一种在线电力远动IEC104传输异常检测方法技术

一种在线电力远动IEC104传输异常检测方法，涉及一种电力调度远动网络传输异常检测方法。目前，对于运行的IEC104远动通信，还没有有效的在线监视、分析、诊断方法。本发明专利技术包括以下步骤：1)报文侦听俘获；2)报文拼接；3)IEC104报文解析；4)厂站合并统计；5)多维特征指标计算；6)异常诊断；异常诊断包括常规传输异常判别和控制传输异常判别。本技术方案减轻工作强度，并提高电力调度自动化运行维护水平；可以主动发现控制信息传输过程中的异常情况，保障电力调度控制系统正常运行；直观明确的对传输故障进行检测，并可以对隐形故障进行预警；对网络故障或者厂站通信故障进行判定。

【技术实现步骤摘要】
【专利摘要】一种在线电力远动IEC104传输异常检测方法，涉及一种电力调度远动网络传输异常检测方法。目前，对于运行的IEC104远动通信，还没有有效的在线监视、分析、诊断方法。本专利技术包括以下步骤：1)报文侦听俘获；2)报文拼接；3)IEC104报文解析；4)厂站合并统计；5)多维特征指标计算；6)异常诊断；异常诊断包括常规传输异常判别和控制传输异常判别。本技术方案减轻工作强度，并提高电力调度自动化运行维护水平；可以主动发现控制信息传输过程中的异常情况，保障电力调度控制系统正常运行；直观明确的对传输故障进行检测，并可以对隐形故障进行预警；对网络故障或者厂站通信故障进行判定。【专利说明】-种在线电力远动IEC104传输异常检测方法
本专利技术设及一种电力调度远动网络传输异常检测方法，尤指一种在线电力远动 IEC104传输异常检测方法。
技术介绍
随着电网调度技术发展和自动化设备的日趋完善可靠，变电站"无人值守，少人值 守"运行模式的推进，调度自动化系统作为电网安全运行核屯、支撑作用越来越关键，自动化 系统日益成为保障电网安全、优质、可靠、稳定运行的关键环节。电力远动信息的安全可靠 传输是电力自动化系统正常运行的基础前提条件，而在实际生产工作中，对于自动化远动 系统发生异常和故障判别，往往由电网应用出现异常后才发现，进而再由自动化运行人员 进行分析判别，常常延误自动化的故障诊断与恢复。如何避免该种"被动型"运维，在自动 化远动传输层面上进行快速、及时、有效地监测、判别远动传输故障，成为提高电力自动化 水平的重要研究课题。 随着调度数据网的建设，当前调度主站与厂站之间越来越多采用IEC104通信协 议作为主用，自动化系统信息流均W报文方式承载于电力调度数据网。对于调度数据网的 监视，当前一般使用网管系统，其主要监视网络设备通信链路的中断情况W及网络层流量 信息，多数的文献及专利也均基于网络层报文流量进行异常判别，但该些方法无法有效针 对电力远动业务传输进行监视判别。 然而实际在电力远动IEC104运行中，传输故障不仅仅是底层网络设备故障，经常 是网络传输正常，但是业务数据传输故障，存在类似"假在线"、"遥调不响应"或者"遥控超 时"等。当前已有的针对IEC104协议的监视分析，主要是在对于通信双方的点点报文协议 解析分析翻译，或者是离线的规约分析。对于运行的IEC104远动通信，特别是实际运行中 的多厂站、大量通道传输的监视，目前还没有有效的在线监视、分析、诊断方法。
技术实现思路
本专利技术要解决的技术问题和提出的技术任务是对现有技术方案进行完善与改进， 提供一种在线电力远动IEC104传输异常检测方法，W达到有效的在线监视、分析、诊断的 目的。为此，本专利技术采取W下技术方案。 一种在线电力远动IEC104传输异常检测方法，其特征在于包括W下步骤： 1)报文侦听俘获； [000引通过交换机网络设备端口镜像，实现网络流量的全镜像采集；并依据监视厂站与 调度主站的IP地址簇W及端口，俘获所需监视的IP报文； 。报文拼接； 在获得俘获的IP报文后，进行IP/TCP报文重组，对于超过窗口周期的IP进行丢 弃，完整的报文递交下一步处理； 扣IEC104报文解析； 对于拼接重组好的TCP连接用户数据，依据IEC104协议，进行简单报文解析，区分 报文的类型W及业务流量统计；对于非法报文，当超过设定的阔值范围后，进行直接异常判 定； 4)厂站合并统计； 依据厂站进行链路合并，W计算后续的多维特征量； 5)多维特征指标计算； 在到达预先设定的计算监测窗口周期时，针对监视每个厂站，计算多维特征指标， 多维特征指标包括业务流量特征指标、上下行遥调报文数比、遥控报文应答平均延迟时间、 TCP连接请求报文数； 6)异常诊断； 对于每一个厂站，当到达计算监测窗口时，依据特征指标量分别进行常规传输异 常W及控制传输异常判别： 常规传输异常判别包括： 601)典型报文的业务流量频域直流模比值判别 当直流模比值r流量大于正常传输的阔值t流量时，判别正常，当直流模比值r流量小于 正常传输的阔值时，判别异常； 602)报文数频域直流模比值判别 [002引当传输的报文数频域直流模比值大于正常传输的阔值时，判别正常， 当传输的报文数频域直流模比值小于正常传输的阔值时，判别异常； 603) TCP连接请求报文数判别 当TCP连接请求报文数指标数超过对应设定的阔值时，判别传输异常； 控制传输异常判别包括： 611)遥调上下行报文数比r遥调判别 [002引当遥调上下行报文数比小于对应设定阔值，判别遥调命令传输出错； 6。）遥控报文应答平均延迟时间t遥判别 对于每个厂站遥控命令，当遥控报文应答平均延迟时间大于设定阔值时， 判别遥控命令传输出错。 作为对上述技术方案的进一步完善和补充，本专利技术还包括W下附加技术特征。 业务流量特征指标包括典型报文流量频域直流模比值； 典型报文流量频域直流模比值计算方法为： :〇计算业务流量fs，业务流量fs= E sLen (Pasdu) [003引其中；S为采样周期，取5秒-10秒；Len(PASDu)为采样周期内侦听到的典型业务报 文中应用服务数据单元（ASDU)字节数，采用变化遥测上行报文为典型业务报文； i。计算频域分量模Mi,频域分量模Mi = Jaf + bf 其中；i = 0, 1，2,……，N-1，N为计算窗口包含的采用个数，取16或32啡，bi分 别为计算窗口内业务流量序列 【权利要求】1. 一种在线电力远动IEC104传输异常检测方法，其特征在于包括以下步骤： 1) 报文侦听俘获； 通过交换机网络设备端口镜像，实现网络流量的全镜像采集；并依据监视厂站与调度 主站的IP地址簇以及端口，俘获所需监视的IP报文； 2) 报文拼接； 在获得俘获的IP报文后，进行IP/TCP报文重组，对于超过窗口周期的IP进行丢弃，完 整的报文递交下一步处理； 3. IEC104报文解析； 对于拼接重组好的TCP连接用户数据，依据IEC104协议，进行简单报文解析，区分报文 的类型以及业务流量统计；对于非法报文，当超过设定的阈值范围后，进行直接异常判定； 4) 厂站合并统计； 依据厂站进行链路合并，以计算后续的多维特征量； 5) 多维特征指标计算； 在到达预先设定的计算监测窗口周期时，针对监视每个厂站，计算多维特征指标，多维 特征指标包括业务流量特征指标、上下行遥调报文数比、遥控报文应答平均延迟时间、TCP 连接请求报文数； 6) 异常诊断； 对于每一个厂站，当到达计算监测窗口时，依据特征指标量分别进行常规传输异常以 及控制传输异常判别： 常规传输异常判别包括： 601) 典型报文的业务流量频域直流模比值判别 当直流模比值大于正常传输的阈值t顏时，判别正常，当直流模比值小于正常 传输的阈值时，判别异常； 602) 报文数频域直流模比值判别 当传输的报文数频域直流模比值大于正常传输的阈值时，判别正常，当传 输的报文数频域直流模比值本文档来自技高网...

【技术保护点】
一种在线电力远动IEC104传输异常检测方法，其特征在于包括以下步骤：1)报文侦听俘获；通过交换机网络设备端口镜像，实现网络流量的全镜像采集；并依据监视厂站与调度主站的IP地址簇以及端口，俘获所需监视的IP报文；2)报文拼接；在获得俘获的IP报文后，进行IP/TCP报文重组，对于超过窗口周期的IP进行丢弃，完整的报文递交下一步处理；3)IEC104报文解析；对于拼接重组好的TCP连接用户数据，依据IEC104协议，进行简单报文解析，区分报文的类型以及业务流量统计；对于非法报文，当超过设定的阈值范围后，进行直接异常判定；4)厂站合并统计；依据厂站进行链路合并，以计算后续的多维特征量；5)多维特征指标计算；在到达预先设定的计算监测窗口周期时，针对监视每个厂站，计算多维特征指标，多维特征指标包括业务流量特征指标、上下行遥调报文数比、遥控报文应答平均延迟时间、TCP连接请求报文数；6)异常诊断；对于每一个厂站，当到达计算监测窗口时，依据特征指标量分别进行常规传输异常以及控制传输异常判别：常规传输异常判别包括：601)典型报文的业务流量频域直流模比值r流量判别当直流模比值r流量大于正常传输的阈值t流量时，判别正常，当直流模比值r流量小于正常传输的阈值t流量时，判别异常；602)报文数频域直流模比值r报文数判别当传输的报文数频域直流模比值r报文数大于正常传输的阈值t报文数时，判别正常，当传输的报文数频域直流模比值r报文数小于正常传输的阈值t报文数时，判别异常；603)TCP连接请求报文数判别当TCP连接请求报文数指标数超过对应设定的阈值时，判别传输异常；控制传输异常判别包括：611)遥调上下行报文数比r遥调判别当遥调上下行报文数比r遥调小于对应设定阈值，判别遥调命令传输出错；612)遥控报文应答平均延迟时间t遥控延迟判别对于每个厂站遥控命令，当遥控报文应答平均延迟时间t遥控延迟大于设定阈值时，判别遥控命令传输出错。...

【技术特征摘要】

【专利技术属性】
技术研发人员：陈利跃，方兴其，马国梁，章立宗，卢冰，陶涛，何星，
申请(专利权)人：国家电网公司，国网浙江省电力公司，上海交通大学，
类型：发明
国别省市：北京;11