一种基于SCD解析的智能变电站安全审计方法技术

一种基于SCD解析的智能变电站安全审计方法,本发明专利技术公开了一种基于SCD解析的智能变电站安全审计方法，包括的步骤是：步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；步骤3)基于业务行为基线，诊断资产、路径错误这些专属于智能变电站场景的业务并进行告警。本发明专利技术方案深度解析IEC 61850协议簇，对智能变电站场景下可能发生的安全风险进行全方位多角度的安全分析。实现对智能变电站的安全审计。

【技术实现步骤摘要】
一种基于SCD解析的智能变电站安全审计方法
本专利技术涉及一种基于SCD解析的智能变电站安全审计方法。
技术介绍
SCD(substationconfigurationdescription)即全站系统配置文件是变电站IEC61850标准中的重要组成部分。SCD文件存储了变电站现场设备IP地址与设备实际名称之间的对应关系，同时存储了变电站的不同层级的资产信息，这些信息对智能变电站的业务审计起到了十分关键的作用。智能变电站具有进行数据分析和取证的网络分析仪，目前在智能变电站场景下主要使用网络分析仪进行分析及告警。网络分析仪检测的对象如下：i.SV采样值报文(传输电流、电压的测量值)ii.面向通用对象的变电站事件(GOOSE)报文(传输控制命令和状态信息)iii.基于制造报文规范MMS协议报文(后台与保护、测控设备之间的数据读写、目录列表上送、事件列表上送服务)iv.PTP1588对时报文网络分析仪主要实现在线通讯监视(各种异常告警)；通讯信息记录及分析(链路，MMS，GOOSE,SV报文进行分析)；波形还原及异常告警(人机界面告警及硬接点输出告警)；数据检索及提取(按照时间段、报文类型、报文特征(如异常标记、APPID)条件检索并提取报文列表)；数据转换(导出CAP格式或者COMTRADE格式)但是网络分析仪只能对后台机和测控装置之间的网络通信报文进行提取，对涉及采样及跳闸过程给出告警，而缺乏针对IEC61850协议簇网络报文的实时监控分析以及安全方面告警信息的给出。目前，针对智能变电站各资产的网络安全审计主要采用基于DPI的业务识别方法，DPI意为DeepPacketInspection，即深度包检测。所谓“深度”是和普通的报文层次相比较而言，“普通报文检测”仅分析IP包的4层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而DPI除了对前面的层次分析外，还增加了应用层分析，识别各种应用以及内容。DPI的技术关键是高效的识别网络中的各种应用。通过对应用流中的数据报文内容进行检测，从而确定数据报文的真正应用。推广到智能变电站的网络审计应用，除了对智能变电站站控层后台机、远动装置以及间隔层测控保护装置的源地址、目的地址、源端口、目的端口、协议类型进行行为审计解析外，还未针对智能变电站全站通讯协议IEC61850协议簇进行深度的应用解析，实现针对智能变电站网络通讯协议的DPI深度包的检测。结合智能变电站的业务特点，急需一套能深度解析IEC61850协议簇，能充分解析智能变电站SCD文件的基础上进行行为基线的安全审计；并对智能变电站场景下可能发生的安全风险进行全方位多角度的安全分析的审计系统。
技术实现思路
本专利技术的一个目的在于弥补现有的智能变电站中，缺乏针对IEC61850协议簇网络报文的实时监控分析以及安全方面告警信息给出的技术短板。为实现上述目的，现提供一种基于SCD解析的智能变电站安全审计方法，包括的步骤是：步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；步骤3)基于业务行为基线、诊断资产、路径错误、越限操作以及未知协议这些专属于智能变电站场景的业务并进行告警。另外，根据本专利技术实施例可以具有如下附加的技术特征：根据本专利技术的一个实施例，所述业务场景包括智能变电站场景下的遥控操作、定值切区操作、定值修改操作；在所述智能变电站监控系统网络的安全审计系统中，添加的安全审计系统管理功能模块有：1)管理接口模块：负责服务器设备自身的管理，对外部提供接口，对设备相应功能进行策略及安全审计系统配置；2)日志代理模块：设备通过相关接口向管理中心平台发送日志信息；3)监控进程模块：系统提供进程监控服务，对关键应用能够检测被监控对象是否存在；这种监测是在监控管理器与应用之间发送HB，或是监控管理器监测对象进程的/proc文件；对于监测到异常的对象进行重启；4)数通引擎模块：根据设定的规则，将报文分发到对应的安全引擎处理；根据安全引擎对报文处理的结果决定报文的丢弃、转发、拷贝；支持L1-L3层解码；ACL，QoS；5)行为基线功能模块：根据工业现场中流量进行自学习，学习完成后建立基线模型，包含设备IP、MAC白名单、TCP连接的发起方向、业务行为、业务行为的路径；6)资产拓扑模块：将基线中审计到的资产按照智能变电站三层两网的网络架构展示出来，资产拓扑中能够显示资产名,ip,mac以及相互之间交互的操作行为；7)界面告警功能模块：将后续接收到的流量中的信息和行为基线进行比对，不一致的进行告警；8)流量统计功能模块：只查看工业现场特定协议的流量大小，包括MMS,goose,telnet,ftp；9)日志查询功能模块：包含告警日志、运行日志、操作日志的查询；10)报表导出模块：将统计到的流量、告警导出成html报表。根据本专利技术的一个实施例，所述安全审计系统的体系架构划分成两个平面：管理平面；主要负责设备自身的管理、对外部提供接口、其他平面的策略配置；数据平面；主要负责业务数据收发、L2/L3/ACL/QOS/、以及安全防护；同时也包括流表、会话表的建立；数据平面又包括数通引擎以及安全引擎，数通引擎侧重于数据转发，安全引擎侧重于安全防护；为了满足设备的性能和稳定性的要求，在总体架构设计中采取了以下的原则：最大平面分离原则；尽可能将不同的平面运行在不同的CPU核即线程上；业务功能分离原则；安全引擎和数通引擎运行在不同的CPU核即线程上。根据本专利技术的一个实施例，所述安全审计系统基于Linux2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术，L1-L3底层数据包处理由唯一进程Server负责，Server将L4-L7高层解码交由Client负责，Server支持多Client并发处理高层解码；日志代理模块统一采用NPAI机制和管理中心平台进行互联。根据本专利技术的一个实施例，所述安全审计系统还包括底层基础模块、收发包模块、L1-L3层攻击防护模块、应用层攻击防护模块、生产构建模块、统一安全管理平台模块以及其他模块；底层基础模块：底层基础模块为整个系统的架构基础，包括产品内核、电子盘系统以及应用的WEB-CAVY框架；基于Linux2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术；收发包模块：收发包模块主要实现对镜像过来的数据包进行批量的收包和自动调节，同时对接口数据进行整体统计分析；L1-L3层攻击防护模块：这一模块主要实现L1-L3层的数据解码，针对L1-L3层进行基于规则的数据包过滤检测；对网络层的IPV4和IPV6提供支持，建立通信隧道；同时进行DDOS攻击的检测和防护；该层为系统的安全防护模块，保障系统不受L1-L3层的攻击危害；应用层攻击防护模块：该层模块实现智能变电站基础工控协议IEC-61850协议簇的基础协议识别，包括MMS、GOOSE和SV协议的应用层解码分析；通过自学习策略的设置建立智能变本文档来自技高网...

【技术保护点】
1.一种基于SCD解析的智能变电站安全审计方法，其特征在于，包括的步骤是：步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；步骤3)基于业务行为基线、诊断资产、路径错误、越限操作以及未知协议这些专属于智能变电站场景的业务并进行告警。

【技术特征摘要】
1.一种基于SCD解析的智能变电站安全审计方法，其特征在于，包括的步骤是：步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；步骤3)基于业务行为基线、诊断资产、路径错误、越限操作以及未知协议这些专属于智能变电站场景的业务并进行告警。2.如权利要求1所述的一种基于SCD解析的智能变电站安全审计方法，其特征在于，所述业务场景包括智能变电站场景下的遥控操作、定值切区操作、定值修改操作；在所述智能变电站监控系统网络的安全审计系统中，添加的安全审计系统管理功能模块有：1)管理接口模块：负责服务器设备自身的管理，对外部提供接口，对设备相应功能进行策略及安全审计系统配置；2)日志代理模块：设备通过相关接口向管理中心平台发送日志信息；3)监控进程模块：系统提供进程监控服务，对关键应用能够检测被监控对象是否存在；这种监测是在监控管理器与应用之间发送HB，或是监控管理器监测对象进程的/proc文件；对于监测到异常的对象进行重启；4)数通引擎模块：根据设定的规则，将报文分发到对应的安全引擎处理；根据安全引擎对报文处理的结果决定报文的丢弃、转发、拷贝；支持L1-L3层解码；ACL，QoS；5)行为基线功能模块：根据工业现场中流量进行自学习，学习完成后建立基线模型，包含设备IP、MAC白名单、TCP连接的发起方向、业务行为、业务行为的路径；6)资产拓扑模块：将基线中审计到的资产按照智能变电站三层两网的网络架构展示出来，资产拓扑中能够显示资产名,ip,mac以及相互之间交互的操作行为；7)界面告警功能模块：将后续接收到的流量中的信息和行为基线进行比对，不一致的进行告警；8)流量统计功能模块：只查看工业现场特定协议的流量大小，包括MMS,goose,telnet,ftp；9)日志查询功能模块：包含告警日志、运行日志、操作日志的查询；10)报表导出模块：将统计到的流量、告警导出成html报表。3.一种基于SCD解析的智能变电站安全审计方法，其特征在于，所述安全审计系统的体系架构划分成两个平面：管理平面；主要负责设备自身的管理、对外部提供接口、其他平面的策略配置；数据平面；主要负责业务数据收发、L2/L3/ACL/QOS/、以及安全防护；同时也包括流表、会话表的建立；数据平面又包括数通引擎以及安全引擎，数通引擎侧重于数据转发，安全引擎侧重于安全防护；为了满足设备的性能和稳定性的要求，在总体架构设计中采取了以下的原则：最大平面分离原则；尽可能将不同的平面运行在不同的CPU核即线程上；业务功能分离原则；安全引擎和数通引擎运行在不同的CPU核即线程上。4....

【专利技术属性】
技术研发人员：王文婷，刘新，刘冬兰，于灏，井俊双，任天成，赵晓红，赵洋，张昊，
申请(专利权)人：国网山东省电力公司电力科技研究院，
类型：发明
国别省市：山东,37