CN106774281A - 一种基于四遥逻辑关系图的电力系统恶意行为识别方法 - Google Patents

一种基于四遥逻辑关系图的电力系统恶意行为识别方法 Download PDF

Info

Publication number
CN106774281A
CN106774281A CN201710064712.3A CN201710064712A CN106774281A CN 106774281 A CN106774281 A CN 106774281A CN 201710064712 A CN201710064712 A CN 201710064712A CN 106774281 A CN106774281 A CN 106774281A
Authority
CN
China
Prior art keywords
power system
remote
distant
malicious act
recognition methods
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710064712.3A
Other languages
English (en)
Inventor
王勇
刘蔚
王威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yunjian Information Technology Co Ltd
Original Assignee
Shanghai Yunjian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yunjian Information Technology Co Ltd filed Critical Shanghai Yunjian Information Technology Co Ltd
Priority to CN201710064712.3A priority Critical patent/CN106774281A/zh
Publication of CN106774281A publication Critical patent/CN106774281A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)

Abstract

本发明公布了一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法,电力系统中核心通信和控制的四“遥”技术,分别为遥测、遥信、遥控和遥调,该方法采用的逻辑关系图是在电力系统处于不同工况下运行时,记录各种遥测信号的正常波动范围,与遥信的设备状态、运行逻辑,从而形成的电力系统状态关系图。用这个来判定那些不良数据识别过程中无法检测到的恶意行为。该方法不是采用传统的计算机数据包的过滤技术,而是把电力系统中的四“遥”作为一个系统,采用逻辑关系图的方法判定何识别恶意行为。

Description

一种基于四遥逻辑关系图的电力系统恶意行为识别方法
技术领域
本发明涉及电力系统恶意行为检测领域,尤其涉及一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法。电力系统中核心的通信和控制技术是四“遥”,就是由遥测、遥信、遥控和遥调四部分组成。
背景技术
工业控制系统包括了监控和数据采集系统,分布式控制系统,可编程控制器等。这些控制系统广泛运用于工业、能源、交通、水利以及市政等,重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。随着工业化与信息化的深度融合,在享受信息共享与管理便利的同时,来自信息网络的安全威胁将逐步成为工业控制系统所面临的最大安全威胁。
恶意行为是指在未明确提示用户或未经用户许可的情况下,在用户计算机、网络或其他终端上安装运行,侵犯用户合法权益、执行恶意任务的病毒、蠕虫、特洛伊木马、恶意代码等程序,通过破坏软件进程和系统数据来实施控制,致使计算机系统和网络不能可靠正常地运行,网络服务中断等的行为。计算机系统恶意行为的种类有:执行恶意任务的病毒、蠕虫、特洛伊木马等恶意软件和带有攻击意图所编写的一段程序,如:陷门、逻辑炸弹等。网络恶意行为的种类有:信息探测行为(如端口和漏洞扫描)、信息欺骗行为(如ARP欺骗和IP劫持)、信息淹没行为(如SYN Flood和DDOS攻击)、信息伪传递行为(溢出攻击、IMCP木马、HTTP隧道木马)。
工业控制系统恶意行为可分为两类:第一类是针对高级持续性威胁(AdvancedPersistent Threat ,简称APT)及其他工业网络外部威胁的恶意行为。高级持续性威胁(APT)是指:针对特定组织或国家,出于商业或政治动机,使用复杂精美的恶意软件及技术以利用系统中的漏洞,隐匿而持久的监控特定目标并进行电脑入侵,从而获取数据或者进行攻击。第二类是针对工业控制系统软件漏洞、操作系统安全漏洞、网络通信协议安全漏洞、管理流程漏洞等内部的恶意行为。恶意代码(诸如病毒、特洛伊木马、蠕虫等)、黑客等利用这些漏洞对工业控制系统进行恶意攻击,造成工业控制系统造成严重损坏。
当前,国内大型科技公司及著名高校和研究院对恶意行为的检测识别方法所申请的专利有:百度在线网络技术(北京)有限公司申请的“利用IP地址实现恶意行为的检测”;哈尔滨工业大学深圳研究生院申请的“一种基于内核对象行为本体的恶意代码检测方法”;深圳市腾讯计算机系统有限公司申请的“通过对比已存储的恶意操作路径集合和待执行的操作所在的路径,判断待执行的操作是否为恶意行为的检测方法”;腾讯科技(深圳)有限公司申请的“通过检测是否有事件被触发并判断事件是否符合行为列表中正常行为的检测方法”。而在工业控制领域,对恶意行为的检测识别方法所申请的专利有:浙江大学申请的“截获并识别通信数据报文,来判断与检测是否存在针对本地内部控制程序的恶意操作”。
电力系统中核心的通信和控制技术是四“遥”,就是由遥测、遥信、遥控和遥调四部分组成。遥测是指远程测量,远方测量电压、电流、功率、负荷、潮流等电力系统运行状态;遥信是指远程信号,远方监视电气开关和设备、机械设备的工作状态和运转情况状态等;遥控是指远程控制,通过接受由PLC、SCADA、DCS等控制系统所发出的控制命令来远方控制电气设备及电气化机械设备的分合起停等工作;遥调是指远程调节,对远程的控制量设备进行远程调试,如调节发电机输出功率等。
但是当前电力系统中的恶意行为检测还是基于计算机领域的技术,并没有用系统分析的方法把电力系统中最基本的通信和控制因素考虑进去,本发明公布了一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法。
发明内容
在此本发明公布了一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法,电力系统中核心通信和控制的四“遥”技术,分别为遥测、遥信、遥控和遥调,该方法采用的逻辑关系图是在电力系统处于不同工况下运行时,记录各种遥测信号的正常波动范围、与遥信的设备状态、运行逻辑,从而形成的电力系统状态关系图。用这个来判定那些不良数据在识别过程中无法检测到的恶意行为。该方法不是采用传统的计算机数据包的过滤技术,而是把电力系统中的四“遥”作为一个系统,采用逻辑关系图的方法判定和识别恶意行为。
其具体步骤如下:
步骤1:遥测数据采集,采集如电压、电流、功率、负荷、潮流等电力系统运行状态;
步骤2:判定遥测数据是否处于正常的波动范围,根据基于残差类方法识别不良数据,对残差污染不能识别的不良数据,留给后续步骤识别,若正常则进行步骤3遥信信号量采集,若不正常则转至步骤9;
步骤3:遥信信号量采集,主要是采集开关状态、保护装置工作信号、设备装置信号、自动调节装置运行状态信号等设备运行状态;
步骤4:判定遥信采集的信号在当前工况下是否符合电力系统的正常情况,若正常则进行步骤5遥控命令采集,若不正常则转至步骤9;
步骤5:遥控命令采集,采集远方控制系统所发出的对开关量等状态的控制命令;
步骤6:判定其控制信号的逻辑是否正常,若正常则进行步骤7遥调命令采集,若不正常则转至步骤9;
步骤7:遥调命令采集,采集控制量命令;
步骤8:判定控制量调节是否正常,若正常进行步骤10,若不正常则转至步骤9;
步骤9:发出恶意行为异常警报;
步骤10:正常四“遥”逻辑关系采集;
步骤11:电力系统处于不同工况下运行时,记录各种遥测信号的正常波动范围、与遥信的设备状态、运行逻辑,从而形成的电力系统状态关系图,自动生成四“遥”逻辑关系图;
步骤12:判断四“遥”是否符合逻辑关系图,若符合则回到步骤1进行新一轮数据采集,若不符合则转至步骤9。
附图说明
图1为电力系统四“遥”逻辑关系图;
图2 为电力系统四“遥”判断条件;
图3为电力系统恶意行为判定流程图。
图1为电力系统四“遥”逻辑关系图:
其中遥测和遥信是通过采集电力运行状态和设备运行状态的数据,由运动系统终端RTU传输,经过坏数据识别,若数据正常,则进行逻辑关系图判断。遥测主要是测量电压、电流、功率、负荷、潮流等电力运行状态;遥信主要是采集开关状态、保护装置工作信号、设备装置信号、自动调节装置运行状态信号等设备运行状态;遥调和遥控是通过逻辑关系图来判别是否符合逻辑关系,再由运动系统终端RTU实现对控制量设备和控制设备的控制来调整设备参数以及电气设备及电气化机械设备的分、合、起、停等工作。
图2 为电力系统四“遥”判断条件,包括以下步骤:
步骤1:遥测数据采集,采集如电压、电流、功率、负荷、潮流等电力系统运行状态;
步骤2:判定遥测数据是否处于正常的波动范围,根据基于残差类方法识别不良数据,对残差污染不能识别的不良数据,留给后续步骤识别,若正常则进行步骤3遥信信号量采集,若不正常则转至步骤9;
步骤3:遥信信号量采集,主要是采集开关状态、保护装置工作信号、设备装置信号、自动调节装置运行状态信号等设备运行状态;
步骤4:判定遥信采集的信号在当前工况下是否符合电力系统的正常情况,若正常则进行步骤5遥控命令采集,若不正常则转至步骤9;
步骤5:遥控命令采集,采集远方控制系统所发出的对开关量等状态的控制命令;
步骤6:判断其控制信号的逻辑是否正常,若正常则进行步骤7遥调命令采集,若不正常则转至步骤9;
步骤7:遥调命令采集,采集控制量命令;
步骤8:判断控制量调节是否正常,若正常进行步骤10,若不正常则转至步骤9。
图3为电力系统恶意行为判定流程图,该流程图包括以下步骤:
步骤9:发出恶意行为异常警报;
步骤10:正常四“遥”逻辑关系采集;
步骤11:电力系统处于不同工况下运行时,记录各种遥测信号的正常波动范围、与遥信的设备状态、运行逻辑,从而形成的电力系统状态关系图,自动生成四“遥”逻辑关系图;
步骤12:判断四“遥”是否符合逻辑关系图,若符合则回到步骤1进行新一轮数据采集,若不符合则转至步骤9。

Claims (4)

1.一种基于四“遥”逻辑关系图的电力系统恶意行为识别方法,其特征在于,所述方法包含如下三个步骤:
1)遥测的坏数据识别方法;
2)遥信的坏数据识别方法;
3)运用逻辑关系图来判断遥控和遥调是否符合逻辑关系。
2.根据权利要求1所述的实现方法,其特征在于,所述步骤1)中遥测的坏数据识别方法是将所测量的电压、电流、功率、负荷、潮流等电力运行状态,经过运动系统终端RTU的传输,判定遥测数据是否处于正常的波动范围,根据基于残差类方法识别不良数据,对残差污染不能识别的不良数据,留给步骤3识别判定。
3.根据权利要求1所述的实现方法,其特征在于,所述步骤2)中遥信的坏数据识别方法是采集开关状态、保护装置工作信号、设备装置信号、自动调节装置运行状态信号等设备运行状态,判定遥信采集的信号在当前工况下是否符合电力系统的正常情况,对不能识别的情况,留给步骤3识别判定。
4.根据权利要求1所述的实现方法,其特征在于,所述步骤3)运用逻辑关系图来判断四“遥”是否符合逻辑关系,逻辑关系图是在电力系统处于不同工况下运行时,记录各种遥测信号的正常波动范围、与遥信的设备状态、运行逻辑,从而形成电力系统状态关系图,用这个来判定那些不良数据在识别过程中无法检测到的恶意行为。
CN201710064712.3A 2017-02-05 2017-02-05 一种基于四遥逻辑关系图的电力系统恶意行为识别方法 Pending CN106774281A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710064712.3A CN106774281A (zh) 2017-02-05 2017-02-05 一种基于四遥逻辑关系图的电力系统恶意行为识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710064712.3A CN106774281A (zh) 2017-02-05 2017-02-05 一种基于四遥逻辑关系图的电力系统恶意行为识别方法

Publications (1)

Publication Number Publication Date
CN106774281A true CN106774281A (zh) 2017-05-31

Family

ID=58955165

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710064712.3A Pending CN106774281A (zh) 2017-02-05 2017-02-05 一种基于四遥逻辑关系图的电力系统恶意行为识别方法

Country Status (1)

Country Link
CN (1) CN106774281A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602710A (zh) * 2019-09-27 2019-12-20 长沙理工大学 基于系统时钟加速的无通信时间同步/扰动同步协同攻击逻辑炸弹检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101299587A (zh) * 2008-06-27 2008-11-05 上海惠安系统控制有限公司 电力远动装置rtu及其实现发电厂自动电压控制的方法
WO2012068488A2 (en) * 2010-11-19 2012-05-24 Alektrona Corporation Remote asset control systems and methods
JP2014093809A (ja) * 2012-11-01 2014-05-19 Hitachi Ltd 電力系統設備データモデル変換方法、電力系統設備データモデル変換装置及び電力系統設備データモデル変換プログラム
CN103810645A (zh) * 2013-12-16 2014-05-21 云南电力调度控制中心 Ems调度自动化系统中遥测跳变的智能识别方法及系统
CN105871645A (zh) * 2016-06-16 2016-08-17 国网江苏省电力公司无锡供电公司 电网故障信息自动采集与发布装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101299587A (zh) * 2008-06-27 2008-11-05 上海惠安系统控制有限公司 电力远动装置rtu及其实现发电厂自动电压控制的方法
WO2012068488A2 (en) * 2010-11-19 2012-05-24 Alektrona Corporation Remote asset control systems and methods
JP2014093809A (ja) * 2012-11-01 2014-05-19 Hitachi Ltd 電力系統設備データモデル変換方法、電力系統設備データモデル変換装置及び電力系統設備データモデル変換プログラム
CN103810645A (zh) * 2013-12-16 2014-05-21 云南电力调度控制中心 Ems调度自动化系统中遥测跳变的智能识别方法及系统
CN105871645A (zh) * 2016-06-16 2016-08-17 国网江苏省电力公司无锡供电公司 电网故障信息自动采集与发布装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602710A (zh) * 2019-09-27 2019-12-20 长沙理工大学 基于系统时钟加速的无通信时间同步/扰动同步协同攻击逻辑炸弹检测方法
CN110602710B (zh) * 2019-09-27 2023-04-07 长沙理工大学 基于系统时钟加速的无通信时间同步/扰动同步协同攻击逻辑炸弹检测方法

Similar Documents

Publication Publication Date Title
Lin et al. Cyber attack and defense on industry control systems
Xu et al. Review on cyber vulnerabilities of communication protocols in industrial control systems
Mallouhi et al. A testbed for analyzing security of SCADA control systems (TASSCS)
Hink et al. Machine learning for power system disturbance and cyber-attack discrimination
Gao et al. On SCADA control system command and response injection and intrusion detection
Barbosa et al. Intrusion detection in SCADA networks
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
WO2006020882A1 (en) Anomaly-based intrusion detection
Pour et al. A review on cyber security issues and mitigation methods in smart grid systems
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
Nizam et al. Attack detection and prevention in the cyber physical system
Elbez et al. A new classification of attacks against the cyber-physical security of smart grids
Zhang et al. The security for power internet of things: Framework, policies, and countermeasures
CN115865526A (zh) 一种基于云边协同的工业互联网安全检测方法及系统
Singh et al. Hides: Hybrid intrusion detector for energy systems
Kang et al. Whitelists based multiple filtering techniques in SCADA sensor networks
Jiwen et al. Cyber security vulnerability assessment for Smart substations
CN106774281A (zh) 一种基于四遥逻辑关系图的电力系统恶意行为识别方法
Aldossary et al. Securing SCADA systems against cyber-attacks using artificial intelligence
Al Baalbaki et al. Autonomic critical infrastructure protection (acip) system
Kreimel et al. Neural net-based anomaly detection system in substation networks
Wu et al. Research on Cyber Attacks and Defensive Measures of Power Communication Network
Rakas et al. Intrusion detection systems in smart grid
Li et al. Overview of Intrusion Detection in Smart Substation
Li Detection of false data injection attacks in smart grid cyber-physical systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170531

WD01 Invention patent application deemed withdrawn after publication