一种面向电力监控系统的网络拓扑远方可视化监测方法与流程

本发明涉及一种面向电力监控系统的网络拓扑远方可视化监测方法，属于网络安全技术领域。

背景技术：

目前，随着我国工业化、信息化的日益融合，计算机技术和网络通信技术在电力监控系统的广泛应用，传统电力监控系统逐步打破了以往的封闭性和专有性，标准、通用的通信协议及软硬件系统应用愈发广泛。电力监控系统在提升自动化、信息化水平的同时，也面临着越来越大的安全威胁。近年来，国际上相继发生乌克兰大面积停电（2015年）、美国东部互联网服务瘫痪（2016年）、全球爆发勒索病毒（2017年）等事件，皆造成了相当恶劣的影响。

电网互联，是各国电力工业发展的客观规律。而发电厂和变电站（厂站端）作为电力监控系统的重要节点，能远程获取其网络拓扑及拓扑内各节点实时状态，对于监测电力监控系统厂站端是否稳定运行，是否存在网络安全隐患，能否在意外发生的第一时间解决故障就显得尤为重要。

针对此类需求，急需一种安全监测手段，即能够在远方电力监控系统网络安全管理中心即时获取发电厂和变电站最新的网络拓扑结构，又能实时采集厂站端网络内各节点设备状态变更情况，实现电力监控系统发电厂和变电站遇到运行故障和网络安全威胁后的远方实时监测与预警。

技术实现要素：

目的：为了克服现有技术中存在的不足，本发明提供一种面向电力监控系统的网络拓扑远方可视化监测方法。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

一种面向电力监控系统的网络拓扑远方可视化监测方法，包括如下步骤：

步骤一，由厂站监测终端自动发现电力监控系统厂站端设备资产数据，自动生成厂站端网络结构数据，并将资产数据与网络结构数据动态关联；

步骤二，远方网络安全管理中心远程获取电力监控系统厂站端资产数据和网络结构数据；

步骤三，远方网络安全管理中心对获取到的资产数据和网络结构数据进行关联性分析，还原厂站端网络拓扑画像；

步骤四，远方网络安全管理中心实时获取厂站端网络拓扑节点状态变更情况，同时关联至网络拓扑画像的相应设备上。

作为优选方案，所述步骤一具体包括如下步骤：

1.1：资产数据自动发现开始前，优先配置自动发现规则，所述自动发现规则包括：a、b网网段、自动发现方式、需要读取的目标资产信息和被动扫描持续时间，所述自动发现方式包括：主动深度探测、被动扫描；

1.2：资产数据自动发现开始后，依据自动发现规则，采用ping的方式查找目标网段在线设备，通过主机设备和交换机设备arp表获取网络中的在线设备ip地址和mac地址对照关系，录入资产数据表；

1.3：对于在线设备进行主动深度探测，所述主动深度探测包括：端口探测扫描，硬件特性及版本信息检测，同时补全资产数据表相应信息；

1.4：对于不在线的资产设备，采用被动扫描的方式通过采集或镜像netflow、netstream、jfow、ipfix协议监听现有网络上的未发现资产，不断将获取到的资产数据自动补充到资产数据表中；

1.5：通过资产数据表可自动生成厂站端网络结构数据表，所述网络结构数据表中网络结构数据是指资产内网络设备的所有网口信息，所述网口信息包括：网口索引、网口描述、对端设备mac地址、网口级联情况和网口拔插情况，通过snmp协议主动轮询和snmptrap被动接收两种方式获取；

1.6：资产数据中的交换机id关联网络结构数据中的交换机id；网络结构数据中网口对端mac地址关联资产数据表中设备mac地址；网络结构数据中网口拔插情况，关联至资产数据中相应mac地址的设备的在离线情况。

作为优选方案，所述被动扫描持续时间设置为一周。

作为优选方案，所述步骤二具体包括如下步骤：

厂站端作为远程调阅的服务端，开启服务监听来自远方网络安全管理中心的拓扑数据远程调阅命令；远方网络安全管理中心作为客户端，主动发起网络拓扑调阅请求，即时同步厂站端资产数据和网络结构数据；如果在处理网络拓扑调阅请求的过程中出现故障或异常，由厂站端返回相应异常的错误码。

作为优选方案，所述步骤三具体包括如下步骤：

3.1：按照资产数据中对设备的区域及a、b网的划分以正交的方式确定各分区和网段在网络拓扑画像中的布局：从左至右纵向排列各分区，与y轴平行；从上至下横向排列a、b网段，与x轴平行，分布于x轴两侧；

3.2：按照资产数据中各分区设备的数量，动态确定各分区在网络拓扑画像中的比例；

3.3：通过自定义的坐标生成规则优先确定交换机在网络拓扑画像中的坐标；所述自定义的坐标生成规则：交换机按照分区和a、b网划分，分布于x轴的两侧，以一定的像素间距横向排列；

3.4：逐台获取资产内非交换机设备信息，通过与网络结构数据进行关联分析，索引各台主机设备、安全防护设备和数据库与交换机的连线关系，布局各台设备在网络拓扑画像中的位置；

3.5：通过网络结构数据中交换机与设备的连线关系绘制出各台设备与交换机间的连线，连线遵循就近连接，不交叉、不绕弯的原则；

3.6：按照网络结构数据交换机级联情况，绘制出交换机间的连线关系；

3.7：通过资产数据中各台设备的在离线情况，分别以绿色表示在线、灰色表示离线填充网络拓扑画像的设备节点。

作为优选方案，所述步骤四具体包括如下步骤：

4.1：采用安全日志的方式传输厂站端网络拓扑节点状态变更情况；网络安全管理中心作为实时推送的服务端，开启服务监听来自厂站端的连接请求，厂站端作为客户端，率先发起tcp连接请求，厂站端与网络安全管理中心在数据传输之前需进行双向身份认证，认证方式基于sm2国密算法，认证通过后进行数据传输；所述厂站端网络拓扑节点状态变更情况包括：设备上线、离线情况，设备运行信息，设备硬件异常告警，设备业务异常告警和设备网络安全数据；

4.2：网络安全管理中心接收到厂站端推送的安全日志后，首先进行安全日志解析、去重等操作，其次按照安全日志内容关联至网络拓扑画像对应设备节点上；若为设备上线、离线日志，实时更新设备节点颜色；若为设备运行日志，则刷新设备节点上显示运行状态区域内的数据；若为异常信息和网络安全数据，则将相应设备节点填充红色，并在其右上角绘制告警气泡，以展示该设备所产生的所有告警日志数量，并通过气泡链接至每台设备的告警日志详情。

作为优选方案，所述设备硬件异常告警包括：单电源告警、cpu温度过高和风扇故障；所述设备网络安全数据包括：厂站端设备的用户异常操作行为、未授权的外设接入、主机非法外联、开放非法服务以及病毒入侵日志；所述设备运行信息包括：cpu利用率、内存使用率。

有益效果：本发明提供的一种面向电力监控系统的网络拓扑远方可视化监测方法，通过对电力监控系统厂站端网络拓扑的远程调阅和还原，实现了对电力监控系统相对封闭的发电厂、变电站环境内网络拓扑的即时查看，同时，通过实时接收厂站端设备运行状态和网络安全数据，及时关联至网络安全管理中心拓扑画像，动态刷新拓扑画像各设备节点状态，实现厂站端网络拓扑结构和系统运行情况的远程可视化监测与预警，很大程度上保证了电力监控系统厂站端对于突发情况的处理效率。

附图说明

图1为本发明的方法流程示意图。

图2为资产自动发现流程图。

图3为拓扑画像流程图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

如图1所示，一种面向电力监控系统的网络拓扑远方可视化监测方法，包括以下步骤：

步骤一，由厂站监测终端自动发现电力监控系统厂站端设备资产数据，自动生成厂站端网络结构数据，并将两者动态关联；

自动发现设备资产数据通过主动深度探测和被动扫描两种方式实现。主动深度探测是指对未知网络下的资产探测，被动扫描主要用于主动深度探测后持续性监听已知网络中的未发现资产。如图2所示，资产数据自动发现实施流程如下：

1）资产数据自动发现开始前，需要优先配置自动发现规则，所述自动发现规则包括：a、b网网段（互为冗余的双网）、自动发现方式、需要读取的目标资产信息和被动扫描持续时间；

2）资产数据自动发现开始后，依据自动发现规则，采用ping的方式查找目标网段在线设备，通过主机设备和交换机设备arp表获取网络中的在线设备ip地址和mac地址对照关系，录入资产数据表；

3）对于在线设备进行主动深度探测，所述主动深度探测包括：端口探测扫描，硬件特性及版本信息检测，同时补全资产数据表相应信息；

4）对于不在线的资产设备，采用被动扫描的方式通过采集或镜像netflow、netstream、jfow、ipfix协议监听现有网络上的未发现资产，不断将获取到的资产数据自动补充到资产数据表中。

被动扫描持续时间依据资产自动发现规则而定，待被动扫描结束后（如持续扫描一周后），认为当前网络已处于稳态。

通过资产数据表可自动生成厂站端网络结构数据表。所述网络结构数据表中网络结构数据是指资产内网络设备的所有网口信息，所述网口信息包括：网口索引、网口描述、对端设备mac地址、网口级联情况和网口拔插情况，通过snmp（简单网络管理协议）协议主动轮询和snmptrap（snmp陷阱）被动接收两种方式获取。通过snmp主动轮询交换机网口信息，获取交换机每个网口对端设备mac，补充至网络数据结构表的交换机网口信息。若某个网口出现多个设备mac地址的情况，检索这些mac地址是否在其他交换机网口单独出现，用于判定该网口是否为级联口。通过snmptrap被动接收的方式获取交换机网口拔插情况，以此判定对端设备的在离线情况。

同时动态关联自动发现的资产数据和自动生成的网络结构数据。资产数据中的交换机id（唯一标识）关联网络结构数据中的交换机id（唯一标识）；网络结构数据中网口对端mac地址关联资产表中设备mac地址；网络结构数据中网口拔插情况，关联至资产数据中相应mac地址的设备的在离线情况。

步骤二，远方网络安全管理中心远程获取电力监控系统厂站端资产数据和网络结构数据，为绘制厂站端网络拓扑做数据支撑；

采用自定义的通信协议发送厂站端资产数据和网络结构数据。所述自定义的通信协议承载于tcp/ip。厂站端作为远程调阅的服务端，开启服务监听来自远方网络安全管理中心的拓扑数据远程调阅命令；远方网络安全管理中心作为客户端，主动发起网络拓扑调阅请求，即时同步厂站端资产数据和网络结构数据。如果在处理网络拓扑调阅请求的过程中出现故障或异常，由厂站端返回相应异常的错误码。

步骤三，远方网络安全管理中心对获取到的资产数据和网络结构数据进行关联性分析，还原厂站端网络拓扑画像；

如图3所示，具体实施步骤如下：

1）按照资产数据中对设备的区域及a、b网的划分以正交的方式确定各分区和网段在网络拓扑画像中的布局：从左至右纵向排列各分区，与y轴平行；从上至下横向排列a、b网段，与x轴平行，分布于x轴两侧；

2）按照资产数据中各分区设备的数量，动态确定各分区在网络拓扑画像中的比例；

3）通过自定义的坐标生成规则优先确定交换机在网络拓扑画像中的坐标；所述自定义的坐标生成规则：交换机按照分区和a、b网划分，分布于x轴的两侧，以一定的像素间距横向排列，像素间距可在坐标生成规则内配置，对于不同分辨率的屏幕配置不同的像素间距；

4）逐台获取资产内非交换机设备信息，通过与网络结构数据进行关联分析，索引各台主机设备、安全防护设备和数据库与交换机的连线关系，就近布局各台设备在网络拓扑画像中的位置；

5）通过网络结构数据中交换机与设备的连线关系绘制出各台设备与交换机间的连线，连线遵循就近连接，尽量不交叉、不绕弯的原则；

6）按照网络结构数据交换机级联情况，绘制出交换机间的连线关系；

7）通过资产数据中各台设备的在离线情况，分别以绿色——在线、灰色——离线填充网络拓扑画像的设备节点。

步骤四，远方网络安全管理中心实时获取厂站端网络拓扑节点状态变更情况，同时关联至网络拓扑画像的相应设备上。

通过自定义的通信协议，由厂站端实时推送网络节点状态变更情况至网络安全管理中心。

所述自定义的通信协议，承载于tcp/ip，采用安全日志的方式传输厂站端网络拓扑节点状态变更情况。网络安全管理中心作为实时推送的服务端，开启服务监听来自厂站端的连接请求。厂站端作为客户端，率先发起tcp连接请求，为保证通信的安全性，厂站端与网络安全管理中心在数据传输之前需进行双向身份认证，认证方式基于sm2国密算法，认证通过后方可进行数据传输。

所述厂站端网络节点状态变更包括设备上线、离线情况，设备运行信息（cpu利用率、内存使用率等），设备硬件异常告警，设备业务异常告警和设备网络安全数据。设备硬件异常告警包括单电源告警、cpu温度过高和风扇故障。设备网络安全数据主要包括厂站端设备的用户异常操作行为、未授权的外设接入、主机非法外联、开放非法服务以及病毒入侵日志。

网络安全管理中心接收到厂站端推送的安全日志后，首先进行安全日志解析、去重等操作，其次按照安全日志内容关联至网络拓扑画像对应设备节点上。若为设备上线、离线日志，实时更新设备节点颜色；若为设备运行日志，则刷新设备节点上显示运行状态区域内的数据；若为异常信息和网络安全数据，则将相应设备节点填充红色，并在其右上角绘制告警气泡，以展示该设备所产生的所有告警日志数量，并可通过气泡链接至每台设备的告警日志详情。

上述方法实现了对当前电力监控系统相对封闭的发电厂和变电站环境内网络结构和设备运行情况的远程实时监测，对电力监控系统重要节点的安全运行起到了一定程度的保障作用。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。