【技术实现步骤摘要】
一种基于电网开关通信数据的极光攻击检测系统、方法
本专利技术属于智能电网信息及设备安全
,具体涉及一种基于电网开关通信数据的极光攻击检测系统、方法。
技术介绍
Aurora攻击(极光攻击)是一种通过快速通断电网开关组件,摧毁电网三相旋转物理设备的攻击方法。该攻击可以通过篡改开关组件通信信号、或远端篡改控制系统命令、或篡改开关组件的本地运行程序、或近端对开关组件进行错误命令注入等方式进行,以低于保护继电器响应延时的时间间隔,进行开关快速通断。电网中使用的继电器在运行中有特地设置的延时,以防止在系统瞬变期间触发保护动作,从而导致不必要的电力元件跳闸。延时将会导致在一个小的时间窗口内没有保护行为执行,在此时间窗口内进行一次电网开关组件状态来回切换将不会触发保护继电器动作。开关组件由通到断后,三相旋转物理设备(此处以发电机为例,实际还包括同步感应电动机)将与电网隔离,由于调速器动作缓慢,发电机输入机械功率变化缓慢,在开关组件断开后发电机端供大于求,发电机频率上升,造成了电网和发电机之间的频率差异。在一定时间的开关快速通...
【技术保护点】
1.一种基于电网开关通信数据的极光攻击检测系统,其特征在于,包括开关设备、通信控制器、交换机/集线器、电力监控系统、抓包主机设备;所述通信控制器分别与所述开关设备和所述交换机/集线器连接,所述交换机/集线器分别与所述电力监控系统和所述抓包主机设备连接;所述抓包主机设备在物理安全地点离线运行,用于抓取连接在同一台交换机/集线器上流过的开关设备与电力监控系统之间的通信数据包并进行极光攻击检测,所述抓包主机设备还发送通信数据包给电力监控系统。/n
【技术特征摘要】
1.一种基于电网开关通信数据的极光攻击检测系统,其特征在于,包括开关设备、通信控制器、交换机/集线器、电力监控系统、抓包主机设备;所述通信控制器分别与所述开关设备和所述交换机/集线器连接,所述交换机/集线器分别与所述电力监控系统和所述抓包主机设备连接;所述抓包主机设备在物理安全地点离线运行,用于抓取连接在同一台交换机/集线器上流过的开关设备与电力监控系统之间的通信数据包并进行极光攻击检测,所述抓包主机设备还发送通信数据包给电力监控系统。
2.根据权利要求1所述的一种基于电网开关通信数据的极光攻击检测系统,其特征在于,所述抓包主机设备与所述通信控制器单向通信,所述通信控制器发送通信数据包至所述抓包主机设备。
3.根据权利要求1所述的一种基于电网开关通信数据的极光攻击检测系统,其特征在于,所述通信控制器和电力监控系统之间借助所述交换机/集线器通过以太网Modbus-TCP协议进行通信。
4.一种基于电网开关通信数据的极光攻击检测方法,其特征在于,应用于权利要求1所述一种基于电网开关通信数据的极光攻击检测系统的抓包主机设备端;方法包括:
步骤S01,在无攻击异常事件发生时间内,抓取开关设备与电力监控系统之间的通信数据包;
步骤S02,解析步骤S01中通信数据包,生成报文规则库;其中,所述报文规则库包括用于判断数据包周期性和间隔性的主要规则和用于判断报文长度、请求响应时间间隔、设备权限合理性的次要规则;
步骤S03,实时抓取开关设备与电力监控系统之间的通信数据包;
步骤S04,将步骤S03中通信数据包解析后与报文规则库进行规则匹配,当与主要规则不匹配时,发出极光攻击警告信息。
5.根据权利要求4所述的一种基于电网开关通信数据的极光攻击检测方法,其特征在于,所述步骤S02具体包括:
步骤S21,解析步骤S01中通信数据包地址和端口;
步骤S22,解析步骤S01中通信数据包的报文头和报文内容;其中,所述报文头的解析内容包括报文的时间戳、报文长度、报文发出方和接收方的识别码、报文的标识符;所述报文内容的解析内容包括功能码、报文操作对象和相关数据;
步骤S23,
根据报文的时间戳、报文长度、功能码、报文操作对象和相关数据,确定每项业务报文的周期性和间隔性,并...
【专利技术属性】
技术研发人员:胡子珩,章彬,汪伟,徐文渊,冀晓宇,何睿文,
申请(专利权)人:浙江大学,深圳供电局有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。