(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111345163.X (22)申请日 2021.11.15 (71)申请人 中国南方电网有限责任公司 地址 510623 广东省广州市黄埔区科 学城 科翔路11号 (72)发明人 陶文伟　汪际峰　吴金宇　朱文　 苏扬　张文哲　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 周玲 (51)Int.Cl. H04L 9/40(2022.01) G06F 40/143(2020.01) G06F 16/23(2019.01) G06K 9/62(2022.01)G06N 3/04(2006.01) G06N 3/08(2006.01) G06Q 50/06(2012.01) (54)发明名称 电力监控网络安全缓冲区构建方法、 装置、 设备和介质 (57)摘要 本申请涉及一种电力监控网络安全缓冲区 构建方法、 装置、 计算机设备和存储介质。 该方法 包括： 检查电力系统远端设备发送的请求数据包 包含的各字段是否符合对应的字段规则， 并将各 字段均符合对应字段规则的请求数据包作为第 一候选数据包； 对根据第一候选数据包的字段生 成的操作行为序列执行检测操作， 对第一候选数 据包执行过滤操作， 将过滤后得到的请求数据包 作为第二候选数据包； 根据目标转换策略对第二 候选数据包中的字段进行转换处理， 将转换后得 到的字段封装得到最终数据包并发送至电力核 心控制系统。 采用本方法能够提高电力系统安全 性。 权利要求书2页 说明书15页 附图8页 CN 114268451 A 2022.04.01 CN 114268451 A 1.一种电力监控网络安全缓冲区构建方法， 其特 征在于， 所述方法包括： 接收电力系统远端设备发送的请求数据包； 检查所述请求数据包包含的各字段是否符合对应的字段规则， 并将各所述字段均符合 对应字段规则的所述请求数据包作为第一 候选数据包； 根据所述第一候选数据包的字段， 生成操作行为序列， 对所述操作行为序列执行检测 操作， 根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操作， 将过滤后 得到的请求数据包作为第二 候选数据包； 根据目标转换策略对所述第二候选数据包中的字段进行转换处理， 得到转换后的字 段， 将所述转换后的字段重新封装得到最终数据包， 并将所述最终数据包发送至电力核心 控制系统。 2.根据权利要求1所述的方法， 其特征在于， 所述检查所述请求数据包包含的各字段是 否符合对应的字段规则， 包括： 获取所述请求数据包的数据 结构集合和规则集合， 所述数据结构集合包括所述请求数 据包包含的各字段的字段值， 所述规则集合包括所述请求数据包包含的各字段分别对应的 字段规则； 针对各所述字段， 确定所述数据结构集合中的所述字段值是否符合所述字段对应的字 段规则。 3.根据权利要求2所述的方法， 其特征在于， 所述获取所述请求数据包的数据 结构集合 和规则集 合， 包括： 对所述请求数据包进行解封装， 得到所述请求数据包包含的各所述字段的名称和字段 值； 获取所述请求数据包对应的协议类型， 根据 所述协议类型确定所述请求包包含的各所 述字段对应的字段规则； 将所述名称和所述字段值以键值对的形式作为数据 结构集合的元素， 以构建所述请求 数据包的数据结构集 合； 将所述字段规则作为所述 规格集合的元素， 以构建所述请求数据包的规则集 合。 4.根据权利要求1所述的方法， 其特征在于， 所述字段包括功能码字段， 所述根据所述 第一候选数据包的字段， 生成操作行为序列， 包括： 获取所述第一 候选数据包的接收时间和功能码字段； 按照所述接收时间的先后顺序， 将功能码字段进行排序， 得到行为序列； 按照预设步长滑动预设时间窗口， 分割所述行为序列， 得到多个所述操作行为序列。 5.根据权利要求 4所述方法， 所述对所述操作行为序列执 行检测操作， 包括： 获取所述操作行为序列的五元组信息， 所述五元组信息包括源IP地址、 目的IP地址、 源 端口号、 目的端口号和应用层协议类型； 根据所述五元组信息， 对所述操作行为序列进行分类， 得到多个子操作行为序列； 将所述子操作 行为序列输入至所述异常行为检测模型中， 得到所述子操作 行为序列的 检测结果。 6.根据权利要求5所述的方法， 其特征在于， 所述异常检测模型为单类支持向量机模 型， 所述将所述子操作行为序列输入至所述异常行为检测模型中， 得到所述子操作行为序权　利　要　求　书 1/2 页 2 CN 114268451 A 2列的检测结果， 包括： 对所述子操作行为序列进行向量 化处理， 得到向量 化数据； 将所述向量 化数据输入所述单类支持向量机模型中， 输出 所述检测结果。 7.根据所述权利要求5或6所述方法， 所述根据所述操作 行为序列的检测结果对所述第 一候选数据包执 行过滤操作， 包括： 若检测结果为所述子操作 行为序列存在异常， 则将所述子操作 行为序列中最后的功能 码字段所对应的最后一个所述第一 候选数据包丢弃。 8.根据权利要求1所述的方法， 其特征在于， 根据目标转换策略对所述第 二候选数据包 中的字段进行转换处 理， 包括： 从预设的策略数据库中随时选择一个转换策略作为所述目标转换策略， 所述策略数据 库包括多个所述 转换策略。 9.根据权利要求8所述的方法， 其特征在于， 所述多个所述转换策略包括第 一转换策略 和第二转换策略； 所述第一 转换策略包括将所述第二 候选数据包 包含的各所述字段的字段值进行互换； 所述第二转换策略包括利用数据混淆技术对所述第二候选数据包包含的所述字段进 行转换处 理。 10.根据权利要求8所述的方法， 其特 征在于， 所述方法还 包括： 在接收到针对所述策略数据库的更新操作时， 基于所述更改操作确定更新后的策略数 据库。 11.一种电力监控网络安全缓冲区构建装置， 其特 征在于， 所述装置包括： 接收模块， 用于 接收电力系统远端设备发送的请求数据包； 检查模块， 用于检查所述请求数据包包含的各字段是否符合对应的字段规则， 并将各 所述字段均符合对应字段规则的所述请求数据包作为第一 候选数据包； 过滤模块， 用于根据 所述第一候选数据包的字段， 生成操作行为序列， 对所述操作行为 序列执行检测操作， 根据所述操作行为序列的检测结果对所述第一候选数据包执行过滤操 作， 将过滤后得到的请求数据包作为第二 候选数据包； 转换模块， 用于根据目标转换策略对所述第二候选数据包中的字段进行转换处理， 得 到转换后的字段， 将所述转换后的字段重新封装得到最终数据包， 并将所述最终数据包发 送至电力核心控制系统。 12.一种计算机设备， 包括存储器和 处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至10中任一项所述的方法的步骤。 13.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114268451 A 3