智能变电站网络流量异常行为监测方法与系统技术方案

本发明专利技术公开了一种智能变电站网络流量异常行为监测方法与系统，利用智能变电站交换机镜像端口捕获网络流量数据包，并对流量数据包的应用层报文进行提取；其次按照报文所属协议规定的帧格式进行逐个字段解析，获取报文所表示的具体电力业务；然后依据报文字段特征进行单字段越限检测、多字段耦合逻辑检测、整体字段异常检测；最后依据报文业务特征建立正常行为模型，并基于业务模型实现业务执行逻辑、业务校验逻辑、业务时标逻辑的异常检测。本发明专利技术克服了现有智能变电站网络流量异常检测方法依赖于网络层流量特征指标，未能深入考虑电力业务逻辑特征的缺陷，提升了智能变电站网络流量异常行为检测的准确性。量异常行为检测的准确性。量异常行为检测的准确性。

【技术实现步骤摘要】
智能变电站网络流量异常行为监测方法与系统


[0001]本专利技术涉及电力系统信息安全
，尤其涉及一种智能变电站网络流量异常行为监测方法与系统。

技术介绍

[0002]随着先进信息通信技术以及智能电子设备在变电站的广泛应用，目前的变电站已经逐步发展成为融合自动控制、智能决策、协同交互等高级功能的新一代智能变电站。智能变电站通信过程中的信息传输以网络流量为载体，流量数据的正常传输对智能变电站以及整个电力系统的安全稳定运行至关重要。网络攻击者可以通过拦截、窃取、篡改流量数据达到破坏智能变电站安全稳定运行的目的，因此网络流量的异常行为检测是智能变电站网络安全主动防御的关键手段。
[0003]然而，已有的智能变电站网络流量异常检测方法侧重于在网络层根据特定的流量特征指标进行检测，不能体现具体的异常情况。而流量数据的应用层报文包含重要的电力业务信息，仅根据网络层流量特征指标不能全面地反映攻击行为的特征。因此，亟需专利技术一种新的智能变电站网络流量异常行为监测方法，实现流量数据应用层报文的异常检测，保障智能变电站的安全、可靠运行。
专利本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种智能变电站网络流量异常行为监测方法，其特征在于，包括以下步骤：S1、实时捕获智能变电站网络流量数据，并提取出应用层报文；S2、根据步骤S1提取出的应用层报文所属协议规定的帧格式对报文进行字段级的解析；S3、对解析后的应用层报文进行单字段越限检测，若出现异常，则发出告警信号；否则对解析后的应用层报文进行多字段耦合逻辑检测，若出现异常，则发出告警信号；否则对解析后的应用层报文进行整体字段异常检测，若出现异常，则发出告警信号；否则，进入步骤S4；S4、对解析后的应用层报文进行业务执行逻辑检测、业务校验逻辑检测、业务时标逻辑检测，若任何一个检测环节出现异常，则发出告警信号。2.根据权利要求1所述的智能变电站网络流量异常行为监测方法，其特征在于，对解析后的应用层报文进行单字段越限检测的具体实现过程包括：1)利用公式对解析后的应用层报文进行单字段越限检测，若该式不成立，则判定解析后的应用层报文为异常报文；否则，进入步骤2)；其中，P为解析后的应用层报文，P
WK
表示电力稳控业务的可变帧报文，LEN(P
WK
)表示解析后的应用层报文实际长度，LEN(P
WK
)
max
表示电力稳控协议所规定的最大报文长度；2)判断公式是否成立，若否，则判定解析后的应用层报文为异常报文；否则，进入步骤3)；其中，THE(P
WK
)表示报文理论计算长度；3)判断公式是否成立，若否，则判定解析后的应用层报文为异常报文；否则，进入步骤4)；其中，TYP(P
WK
)表示报文的类型标识字段值；4)判断公式是否成立，若否，则判定解析后的应用层报文为异常报文；否则，进入步骤5)；其中，COT(P
WK
)表示报文的传送原因字段值；5)判断公式是否成立，若否，则判定解析后的应用层报文为异常报文；否则，对解析后的应用层报文进行多字段耦合逻辑检测；其中，P
WK_G
表示电力稳控业务固定帧报文，LEN(P
WK_G
)表示固定帧报文长度。3.根据权利要求1所述的智能变电站网络流量异常行为监测方法，其特征在于，步骤S3中，对解析后的应用层报文进行多字段耦合逻辑检测的具体实现过程包括：I)判断公式FCV(P
WK
))∈{(0,0),(3,1),(4,0),(7,0),(10,1),(11,1)}是否成立，若否，则判定解析后的应用层报文为异常报文；否则，进入步骤II)；其中，P为解析后的应用层报文，P
WK
表示电力稳控业务的可变帧报文，FUN(P
WK
)表示报文控制域功能码数值，FCV(P
WK
)表示报文帧计数有效位数值；II)判断公式是否成立，若否，则判定解析后的应用层报文为异常报文；否则，对解析后的应用层报文进行整体字段异常检测；其中，QU(P
WK
)表示报文的被测量品质描述词，OV表示品质描述词的溢出标志，ER表示品质描述词的有效标志。4.根据权利要求1所述的智能变电站网络流量异常行为监测方法，其特征在于，步骤S3中，对解析后的应用层报文进行整体字段异常检测的具体实现过程包括：
i)判断公式是否成立，若否，则判定解析后的应用层报文为异常报文；否则，进入步骤II)；其中，P为解析后的应用层报文，P
WK
表示电力稳控业务的可变帧报文，其中，THE_V(P
WK
)表示报文理论校验和，为启动字符至校验和字段前的数据单字节算术累加和的低字节，REA_V(P
WK
)表示报文实际校验和，为报文最后一个字节。5.根据权利要求1所述的智能变电站网络流量异常行为监测方法，其特征在于，步骤S4的具体实现过程包括：根据解析后的应用层报文的类型标识、传送原因、功能类型、信息序号字段判断解析后的应用层报文所属具体业务；若为文件传输、总召唤、测试模式、监视方向闭锁、遥控执行、遥调执行、扰动数据传输业务中的一种，则对解析后的应用层报文所属业务的执行逻辑进行检测，如果出现异常，则发出告警信号，否则将当前帧流量数据判定为正常流量；若为遥控校验、定值修改业务中的一种，则对解析后的应用层报文所属业务的校验逻辑进行检测，如果出现异常，则发出告警信号，否则将当前帧流量数据判定为正常流量；若为通用历史数据查询、时间同步业务中的一种，则对解析后的应用层报文所属业务的时标逻辑进行检测，如果出现异常，则发出告警信号，否则将当前帧流量数据判定为正常流量。6.根据权利要求5所述的智能变电...

【专利技术属性】
技术研发人员：刘绚，王文博，张博，宋宇飞，于宗超，
申请(专利权)人：湖南大学，
类型：发明
国别省市：