CN106130950A - 针对iec61850协议sv报文的异常检测方法 - Google Patents
针对iec61850协议sv报文的异常检测方法 Download PDFInfo
- Publication number
- CN106130950A CN106130950A CN201610344115.1A CN201610344115A CN106130950A CN 106130950 A CN106130950 A CN 106130950A CN 201610344115 A CN201610344115 A CN 201610344115A CN 106130950 A CN106130950 A CN 106130950A
- Authority
- CN
- China
- Prior art keywords
- message
- abnormal
- value
- detection
- judge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种针对IEC 61850协议SV报文异常的检测方法,首先对一帧SV报文格式和配置信息进行检测,这两项检测中任一项有错误则结束后续的检测;如果SV报文的格式和配置信息均无误,要继续通过对smpCnt值进行逻辑分析,判断报文是否出现乱序、丢失、重复等异常现象;如果smpCnt无逻辑错误,则继续对SV报文的状态信息进行检测,检测其是否处于中断或同步状态;最后,如果报文无状态异常,则要继续检测报文的品质值(test、validity),判断报文的品质因数是否异常。本发明所提方法分析全面、逻辑清晰、简明高效,可用于变电站在线数据分析和异常检测。
Description
技术领域
本发明属于电力通信系统和工业控制安全技术领域,涉及一种工业控制网络协议的异常检测方法,具体涉及IEC61850协议报文异常的检测方法。
背景技术
随着光电技术在传感器应用领域的突破,电子式互感器已经逐步由实验阶段走向工程应用阶段。电子式互感器的应用实现了电气量数据采集环节的数字化,一次系统的电压、电流被转化成数字信号,经过光纤或网络传递给二次设备,实现了一次设备和二次设备之间的电气隔离。但是这种技术革新同样面临着不同一、二次设备长商之间的互操作问题。为了解决电子式互感器与二次设备的通信接口问题,IEC61850标准中对电子式互感器的数据输出接口进行了规范。在IEC61850-7-2的ACSI模型中定义了抽象的采样值(SV)传输模型,并在IEC61850-9-1/-2中定义了两种特殊通信服务映射,将ACSI采样值传输模型映射到具体的通信网络及协议。
SV服务是数字化变电站应用中的关键环节:它对数据的采集、传输有着很强的时间的限制;对采样值传输的数据组织需要有明确的理解;采样数据的接收方能够正确处理采样数值。IEC61850对采样数据的传输提供了采样值传输模型,对采样值的传输提供了明确的标准规范。SV传输模型提供了以有组织的和时间受控的方式传输采样值,这样采样和传输综合抖动小,并保持采样、次数和顺序恒定。
在SV报文通信过程中,无论是配置文件信息错误、报文格式错误,或是其他物理人为因素的干扰,都可能对SV报文的正常发送产生影响。目前,在变电站运行检测过程中,并没有一套全面的针对IEC61850协议SV报文异常的检测方法,主要依赖工作人员的人工分析,效率低,而且容易产生疏漏。
发明内容
本发明的目的在于提供一种针对IEC61850协议SV(Sample Value)报文异常的检测方法,该方法流程全面、简洁,易于通过软件实现自动化异常检测。
实现本发明目的的技术解决方案为:一种针对IEC61850协议SV报文的异 常检测方法,该方法定义了SV报文四类典型的异常行为:①报文格式和配置信息错误、②smpCnt(采样计数器)逻辑异常、③报文状态异常、④报文品质因数异常。首先对一帧SV报文格式(如报文PDU长度、组播地址值、编码格式等)和配置信息进行检测,这两项检测中任一项有错误则结束该报文后续的检测;如果SV报文的格式和配置信息均无误,则继续通过对smpCnt值进行逻辑分析,判断报文是否出现乱序、丢失、重复异常现象;如果smpCnt出现逻辑错误,则结束该报文后续的检测;如果smpCnt无逻辑错误,则继续对SV报文的状态信息进行检测,检测其是否处于中断或同步状态;如果报文出现状态异常,则结束该报文后续的检测;如果报文无状态异常,则继续检测报文的品质值(test、validity),判断报文的品质因数是否异常。
针对SV报文格式及配置信息错误异常(①SV报文格式错误,②SV报文配置信息错误),采用的检测方法为:
首先解析出SV报文的头部信息,提取length域的值,先判断该值是否等于SV报文PDU长度加8或SV报文长度减18;再判断报文组播地址的范围是否从01-0C-CD-04-00到01-0C-CD-04-FF;最后判断报文编码是否满足ANS.1的Tag-Length-Value格式,并能够找到对应域tag值,如以上三个判断条件有一个不满足,则判断SV报文格式错误,结束本帧报文的后续分析;如SV报文格式正确,判断SV报文的MAC、APPID、savPdu、svID与SCD文件中对应的配置内容是否相符,如果报文配置信息与CID文件中预先配置的所有值都一致才进行解析,否则丢弃报文,结束本帧报文的后续分析。
针对SV报文采样计数器逻辑异常(包括①SV报文乱序,②SV报文丢失,③SV报文重复),采用的检测方法为:
如果之前检测中未发现SV报文异常,则继续进行如下判断:如果当前帧的smpCnt不比前一帧smpCnt大1也不和前一帧相同,即判断为SV报文乱序;如果已存在的smpCnt的序号跳变或变化的不连续,即判断为SV报文丢帧;如果发送方连续发送两针smpCnt序号完全相同的报文,即判断为SV报文状态重复。
针对SV报文状态信息异常(①SV报文中断,②SV报文不同步),采用的检测方法为:
如果之前检测中未发现SV报文异常,则继续进行如下判断:在收到上一帧报文后两秒钟时间内没有收到下一帧报文,则判断为SV中断异常;如果SV报 文无中断异常,则继续判断报文是否处于同步状态,当smpSync(SV报文中smpSync代表同步域)的值为false时,守时精度不能够满足同步要求,则报文处于不同步异常状态。
针对SV报文品质值异常(①SV报文处于测试模式,②SV报文状态无效),采用的检测方法为:
如果之前检测中未发现SV报文异常,则继续进行如下判断:若SV报文的测试标志位test为true,则判断发出该采样值报文的合并单元处于测试模式异常;如果SV报文不处于测试异常模式,则继续判断报文状态是否无效,若SV报文的状态有效标志位置(validity)为false,则判断相应通道位有效位的设置为无效。
如果系统任意一步检测出异常,则根据异常的不同类型给出异常码;异常码由长度为4的字符串组成,第0位表示所检测异常报文的危险级,危险级是异常行为对系统威胁的评级,设定为1~3级,数值越小,则危险级越高,第1位为所属以上四种异常类型的类型编号,如是报文格式及配置信息异常,第1位数值为1;如是报文采样计数器逻辑类异常,第1位数值为2;如是报文状态信息异常,第1位数值为3;如是报文品质值异常,第一位数值为4;第2、3位表示四大类异常细分后具体异常类型的编号。
本发明与现有技术相比,其显著优点:通过对SV报文每类异常行为的检测参数进行分析,并对其相应的异常行为进行了归纳总结,实现了对一帧SV报文简洁而全面的分析判断,并依据这些判别结果,对SV报文的各种异常进行精确定位,并根据所检测异常报文的危险级分级告警。本发明逻辑简洁,分析全面,并且通过采用本方案,能有效提高变电站的调试效率,增强变电站运行的安全稳定性,可实现一种逻辑缜密的异常检测。
附图说明
图1为本发明针对SV报文异常检测方法的流程图。
图2为本发明SV报文格式及配置信息异常检测流程图。
图3为本发明SV报文采样计数器逻辑异常检测流程图。
图4为本发明SV报文状态信息异常检测流程图。
图5为本发明SV报文品质值异常检测流程图。
具体实施方式
下面结合附图对本发明作进一步描述。
一种针对IEC61850协议SV(Sample Value)报文异常的检测方法,检测流程如图1所示。检测针对以下四类异常:
(1)SV报文格式及配置信息异常
1)SV报文格式错误
2)SV报文配置信息错
(2)SV报文采样计数器逻辑异常
1)SV报文乱序
2)SV报文丢失
3)SV报文重复
(3)SV报文状态信息异常
1)SV报文中断
2)SV报文不同步
(4)SV报文品质值异常
1)SV报文处于测试模式
2)SV报文状态无效
针对第(1)类异常的检测:检测流程如图2所示,首先解析出SV报文的头部信息,提取length域的值,先判断该值是否等于SV报文PDU长度加8或SV报文长度减18;再判断报文组播地址的范围是否从01-0C-CD-04-00到01-0C-CD-04-FF;最后判断报文编码是否满足ANS.1的Tag-Length-Value格式,并能够找到对应域tag值,如以上三个判断条件有一个不满足,则判断报文格式错误,结束本帧报文的后续分析。如SV报文格式正确,继续判断SV报文的MAC、APPID、savPdu、svID等与SCD文件中对应的配置内容是否相符,如果其配置信息与CID文件中预先配置的所有值都一致才进行解析,否则丢弃报文,结束本帧报文的后续分析。
如果针对第(1)类检测未发现异常,继续针对第(2)类异常进行检测:检测流程如图3所示,当smpCnt值不为0,如果当前帧的smpCnt不比前一帧smpCnt大1也不跟前一帧相同,即判断为SV报文乱序;如果已存在的smpCnt的序号跳变或变化的不连续,即判断为SV报文丢帧;如果发送方连续发送两针smpCnt 序号完全相同的报文,即判断为SV报文状态重复。
如果针对第(2)类检测未发现异常,针对第(3)类异常进行检测:检测流程如图4所示,在收到上一帧报文后两秒钟时间内没有收到下一帧报文,则判断为SV中断。如报文无中断异常,则继续判断报文是否处于同步状态,当smpSync的值为false时,守时精度不能够满足同步要求,则报文处于不同步异常状态。
如果针对第(3)类检测未发现异常,针对第(4)类异常进行检测:检测流程如图5所示,若SV报文的测试标志位test为true,则判断发出该采样值报文的合并单元处于测试模式;如报文未处于测试异常状态,则继续判断报文状态是否有效,若SV报文的状态有效标志位置(validity)为false,则判断相应通道位有效位的设置为无效。
下面结合实施例对本发明进行进一步说明。
IEC61850报文异常检测系统是基于Linux操作系统的计算机实现。其中,报文数据采集功能是通过libpcap库的功能实现。系统通过调用libpcap库的char*pcap_lookupdev(char*errbuf)函数获取监听的网络接口;通过调用pcap_t*pcap_open_live(const char*device,int snaplen,int promisc,int to_ms,char*errbuf)函数打开网络接口;通过调用pcap_compile(descr,&filter,FILTER,1,mask)和pcap_setfilter(descr,&filter)函数,过滤掉不需要的数据包类型EtherTypeII型帧格式中以太网类型字段存放着代表该报文类型的值,通过设置以太网类型值0X88BA,来过滤SV报文;通过调用int pcap_loop(pcap_t*p,int cnt,pcap_handler callback,u_char*user)函数循环抓取数据包。
对SV报文进行捕获、过滤后,再用c语言对其数据包的16进制字节文件进行解析,根据ASN.1编码结构,对SV报文的SavPDU进行解析。SV报文格式如表1所示。
表1 SV报文格式
对报文进行解析后,把一种针对IEC61850协议SV(Sample Value)报文异常的检测方法应用在检测系统中,并用c语言实现。如图1所示,一种针对IEC61850协议SV(SampleValue)报文异常的检测方法,检测步骤如下:
步骤1,SV报文格式及配置信息异常检测:对一帧SV报文的格式(如报文PDU长度、组播地址值、编码格式等)和配置信息进行检测,这两项检测中任一项有错误则结束后续的检测,检测内容如表2所示。
表2报文格式及配置信息异常检测内容
上述length为SV报文的头部信息,其length域的值。
上述SV报文的MAC、APPID、svID、confRef分别表示目的地址、应用标识、采样控制块标识和配置版本号。由于SV报文的PDU是采用ANS.1的BER编码形式,具体为Tag-Length-Value格式。Tag代表后面的Value类型,Length表示后面的Value的长度,Value代表实际的数据。
上述SCD(Subsation Configuration Description)文件是变电站配置描述文件。
步骤2,SV报文采样计数器逻辑异常检测:如果SV报文的格式和配置信息均无误,要继续通过对smpCnt值进行逻辑分析,判断报文是否出现乱序、丢失、重复等异常现象,检测内容如表3所示。
表3报文采样计数器逻辑异常检测内容
上述smpCnt表示采样计数器,用于检查数据内容是否被连续刷新。合并单元每发出一个新的数据,smpCnt应加1,smpCnt应在(0,采样率-1)的范围内顺序增加。smpCnt不应跳变或越限,合并单元采用秒脉冲进行同步时,每个同步秒冲到达后应将smpCnt翻转置0。
上述判断SV报文乱序情况时,当smpCnt值为0时证明报文为第一帧,不用和前帧报文比较;当smpCnt值不为0时,当smpCnt值在(0,采样率-1)的范围内时,再判断smpCnt是否比前一帧smpCnt值大1。
步骤3,报文采样计数器逻辑异常检测:如果smpCnt逻辑没有异常,要对SV报文的状态信息进行检测,检测其是否处于中断、非同步等异常状态,检测内容如表4所示。
表4 SV报文状态信息异常检测内容
上述smpSync表示同步标识位的值。smpSync用于反应合并单元的同步状态。当同步脉冲丢失后,合并单元先利用内部晶振进行守时,当守时精度能够满足同步要求时,smpSync的值为true;当守时精度不能够满足同步要求时,smpSync的值为false。
步骤4,报文品质值异常检测:如SV报文无状态异常,要检测报文的品质值(test、validity),判断发出该采样值报文的装置否处于异常状态,检测内容如表5所示。
表5 SV报文品质值异常检测内容
上述test表示检测标志位的值,检修标志位用于表示发出该采样值报文的合并单元是否处于检修状态。当装置检修压板投入时,合并单元发出的采样值报文中的检测位应为true。接收端装置应将接收的采样值报文的test位与自身的检修压板状态进行对比,只有当两者一致时才将信号作为有效处理或动作。
上述validity为状态有效标志位,若标志位置为true,则判断相应通道位的设置为有效;如果一个电子式互感器内部发生故障(如传感元件损坏),那么相应通道有效位设置为无效,此时保护装置需要有针对性的增加处理内容。
如系统检测出异常,则根据异常的不同类型给出异常码,异常码由长度为4的字符串组成。异常码第0位表示所检测异常报文的危险级(危险级是异常行为对系统威胁的评级,设定为1~3级,数值越低,则危险级越高),异常的危险级为1时,则表示该异常对系统的正常运行造成严胁;异常的危险级为2时,则表示该异常对系统的正常运行并不造成威胁,但报文信息出现逻辑异常;异常的危险级为3时,则表示系统正处于特殊状态。第1位为所属以上四种异常类型的类型编号(如是报文格式及配置信息异常,第1位数值为1;如是报文采样计数器逻辑类异常,第1位数值为2;如是报文状态信息异常,第1位数值为3;如是报文品质值异常,第一位数值为4)。第2、3位表示四大类异常细分后具体异常的编号。安上述规则异常码设置如表6所示。
表6 SV报文异常类型及其对应异常码
| SV报文异常类型 | 异常码 |
| 报文格式错误 | 1101 |
| 报文配置信息错误 | 1102 |
| 报文乱序 | 2201 |
| 报文丢失 | 2202 |
| 报文重复 | 2203 |
| 报文中断 | 1301 |
| 报文不同步 | 1302 |
| 报文处于测试模式 | 3401 |
| 报文状态无效 | 1402 |
检测系统根据SV报文异常码在界面上显示出异常类型、异常内容、异常危险级等信息,根据异常危险级分级告警,并把异常码及其异常报文的源端、目的端IP地址和端口号,异常发生时间等信息存储在数据库里。
首先,电站工作人员利用检测系统的告警功能及时发现异常,获取报文异常类型、异常设备位置(根据SV报文ip地址和端口号)、以及报文异常发生时间等相关信息。从而分析判断出异常发生的原因:协议本身配置信息与格式的异常;协议实现时客观存在的问题(如通信设备故障、网络延迟、报文处于测试状态等);人为造成的异常(黑客恶意攻击、人为操作失误等)。最后,工作人员根据分析出的原因及时采取应对措施对异常情况进行处理。工作人员可以利用系统的信息存储功能回放之前的异常报文信息,其对解决目前存在的问题起到了参考作用,对以后可能存在的问题也起到了故障预防与预判断的作用。
上述一种针对IEC61850协议SV报文异常的检测方法,以最全面最快速在线检测SV报文异常为目标,综合考虑了SV报文异常行为的数据参数,通过对其相应的异常行为进行归纳总结,实现了对一帧SV报文简洁而全面的分析判断,依据这些判别结果,对SV报文的各种异常进行精确定位,并根据不同异常行为的危险级分级告警。本发明逻辑简洁,分析全面,通过采用本方案,能有效提高变电站的调试效率,增强变电站运行的安全稳定性,可实现一种逻辑缜密的异常检测。
Claims (6)
1.一种针对IEC61850协议SV报文的异常检测方法,其特征在于:首先对一帧SV报文格式和配置信息进行检测,这两项检测中任一项有错误则结束该报文后续的检测;如果SV报文的格式和配置信息均无误,则继续通过对smpCnt值进行逻辑分析,判断报文是否出现乱序、丢失、重复异常现象;如果smpCnt出现逻辑错误,则结束该报文后续的检测;如果smpCnt无逻辑错误,则继续对SV报文的状态信息进行检测,检测其是否处于中断或同步状态;如果报文出现状态异常,则结束该报文后续的检测;如果报文无状态异常,则继续检测报文的品质值(test、validity),判断报文的品质因数是否异常。
2.根据权利要求1所述的针对IEC61850协议SV报文的异常检测方法,其特征在于:针对SV报文格式及配置信息错误异常,包括SV报文格式错误和SV报文配置信息错误,采用的检测方法为:首先解析出SV报文的头部信息,提取length域的值,先判断该值是否等于SV报文PDU长度加8或SV报文长度减18;再判断报文组播地址的范围是否从01-0C-CD-04-00到01-0C-CD-04-FF;最后判断报文编码是否满足ANS.1的Tag-Length-Value格式,并能够找到对应域tag值,如以上三个判断条件有一个不满足,则判断SV报文格式错误,结束本帧报文的后续分析;如SV报文格式正确,判断SV报文的MAC、APPID、savPdu、svID与SCD文件中对应的配置内容是否相符,如果报文配置信息与CID文件中预先配置的所有值都一致才进行解析,否则丢弃报文,结束本帧报文的后续分析。
3.根据权利要求1所述的针对IEC61850协议SV报文的异常检测方法,其特征在于:针对SV报文采样计数器逻辑异常,包括①SV报文乱序、②SV报文丢失、③ SV报文重复,采用的检测方法为:如果之前检测中未发现SV报文异常,则继续进行如下判断:如果当前帧的smpCnt不比前一帧smpCnt大1也不和前一帧相同,即判断为SV报文乱序;如果已存在的smpCnt的序号跳变或变化的不连续,即判断为SV报文丢帧;如果发送方连续发送两针smpCnt序号完全相同的报文,即判断为SV报文状态重复。
4.根据权利要求1所述的针对IEC61850协议SV报文的异常检测方法,其特征在于:针对SV报文状态信息异常,包括①SV报文中断、②SV报文不同步,采用的检测方法为:如果之前检测中未发现SV报文异常,则继续进行如下判断:在收到上一帧报文后两秒钟时间内没有收到下一帧报文,则判断为SV中断异常;如果SV报文无中断异常,则继续判断报文是否处于同步状态,当 smpSync的值为false时,守时精度不能够满足同步要求,则报文处于不同步异常状态。
5.根据权利要求1所述的针对IEC61850协议SV报文的异常检测方法,其特征在于:针对SV报文品质值异常,包括①SV报文处于测试模式、②SV报文状态无效,采用的检测方法为:如果之前检测中未发现SV报文异常,则继续进行如下判断:若SV报文的测试标志位test为true,则判断发出该采样值报文的合并单元处于测试模式异常;如果SV报文不处于测试异常模式,则继续判断报文状态是否无效,若SV报文的状态有效标志位置(validity)为false,则判断相应通道位有效位的设置为无效。
6.根据权利要求1所述的针对IEC61850协议SV报文的异常检测方法,其特征在于:如果系统任意一步检测出异常,则根据异常的不同类型给出异常码;异常码由长度为4的字符串组成,第0位表示所检测异常报文的危险级,危险级是异常行为对系统威胁的评级,设定为1~3级,数值越小,则危险级越高,第1位为所属以上四种异常类型的类型编号,如是报文格式及配置信息异常,第1位数值为1;如是报文采样计数器逻辑类异常,第1位数值为2;如是报文状态信息异常,第1位数值为3;如是报文品质值异常,第一位数值为4;第2、3位表示四大类异常细分后具体异常类型的编号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610344115.1A CN106130950A (zh) | 2016-05-20 | 2016-05-20 | 针对iec61850协议sv报文的异常检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610344115.1A CN106130950A (zh) | 2016-05-20 | 2016-05-20 | 针对iec61850协议sv报文的异常检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106130950A true CN106130950A (zh) | 2016-11-16 |
Family
ID=57270768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610344115.1A Pending CN106130950A (zh) | 2016-05-20 | 2016-05-20 | 针对iec61850协议sv报文的异常检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106130950A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685928A (zh) * | 2016-12-06 | 2017-05-17 | 国网浙江省电力公司绍兴供电公司 | 适用于数字化变电站间隔层smv网络攻击分级检测方法 |
| CN106936834A (zh) * | 2017-03-16 | 2017-07-07 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站smv报文的入侵检测的方法 |
| CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
| CN107070893A (zh) * | 2016-12-09 | 2017-08-18 | 中国电子科技网络信息安全有限公司 | 一种配电网终端iec101协议报文认证判别方法 |
| CN107124396A (zh) * | 2017-03-16 | 2017-09-01 | 国网江苏省电力公司淮安供电公司 | 一种用于iec61850的goose报文机器数据的结构化处理的方法 |
| CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
| CN109995557A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团陕西有限公司 | 一种通信方法及装置 |
| CN110228508A (zh) * | 2019-06-12 | 2019-09-13 | 中国神华能源股份有限公司 | 列车过车报文异常检测方法及检测装置 |
| CN110351295A (zh) * | 2019-07-22 | 2019-10-18 | 百度在线网络技术(北京)有限公司 | 报文检测方法和装置、电子设备、计算机可读介质 |
| CN110430103A (zh) * | 2019-09-18 | 2019-11-08 | 光大兴陇信托有限责任公司 | 一种报文监测方法 |
| CN111049841A (zh) * | 2019-12-17 | 2020-04-21 | 国网智能科技股份有限公司 | 一种智能站sv报文解析与图形化显示方法及系统 |
| CN113507460A (zh) * | 2021-06-30 | 2021-10-15 | 贵州电网有限责任公司电力科学研究院 | 异常报文检测方法、装置、计算机设备和存储介质 |
| CN113660141A (zh) * | 2021-08-18 | 2021-11-16 | 潍柴动力股份有限公司 | 发送报文异常的检测方法、装置、设备及介质、产品 |
| CN114124538A (zh) * | 2021-11-25 | 2022-03-01 | 国网四川省电力公司眉山供电公司 | 一种智能变电站goose、sv报文的入侵检测方法 |
| CN114697081A (zh) * | 2022-02-28 | 2022-07-01 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110196627A1 (en) * | 2010-02-05 | 2011-08-11 | Fred Steinhauser | Method and device for evaluating an electrical installation of an electrical power system |
| CN102175940A (zh) * | 2011-01-28 | 2011-09-07 | 四川电力科学研究院 | 一种带保护测试用故障数据模型库的数字化保护测试仪的测试方法 |
| CN102707132A (zh) * | 2012-05-21 | 2012-10-03 | 国电南瑞科技股份有限公司 | 一种数字化保护测控装置异常采样值动态处理方法 |
| CN102983946A (zh) * | 2012-12-12 | 2013-03-20 | 南京南瑞继保电气有限公司 | 一种增强采样数据接收完整性的方法 |
| CN103457791A (zh) * | 2013-08-19 | 2013-12-18 | 国家电网公司 | 一种智能变电站网络采样和控制链路的自诊断方法 |
| CN103684903A (zh) * | 2013-11-08 | 2014-03-26 | 山东大学 | 一种goose报文异常的在线检测方法 |
| CN103915897A (zh) * | 2014-02-28 | 2014-07-09 | 电信科学技术仪表研究所 | 一种数字化变电站采样值的监测方法及其监测装置 |
| CN105099810A (zh) * | 2015-05-27 | 2015-11-25 | 国家电网公司 | 一种面向采样值接口的通信测试方法及系统 |
| CN105552853A (zh) * | 2015-12-16 | 2016-05-04 | 国网安徽省电力公司 | 一种智能变电站的智能告警及综合判断方法 |
-
2016
- 2016-05-20 CN CN201610344115.1A patent/CN106130950A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110196627A1 (en) * | 2010-02-05 | 2011-08-11 | Fred Steinhauser | Method and device for evaluating an electrical installation of an electrical power system |
| CN102175940A (zh) * | 2011-01-28 | 2011-09-07 | 四川电力科学研究院 | 一种带保护测试用故障数据模型库的数字化保护测试仪的测试方法 |
| CN102707132A (zh) * | 2012-05-21 | 2012-10-03 | 国电南瑞科技股份有限公司 | 一种数字化保护测控装置异常采样值动态处理方法 |
| CN102983946A (zh) * | 2012-12-12 | 2013-03-20 | 南京南瑞继保电气有限公司 | 一种增强采样数据接收完整性的方法 |
| CN103457791A (zh) * | 2013-08-19 | 2013-12-18 | 国家电网公司 | 一种智能变电站网络采样和控制链路的自诊断方法 |
| CN103684903A (zh) * | 2013-11-08 | 2014-03-26 | 山东大学 | 一种goose报文异常的在线检测方法 |
| CN103915897A (zh) * | 2014-02-28 | 2014-07-09 | 电信科学技术仪表研究所 | 一种数字化变电站采样值的监测方法及其监测装置 |
| CN105099810A (zh) * | 2015-05-27 | 2015-11-25 | 国家电网公司 | 一种面向采样值接口的通信测试方法及系统 |
| CN105552853A (zh) * | 2015-12-16 | 2016-05-04 | 国网安徽省电力公司 | 一种智能变电站的智能告警及综合判断方法 |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685928A (zh) * | 2016-12-06 | 2017-05-17 | 国网浙江省电力公司绍兴供电公司 | 适用于数字化变电站间隔层smv网络攻击分级检测方法 |
| CN107070893A (zh) * | 2016-12-09 | 2017-08-18 | 中国电子科技网络信息安全有限公司 | 一种配电网终端iec101协议报文认证判别方法 |
| CN106953855B (zh) * | 2017-03-16 | 2020-10-20 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
| CN106936834A (zh) * | 2017-03-16 | 2017-07-07 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站smv报文的入侵检测的方法 |
| CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
| CN107124396A (zh) * | 2017-03-16 | 2017-09-01 | 国网江苏省电力公司淮安供电公司 | 一种用于iec61850的goose报文机器数据的结构化处理的方法 |
| CN106936834B (zh) * | 2017-03-16 | 2020-12-11 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站smv报文的入侵检测的方法 |
| CN107124396B (zh) * | 2017-03-16 | 2020-05-12 | 国网江苏省电力公司淮安供电公司 | 一种用于iec61850的goose报文机器数据的结构化处理的方法 |
| CN109995557A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团陕西有限公司 | 一种通信方法及装置 |
| CN109995557B (zh) * | 2017-12-29 | 2022-05-13 | 中国移动通信集团陕西有限公司 | 一种通信方法及装置 |
| CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
| CN109167762B (zh) * | 2018-08-14 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
| CN110228508B (zh) * | 2019-06-12 | 2021-10-12 | 中国神华能源股份有限公司 | 列车过车报文异常检测方法及检测装置 |
| CN110228508A (zh) * | 2019-06-12 | 2019-09-13 | 中国神华能源股份有限公司 | 列车过车报文异常检测方法及检测装置 |
| CN110351295A (zh) * | 2019-07-22 | 2019-10-18 | 百度在线网络技术(北京)有限公司 | 报文检测方法和装置、电子设备、计算机可读介质 |
| CN110430103B (zh) * | 2019-09-18 | 2020-06-05 | 光大兴陇信托有限责任公司 | 一种报文监测方法 |
| CN110430103A (zh) * | 2019-09-18 | 2019-11-08 | 光大兴陇信托有限责任公司 | 一种报文监测方法 |
| CN111049841A (zh) * | 2019-12-17 | 2020-04-21 | 国网智能科技股份有限公司 | 一种智能站sv报文解析与图形化显示方法及系统 |
| CN113507460A (zh) * | 2021-06-30 | 2021-10-15 | 贵州电网有限责任公司电力科学研究院 | 异常报文检测方法、装置、计算机设备和存储介质 |
| CN113660141A (zh) * | 2021-08-18 | 2021-11-16 | 潍柴动力股份有限公司 | 发送报文异常的检测方法、装置、设备及介质、产品 |
| CN114124538A (zh) * | 2021-11-25 | 2022-03-01 | 国网四川省电力公司眉山供电公司 | 一种智能变电站goose、sv报文的入侵检测方法 |
| CN114697081A (zh) * | 2022-02-28 | 2022-07-01 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
| CN114697081B (zh) * | 2022-02-28 | 2024-05-07 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106130950A (zh) | 针对iec61850协议sv报文的异常检测方法 | |
| CN106982235A (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 | |
| CN109768952B (zh) | 一种基于可信模型的工控网络异常行为检测方法 | |
| CN106300682B (zh) | 一种配电自动化终端集中管控的方法 | |
| CN103296757A (zh) | 基于多参量辨识的智能变电站二次系统故障判断方法 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN106597225B (zh) | 一种配电网在线状态监测系统及其在线监测方法 | |
| CN104578408A (zh) | 一种智能变电站二次设备状态监测与趋势评估装置 | |
| Kezunovic | Monitoring of power system topology in real-time | |
| CN103926917A (zh) | 一种变电站总控装置智能测试系统及其测试方法 | |
| CN106533832B (zh) | 一种基于分布式部署的网络流量探测系统 | |
| CN106549816A (zh) | 智能变电站继电保护装置的网络压力检测方法及相关系统 | |
| CN106254022A (zh) | 基于时钟同步装置的时间监测和延时查询软件系统平台 | |
| CN110113336A (zh) | 一种用于变电站网络环境的网络流量异常分析与识别方法 | |
| CN104201782A (zh) | 一种变电站故障处理系统 | |
| CN103957118A (zh) | 电力数据通信网网络流量实时智能分析方法及其系统 | |
| Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
| CN105591471B (zh) | 一种变电站与主站数据一致性对比校验方法 | |
| CN205610654U (zh) | 基于sdh网络e1通道故障监测的时钟装置 | |
| CN105158610B (zh) | 一种变压器状态预警数据可疑值的筛查处理方法 | |
| CN110907812A (zh) | 一种用于断路器机械特性的检测系统及方法 | |
| CN106610593A (zh) | 一种基于rtds智能化安控系统的检测方法及系统 | |
| US10338544B2 (en) | Communication configuration analysis in process control systems | |
| CN104579817A (zh) | 基于goose逻辑的通信回路测试方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161116 |
|
| RJ01 | Rejection of invention patent application after publication |