CN104579818A - 智能变电站网络异常报文检测方法 - Google Patents
智能变电站网络异常报文检测方法 Download PDFInfo
- Publication number
- CN104579818A CN104579818A CN201410719882.7A CN201410719882A CN104579818A CN 104579818 A CN104579818 A CN 104579818A CN 201410719882 A CN201410719882 A CN 201410719882A CN 104579818 A CN104579818 A CN 104579818A
- Authority
- CN
- China
- Prior art keywords
- message
- information
- substation
- network
- agreement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种智能变电站网络异常报文检测方法,通过对变电站中工业控制协议以及设备特有协议的分析,为每种协议分别制定报文规则;配置变电站交换机镜像端口,从交换机镜像端口接入变电站网络;从交换机镜像端口捕获变电站实时报文信息,解析捕获的报文,过滤掉空报文,提取得到报文的头信息和内容;将分析之后报文信息与报文规则进行匹配,检测并存储异常报文信息,并利用WEB端技术将检测得到的异常报文和报文的详细信息作为告警信息输出。利用变电站网络封闭性与协议固定性的特点,给出了较为可靠、准确的变电站异常报文识别方法,并最终实现变电站网络异常信息实时告警输出,辅助专业人员开展智能变电站信息安全的分析工作。
Description
技术领域
本发明涉及一种智能变电站网络异常报文检测方法,属于电网信息安全检测与防御技术领域。
背景技术
随着国内新一代智能电网的发展,智能变电站的推广建设,并逐步取代原有的常规变电站。智能变电站利用网络通信技术代替原有的点对点传输技术,简化了变电站的网络配置,提高了站内设备的互操作性。但是网络也为各种病毒木马程序的传播提供了便利,为恶意程序对其他设备发动攻击提供了途径。因此需要对变电站网络报文进行检测,发现其中的异常行为并告警。通常认为变电站这边封闭的工业控制系统不存在来自外部的威胁,因此目前缺乏针对变电站的异常检测与主动防御技术。
由于各种异常行为(恶意攻击、病毒程序、非法访问等)的传播与破坏都需要利用网络来完成,所以对网络报文深度分析是目前对网络异常行为进行监测的主要手段之一。变电站正式建成投运之后,内部的设备都是固定的且设备间的通信协议的类型也是固定的若干种。任何其余协议的报文都可以视为异常报文,存在产生信息安全问题的可能性,需要给出告警输出,以便引起变电站专业人员的关注,进行问题的排查。因此在对变电站固有协议制定规则的基础上,通过对变电站报文与已有规则的关联分析,可实现对变电站网络环境的异常检测。
发明内容
目的:为了克服现有技术中存在的不足,解决现有智能变电站网络安全监控和异常行为检测的不足等问题,本发明提供一种智能变电站网络异常报文检测方法,解决现有技术中因没有对变电站报文进行实时分析,进而无法开展变电站网络环境异常检测的技术问题。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种智能变电站网络异常报文检测方法,包括如下步骤:
步骤一:通过对变电站中工业控制协议以及设备特有协议的分析,为每种协议分别制定报文规则;
步骤二:配置变电站交换机镜像端口,从交换机镜像端口接入变电站网络;
步骤三:从交换机镜像端口捕获变电站实时报文信息,解析捕获的报文,过滤掉空报文,提取得到报文的头信息和内容;
步骤四:将分析之后报文信息与报文规则进行匹配,检测并存储异常报文信息,并利用WEB端技术输出告警信息:检测得到的异常报文和报文的详细信息。
步骤一中所述制定报文规则包括如下步骤:
步骤1a:获取变电站正常运行时接入网络的网络设备;
步骤1b:获取每个网络设备通信使用的网络协议,相同的协议只需获取一次;
步骤1c:参考各自协议的制定标准,根据协议的端口、地址、长度、内容特征,为每个协议制定一种或多种报文规则;
步骤1d:增加常见协议的报文规则,增加的协议是设备间进行路由发现时所需的通用网络协议。
步骤二中配置变电站交换机镜像端口,从交换机镜像端口接入变电站网络,要求保证从镜像端口能够实时捕获到所有经过交换机报文的副本,并且报文内容具有完整性。
步骤三中解析捕获实时报文信息具体包括如下步骤:
步骤3a:从交换机镜像端口获取报文;
步骤3b:过滤掉无内容的TCP协议的控制报文,包括:ACK确认报文、FIN结束报文、RES复位报文、SYN同步报文;
步骤3c:从报文中提取以下信息:源IP地址、目的IP地址、源端口号、目的端口号、源Mac地址、目的Mac地址、长度、内容;对于一些Mac层协议的报文,前4个字段为空。
步骤四中异常报文的检测包括如下步骤:
步骤4a:对于任意一个报文,如果此报文不与任何一个规则匹配,那么此报文被标记为异常报文,否则此报文是正常的报文;
步骤4b:将异常报文信息保存到数据库中;
步骤4c:利用WEB技术,读取数据库中的异常报文信息,在客户端告警输出。
有益效果:本发明提供的智能变电站网络异常报文检测方法,与现有技术相比,本发明所达到的有益效果是:利用了变电站网络封闭性与协议固定性的特点,通过制定变电站报文规则、提取实时报文信息、解析报文内容、规则匹配这一系列流程,给出了较为可靠、准确的变电站异常报文识别方法,并最终实现变电站网络异常信息实时告警输出,辅助专业人员开展智能变电站信息安全的分析工作。解决现有技术中因缺乏对智能变电站异常报文识别导致无法发现变电站中的潜在风险,进而无法判断智能变电站安全风险的技术问题。
附图说明
图1是本发明的总体流程;
图2是规则制定流程;
图3是规则匹配流程。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种智能变电站异常报文检测方法,具体包括如下步骤:
步骤一:在某个变电站中,获得变电站中所有存在的网络协议并为每个协议制定规则。如图2所示,是规则制定流程图,具体的规则制定步骤如下:
步骤1a:初始化空的规则集合,并获取变电站所有网络的设备(直接或间接与交换机相连的设备)。
步骤1b:遍历所有设备,对于每个设备获取该设备的所有网络协议。
步骤1c:遍历该设备的所有网络协议,对于任意一个协议,如果规则集合中不存在该协议的规则,则在规则集合中增加该协议的规则。某个协议根据不同类型的报文可以的产生多个规则(如为请求报文和响应报文制定不同的规则)。每条规则包含以下4个方面的特征:端口、地址、报文长度、报文内容。如果协议的某个方面无法提取特征,则该方面的特征为null,如Mac层协议的报文不具备端口号,则端口的特征为null。其中,端口是指报文具有特定源或目的端口;地址是指广播类协议的报文目的地址在特定的范围内;报文长度是指报文内容具有固定长度或长度在某个范围内;报文内容是指报文内容中某些字段的取值是固定的,这些字段为该类报文的特征。
步骤1d:规则集合中增加以下常见协议的规则:ARP(Address Resolution Protocol)地址解析协议、SNMP(Simple Network Management Protocol)网络管理协议 、DHCP(Dynamic Host Configuration Protocol)动态主机配置协议、ICMP(Internet Control Message Protocol)Internet控制信息协议。这些协议是设备间通信在进行路由时所需的协议。输出规则集合。
步骤二:依据交换机的使用说明,配置其的镜像端口,配置完成之后,可通过以下方式验证配置的有效性:使用一台机器接入站控层镜像端口,安装并使用Wireshark软件捕获报文,如果发现某个非广播数据报文的源和目的地址都不是本机地址,则说明镜像端口配置有效。
步骤三:从交换机镜像端口捕获变电站实时报文信息,过滤掉TCP协议的控制报文,包括:ACK确认报文、FIN结束报文、RES复位报文、SYN同步报文报文,这些报文的内容为空,无法传递恶意信息报文。从余下的报文中提取以下信息:源IP地址、目的IP地址、源端口号、目的端口号、源Mac地址、目的Mac地址、长度、内容。对于某些Mac层协议的报文,前4个字段的信息为空。
步骤四:分析变电站实时报文是否存在异常。如图3所示,是规则匹配流程图,具体的规则匹配步骤如下:
步骤4a:获取经过步骤三处理的报文,获取步骤一产生的所有规则。
步骤4b:遍历所有规则,判断报文与该规则是否匹配。报文与某条规则的所有不为null的特征匹配,才可认为报文与该规则匹配。其中,端口特征要求是报文的源(目的)端口与规则中的源(目的)端口一致;地址特征要求报文的目的地址在规则规定的范围内;长度特征要求报内容的长度在规则规定的范围内;报文内容特征要求报文内容中某些字段的取值与规则规定的一致。
步骤4c:对于不与任何一个规则匹配的报文,认定为异常报文,将此类报文信息保存到数据库中。否则视为正常报文。该报文处理之后,返回步骤三捕获并处理下一个报文。
步骤4d:定期读取数据库中的最新异常报文信息,通过WEB技术展示,该步骤与步骤4a-4c并行执行。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.智能变电站网络异常报文检测方法,其特征在于,包括如下步骤:
步骤一:通过对变电站中工业控制协议以及设备特有协议的分析,为每种协议分别制定报文规则;
步骤二:配置变电站交换机镜像端口,从交换机镜像端口接入变电站网络;
步骤三:从交换机镜像端口捕获变电站实时报文信息,解析捕获的报文,过滤掉空报文,提取得到报文的头信息和内容;
步骤四:将分析之后报文信息与报文规则进行匹配,检测并存储异常报文信息,并利用WEB端技术输出告警信息:检测得到的异常报文和报文的详细信息。
2.根据权利要求1所述的智能变电站网络异常报文检测方法,其特征在于:步骤一中所述制定报文规则包括如下步骤:
步骤1a:获取变电站正常运行时接入网络的网络设备;
步骤1b:获取每个网络设备通信使用的网络协议,相同的协议只需获取一次;
步骤1c:参考各自协议的制定标准,根据协议的端口、地址、长度、内容特征,为每个协议制定一种或多种报文规则;
步骤1d:增加常见协议的报文规则,增加的协议是设备间进行路由发现时所需的通用网络协议。
3.根据权利要求1所述的智能变电站网络异常报文检测方法,其特征在于:步骤二中配置变电站交换机镜像端口,从交换机镜像端口接入变电站网络,要求保证从镜像端口能够实时捕获到所有经过交换机报文的副本,并且报文内容具有完整性。
4.根据权利要求1所述的智能变电站网络异常报文检测方法,其特征在于:步骤三具体包括如下步骤:
步骤3a:从交换机镜像端口获取报文;
步骤3b:过滤掉无内容的TCP协议的控制报文,包括:ACK确认报文、FIN结束报文、RES复位报文、SYN同步报文;
步骤3c:从报文中提取以下信息:源IP地址、目的IP地址、源端口号、目的端口号、源Mac地址、目的Mac地址、长度、内容;对于一些Mac层协议的报文,前4个字段为空。
5.根据权利要求1所述的智能变电站网络异常报文检测方法,其特征在于:步骤四中异常报文的检测包括如下步骤:
步骤4a:对于任意一个报文,如果此报文不与任何一个规则匹配,那么此报文被标记为异常报文,否则此报文是正常的报文;
步骤4b:将异常报文信息保存到数据库中;
步骤4c:利用WEB技术,读取数据库中的异常报文信息,在客户端告警输出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410719882.7A CN104579818A (zh) | 2014-12-01 | 2014-12-01 | 智能变电站网络异常报文检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410719882.7A CN104579818A (zh) | 2014-12-01 | 2014-12-01 | 智能变电站网络异常报文检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104579818A true CN104579818A (zh) | 2015-04-29 |
Family
ID=53095082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410719882.7A Pending CN104579818A (zh) | 2014-12-01 | 2014-12-01 | 智能变电站网络异常报文检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104579818A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917705A (zh) * | 2015-06-18 | 2015-09-16 | 国家电网公司 | 一种智能变电站过程层交换机的网络报文管理方法 |
| CN105207855A (zh) * | 2015-10-21 | 2015-12-30 | 上海明华电力技术工程有限公司 | 一种网源信息监测评估系统及方法 |
| CN105871847A (zh) * | 2016-04-01 | 2016-08-17 | 国网江苏省电力公司电力科学研究院 | 一种智能变电站网络异常流量检测方法 |
| CN106302540A (zh) * | 2016-10-14 | 2017-01-04 | 国网浙江省电力公司绍兴供电公司 | 基于变电站信息安全的通信网络安全检测系统及方法 |
| CN106780133A (zh) * | 2016-12-12 | 2017-05-31 | 国网北京市电力公司 | 配电自动化系统评估方法及装置 |
| CN106998326A (zh) * | 2017-03-22 | 2017-08-01 | 北京匡恩网络科技有限责任公司 | 工业控制网络行为监测方法、装置、以及系统 |
| CN107046509A (zh) * | 2016-12-30 | 2017-08-15 | 上海三零卫士信息安全有限公司 | 一种基于镜像口解析的智能工控网络数据整合方法 |
| CN107070868A (zh) * | 2017-01-03 | 2017-08-18 | 深圳市铁越电气有限公司 | 一种电网视频与环境监控系统中的数据分析系统及其方法 |
| CN107360051A (zh) * | 2016-09-30 | 2017-11-17 | 成都科来软件有限公司 | 一种控制多种不同网络协议分析开关的方法及装置 |
| CN107735987A (zh) * | 2015-06-02 | 2018-02-23 | 三菱电机大楼技术服务株式会社 | 中继装置、网络监视系统和程序 |
| CN108173710A (zh) * | 2017-12-22 | 2018-06-15 | 江苏新智合电力技术有限公司 | 一种变电站数据上报方法、装置及系统 |
| CN109459995A (zh) * | 2018-12-17 | 2019-03-12 | 国家计算机网络与信息安全管理中心 | 一种面向多种工业以太网协议的状态监测系统及监测方法 |
| CN110228508A (zh) * | 2019-06-12 | 2019-09-13 | 中国神华能源股份有限公司 | 列车过车报文异常检测方法及检测装置 |
| CN110401624A (zh) * | 2018-04-25 | 2019-11-01 | 全球能源互联网研究院有限公司 | 源网荷系统交互报文异常的检测方法及系统 |
| CN110417688A (zh) * | 2018-04-26 | 2019-11-05 | 广东电网有限责任公司 | 一种调度自动化系统多通道报文分析处理系统及方法 |
| CN111049843A (zh) * | 2019-12-18 | 2020-04-21 | 国网浙江省电力有限公司宁波供电公司 | 一种智能变电站网络异常流量分析方法 |
| CN112234714A (zh) * | 2020-10-20 | 2021-01-15 | 福建泰发建设工程有限公司 | 一种智能变电站通讯系统自动斩断及恢复方法和系统 |
| CN116846060A (zh) * | 2023-03-08 | 2023-10-03 | 国网江苏省电力有限公司淮安供电分公司 | Iec61850智能变电站工况安全学习系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101728869A (zh) * | 2009-11-10 | 2010-06-09 | 重庆大学 | 电站自动化系统数据网络安全监控方法 |
| CN103684903A (zh) * | 2013-11-08 | 2014-03-26 | 山东大学 | 一种goose报文异常的在线检测方法 |
| CN103944787A (zh) * | 2014-04-30 | 2014-07-23 | 国家电网公司 | 智能变电站站控层双网模式切换测试方法 |
| CN104038383A (zh) * | 2014-04-14 | 2014-09-10 | 贵州电力试验研究院 | 基于交换机的过程层网络报文分析方法 |
-
2014
- 2014-12-01 CN CN201410719882.7A patent/CN104579818A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101728869A (zh) * | 2009-11-10 | 2010-06-09 | 重庆大学 | 电站自动化系统数据网络安全监控方法 |
| CN103684903A (zh) * | 2013-11-08 | 2014-03-26 | 山东大学 | 一种goose报文异常的在线检测方法 |
| CN104038383A (zh) * | 2014-04-14 | 2014-09-10 | 贵州电力试验研究院 | 基于交换机的过程层网络报文分析方法 |
| CN103944787A (zh) * | 2014-04-30 | 2014-07-23 | 国家电网公司 | 智能变电站站控层双网模式切换测试方法 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10826915B2 (en) | 2015-06-02 | 2020-11-03 | Mitsubishi Electric Corporation | Relay apparatus, network monitoring system, and program |
| CN107735987A (zh) * | 2015-06-02 | 2018-02-23 | 三菱电机大楼技术服务株式会社 | 中继装置、网络监视系统和程序 |
| CN104917705A (zh) * | 2015-06-18 | 2015-09-16 | 国家电网公司 | 一种智能变电站过程层交换机的网络报文管理方法 |
| CN105207855A (zh) * | 2015-10-21 | 2015-12-30 | 上海明华电力技术工程有限公司 | 一种网源信息监测评估系统及方法 |
| CN105207855B (zh) * | 2015-10-21 | 2019-03-22 | 上海明华电力技术工程有限公司 | 一种网源信息监测评估系统及方法 |
| CN105871847B (zh) * | 2016-04-01 | 2018-11-30 | 国网江苏省电力公司电力科学研究院 | 一种智能变电站网络异常流量检测方法 |
| CN105871847A (zh) * | 2016-04-01 | 2016-08-17 | 国网江苏省电力公司电力科学研究院 | 一种智能变电站网络异常流量检测方法 |
| CN107360051B (zh) * | 2016-09-30 | 2021-06-15 | 成都科来软件有限公司 | 一种控制多种不同网络协议分析开关的方法及装置 |
| CN107360051A (zh) * | 2016-09-30 | 2017-11-17 | 成都科来软件有限公司 | 一种控制多种不同网络协议分析开关的方法及装置 |
| CN106302540A (zh) * | 2016-10-14 | 2017-01-04 | 国网浙江省电力公司绍兴供电公司 | 基于变电站信息安全的通信网络安全检测系统及方法 |
| CN106780133A (zh) * | 2016-12-12 | 2017-05-31 | 国网北京市电力公司 | 配电自动化系统评估方法及装置 |
| CN107046509A (zh) * | 2016-12-30 | 2017-08-15 | 上海三零卫士信息安全有限公司 | 一种基于镜像口解析的智能工控网络数据整合方法 |
| CN107070868A (zh) * | 2017-01-03 | 2017-08-18 | 深圳市铁越电气有限公司 | 一种电网视频与环境监控系统中的数据分析系统及其方法 |
| CN106998326A (zh) * | 2017-03-22 | 2017-08-01 | 北京匡恩网络科技有限责任公司 | 工业控制网络行为监测方法、装置、以及系统 |
| CN108173710A (zh) * | 2017-12-22 | 2018-06-15 | 江苏新智合电力技术有限公司 | 一种变电站数据上报方法、装置及系统 |
| CN110401624A (zh) * | 2018-04-25 | 2019-11-01 | 全球能源互联网研究院有限公司 | 源网荷系统交互报文异常的检测方法及系统 |
| CN110417688A (zh) * | 2018-04-26 | 2019-11-05 | 广东电网有限责任公司 | 一种调度自动化系统多通道报文分析处理系统及方法 |
| CN109459995A (zh) * | 2018-12-17 | 2019-03-12 | 国家计算机网络与信息安全管理中心 | 一种面向多种工业以太网协议的状态监测系统及监测方法 |
| CN110228508A (zh) * | 2019-06-12 | 2019-09-13 | 中国神华能源股份有限公司 | 列车过车报文异常检测方法及检测装置 |
| CN110228508B (zh) * | 2019-06-12 | 2021-10-12 | 中国神华能源股份有限公司 | 列车过车报文异常检测方法及检测装置 |
| CN111049843A (zh) * | 2019-12-18 | 2020-04-21 | 国网浙江省电力有限公司宁波供电公司 | 一种智能变电站网络异常流量分析方法 |
| CN112234714A (zh) * | 2020-10-20 | 2021-01-15 | 福建泰发建设工程有限公司 | 一种智能变电站通讯系统自动斩断及恢复方法和系统 |
| CN112234714B (zh) * | 2020-10-20 | 2024-05-14 | 福建泰发建设工程有限公司 | 一种智能变电站通讯系统自动斩断及恢复方法和系统 |
| CN116846060A (zh) * | 2023-03-08 | 2023-10-03 | 国网江苏省电力有限公司淮安供电分公司 | Iec61850智能变电站工况安全学习系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| CN109067596B (zh) | 一种变电站网络安全态势感知方法及系统 | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| Yang et al. | Intrusion detection system for IEC 60870-5-104 based SCADA networks | |
| CN109962903B (zh) | 一种家庭网关安全监控方法、装置、系统和介质 | |
| US10091167B2 (en) | Network traffic analysis to enhance rule-based network security | |
| CN103795709A (zh) | 一种网络安全检测方法和系统 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| KR102030837B1 (ko) | 침입 탐지 장치 및 방법 | |
| CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN111049843A (zh) | 一种智能变电站网络异常流量分析方法 | |
| CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
| CN101136797A (zh) | 内外网物理连通的检测、通断控制方法及应用该方法的装置 | |
| CN108737385A (zh) | 一种基于dns映射ip的恶意域名匹配方法 | |
| CN103905415A (zh) | 一种防范远控类木马病毒的方法及系统 | |
| CN111628994A (zh) | 一种工控环境的异常检测方法、系统及相关装置 | |
| Berthier et al. | On the practicality of detecting anomalies with encrypted traffic in AMI | |
| US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
| CN101222498B (zh) | 一种提高网络安全性的方法 | |
| KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
| CN108959927A (zh) | 一种物联网安全横向对比分析的装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150429 |
|
| RJ01 | Rejection of invention patent application after publication |