【技术实现步骤摘要】
一种智能变电站GOOSE、SV报文的入侵检测方法
[0001]本专利技术涉及智能变电站安全
,具体涉及一种智能变电站GOOSE/SV报文的入侵检测方法及系统。
技术介绍
[0002]配电网是国民经济和社会发展的重要公共基础设施,为确保各供电区域电力的可靠供应,往往建设光纤专网形成与之配套的电力通信网。智能变电站采用IEC61850协议,基于该协议中定义的GOOSE、SV报文,通过光纤专网传输数据和控制信号。但光纤专网灵活性差、建设成本高,随着分布式电源的广泛接入,传统配电网保护已经难以满足复杂配电网的特性要求,而客户对供电可靠性、持续性的要求不断提升,对配电网保护的快速性、可靠性、选择性提出了更高的要求。随着以5G为代表的无线通信技术发展,无线网络能够提供高速的传输速度和可靠的传输质量。将配电网承载于5G之上可以显著减少建设成本并提高部署和维护的灵活性。国家电网四川省电力公司眉山分公司于2019年底投运了全国首套5G配电网差动保护,初步验证了5G承载配电网保护业务的可行性。但传统电力数据报文经5G传输所带来的网络安全隐...
【技术保护点】
【技术特征摘要】
1.一种智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,包括以下步骤:接收CPE镜像流量,从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳,解析所述数据包以获取GOOSE或SV的所有字段及字段内容;将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表;对所述GOOSE或SV的字段及字段内容进行分析,以检测数据包是否异常;基于所述IP地址及UDP端口号的元数据进行DoS攻击检测;将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表,将时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表与第二数据表之间的关联,从而实现异常数据包的原始数据包回溯。2.根据权利要求1所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,还包括:所述元数据包括相同IP地址和UDP端口号的数据包的数量。3.根据权利要求2所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述基于所述IP地址及UDP端口号的元数据进行DoS攻击检测包括:统计单位时间内具有相同IP地址和UDP端口号的数据包的数量,当数量超过设定的阈值时,判定为DoS攻击。4.根据权利要求2所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,针对GOOSE数据包的异常检测方法包括:对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析,检测其中存在的异常行为。5.根据权利要求4所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述针对GOOSE数据包的异常检测包括重启和配置错误检测,检测方法分别为:重启:当stnum字段等于1且sqnum字段等于1时,判定发生重启事件;配置错误:当ndscom字段为TRUE时,判定配置错误。6.根据权利要求4所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述针对GOOSE数据包的异常检测包括检修,检测的方法为:当TEST字段为TRUE时,判定为检修。7.根据权利要求4所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述针对GOOSE数据包的异常检测包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击,检测方法分别为:APPID异常:当前APPID字段与上一报文的APPID不一致时,判定发生APPID异常;虚假状态改变:当前报文的stnum不等于上一报文的stnum,且当前报文的dataset字段相较上一报文的dataset字段没有发生变化,判定为虚假状态改变;虚假配置改变:当前报文的confrev字...
【专利技术属性】
技术研发人员:汪晓帆,张泰,杨雪,曾仕伦,陈亮,朱礼鹏,易伟,熊伟,李建兵,杨灏,
申请(专利权)人:国网四川省电力公司眉山供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。