(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111418827.0 (22)申请日 2021.11.26 (71)申请人 中能电力科技 开发有限公司 地址 100000 北京市海淀区车公庄西路20 号东3区14幢东半部7层70 0室 (72)发明人 王其乐　杨振忠　王寅生　朱志成　 孟凯锋　王栋　高小钧　胡鹏　 赵振飞　 (74)专利代理 机构 北京汇众通达知识产权代理 事务所(普通 合伙) 11622 代理人 李凯 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种电网工控系统网络安全监测方法及系 统 (57)摘要 本发明公开了一种电网工控系统网络安全 监测方法及系统， 该方法包括在目标频率下周期 性的采集电网工控系统内目标设备的网络数据 流量信息； 采用信息熵量化方法对 所述网络数据 流量信息的特征属性进行量化处理获得待检测 信息熵； 将所述待检测信息熵与标准信息熵比 对， 判断比对结果是否在目标波动范围内。 可 以 针对网络安全问题加以监测、 及时预警， 确保系 统运行的安全性与高效性。 而网络流量异常检测 的运用， 则能够根据其周期性数据和流向固定等 特点， 保障安全监测和预警的可靠性， 在实践中 得到广泛应用。 在信息熵量化的基础上， 对传统 K‑means聚类分析算法加以优化， 使得数据割裂 问题得到及时处理， 保障监测和预警的实时化， 消除网络环境中的安全隐患。 权利要求书2页 说明书7页 附图2页 CN 114172702 A 2022.03.11 CN 114172702 A 1.一种电网工控系统网络安全监测方法， 其特 征在于， 所述方法包括： 在目标频率下周期性的采集电网工控系统内目标设备的网络数据流 量信息； 采用信息熵量化方法对所述网络数据流量信息的特征属性进行量化处理获得待检测 信息熵； 将所述待检测信息熵与标准信息熵比对， 判断比对结果是否在目标波动范围内； 所述 标准信息熵 为将采集到的若干个样 本信息熵采用K ‑means聚类 分析算法计算 获得的聚类中 心； 所述样本信息熵 为收集的样本网络数据流量信息的特征属性进行信息熵量化处理获得 的信息熵； 所述样本网络数据流量信息为所述目标设备在以往时间段内的网络数据流量信 息； 根据所述比对结果确定是否发出告警。 2.根据权利要求1所述的电网工控系统网络安全监测方法， 其特征在于， 所述样本网络 数据流量信息为所述目标设备在以往时间段内正常流量下的网络数据流量信息； 判断比对 结果是否在目标波动范围内； 包括： 若所述比对结果超出 所述目标波动范围则发出告警。 3.根据权利要求1所述的电网工控系统网络安全监测方法， 其特征在于， 所述样本网络 数据流量信息为所述目标设备在以往时间段内异常流量下的网络数据流量信息； 判断比对 结果是否在目标波动范围内； 包括： 若所述比对结果未超出 所述目标波动范围则发出告警。 4.根据权利要求1所述的电网工控系 统网络安全监测方法， 其特征在于， 所述K ‑means 聚类分析算法中K值与所述样本网络数据流 量信息中包 含的正常流 量包个数相同。 5.根据权利要求4所述的电网工控系统网络安全监测方法， 其特征在于， 所述正常流量 包与非正常流 量包采用有标记和无 标记进行区分。 6.根据权利要求1所述的电网工控系统网络安全监测方法， 其特征在于， 所述在目标频 率下周期性的采集电网工控系统内目标设备的网络数据流 量信息之前； 采用网络诊断工具检测所述目标设备的网络是否通畅。 7.根据权利要求6所述的电网工控系统网络安全监测方法， 其特征在于， 所述网络诊断 工具包括Pi ng程序。 8.根据权利要求1所述的电网工控系统网络安全监测方法， 其特征在于， 根据 所述目标 设备所在设备区域的安全等级、 用途以及功能为依据确定所述目标 频率。 9.根据权利要求1所述的电网工控系统网络安全监测方法， 其特征在于， 所述特征属性 包括IP地址、 目的端口、 工控协议、 源端口。 10.一种电网工控系统网络安全监测系统， 其特 征在于， 所述系统包括： 信息采集单元， 用于在目标频率下周期性的采集电网工控系统内目标设备的网络数据 流量信息； 信息处理单元， 用于采用信 息熵量化方法对所述网络数据流量信 息的特征属性进行量 化处理获得待检测信息熵； 比对单元， 用于将所述待检测信息熵与标准信息熵比对， 判断比对结果是否在目标波 动范围内； 所述标准信息熵为将采集到的若干个样本信息熵采用K ‑means聚类分析算法计 算获得的聚类中心； 所述样本信息熵为收集的样本网络数据流量信息的特征属性进行信息权　利　要　求　书 1/2 页 2 CN 114172702 A 2熵量化处理获得的信息熵； 所述样本网络数据流量信息为所述目标设备在以往时间段内的 网络数据流 量信息； 告警单元， 用于根据所述比对结果确定是否发出告警。权　利　要　求　书 2/2 页 3 CN 114172702 A 3