基于协议解析的电网工业控制系统及控制方法技术方案

本发明专利技术提出了基于协议解析的电网工业控制系统及控制方法，涉及通信技术领域，实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流；对获取的协议数据流进行周期性解析，并封装上报；对封装上报的解析结果进行解封装，对解封装后的协议数据流的规定字段的行为特征进行监测，判断协议数据流是否存在异常；当判断协议数据流为异常时，则终止电网工业控制系统的控制过程、报警和记录日志，并将报警信息和日志信息传至终端模块。可以有效实现对电网工业控制系统的数据异常检测，提高了电网工业控制系统的安全保障能力。提高了电网工业控制系统的安全保障能力。提高了电网工业控制系统的安全保障能力。

【技术实现步骤摘要】
基于协议解析的电网工业控制系统及控制方法


[0001]本专利技术涉及通信
，特别涉及基于协议解析的电网工业控制系统及控制方法。

技术介绍

[0002]随着电网的大规模智能化与信息化改造，电网呈现出越来越稳定与智能化的趋势。与此同时，也增加了智能电网遭受来自网络攻击的风险。协议安全是信息安全的一个重要内容，越来越多的研究开始聚焦于智能电网工业控制的协议安全。
[0003]现如今，智能电网工业底层智能设备的信息化导致网络攻击的实施更加容易，同时攻击更加容易入侵到底层，对智能变电站会产生更大的影响。无论是从调度中心的向下渗透，还是从变电站内部的渗透都会更加容易。变电站内部存在的网络接口也越来越多，针对智能变电站的底层安全研究刻不容缓。无论是从外部的攻击与渗透还是内部的攻击与渗透都会暴露更多风险。因此针对智能电网工业协议安全，如何从安全通信的角度整体评估协议机制本身的信息安全性，变得尤为重要。
[0004]但是，对于目前的智能电网工业控制系统与智能电网的防护设备，大多没有考虑对深度包进行解析与监测，只考虑了对应用层、网络层、传输层部分协议数据流的解析，该信息作为防护输入存在片面性，因此对于数据包的全解析十分重要。
[0005]现有技术中，例如专利文献CN106911529A公开了一种基于协议解析的电网工控安全监测系统，对现网的流量进行监测与分析，为电网工业控制信息安全提供保障。将基于协议数据流深度解析的电网工业控制系统安全威胁监测系统部署于调度中心与新能源电站，对104规约及TCP协议通信流量进行深度解析和安全威胁监测，及时识别并记录包括旁路控制、完整性破坏等威胁，但是该技术方案未详细地公开如何解析与监控，只提出了一个系统框架。
[0006]再例如专利文献CN110868408A公开了一种基于工业协议解析的工控设备安全检测方法和系统，根据预设的多个工业协议分析类，将监听到的工控网络数据的第一特征信息写入对应的协议地址配置文件，协议地址配置文件与工业协议分析类相对应；根据写入第一特征信息的协议地址配置文件，确定后续监听到的各个工控网络数据所属的工业协议分析类；根据工业协议分析类，判断工控网络数据是否包括安全威胁特征信息；若判定工控网络数据包括安全威胁特征信息，则对工控网络数据进行安全预警。但是该技术方案仍然存在检测反应速度慢，识别不够准确的问题。

技术实现思路

[0007]为了解决上述技术问题，本专利技术提出了基于协议解析的电网工业控制方法，包括如下步骤：S1、实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流；S2、对获取的协议数据流进行周期性解析，并封装上报；
S3、对封装上报的解析结果进行解封装，对解封装后的协议数据流的规定字段的行为特征进行监测，判断协议数据流是否存在异常；S4、当判断协议数据流为异常时，则终止电网工业控制系统的控制过程、报警和记录日志，并将报警信息和日志信息传至终端模块。
[0008]进一步地，步骤S3中，构建稳定控制预测模型，将选定时刻的实际封装上报的协议数据流与经所述稳定控制预测模型预测的稳态值进行偏离度计算；当计算结果大于设定的阈值时，则判定协议数据流出现异常行为。
[0009]进一步地，首先对解封装后的协议数据流中规定字段的行为特征进行测取，用集合表示t时刻的k个规定字段的行为特征变量；表示第i个规定字段的行为特征变量；用集合表示在测取时间窗口长度N内采集的所有规定字段的行为特征变量的集合，构建稳定控制数据集，获取该稳定控制数据集延迟两个周期测取点和延迟两个周期测取点得到行为特征变量，以构建稳定控制预测模型的输入输出行为特征变量集；稳定控制预测模型的输入行为特征变量集表示为：；其中，N为测取时间窗口的长度,下标t
‑
2表示延迟两个周期，下标t
‑
1表示延迟一个周期；稳定控制预测模型的输出行为特征变量集表示为：。
[0010]进一步地，所述稳定控制预测模型表示为：；；其中，为构建的稳定控制预测模型，为稳定控制预测模型预测的t时刻的稳态值，为稳定控制预测模型预测的t时刻的第i个规定字段的行为特征变量稳态值，为第i个规定字段的行为特征变量，为数据异常检测阈值，R为偏离度与数据异常检测阈值的比较结果。
[0011]进一步地，对于一个通信状态的在预测时刻j
m
的解析流量I
m
通过下式计算，；；其中F(j
m
)为时间概率函数，Cj0代表该通信状态在j0时刻发生的次数；Cj
m
表示该
通信状态在j
m
时刻发生的次数，j0和j
m
均在同一时间段J内，j0为起始时刻；则考虑该通信状态在j
m
时刻发生的次数的稳定控制预测模型表示为：；；其中，为构建考虑规定通信状态在j
m
时刻发生的次数的稳定控制预测模型，为稳定控制预测模型预测的所有j
m
时刻的稳态值，为数据异常检测阈值，为偏离度与异常检测阈值与解析流量I
m
乘积的比较结果。
[0012]进一步地，所述步骤S2中，对接收到的协议数据流进行项目匹配，以对协议数据流的协议类型进行识别；读取所述协议数据流协议类型对应的协议代号，读取与所述协议代号对应的报文特征库；根据与所述协议数据流协议类型对应的报文特征库中的报文特征匹配规则，对所述协议数据流进行报文特征匹配；根据所述报文特征库对协议数据流进行报文特征匹配，获得与匹配到的报文特征对应的匹配规则地址，以及匹配到的报文特征的起点偏置位置和终点偏置位置，封装到数据结构。
[0013]进一步地，当与所述协议代号对应的报文特征库不存在时，对报文特征库进行更新，建立与所述协议代号对应的协议类型对应的报文特征库；将所述协议的报文特征段和报文特征段长度作为匹配特征，建立报文特征库，在完成所述报文特征匹配后，将报文特征匹配结果进行封装上报。
[0014]本专利技术还提出了基于协议解析的电网工业控制系统，用于实现上述的电网工业控制方法，包括：采集模块、解析模块、监测模块、终端模块、控制器和上位机；所述采集模块用于实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流；所述解析模块用于对获取的协议数据流进行周期性解析并封装上报；所述监测模块对封装上报的解析结果进行解封装，对解封装后的协议数据流的规定字段的行为特征进行监测，判断协议数据流是否存在异常，当判断解析数据为异常时，则终止电网工业控制系统的控制过程、报警和记录日志，并将报警信息和日志信息传至终端模块；所述终端模块用于对所述监测模块的监测结果进行存储与在线显示。
[0015]相比于现有技术，本专利技术具有如下有益技术效果：对实时获取的协议数据流进行周期性解析，对接收到的协议数据流进行项目匹配，完成所述报文特征匹配后，将报文特征匹配结果进行封装上报；基于封装上报的解析结果，构建稳定控制预测模型，对电网工业控制系统进行数据异常检测；将选定时刻t的实际封装上报的解析结果与本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于协议解析的电网工业控制方法，其特征在于，包括如下步骤：S1、实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流；S2、对获取的协议数据流进行周期性解析，并封装上报；S3、对封装上报的解析结果进行解封装，对解封装后的协议数据流的规定字段的行为特征进行监测，判断协议数据流是否存在异常；S4、当判断协议数据流为异常时，则终止电网工业控制系统的控制过程、报警和记录日志，并将报警信息和日志信息传至终端模块。2.根据权利要求1所述的基于协议解析的电网工业控制方法，其特征在于，步骤S3中，构建稳定控制预测模型，将选定时刻的实际封装上报的协议数据流与经所述稳定控制预测模型预测的稳态值进行偏离度计算；当计算结果大于设定的阈值时，则判定协议数据流出现异常行为。3.根据权利要求2所述的基于协议解析的电网工业控制方法，其特征在于，首先对解封装后的协议数据流中规定字段的行为特征进行测取，用集合表示t时刻的k个规定字段的行为特征变量；表示第i个规定字段的行为特征变量；用集合表示在测取时间窗口长度N内采集的所有规定字段的行为特征变量的集合，构建稳定控制数据集，获取该稳定控制数据集延迟两个周期测取点和延迟两个周期测取点得到行为特征变量，以构建稳定控制预测模型的输入输出行为特征变量集；稳定控制预测模型的输入行为特征变量集表示为：；其中，N为测取时间窗口的长度,下标t
‑
2表示延迟两个周期，下标t
‑
1表示延迟一个周期；稳定控制预测模型的输出行为特征变量集表示为：。4.根据权利要求3所述的基于协议解析的电网工业控制方法，其特征在于，所述稳定控制预测模型表示为：；；其中，为构建的稳定控制预测模型，为稳定控制预测模型预测的t时刻的稳态值，为稳定控制预测模型预测的t时刻的第i个规定字段的行为特征变量稳态值，为第i个规定字段的行为特征变量，为数据异常检测阈值，R为偏离
度与数据异常检测阈值的比较结果。5.根据权利要求3所述的基于协议解析的电网工业控制方法，其特征在于，对于一个通信状态的在预测时刻j
m
的解析流量I
m
通过下式计算，；；其中F(j
m
)为时间概率函数，Cj0代表该通信状态...

【专利技术属性】
技术研发人员：赵瑾阳，马虹哲，刘则君，席梦梦，洪杨，刘宝玉，杨扬，
申请(专利权)人：中电运行北京信息技术有限公司，
类型：发明
国别省市：