CN105791271A - 一种电网用的安全防护控制方法 - Google Patents

一种电网用的安全防护控制方法 Download PDF

Info

Publication number
CN105791271A
CN105791271A CN201610095948.9A CN201610095948A CN105791271A CN 105791271 A CN105791271 A CN 105791271A CN 201610095948 A CN201610095948 A CN 201610095948A CN 105791271 A CN105791271 A CN 105791271A
Authority
CN
China
Prior art keywords
stipulations
data
safety
distribution network
network communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610095948.9A
Other languages
English (en)
Inventor
梅照付
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610095948.9A priority Critical patent/CN105791271A/zh
Publication of CN105791271A publication Critical patent/CN105791271A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种电网用的安全防护控制方法,包括两个以上的前端安全模块、分别与所述前端安全模块对应连接的两个以上的前端通信服务模块、安全监控通信模块、安全监控事件处理模块、安全监控平台模块。其通过在不同的 Web 服务器上分别嵌入设置有前端安全模块,并设置有相应的前端通信服务模块来实现该前端安全模块与其他设备之间的通信,通过该前端安全模块截取发送到 Web 应用服务器的 HTTP 请求,根据配置的安全规则对该HTTP 请求进行匹配,根据匹配结果以及相应的安全策略执行后续处理过程,不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。另一方面,该防护系统是分布式的防护系统,可以实现智能电网整体防护的安全性。

Description

一种电网用的安全防护控制方法
技术领域
本发明属于电网安全技术领域,具体涉及一种电网用的安全防护控制方法。
背景技术
随着智能电网技术的发展,如何确保安全性成为智能电网技术中的一项重要工作内容。目前的智能电网安全技术,其部署一般是在服务器前端、互联网访问入口处部署Web防火墙,Web防火墙通过配置固定的安全规则库、特征库,对访问服务器的行为进行分析,对非授权的地址访问行为、入侵行为等进行阻断和告警。由于Web防火墙主要是对Web特有入侵方式的防护,而且是部署在Web服务器的前端,即外部网络到Web服务器之间的链路上,而企业内部的访问路由无需经过web防火墙,因此,web防火墙只能防御来自企业外部网络,即互联网的非法访问和攻击行为等,但不能对来自内网的攻击行为进行防护,无法全面保证服务器的安全性。而且,目前的Web防火墙都是被动式的通用性防护,每个系统都需要单独的设备来进行防护,成本很高。
传统互联网信息系统的应用层主要基于超文本协议(HTTP)或加密的超文本协议(HTTPS)进行数据传输。由于传统互联网的通信规约的通用性,应用面广,传统互联网的防火墙等安全防护技术和设备发展迅速,形成了包过滤防火墙、状态防火墙、WEB防火墙等技术的安全防护技术和设备。
然而,例如电力、铁路、化工等生产控制类的工业控制系统相比于传统互联网信息系统,在通信规约上具有很大的不同。工业控制系统的通信规约因各种应用场景而具有“定制”特点,不同的应用场景,通信规约不一样,例如,烟草、化工、铁路、电力控制系统的通信规约各不相同,甚至电力控制系统中的电厂、配电、输电、计量、调度等子控制系统的规约也都各不相同。工业控制系统因通信规约多且不通用,尚未见有适用各种工业控制场景的规约过滤级安全防护设备能有效地对各种工业控制系统进行安全防护,也未见针对配电网控制系统的规约过滤级安全防护设备,从而使配电网工业控制系统安全性得不到有效保证。
发明内容
发明目的:本发明的目的是为了解决现有技术中的不足,提供一种其不仅能对防御外部网络,而且能够对来自内网的攻击行为进行防护的控制方法。
技术方案:一种智能电网的安全防护方法,包括如下步骤:
接收数据:采用中断模式接收终端传输的工业过程数据;
对终端传输的工业过程数据进行规约检查,并判断所述工业过程数据的数据类型是否为应用数据类型;
若是,则筛选出具备配电网通信规约协议号的数据,丢弃不具备所述配电网通信规约协议号的数据;
对所述筛选出的具备配电网通信规约协议号的数据进行规约检测,筛选出满足所述配电网通信规约的数据,丢弃不满足所述配电网通信规约的数据;
根据IPSECVPN安全策略对规约检查后的工业过程数据加密、签名;
将加密、签名后的工业过程数据通过VPN通道发送到主站;
根据IPSECVPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;
对解密、验签、完整性校验后的数据或控制命令进行规约检查;
将规约检查后的数据或控制命令发送到终端;
采用中断模式接收终端传输的执行数据或控制命令后的结果;
对终端传输的执行数据或控制命令后的结果进行规约检查;
根据IPSECVPN安全策略对规约检查后的结果加密、签名;
将加密、签名后的结果通过VPN通道发送到主站。
进一步的:
所述对所述筛选出的具备配电网通信规约协议号的报文进行规约检测,选择满足所述配电网通信规约的报文,丢弃不满足所述配电网通信规约的报文的步骤包括步骤:
判断预设的配电通信规约的多种状态机中是否存在一种初始状态与所述具备所述配电网通信规约协议号的报文的状态一致的状态机;
若是,则根据初始状态与所述报文的状态一致的状态机,创建一个状态机实例,利用所述报文的主站IP地址和端口拼接的字符串标识所述状态机实例;筛选出所述报文;
若否,则检测是否存在所述报文的主站IP地址和端口拼接的字符串为标识的状态机实例;
若检测结果为否,则丢弃所述报文;
若检测结果为是,则判断所述报文的状态与检测到的所述状态机实例的当前状态是否一致;
若判定一致,筛选出所述报文;若判定不一致,丢弃所述报文。
有益效果:本发明是通过在不同的Web服务器上分别嵌入设置有前端安全模块,并设置有相应的前端通信服务模块来实现该前端安全模块与其他设备之间的通信,通过该前端安全模块截取发送到Web应用服务器的HTTP请求,根据配置的安全规则对该HTTP请求进行匹配,根据匹配结果以及相应的安全策略执行后续处理过程,由于是在Web服务器上设置嵌入的前端安全模块对发送到Web服务器的HTTP请求进行截取,并在此基础上进行分析判定,而无论是外网还是内网的HTTP请求,都会发送到Web服务器进行处理,从而不仅可以防御外部网络,而且能够防御企业内部的攻击行为,提高了安全性。另一方面,该防护系统是分布式的防护系统,可以实现智能电网整体防护的安全性。
具体实施方式
一种智能电网的安全防护方法,包括如下步骤:
接收数据:采用中断模式接收终端传输的工业过程数据;
对终端传输的工业过程数据进行规约检查,并判断所述工业过程数据的数据类型是否为应用数据类型;
若是,则筛选出具备配电网通信规约协议号的数据,丢弃不具备所述配电网通信规约协议号的数据;
对所述筛选出的具备配电网通信规约协议号的数据进行规约检测,筛选出满足所述配电网通信规约的数据,丢弃不满足所述配电网通信规约的数据;
根据IPSECVPN安全策略对规约检查后的工业过程数据加密、签名;
将加密、签名后的工业过程数据通过VPN通道发送到主站;
根据IPSECVPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;
对解密、验签、完整性校验后的数据或控制命令进行规约检查;
将规约检查后的数据或控制命令发送到终端;
采用中断模式接收终端传输的执行数据或控制命令后的结果;
对终端传输的执行数据或控制命令后的结果进行规约检查;
根据IPSECVPN安全策略对规约检查后的结果加密、签名;
将加密、签名后的结果通过VPN通道发送到主站。
进一步的:
所述对所述筛选出的具备配电网通信规约协议号的报文进行规约检测,选择满足所述配电网通信规约的报文,丢弃不满足所述配电网通信规约的报文的步骤包括步骤:
判断预设的配电通信规约的多种状态机中是否存在一种初始状态与所述具备所述配电网通信规约协议号的报文的状态一致的状态机;
若是,则根据初始状态与所述报文的状态一致的状态机,创建一个状态机实例,利用所述报文的主站IP地址和端口拼接的字符串标识所述状态机实例;筛选出所述报文;
若否,则检测是否存在所述报文的主站IP地址和端口拼接的字符串为标识的状态机实例;
若检测结果为否,则丢弃所述报文;
若检测结果为是,则判断所述报文的状态与检测到的所述状态机实例的当前状态是否一致;
若判定一致,筛选出所述报文;若判定不一致,丢弃所述报文。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (2)

1.一种电网用的安全防护控制方法,其特征在于:包括如下步骤:
接收数据:采用中断模式接收终端传输的工业过程数据;
对终端传输的工业过程数据进行规约检查,并判断所述工业过程数据的数据类型是否为应用数据类型;
若是,则筛选出具备配电网通信规约协议号的数据,丢弃不具备所述配电网通信规约协议号的数据;
对所述筛选出的具备配电网通信规约协议号的数据进行规约检测,筛选出满足所述配电网通信规约的数据,丢弃不满足所述配电网通信规约的数据;
根据IPSECVPN安全策略对规约检查后的工业过程数据加密、签名;
将加密、签名后的工业过程数据通过VPN通道发送到主站;
根据IPSECVPN安全策略对主站分析工业过程数据后通过VPN通道发送的数据或控制命令进行解密、验签、完整性校验;
对解密、验签、完整性校验后的数据或控制命令进行规约检查;
将规约检查后的数据或控制命令发送到终端;
采用中断模式接收终端传输的执行数据或控制命令后的结果;
对终端传输的执行数据或控制命令后的结果进行规约检查;
根据IPSECVPN安全策略对规约检查后的结果加密、签名;
将加密、签名后的结果通过VPN通道发送到主站。
2.根据权利要求1所述的一种电网用的安全防护控制方法,其特征在于:
所述对所述筛选出的具备配电网通信规约协议号的报文进行规约检测,选择满足所述配电网通信规约的报文,丢弃不满足所述配电网通信规约的报文的步骤包括步骤:
判断预设的配电通信规约的多种状态机中是否存在一种初始状态与所述具备所述配电网通信规约协议号的报文的状态一致的状态机;
若是,则根据初始状态与所述报文的状态一致的状态机,创建一个状态机实例,利用所述报文的主站IP地址和端口拼接的字符串标识所述状态机实例;筛选出所述报文;
若否,则检测是否存在所述报文的主站IP地址和端口拼接的字符串为标识的状态机实例;
若检测结果为否,则丢弃所述报文;
若检测结果为是,则判断所述报文的状态与检测到的所述状态机实例的当前状态是否一致;
若判定一致,筛选出所述报文;若判定不一致,丢弃所述报文。
CN201610095948.9A 2016-02-23 2016-02-23 一种电网用的安全防护控制方法 Pending CN105791271A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610095948.9A CN105791271A (zh) 2016-02-23 2016-02-23 一种电网用的安全防护控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610095948.9A CN105791271A (zh) 2016-02-23 2016-02-23 一种电网用的安全防护控制方法

Publications (1)

Publication Number Publication Date
CN105791271A true CN105791271A (zh) 2016-07-20

Family

ID=56403598

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610095948.9A Pending CN105791271A (zh) 2016-02-23 2016-02-23 一种电网用的安全防护控制方法

Country Status (1)

Country Link
CN (1) CN105791271A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935120A (zh) * 2020-07-30 2020-11-13 许继集团有限公司 一种电力系统规约通用加解密装置及其加密、解密方法
CN111988328A (zh) * 2020-08-26 2020-11-24 中国电力科学研究院有限公司 一种新能源厂站发电单元采集终端数据安全保障方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103475478A (zh) * 2013-09-03 2013-12-25 广东电网公司电力科学研究院 终端安全防护方法和设备
CN103944896A (zh) * 2014-04-16 2014-07-23 广东电网公司信息中心 智能电网安全防护系统
CN105049403A (zh) * 2015-05-20 2015-11-11 广东电网有限责任公司电力科学研究院 配电网控制系统的安全防护方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103475478A (zh) * 2013-09-03 2013-12-25 广东电网公司电力科学研究院 终端安全防护方法和设备
CN103944896A (zh) * 2014-04-16 2014-07-23 广东电网公司信息中心 智能电网安全防护系统
CN105049403A (zh) * 2015-05-20 2015-11-11 广东电网有限责任公司电力科学研究院 配电网控制系统的安全防护方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935120A (zh) * 2020-07-30 2020-11-13 许继集团有限公司 一种电力系统规约通用加解密装置及其加密、解密方法
CN111988328A (zh) * 2020-08-26 2020-11-24 中国电力科学研究院有限公司 一种新能源厂站发电单元采集终端数据安全保障方法及系统

Similar Documents

Publication Publication Date Title
KR101977731B1 (ko) 제어 시스템의 이상 징후 탐지 장치 및 방법
US9954903B2 (en) Industrial network security translator
Tedeschi et al. Secure IoT devices for the maintenance of machine tools
RU2690887C2 (ru) Модульное устройство управления безопасностью
Meshram et al. Anomaly detection in industrial networks using machine learning: a roadmap
US20180063191A1 (en) System and method for using a virtual honeypot in an industrial automation system and cloud connector
CN104570822A (zh) 自动化流程控制系统的保护系统、方法及安全复合装置
CN106911529A (zh) 基于协议解析的电网工控安全检测系统
CN104767748A (zh) Opc服务器安全防护系统
KR20120058913A (ko) 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법
CN107852400B (zh) 自防御智能现场装置及体系结构
CN101599977B (zh) 网络业务的管理方法和系统
KR20200098838A (ko) 제어신호 패킷과 상태분석을 이용한 제어시스템 이상행위 탐지 시스템 및 그 방법
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
Sauter et al. IoT-enabled sensors in automation systems and their security challenges
Ovaz Akpinar et al. Development of the ECAT preprocessor with the trust communication approach
CN105791271A (zh) 一种电网用的安全防护控制方法
CN107644165A (zh) 安全防护平台以及安全防护方法和装置
Kang et al. Whitelists based multiple filtering techniques in SCADA sensor networks
Feng et al. Snort improvement on profinet RT for industrial control system intrusion detection
CN106375273A (zh) 用于监视数据包传输安全的自动化网络和方法
CN111935085A (zh) 工业控制网络异常网络行为的检测防护方法和系统
KR20140050399A (ko) 스마트그리드 ami 네트워크 환경에서 이상행위 탐지 시스템 구성 및 방법
CN108206828A (zh) 一种双重监测安全控制方法及系统
Xu et al. Identification of ICS Security Risks toward the Analysis of Packet Interaction Characteristics Using State Sequence Matching Based on SF‐FSM

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160720

WD01 Invention patent application deemed withdrawn after publication