继电保护信息处理系统攻击行为监测方法及装置制造方法及图纸

本发明专利技术公开了一种继电保护信息处理系统攻击行为监测方法及装置，对实时捕获的继电保护信息处理系统的流量数据进行应用层报文提取，并按照IEC 60870

Method and device for monitoring attack behavior of relay protection information processing system

【技术实现步骤摘要】
继电保护信息处理系统攻击行为监测方法及装置


[0001]本专利技术涉及电力系统信息安全
，特别是一种继电保护信息处理系统攻击行为监测方法及装置。

技术介绍

[0002]随着变电站自动化、调度自动化水平的不断提高，电力系统信息化、智能化程度逐步增强。由继电保护装置、安全自动装置和故障录波器组成的继电保护信息处理系统已经成为电力系统的重要组成部分。继电保护信息处理系统能够实时采集继电保护装置的动作信息和运行状态信息，并对保护装置的动作信息进行自动、深入的分析，协助电力调度人员快速判断保护动作行为、进行故障定位、做出决策、处理事故。因此，继电保护信息的可靠传输与正确处理对电力系统的安全稳定运行具有重要意义。
[0003]继电保护信息处理系统采用IEC 60870
‑5‑
103规约进行信息的传输，由于规约的自身设计存在缺乏认证机制、缺乏授权机制、缺乏加密机制的脆弱性，面临着报文的窃取、拦截、篡改等网络攻击。但是现有的继电保护系统网络攻击检测方法侧重于继电保护装置测量点的数据分析，容易出现误报、漏报等问题，同时缺乏针对具体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种继电保护信息处理系统攻击行为监测方法，其特征在于，包括以下步骤：S1、实时捕获继电保护信息处理系统流量数据包，并提取出当前帧流量数据的应用层报文；S2、对所述应用层报文进行字段级解析；S3、对解析后的报文进行时钟篡改攻击检测，若报文的时钟范围、时钟逻辑、时钟同步、时钟延时不符合正常时钟特征，则判定存在时钟篡改攻击，否则进入步骤S4；S4、对解析后的报文进行畸形报文攻击检测，若报文的长度字段、类型标识、传送原因、信息序号值与规约要求不符，则判定存在畸形报文攻击，否则进入步骤S5；S5、按照解析后的报文所属的业务系统，对解析后的报文进行攻击检测，若解析后的报文不符合正常业务模型，则判定存在业务逻辑攻击，否则将当前帧流量数据判定为正常流量。2.根据权利要求1所述的继电保护信息处理系统攻击行为监测方法，其特征在于，步骤S3中，对解析后的报文进行时钟篡改攻击检测的具体实现过程包括：1)判断公式Y
t
∈[1970,2069]是否成立，若否，则判定为时钟篡改攻击，否则，进入步骤2)；其中，Y
t
表示时标年份，y
t
表示时标的年份标识字节数值；2)判断公式是否成立，若否，则判定为时钟篡改攻击，否则，进入步骤3)；其中，表示全称量词“任意”，P为步骤S2解析后的应用层报文，P
DS
表示IEC 60870
‑5‑
103对时报文，A
g
(P)表示报文ASDU地址高8位的值，F表示16进制的15，H表示数值为16进制；3)判断公式是否成立，若否，则判定为时钟篡改攻击，否则，进入步骤4)；其中，P
DZ
表示IEC 60870
‑5‑
103告警、遥信变位、动作事件数据上送报文中的一种，T
js
(P)表示事件子站接收时间，T
sj
(P)表示事件实际发生时间；4)检测子站上送历史故障信息时间段与主站召唤故障历史信息时间段是否一致，若两者时间不一致，则判定为时钟篡改攻击，否则进入步骤5)；5)判断公式是否成立，若否，则判定为时钟篡改攻击，否则，进入步骤S4；其中，P
XC
表示IEC60870
‑5‑
103主
‑
子站信息传送报文，T
cs
(P)表示信息传送时间，T
max
表示最大延迟时间，P1表示继电保护装置动作信息传送报文，P2表示继电保护装置模拟量测量值传送报文，P3表示继电保护装置运行状态传送报文，P4表示继电保护装置定值传送报文。3.根据权利要求1所述的继电保护信息处理系统攻击行为监测方法，其特征在于，对解析后的报文进行畸形报文攻击检测的具体实现过程包括：I)判断公式是否成立，若否，则判定为畸形报文攻击，否则进入步骤II)；其中，P
IEC103
表示IEC 60870
‑5‑
103报文，F
l
(P)表示报文理论长度，L
s
(P)表示报文实际长度；II)判断公式是否成立，若否，则判定为畸形报文攻击，否则
进入步骤III)；III)判断公式是否成立，若否，判定为畸形报文攻击，否则进入步骤IV)；其中，F
t
(P)表示报文类型标识字段值；IV)判断公式是否成立，若否，判定为畸形报文攻击，否则进入步骤V)；其中，F
c
(P)表示报文传送原因字段值；V)判断公式是否成立，若否，判定为畸形报文攻击，否则进入步骤S5；F
i
(P)表示报文信息序号字段值。4.根据权利要求1所述的继电保护信息处理系统攻击行为监测方法，其特征在于，步骤S5中，当报文为读取子站配置业务时，对解析后的报文进行攻击检测的具体实现过程包括：判断公式是否成立，若否，则判定存在配置数据恶意拦截攻击，否则，判断公式是否成立，若否，则判定存在数据篡改攻击，否则将当前帧流量数据判定为正常流量；其中，P
BT
表示继电保护信息处理系统中读取子站配置业务报文，B
n
(P)表示子站上送标题数目，B
s
表示子站配置的所有标题数目，B
zh
(P)表示同一组标题信息的各个条目的组号，C
zh
表示当前组标题信息的组号。5.根据权利要求1所述的继电保护信息处理系统攻击行为监测方法，其特征在于，步骤S5中，当报文为保护事件上送业务，对解析后的报文进行攻击检测的具体实现过程包括：A)判断公式是否成立，若否，则判定存在双点信息恶意篡改攻击，否则，进入步骤B)；其中，P
BH
表示继电保护...

【专利技术属性】
技术研发人员：刘绚，王文博，张博，宋宇飞，于宗超，
申请(专利权)人：湖南大学，
类型：发明
国别省市：