基于数据采集请求向物联网平台中返回该设备自身的确定性信息，通常这类信息以HTML页面的形式返回，HTML页面中包括确定性信息中的设备唯一性识别号、设备厂家等。另一种情况，若该设备无法按数据采集请求的要求提供该设备自身的确定性信息，则返回空信息，即NULL值，或对采集请求不做出任何回应。通过这种方式采集的确定性信息可以存储为存活设备确定信息库中的数据。

优选地，确定性信息包括存活设备的设备唯一性识别号、设备厂家、设备类型、设备型号、软硬件版本信息、业务类型、开放服务端口和MAC地址。

另外，如果在感知层网络中增加物理交换机，并将该物理交换机与感知层网络中的核心交换机的镜像端口连接，则可以通过旁路部署的方式镜像的采集感知层的网络流量数据。通过这种部署方式实现的网络流量数据的采集，不会对感知网络的正常通信造成任何干扰，也无需变动原有的网络架构。通过这种方式采集的网络流量信息可以存储为网络流量库中的数据。

本发明一个实施例中，由于网络流量数据量非常大，因此可以采用若干个流量包文件的形式对其进行存储。

为了实现本发明中的分析方法，可能需要使用到大量的历史数据，有时也需要对采集到的相关数据进行临时的缓存，因此本发明中可以设置一个存储池专门用于存储相关数据。本发明中，由于相关信息主要包括确定性信息和网络流量信息两大类，因此，存储池中也相应地包括存活设备确定信息库和网络流量库两个数据库。随着本发明中方法的优化或改进，还可以在存储池中存储其他类型的数据库。存储池可以采用现有技术中的关系型数据库MYSQL来对不同数据进行存储。

步骤2，基于相关信息获取多个设备状态类型标签，并判定终端设备的安全风险。

本发明中所述的多个设备状态类型标签是基于对设备进行分类并根据设备类型生成的。本发明中，设备状态类型标签包括确定性设备标签、非确定性设备标签、注册设备标签、未注册设备标签、非法设备标签和仿冒设备标签。由于分类方式多种，且互相之间不存在绝对的冲突，因此可以为每一个设备同时分配多个标签。

根据本发明步骤1中通过两种截然不同的方式所采集到的两类数据，本发明可以对两类数据进行比较分析，并从网络流量信息中提取出非确定性信息。根据确定性信息、非确定性信息，以及预先生成的其他数据信息可以判断出设备的状态类型，并根据不同类型的设备得到设备的安全风险。

图2为本发明一种电力物联网感知层安全风险状态分析方法中的实现过程示意图。如图2所示，优选地，基于相关信息获取设备状态类型还包括：步骤2.1，从网络流量信息中提取特征信息并基于终端设备进行去重处理；步骤2.2，对确定性信息和特征信息进行对比分析，去除确定性设备的特征信息，从而得到非确定性信息；步骤2.3，基于确定性信息和非确定性信息判断设备状态类型。

本发明一实施例中，电力物联网感知层网络中合法连入的终端设备都应该在注册设备库中进行注册。当本发明中设备处于存活状态，也即是设备在线，并且能够对使用HTTP协议发出的设备确定性信息采集请求实时返回该设备的确定性信息时，该设备确定性信息就被采集存储于存活设备确定信息库中，且该设备可以被称为确定性设备。相反的，其他处于存活状态中却无法返回确定性信息的设备应当为非确定性设备。

具体来说，当一个设备在线但是该设备不符合确定性信息采集规范、不能对使用HTTP协议发出的设备确定性信息采集请求实时返回该设备的确定性信息时，该设备的特征信息，即非确定性信息，需要通过对该设备实时网络流量的分析获取，也就是说，比对特征信息和确定性信息能够得到非确定性信息。

本发明一实施例中，识别出确定性设备后，该设备的合法性还需要通过与注册设备库进行比较才能够进一步确定。例如，可以通过对设备的特征信息进行识别，提取设备类型、型号信息并进一步比较注册设备库从而确定该设备是否执行过注册程序。对于感知层网络中存在的离线设备，可以通过对指定时间段内的历史网络流量分析获取这些离线设备的特征信息，并通过该设备的特征信息识别设备类型、型号并进一步比较注册设备库确定该设备是否注册。也就是说，部分的确定性设备可能是尚未注册过的非注册设备。而部分不属于确定性设备，也不属于非确定性设备的离线设备可能也是注册设备。另外，指定时间段是指根据网络管理策略，指定12小时内、1天内等的历史时间段。

电力物联网感知层网络中可能存在一些未经注册就连入的终端设备，这些设备通称为未注册设备。具体来说，在未注册设备中，可能包括部分能够按照规范返回确定性信息的确定性设备。除此之外，其他的未注册设备中包括的均为非法设备和仿冒设备。

非法设备是指一些未经注册而连入的能够与电力物联网感知层中的其他设备实现通信功能的设备。可以理解的是，未经过注册的确定性设备，尽管能够在接收到感知层网络的信息采集请求后返回确定性信息，但却无法在未注册的状态下实现与其他设备的常规通信。因此，能够实现通信连接的这部分未注册设备可以被认为是非法设备。

另外，对于部分非法设备来说，其进行网络通信过程中所使用的特征信息模仿了某些合法设备，即注册设备的特征信息。具体的判断方法为，这部分非法设备的特征信息与设备指纹库中的指纹中记录的信息存在一定的相似度甚至完全相同，这部分非法设备设备因此可以被称为仿冒设备。本发明一实施例中，对非法设备和仿冒设备，可以根据其特征信息的相似度给定风险系数，从而实现通过风险系数实现警报功能。这部分内容将在下文中进行详细描述。

可以理解的是，步骤1中采集得到的确定性信息都是对当前正在运行的、符合确定性信息采集规范的终端设备的相关信息进行的采集，也可以理解为这些终端设备都属于存活，即在线设备，离线的设备不会对确定性信息采集请求返回任何信息，而不符合确定性信息采集规范的终端设备也不会对确定性信息采集请求返回任何信息，因此离线设备和不符合确定性信息采集规范的终端设备的信息，例如，非确定性信息，则只能通过从采集到的网络流量中分析获取。然而，步骤1中采集到的网络流量信息中，可能包括各种不符合信息采集规范的终端设备的信息，例如一些仿冒设备和非法设备等，通过向物联网平台或物联网中的其他设备发送仿冒请求或非法请求时被记录下来的网络流量信息。

因此，通过比较确定性信息和网络流量信息，则可以获得到这些非确定性设备的相关信息。然而，由于网络流量信息的数据量非常大，重复内容非常多，因此，在进行比较之前，可以采用步骤2.1中的方法对其中的终端设备的特征信息进行提取。具体来说，可以从每一条网络流量信息中提取特征信息，然后对特征信息进行去重处理，即可得到不存在数据冗余的特征信息。

优选地，网络流量信息包括特征信息，特征信息包括流量设备的协议类型、IP地址、MAC地址、端口、标识信息。

具体来说，网络流量信息是用于执行网络传输过程中必须要产生的信息，从大量的网络流量信息中可以提取出含有与终端设备相关的终端设备的特征信息。其中标识信息，又称为Banner信息，其中可以包括OS(Operating System，操作系统)版本、软硬件版本、设备厂商信息、设备类型、设备型号等多种信息。随着终端设备种类和品牌的不同，标识信息也可能有所不同。但通常这些信息都可以用于记录设备的相关基本信息，所以都可以用于作为本发明中安全风险状态分析方法中所采集的基本数据。

完成特征信息的提取后，可以采取步骤2.2中的方法将其与确定性信息进行对比分析，将特征信息中的终端设备与确定性信息中的终端设备能够对应上的那部分数据删除，其余的数据内容即为最终获得的非确定性信息。本发明一实施例中，可以删除那些经过识别得到特征信息中的Banner信息与确定性信息相同的那部分数据，例如对两个设备的MAC地址进行比对，发现MAC地址相同的信息后，对这部分数据执行删除操作。

尽管网络流量信息中的内容非常之多，但是通过本发明中的两个步骤对于冗余数据进行处理，能够大大降低有效数据的量，使得最终生成的非确定性信息足以实现对于安全风险、网络异常等情况的快速且准确的评估。

优选地，步骤2.3中还包括：步骤2.3.1，基于历史采集的特征信息预先生成设备指纹库，将非确定性信息与设备指纹库中的设备指纹进行比较以获得非确定性信息对应的非确定性设备的设备类型、设备型号以及与设备指纹库中设备指纹之间的相似度；步骤2.3.2，基于确定性信息获取确定性设备分类，比较确定性信息和注册设备库中的信息，以获得注册的确定性设备和未注册的确定性设备；步骤2.3.3，比较非确定性信息和注册设备库中的信息，以获得注册的非确定性设备和未注册的非确定性设备；步骤2.3.4，获得步骤2.3.1中计算得到的相似度，当相似度大于或等于70％时，认定设备为仿冒设备，否则为非法设备。

具体来说，本发明中可以按照多个不同的维度对设备的类型进行划分。例如，可以将设备划分为存活设备和离线设备、注册设备和未注册设备，确定性设备和非确定性设备、仿冒设备、非法设备等等。

本发明中的设备分类方法可以针对上文中所述的各种不同的设备分类的具体定义来确定。该方法能够通过多个不同的角度对电力物联网感知层网络中的很大数量规模的设备进行分类，并根据多种分类方式为每一个设备生成多种不同的类型标签，例如一个设备可以同时为确定性设备和未注册设备，另一个设备可以同时为仿冒设备和未注册设备等。

本发明中，可以预先生成一个设备指纹库，该设备指纹库是从设备历史特征信息中预先提取出来的。具体来说，可以根据历史采集到的网络流量信息，从中提取出历史特征信息，根据这些历史特征信息中记载的各项数据生成设备指纹。设备指纹具有唯一性，能够用于识别出感知层网络中与之对应的设备。

将非确定性信息输入与设备指纹库中存储的设备指纹进行一一对比，可以完全确认部分非确定性设备的身份信息。另外，对于部分仍然无法完全确定的非确定性设备，可以通过相似度算法，计算其与部分设备指纹之间的相似度，并根据相似度取值确定设备状态风险。可以理解的是，通常来说，感知层网络中处于离线或宕机状态中的终端设备无法向物联网平台提供该设备自身的确定性信息，即使某个终端设备符合确定性采集规范，但是当该设备离线时，也无法向物联网平台实时提供该设备自身的确定性信息，而该设备的信息只能通过对指定时间段内的历史网络流量来分析获取，得到的仍然是该设备的非确定性信息。因此，电力物联网感知层安全风险状态分析系统只能够获得感知层网络中当前处于正常运行状态的、并且符合确定性采集规范的终端设备信息，而对感知层子网中当前离线、宕机或运行的其他不符合确定性信息采集规范的终端设备将采用其他的方法，例如网络流量信息的方法进行采集。

通过网络流量信息与确定性信息的比较去重，可以得到非确定性信息，该非确定性信息中可以包括一些当前处于离线状态或宕机状态中的设备、一些不符合确定性信息采集规范的终端设备，以及一些仿冒设备和非法设备。

具体地，本实施例中，只有实时运行的并且符合确定性信息采集规范的终端设备，包括注册的和未注册的信息才能够被采集到存活设备确定信息库中，其他终端设备，包括实时运行的但不符合确定性信息采集规范的终端设备、离线的并且符合确定性信息采集规范的终端设备、离线的不符合确定性信息采集规范的终端设备，这些设备的非确定性信息都需要通过对网络流量的分析来获取。

另外，需要说明的是，本实施例中，相似度计算，是通过对特征信息中不同的数据项加权计算比较得到的百分数。

本发明一实施例中，特征信息可以包括流量设备的协议类型、IP地址、MAC地址、端口、标识信息。标识信息(即banner信息)包括OS版本、软硬件版本、设备厂商信息、设备类型、设备型号等多种信息。特征信息中这些数据项加权计算得到相似度的一种典型方法为：根据经验值分配各数据项权重系数值为{(协议类型，0.05)，(IP地址，0.3)，(MAC地址，0.2)，(端口，0.05)，(OS版本，0.05)，(软硬件版本，0.1)，(设备厂商信息，0.05)，(设备类型，0.1)，(设备型号，0.1)}，当将该特征信息与设备指纹库中某个指纹比较计算相似度时，如果该特征信息数据项与某个指纹数据项相等，则该数据项计算赋值为1，否则赋值为0，如果特征信息数据项为空也赋值为0。例如，某特征信息数据项与某指纹比较计算赋值结果为(1，1，1，1，0，0，1，1，1)，则其相似度＝1x0.05+1x0.3+1x0.2+1x0.05+0x0.05+0x0.1+1x0.05+1x0.1+1x0.1＝0.85。

本发明中，可以具体根据以下项目对设备安全漏洞进行评估，项目内容包括设备的业务类型、开放服务端口、OS版本、软硬件版本、设备类型、设备型号。

另外，本发明中可以预先生成一个综合注册设备库，该综合注册设备库中可以包括所有已经注册过的终端设备的相关信息。具体来说，感知层中的各类终端设备在首次接入感知层网络时需要进行集中注册，终端设备集中注册信息将会存储在注册设备库中。本发明一实施例中，终端设备的集中注册信息可以包括与确定性信息相似的设备唯一性识别号、设备厂家、设备类型、设备型号、软硬件版本信息、业务类型、开放服务端口、MAC地址等内容。这些信息将会被存储在关系型数据库中。

优选地，判定终端设备的安全风险还包括：步骤2.4，基于步骤2.3中计算获得的相似度，对仿冒设备的风险系数和非法设备的风险系数进行评估；步骤2.5，基于评估结果查找漏洞库，并标注设备安全漏洞。

本发明一实施例中，除了分析各种设备的状态外，对于仿冒设备和非法设备，还可以计算该设备的风险系数；仿冒设备和非法设备都是无法在注册设备库中匹配到注册设备的终端设备，但是仿冒设备和非法设备的特征信息都与设备指纹库中某个指纹具有相似性，其相似度值为其特征信息与指纹库中各指纹匹配相似度，即各特征项加权计算值中的的最大值。本实施例中，某一个设备与注册设备库中最为匹配，即相似度最大值时的设备之间的相似度超过70％，则认定该设备为仿冒设备，否则认定为非法设备。该设备的风险系数值＝1-相似度。例如在上述计算实例中，某设备特征信息相似度为0.85，则该设备风险系数计算结果为(1-0.85)＝0.15。

需要说明的是，风险系数只是用来标明仿冒设备或非法设备的风险高低的数值。当相似度越低时，说明该未注册设备认定为非法设备的准确性越高；当相似度越高时，说明该未注册设备认定为非法设备的准确性越低。这个风险系数跟设备存在的安全漏洞是完全无关的。

本实施例中，预先将不同业务类型、开放服务端口、OS版本、软硬件版本、设备类型、设备型号对应的已知的安全漏洞存在漏洞库中，该漏洞库根据国际通用的CVE漏洞库，结合人工挖掘的漏洞生成；本实施例中，识别出设备的确定性信息和特征信息后，查找漏洞库，就可以标注出该设备可能存在的安全漏洞。

步骤3，基于预先生成的网络流量特征模型和网络访问行为特征模型获取终端设备的网络流量异常情况和网络访问异常行为。

本发明中，可以根据存储在特征模型库中的特征模型对于步骤1和步骤2中生成的数据内容进行分析，以实现对于网络异常情况和网络访问异常行为的判断。

优选地，获取终端设备的网络流量异常情况还包括：步骤3.1，对网络流量信息进行分类统计，并识别出其中的流量序列；步骤3.2，基于历史获得的相关信息预先生成网络流量特征模型；步骤3.3，将识别出的流量序列输入至网络流量特征模型中，以获得终端设备的网络流量异常情况。

本实施例中，可以按照网络流量传输层和应用层的协议类型的分类，分别统计不同协议类型下的流量包。本发明一实施例中，可以按照传输层协议TCP和UDP分别统计TCP流量包和UDP流量包；并按照网络流量的应用层协议类型，分别统计HTTP、SNMP、FTP、TFTP、telnet、https及其他电力物联网感知层特殊专用应用层协议流量包如抄表终端、集中器、采集器等专用IP协议。

完成分类统计后，可以对于每一个不同的分类类型，采用与该协议适应的方式识别出其中的流量序列。例如，对于面向连接的传输层协议TCP，识别其中三次握手建立连接的流量序列包；对于应用层协议如HTTP，识别其不同传输阶段的流量包序列如POST、GET操作；对于电力物联网感知层不同业务类型如抄表终端数据上传、管理平台控制摄像头，识别其不同访问阶段的流量包序列。

优选地，网络流量特征模型包括流量阈值模型、网络链路特征参数模型、序列特征模型。其中，流量阈值模型和网络链路特征参数模型是根据历史流量数据，对网络访问的某种属性统计计数，依据网络管理经验建立正常的网络参数范围，包括特定类型的网络连接数、网络利用率、丢包率、冲突数目、业务类型访问总数等，当一个或多个网络的流量参数超过正常范围时就产生告警。序列特征模型根据已知正常访问流量序列模型和已知的蠕虫攻击、DoS网络攻击的流量序列模型对将网络流量分为正常流量和异常流量两类，并对异常流量进行报警。

本发明一实施例中，可以根据历史采集的网络流量信息，通过人工或自动分析的方法，例如统计分析、信号分析、关联分析中的一种或多种，分析获取到不同类型和不同终端设备的网络流量特征模型。该模型可以为流量阈值模型、网络链路特征参数模型、序列特征模型等。这些流量分析特征模型可以存储于流量分析模型库中，基于流量分析模型库中的模型可以实现对感知层子网中网络流量的异常分析。

优选地，获取终端设备的网络访问异常行为还包括：步骤3.4，基于历史采集的网络流量信息和所述确定性信息，采用学习算法预先建立网络访问行为特征模型；步骤3.5，将识别出的流量序列输入至网络访问行为特征模型中，以获得终端设备的网络访问异常行为。根据步骤3.1中获得的流量序列，可以与网络访问行为特征模型中的模型数据进行比较，从而分析感知层网络中的访问异常情况。

具体来说，本发明可以通过人工学习算法或机器学习算法分析并建立不同类型设备和不同终端设备的网络访问行为特征模型。具体来说，学习算法可以采用决策树学习、贝叶斯网络学习、聚类学习中的一种，使用上述学习算法，通过对大量的正常的访问行为流量的学习自动建立不同类型设备访问不同业务类型的网络访问行为特征模型，或通过人工分析建立不同业务类型的网络访问行为白模型(模型内容包括网络行为名称、网络行为协议类型、网络行为端口范围特征、网络行为地址范围特征、网络行为流量序列特征)、或通过传统攻击特征库(如入侵检测系统IDS的入侵检测特征库)和工业物联网攻击特征库建立攻击黑模型(包括攻击行为名称、攻击行为协议类型、攻击行为端口范围特征、攻击行为地址范围特征、攻击行为流量序列特征)等。这些模型能够将庞大复杂的网络流量简化为数量有限的网络访问行为模型，并通过存储于特征模型库中实现对网络访问异常行为的分析。

本实施例中，网络访问行为模型是通过使用机器学习算法，例如决策树学习、贝叶斯网络学习、聚类学习中的一种或多种对大量的正常访问行为的历史流量的分析学习自动建立的。机器学习算法分析抽取大量正常访问行为流量中的共有的特征值建立不同类型设备访问不同业务类型的网络访问行为模型，模型的结构包括模型标识符、协议类型、设备类型、业务类型、源地址、源端口、目的地址、目的端口、命令序列。

本实施例中，以自动学习建立的网络访问行为特征模型为基础，通过人工分析进一步对电力物联网感知层子网中的特定业务类型的网络访建立行为白模型，模型结构包括网络行为名称、网络行为协议类型、网络行为端口范围特征、网络行为地址范围特征、网络行为流量序列特征，该行为白模型更准确地描述了这类正常的网络访问行为的流量包特征。通过对行为白模型的匹配，能够迅速确定这类正常的网络访问行为，加快行为分析的过程。

本实施例中，为了能够更准确更迅速地识别常见的网络攻击行为，引入了传统的入侵检测攻击特征库和工业物联网攻击特征库，通过对这两个特征库的人工分析进一步建立攻击黑模型，模型结构包括包括攻击行为名称、攻击行为协议类型、攻击行为端口范围特征、攻击行为地址范围特征、攻击行为流量序列特征。通过对攻击黑模型的匹配，能够迅速锁定这类非正常的网络攻击行为。

采用特征模型作为网络流量异常和网络访问行为异常的分析方法，该特征模型将传统的入侵检测攻击特征库、工业物联网攻击特征库和针对电力物联网感知层子网特有的业务类型建立的网络流量序列特征、网络访问行为白模型库相结合，行为白模型和攻击黑模型的匹配提高了行为分析的速度和准确度，而机器学习建立的特征模型有助于分析出未知的网络异常行为。

步骤4，采用可视化方法分类显示步骤2和步骤3中获得的设备状态类型信息、安全风险信息、网络流量异常情况信息和网络访问异常行为信息。

优选地，步骤4中还包括：将设备状态类型、设备的风险系数、设备安全漏洞、网络流量异常情况和网络访问异常行为信息分别存储至不同数据表中；基于可视化方法直接或间接读取数据表中的数据并显示。

本发明中，可以将设备状态类型、设备的风险系数、设备安全漏洞、网络流量异常情况和网络访问异常行为信息分别存储在不同的MYSQL数据库中。然后，通过可视化的方法按照具体需求调用MYSQL数据库中相应的数据项，从而就可以采用可视化方式分类分层的显示这些信息。

本发明中，通过设定一个固定的时间，在每一个固定时间上周期性的重复的执行步骤1-4中的方法，可以实现对电力物联网感知层网络的安全风险状态的动态分析和监测。

本发明第二方面，涉及一种如本发明第一方面中所述的电力物联网感知层安全风险状态分析系统。系统包括数据采集模块、存储池、特征模型库、风险分析模块和状态展示模块；其中，数据采集模块，用于采集电力物联网感知层中的所有终端设备的相关信息，并将相关信息存储于存储池中；特征模型库，包括注册设备库、设备指纹库、网络流量特征模型库和网络访问行为特征模型库；风险分析模块，用于基于相关信息获取设备状态类型，判定终端设备的安全风险，以及基于预先生成的网络流量特征模型和网络访问行为特征模型获取终端设备的网络流量异常情况和网络访问异常行为；状态展示模块，用于采用可视化方法分类显示设备状态类型信息、安全风险信息、网络流量异常情况信息和网络访问异常行为信息。

具体来说，数据采集模块包括确定性信息采集单元和网络流量镜像采集单元，分别用于对确定性信息和网络流量信息进行采集。存储池中则分别包括存活设备确定信息库和网络流量库，用于分别存储确定性信息和网络流量信息。

本发明一实施例中，特征模型库中还包括注册设备库、设备指纹库、网络流量特征模型库和网络访问行为特征模型库。其中，注册设备库和设备指纹库均采用关系型数据库对相关数据进行存储，网络流量特征模型库和网络访问行为特征模型库则可以采用文件形式进行存储。

本发明一实施例中，风险分析模块可以包括安全风险分析单元、流量分析单元和行为分析单元。其中，风险分析单元用于识别出不同的设备类型，分析识别个体设备所具有的安全风险，并将分析结果传送给状态展示模块。流量分析单元用于分析感知层网络中存在的网络流量异常情况，并将分析结果传送给状态展示模块。行为分析单元用于分析感知层网络中存在的异常的网络访问行为，并将分析结果传送给状态展示模块。

本发明一实施例中，状态展示模块接收风险分析模块传送过来的设备分类和安全风险信息、网络流量异常情况、网络访问异常行为信息后，采用可视化的方式分类分层地显示这些信息。

本发明一实施例中，电力物联网感知层的安全风险状态分析系统中的网络流量镜像采集模块以网络交换机方式实现，分析系统中的其他模块、单元集中实现在单个独立的通用的计算机系统中；实现网络流量镜像采集模块的网络交换机与实现其他模块、子系统的计算机系统之间通过网络进行连接。

可以理解的是，当感知层网络规模庞大、需要处理海量的网络流量数据时，电力物联网感知层安全风险状态分析系统也可以以采用分布式的方式连接实现上文中所述的网络结构。

本发明的有益效果在于，与现有技术相比，本发明中一种电力物联网感知层安全风险状态分析方法及系统，能够通过采集终端设备的各类信息，对终端设备的状态类型，安全风险和网络异常情况进行综合分析和判定，并通过可视化的方法提供异常风险告警。由于本发明中的方法采用确定性与不确定性相结合的检测方法，增强了对于电力物联网感知层网络安全风险分析的准确性，从而避免了由于终端设备处于临时宕机或下线状态时，终端设备被非法替换或防止所引起的误报、漏报现象。本发明方法分析结果全面准确、分析过程智能快速，同时具备了良好的可视化效果，提高了系统的安全程度。

本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述，但是本领域技术人员应该理解，以上实施示例仅为本发明的优选实施方案，详尽的说明只是为了帮助读者更好地理解本发明精神，而并非对本发明保护范围的限制，相反，任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。