CN104468392A - 一种智能变电站过程层ied的网络风暴抑制方法 - Google Patents
一种智能变电站过程层ied的网络风暴抑制方法 Download PDFInfo
- Publication number
- CN104468392A CN104468392A CN201410581421.8A CN201410581421A CN104468392A CN 104468392 A CN104468392 A CN 104468392A CN 201410581421 A CN201410581421 A CN 201410581421A CN 104468392 A CN104468392 A CN 104468392A
- Authority
- CN
- China
- Prior art keywords
- network
- message
- layer
- mac
- appid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明涉及一种智能变电站过程层IED的网络风暴抑制方法,属于电力系统变电站自动化技术领域。本发明利用合并单元装置的网络数据传输和处理流程,通过控制硬件模块、网络驱动模块和应用模块三个层次的模块对报文数据的接收和处理,达到三层网络防护,实现一个网口的某些组的报文数据流量异常时不会影响该网口其它组数据的处理和装置的性能、某一个或者几个网口数据流量异常不会影响其它网口的数据处理和整个装置的性能。在一个网口的某些组网络报文压力异常的时候,该网口的其它组报文不受影响。杜绝了恶劣网络环境下,装置拒动或误动的可能性,保证了设备运行的可靠性。
Description
技术领域
本发明涉及一种智能变电站过程层IED的网络风暴抑制方法,属于电力系统变电站自动化技术领域。
背景技术
智能合并单元为智能变电站中新出现的一种IED设备,是智能终端与合并器的一体化装置,适用于智能变电站内多种一次开关间隔或变压器间隔,其智能终端单元部分最重要的两个功能:1)接收过程层网络的控制指令或继电保护装置的直接控制指令,并驱动相应的出口回路完成对一次设备的控制功能,并具有防误操作功能。2)采集一次设备位置信号、报警信号等实时数据,通过GOOSE服务发布至过程层网络。由于在智能变电站中智能终端设备所处的关键位置和重要功能,对其可靠性要求极高,任何情况下都要保证装置的可靠动作,提高智能终端设备的可靠性是智能变电站产品设计的重点工作。由于智能终端设备的组网口接在过程层网络上,虽然可通过屏蔽广播报文等做法避免网络压力对装置的影响,但还是存在某个网口受到网络压力的影响造成装置拒动或误动的可能,所以就需要一个在某一个网口受到网络压力影响时,防止装置的其它网口的整体功能受到影响的机制。
目前对网络风暴报文进行抑制只是在驱动层进行,但是根据智能合并单元装置的结构特点和网络数据处理流程,只在网络驱动层进行网络风暴抑制是不完善的,因为网络流量的判断是在CPU板的网络驱动层进行的,当判断到流量异常超量的时候,应用层的数据缓冲区里面已经有非常多的网络风暴报文了,此时即使在网卡驱动层将网络数据屏蔽,应用层处理应用数据缓冲区中已有的报文也将耗费极大的CPU资源,对整个装置的性能是个挑战;另外,如果只是对驱动层进行风暴屏蔽,在FPGA预处理层不对风暴进行处理的话,网络扩展插件多个网口的数据和风暴数据都会对CPU插件的网卡驱动形成持续的冲击,很可能会影响整个装置的性能甚至造成拒动或者误动。
发明内容
本发明的目的是提供一种智能变电站过程层IED的网络风暴抑制方法,以解决目前智能变电过程层网络风暴抑制只在网络驱动层进行所带来的问题。
本发明为解决上述技术问题而提供一种智能变电站过程层IED的网络风暴抑制方法,该方法采用三层网络防护机制,分别在物理层、驱动层和应用层对网络风暴进行抑制,
所述驱动层对网络风暴的抑制过程为:统计每个网口报文的网络流量,将流量超标报文的MAC和AppID从相应网口的MAC和AppID过滤表中去掉,实现对相应网口报文的屏蔽,并将更新后的MAC和AppID过滤表传递给物理层和应用层;
所述物理层对网络风暴的抑制过程如下:统计每个网口接收到的相同CRC的报文数量,若接收到的相同CRC报文数量超过设定值,屏蔽相应网口报文的接收,同时根据驱动层传递的MAC和AppID过滤表接收报文的MAC和AppID在过滤表中存在的报文;
所述应用层对网络风暴的抑制过程如下;根据驱动层传递的MAC和AppID过滤表接收报文的MAC和AppID在过滤表中存在的报文。
所述的物理层对应于智能合并单元的网络扩展插件的FPGA处理模块,所述的驱动层对应于智能合并单元的CPU插件的网卡驱动模块,所述的应用层对应于智能合并单元的应用处理模块。
所述驱动层在每组报文的网络风暴触发网络屏蔽机制后,统计该组报文被屏蔽的时间,当屏蔽时间超出门槛值后,将该屏蔽报文的MAC和AppID重新写入MAC和AppID过滤表。
所述MAC和AppID过滤表的初始化值是智能合并单元装置初始化的时候注册的,表示本装置需要接收的所有类型报文的MAC和AppID列表。
所述驱动层在进行流量统计时,除了统计网口的总流量,还统计每个网口每种组播报文的流量,使得流量控制更加细化和精确:一个网口中的某些组播报文流量异常的时候,不会影响当前网口对其它正常报文的处理,更不会影响其它网口和装置的性能。
本发明的有益效果是:本发明利用合并单元装置的网络数据传输和处理流程,通过控制硬件模块、网络驱动模块和应用模块三个层次的模块对报文数据的接收和处理,达到三层网络防护,实现一个网口的某些组的报文数据流量异常时不会影响该网口其它组数据的处理和装置的性能、某一个或者几个网口数据流量异常不会影响其它网口的数据处理和整个装置的性能。在一个网口的某些组网络报文压力异常的时候,该网口的其它组报文不受影响。杜绝了恶劣网络环境下,装置拒动或误动的可能性,保证了设备运行的可靠性。
附图说明
图1是智能合并单元装置中每个网口的网络风暴防护示意图;
图2是CPU插件和网络扩展插件通信示意图;
图3是FPGA处理模块的网络报文过滤模块示意图;
图4是CPU处理模块的网络流量监控和网络报文过滤模块示意图;
图5是应用处理模块的网络报文过滤模块示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的说明。
本发明利用装置的网络数据传输和处理流程,如图1所示,通过控制物理层、驱动层和应用层三个层次的模块对报文数据的接收和处理,达到三层网络防护,实现一个网口的某些组的报文数据流量异常时不会影响该网口其它组数据的处理和装置的性能、某一个或者几个网口数据流量异常不会影响其它网口的数据处理和整个装置的性能。其中物理层对应于智能合并单元的网络扩展插件的FPGA处理模块,在该模块内部实现对网络报文进行抑制,尽量降低后续网络驱动层的处理压力;驱动层对应于智能合并单元的CPU插件的网卡驱动模块,用于对网络报文实时的监控以及对风暴报文进行过滤,尽量降低后续应用层处理数据的压力;应用层对应于智能合并单元的应用处理模块,用于实现对网络风暴报文进行过滤,降低CPU的试用率损耗。该方法包括驱动层对网络风暴的抑制过程、物理层对网络风暴的抑制过程和应用层对网络风暴的抑制过程。
驱动层对网络风暴的抑制过程为:统计每个网口报文的网络流量,将流量超标报文的MAC和AppID从相应网口的MAC和AppID过滤表中去掉,实现对相应网口报文的屏蔽,并将更新后的MAC和AppID过滤表传递给物理层和应用层。本实施例中驱动层通过建立网络流量监控模块、过滤模块和超时模块实现上述抑制功能,如图4所示。
网络流量监控模块:该模块的主要作用有两个,首先就是实时监控每个网卡的每组注册报文的流量,检测到某组报文的流量超标之后就会将该报文的MAC和AppID从相应网口的MAC和AppID过滤列表中去掉,即启动该组报文的屏蔽;其次在每组报文的网络风暴触发网络屏蔽机制之后,都会触发一个时间统计记录该组报文被屏蔽的时间,当屏蔽时间超出门槛值(可以根据实际的应用定制)之后,就会重新将该屏蔽报文的MAC和AppID写入MAC和AppID过滤表,即重新恢复该报文的接收。
过滤模块:维护一个MAC和AppID过滤表,表示本网口中只有接收到的报文的MAC和AppID在该列表中存在的情况下报文才会被后续处理,该列表的初始化值是装置初始化的时候注册的,表示本装置需要接收的所有类型报文的MAC和AppID列表,该表初始化完成之后会立即将列表信息传递给的过滤模块和应层报文数据预处理模块。在装置运行过程中,MAC和AppID过滤列表只要有更新就会立刻将更新之后的MAC和AppID列表信息传递给FPGA的过滤模块和应用层报文数据预处理模块,FPGA和应用层的过滤模块会负责及时更新自身的MAC和AppID过滤列表;
物理层对网络风暴的抑制过程如下:统计每个网口接收到的相同CRC的报文数量,若接收到的相同CRC报文数量超过设定值,屏蔽相应网口报文的接收,同时根据驱动层传递的MAC和AppID过滤表接收报文的MAC和AppID在过滤表中存在的报。本实施例中物理层通过建立CRC过滤模块和MAC、AppID过滤模块实现上述功能,如图3所示。
CRC过滤模块:CRC过滤能够有效的防护重复的网络风暴报文,统计一段时间(可以根据实际情况设置)内一个网口接收到的相同CRC的报文的数量,如果该数超过门槛值(可以根据实际情况设置),那么就说明具有该CRC的报文有异常,屏蔽该组报文的接收。
MAC、AppID过滤模块:维护一个MAC列表,只有接收报文的MAC和AppID在列表中存在的情况下报文才会被接收,该MAC列表的所有条目的MAC和AppID值都是由CPU插件产生的并且由网卡驱动模块负责检测和刷新。
应用层对网络风暴的抑制过程如下;根据驱动层传递的MAC和AppID过滤表只接收报文的MAC和AppID在过滤表中存在的报文。本实施例中应用层通过建立MAC、AppID列表过滤模块实现上述功能,如图5所示。MAC和AppID列表过滤模块用于维护MAC和AppID的列表,只有缓冲区报文的MAC在列表中存在的情况下报文才会被传递给应用处理模块处理,否则扔掉,该MAC列表的所有条目的MAC值都是由CPU插件的网卡驱动模块产生并刷新的。
Claims (5)
1.一种智能变电站过程层IED的网络风暴抑制方法,其特征在于,该方法采用三层网络防护机制,分别在物理层、驱动层和应用层对网络风暴进行抑制,
所述驱动层对网络风暴的抑制过程为:统计每个网口报文的网络流量,将流量超标报文的MAC和AppID从相应网口的MAC和AppID过滤表中去掉,实现对相应网口报文的屏蔽,并将更新后的MAC和AppID过滤表传递给物理层和应用层;
所述物理层对网络风暴的抑制过程如下:统计每个网口接收到的相同CRC的报文数量,若接收到的相同CRC报文数量超过设定值,屏蔽相应网口报文的接收,同时根据驱动层传递的MAC和AppID过滤表接收报文的MAC和AppID在过滤表中存在的报文;
所述应用层对网络风暴的抑制过程如下;根据驱动层传递的MAC和AppID过滤表接收报文的MAC和AppID在过滤表中存在的报文。
2.根据权利要求1所述的智能变电站过程层IED的网络风暴抑制方法,其特征在于,所述的物理层对应于智能合并单元的网络扩展插件的FPGA处理模块,所述的驱动层对应于智能合并单元的CPU插件的网卡驱动模块,所述的应用层对应于智能合并单元的应用处理模块。
3.根据权利要求2所述的智能变电站过程层IED的网络风暴抑制方法,其特征在于,所述驱动层在每组报文的网络风暴触发网络屏蔽机制后,统计该组报文被屏蔽的时间,当屏蔽时间超出门槛值后,将该屏蔽报文的MAC和AppID重新写入MAC和AppID过滤表。
4.根据权利要求3所述的智能变电站过程层IED的网络风暴抑制方法,其特征在于,所述MAC和AppID过滤表的初始化值是智能合并单元装置初始化的时候注册的,表示本装置需要接收的所有类型报文的MAC和AppID列表。
5.根据权利要求3所述的智能变电站过程层IED的网络风暴抑制方法,其特征在于,所述驱动层在进行流量统计时,除了统计网口的总流量,还统计每个网口每种组播报文的流量,使得流量控制更加细化和精确:一个网口中的某些组播报文流量异常的时候,不会影响当前网口对其它正常报文的处理,更不会影响其它网口和装置的性能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410581421.8A CN104468392B (zh) | 2014-06-25 | 2014-10-24 | 一种智能变电站过程层ied的网络风暴抑制方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410292995 | 2014-06-25 | ||
| CN2014102929953 | 2014-06-25 | ||
| CN201410581421.8A CN104468392B (zh) | 2014-06-25 | 2014-10-24 | 一种智能变电站过程层ied的网络风暴抑制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104468392A true CN104468392A (zh) | 2015-03-25 |
| CN104468392B CN104468392B (zh) | 2017-12-15 |
Family
ID=52913788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410581421.8A Expired - Fee Related CN104468392B (zh) | 2014-06-25 | 2014-10-24 | 一种智能变电站过程层ied的网络风暴抑制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104468392B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917705A (zh) * | 2015-06-18 | 2015-09-16 | 国家电网公司 | 一种智能变电站过程层交换机的网络报文管理方法 |
| CN105656713A (zh) * | 2015-12-22 | 2016-06-08 | 国电南瑞科技股份有限公司 | 一种基于fpga的smv和goose报文过滤方法 |
| CN106789448A (zh) * | 2017-02-22 | 2017-05-31 | 许继集团有限公司 | 一种网络风暴快速检测方法及装置 |
| CN107547438A (zh) * | 2017-08-02 | 2018-01-05 | 许继电气股份有限公司 | 一种基于动态特征字的goose/sv报文处理方法及其交换机 |
| CN105207817B (zh) * | 2015-09-21 | 2018-09-21 | 中国南方电网有限责任公司 | 一种过程层设备抵御网络风暴的方法 |
| CN109165519A (zh) * | 2018-09-12 | 2019-01-08 | 杭州和利时自动化有限公司 | 一种基于控制器防御网络风暴的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090228224A1 (en) * | 2005-01-27 | 2009-09-10 | Electro Industries/Gauge Tech. | Intelligent electronic device with enhanced power quality monitoring and communications capabilities |
| CN103312037A (zh) * | 2013-06-09 | 2013-09-18 | 国家电网公司 | 智能变电站压力测试装置及方法 |
| CN103378654A (zh) * | 2012-04-27 | 2013-10-30 | 南京南瑞继保电气有限公司 | 智能变电站过程层网络报文过滤方法 |
| CN103716239A (zh) * | 2013-12-24 | 2014-04-09 | 南京磐能电力科技股份有限公司 | 一种智能变电站过程层中网络风暴的抑制方法 |
-
2014
- 2014-10-24 CN CN201410581421.8A patent/CN104468392B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090228224A1 (en) * | 2005-01-27 | 2009-09-10 | Electro Industries/Gauge Tech. | Intelligent electronic device with enhanced power quality monitoring and communications capabilities |
| CN103378654A (zh) * | 2012-04-27 | 2013-10-30 | 南京南瑞继保电气有限公司 | 智能变电站过程层网络报文过滤方法 |
| CN103312037A (zh) * | 2013-06-09 | 2013-09-18 | 国家电网公司 | 智能变电站压力测试装置及方法 |
| CN103716239A (zh) * | 2013-12-24 | 2014-04-09 | 南京磐能电力科技股份有限公司 | 一种智能变电站过程层中网络风暴的抑制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘朝晖: "基于FPGA实现的报文分类智能网卡", 《信息安全与技术》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917705A (zh) * | 2015-06-18 | 2015-09-16 | 国家电网公司 | 一种智能变电站过程层交换机的网络报文管理方法 |
| CN105207817B (zh) * | 2015-09-21 | 2018-09-21 | 中国南方电网有限责任公司 | 一种过程层设备抵御网络风暴的方法 |
| CN105656713A (zh) * | 2015-12-22 | 2016-06-08 | 国电南瑞科技股份有限公司 | 一种基于fpga的smv和goose报文过滤方法 |
| CN106789448A (zh) * | 2017-02-22 | 2017-05-31 | 许继集团有限公司 | 一种网络风暴快速检测方法及装置 |
| CN107547438A (zh) * | 2017-08-02 | 2018-01-05 | 许继电气股份有限公司 | 一种基于动态特征字的goose/sv报文处理方法及其交换机 |
| CN109165519A (zh) * | 2018-09-12 | 2019-01-08 | 杭州和利时自动化有限公司 | 一种基于控制器防御网络风暴的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104468392B (zh) | 2017-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104468392A (zh) | 一种智能变电站过程层ied的网络风暴抑制方法 | |
| CN102055633B (zh) | 一种星载双can总线节点故障自恢复系统 | |
| CN209607185U (zh) | 一种电力监控系统网络安全防护实训系统 | |
| CN104104558B (zh) | 一种智能变电站过程层通信中网络风暴抑制的方法 | |
| CN105207817B (zh) | 一种过程层设备抵御网络风暴的方法 | |
| CN106789982B (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
| CN109660550B (zh) | 一种用于嵌入式终端安全防御的系统及方法 | |
| CN101034976B (zh) | Ip连接安全系统中的入侵检测设备 | |
| Zvabva et al. | Evaluation of industrial firewall performance issues in automation and control networks | |
| CN106790557A (zh) | 一种压滤机的远程监控装置及监控方法 | |
| CN102098174A (zh) | 电网监控系统的安全通信方法及系统 | |
| CN103701207A (zh) | 一种防止有流间隔sv软压板误操作的方法 | |
| CN105449863B (zh) | 一种智能变电站网络通信安全稳定方法 | |
| CN115834218A (zh) | 一种调度数据网多级阻断的安全防护方法及系统 | |
| CN110138773B (zh) | 一种针对goose攻击的防护方法 | |
| CN210112051U (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 | |
| CN111641626A (zh) | 一种基于人工智能的网络安全系统 | |
| Lai et al. | An active security defense strategy for wind farm based on automated decision | |
| CN201887561U (zh) | 电网监控系统的安全通信系统 | |
| CN111404869A (zh) | 基于专有算法实现的网络用户组安全管理技术 | |
| Yang et al. | Implementation of risk-aggregated substation testbed using generative adversarial networks | |
| CN109150888B (zh) | 一种通过物理开关控制网络安全模组工作模式的方法 | |
| CN102136935B (zh) | 一种维护网口及其安全防护方法 | |
| CN102523120A (zh) | 智能变电站过程层ied网络压力控制方法及装置 | |
| CN111427306A (zh) | 一种用于质子治疗的输运线设备安全联锁系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Song Yanfeng Inventor after: Li Yingming Inventor after: Zhao Yingbing Inventor after: Yan Zhihui Inventor after: Ma Yicheng Inventor after: Xu Yunsong Inventor after: Shen Chen Inventor after: Tang Yang Inventor after: Ren Hongxu Inventor after: Zhang Baoshan Inventor after: Liu Qiuju Inventor after: Yang Fang Inventor after: Wang Xideng Inventor before: Song Yanfeng Inventor before: Li Yingming Inventor before: Zhao Yingbing Inventor before: Yan Zhihui Inventor before: Ma Yicheng Inventor before: Xu Yunsong Inventor before: Shen Chen Inventor before: Tang Yang Inventor before: Ren Hongxu Inventor before: Zhang Baoshan Inventor before: Liu Qiuju Inventor before: Yang Fang Inventor before: Wang Xideng |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171215 Termination date: 20201024 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |