一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统技术方案

本发明专利技术公开了一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，包括以下步骤：步骤(1)，根据传统变电站的配置文件的格式规范，编写IEC103协议解析引擎；步骤(2)，将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能，以获取传统变电站控制层的全息流量，通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析，获取传统变电站站内设备之间的通讯和控制的逻辑关系；步骤(3)，建立传统变电站的安全行为基线，对传统变电站控制网络的实时通讯进行解析判断，获取传统变电站异常行为。本发明专利技术的方法能够实现对传统变电站可能出现的安全风险进行全方位多角度的记录和分析，最终实现对传统变电站的安全审计。

【技术实现步骤摘要】
一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统
本专利技术涉及一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统。
技术介绍
传统变电站的配置文件是对变电站设备及其连接情况的描述文件，存储了传统变电站现场设备IP/MAC地址与设备实际名称之间的对应关系，同时存储了传统变电站不同层级的设备信息，这些信息对传统变电站的业务审计起到了十分关键的作用。传统变电站具有进行数据分析和取证的网络分析仪，目前在传统变电站场景下主要使用网络分析仪进行分析及告警。网络分析仪检测的对象如下：(1)IEC103协议报文；(2)UDP/TCP/ICMP/SNMP协议报文。网络分析仪主要实现在线通讯监视(各种异常告警)，通讯信息记录及分析，波形还原及异常告警(人机界面告警及硬接点输出告警)，数据检索及提取(按照时间段、报文类型、报文特征条件检索并提取报文列表)，数据转换(导出CAP格式或者COMTRADE格式)。但是，网络分析仪只能对后台机和测控装置之间的网络通信报文进行提取，对涉及采样及跳闸过程给出告警，缺本文档来自技高网...

【技术保护点】
1.一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，/n包括以下步骤：/n步骤(1)，根据传统变电站的配置文件的格式规范，编写IEC103协议解析引擎；/n步骤(2)，将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能，以获取传统变电站控制层的全息流量，通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析，获取传统变电站站内设备之间的通讯和控制的逻辑关系；/n步骤(3)，根据传统变电站站内设备之间的通讯和控制的逻辑关系，建立传统变电站的安全行为基线；基于该安全行为基线，对传统变电站控制网络的实时通讯进行解析判断，获取传统变电站异常行为。/n

【技术特征摘要】
1.一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
包括以下步骤：
步骤(1)，根据传统变电站的配置文件的格式规范，编写IEC103协议解析引擎；
步骤(2)，将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能，以获取传统变电站控制层的全息流量，通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析，获取传统变电站站内设备之间的通讯和控制的逻辑关系；
步骤(3)，根据传统变电站站内设备之间的通讯和控制的逻辑关系，建立传统变电站的安全行为基线；基于该安全行为基线，对传统变电站控制网络的实时通讯进行解析判断，获取传统变电站异常行为。


2.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
所述步骤(1)中，传统变电站配置文件描述了传统变电站控制系统所有设备的特征、基础配置参数和设备之间的连接关系，并且遵循统一的格式规范；根据传统变电站的配置文件的格式规范，编写针对性的解析引擎，解析出不同设备之间的通讯和控制的逻辑关系。


3.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
所述步骤(1)中，传统变电站的配置文件包括：设备表、网络表、装置表，配置文件之间通过数据库中的键值建立联系。


4.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
所述步骤(1)中，通过对传统变电站配置文件的解析，从逻辑上建立传统变电站设备之间电气连接关系。


5.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
所述步骤(1)中，采用设置配置文件解析数据表模式，将所有传统变电站配置文件中的设备信息提取出来。


6.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
所述步骤(2)中，对于IEC103协议解析引擎的实现是基于网络的OSI七层模型和IEC103协议的标准，将传统变电站控制网络的通讯数据包逐层解析，直至获取到IEC103协议标准的操作指令，实现对变电站控制网络流量的深度解析。


7.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
所述步骤(3)中，传统变电站控制网络已经建立的安全行为基线中包含正常通讯状态下的五元组、订阅关系、数据包中的指令信息，后续对目标传统变电站网络状态进行审计时，依据安全行为基线中的信息，基于对通信数据包的实时全息解析引擎，实现传统变电站控制网络通讯行为的监控。


8.如权利要求1所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，
在创建传统变电站的安全行为基线时，首先将该传统变电站的配置文件进行解析，然后对该传统变电站的流量进行解析，通过神经网络自学习形成该传统变电站的安全行为基线。


9.如权利要求8所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，还包括：
在自学习过程中建立资产数据表，将所有流量的IP/MAC协议放入此表。


10.如权利要求9所述的一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，其特征在于，还包括：
建立关系数据表，将传统变电站配置文件中和所有流量的IP/MAC源地址到目的地址的所有...

【专利技术属性】
技术研发人员：王文婷，黄华，赵洋，聂其贵，王磊，赵晓红，刘鑫，刘新，马雷，任天成，刘冬兰，于灏，张昊，赵勇，井俊双，王睿，
申请(专利权)人：国网山东省电力公司电力科学研究院，国家电网有限公司，
类型：发明
国别省市：山东;37