CN106936834A - 一种对iec61850数字变电站smv报文的入侵检测的方法 - Google Patents

一种对iec61850数字变电站smv报文的入侵检测的方法 Download PDF

Info

Publication number
CN106936834A
CN106936834A CN201710157295.7A CN201710157295A CN106936834A CN 106936834 A CN106936834 A CN 106936834A CN 201710157295 A CN201710157295 A CN 201710157295A CN 106936834 A CN106936834 A CN 106936834A
Authority
CN
China
Prior art keywords
smv
messages
message
detection
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710157295.7A
Other languages
English (en)
Other versions
CN106936834B (zh
Inventor
刘建戈
吕兵
罗坤
金鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Fengcheng Yunma Software Technology Co Ltd
STATE GRID JIANGSU ELECTRIC POWER Co LIANSHUI POWER SUPPLY Co
State Grid Corp of China SGCC
HuaiAn Power Supply Co of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
Nanjing Fengcheng Yunma Software Technology Co Ltd
STATE GRID JIANGSU ELECTRIC POWER Co LIANSHUI POWER SUPPLY Co
State Grid Corp of China SGCC
HuaiAn Power Supply Co of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Fengcheng Yunma Software Technology Co Ltd, STATE GRID JIANGSU ELECTRIC POWER Co LIANSHUI POWER SUPPLY Co, State Grid Corp of China SGCC, HuaiAn Power Supply Co of State Grid Jiangsu Electric Power Co Ltd filed Critical Nanjing Fengcheng Yunma Software Technology Co Ltd
Priority to CN201710157295.7A priority Critical patent/CN106936834B/zh
Publication of CN106936834A publication Critical patent/CN106936834A/zh
Application granted granted Critical
Publication of CN106936834B publication Critical patent/CN106936834B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种对IEC61850数字变电站SMV报文的入侵检测的方法,方法主要有三个步骤组成,SMV报文的快速过滤及数据结构化、SMV帧报文的数据单元的多级关联检测、SMV报文的危害性评估;本发明目的在于解决现有技术中IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。

Description

一种对IEC61850数字变电站SMV报文的入侵检测的方法
技术领域
本发明属于IEC61850数字变电站安全领域,采用报文模板匹配技术实现SMV报文数据结构化还原呈现,通过对报文的上下文多级关联分析技术,实现一种对IEC61850智能变电站中的SMV数据报文的入侵检测的方法。
背景技术
IEC61850是基于通用网络通信平台的变电站自动化系统的国际标准,它可以实现变电站自动化系统产品的互操作性和协议转换。采用IEC61850标准可使变电站自动化设备具备自描述、自诊断和即插即用的特性,很大程度上使数字变电站系统的集成变得简单,减少了变电站自动化系统的开支。
IEC61850标准也使得智能电网的网络形态正从过去的封闭系统走向半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时,也带来了智能变电站的安全上的隐患。其中IEC61850数字变电站采用的基于开放标准的网络技术之上,导致系统的安全性降低。具体表现为IEC61850协议本身并没有考虑任何安全措施,一旦攻击者绕过物理防护,直接进入调度中心和变电站网络,可直接通过通信协议实现对智能变电站设备的控制。
IEC62351协议标准实现了对IEC61850协议的安全加固,使得IEC61850协议具有了这些基本的安全功能。这种加固主要包括:1,通过通过数字签名,提供节点的双向身份认证;2,通过加密,提供传输层认证、加密密钥的机密性;3,通过加密,提供传输层及以上层次消息的机密性,防止窃听;4,通过消息鉴别码,提供传输层及以上层次消息的完整性;5,通过定义传输序列号有效性,防止传输层的重放和欺骗。由此可见,IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上,而在实际生产环境中这些安全加固方法无法适用于的IEC61850中的SMV实时性要求极高的报文。
SMV(Sampled Measured Value)采样测量值,是一种用于实时传输数字采样信息的服务。IEC61850数字变电站中常用SMV服务来传递各类测量模拟量,比如变电站中各相电流电压的数值,数字变电站中的各类测量数据都以明文形式传送,很容易被修改或注入非法的SMV报文,而非法的变电站测量数据会引起主站发出错误的操作指令,引起数字变电站的智能设备的错误动作。所以,SMV报文的安全性变得非常重要,而由于SMV报文的实时性要求高的特点,因此IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成,需要重新寻找一套针对智能设备间SMV明文传输的报文安全加固和入侵检测解决方案,来保护智能变电站的安全运行。
发明内容
本发明提供一种对IEC61850数字变电站SMV报文的入侵检测的实现方法,目的在于解决现有技术中IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。
本发明通过以下技术方案实现:
一种对IEC61850数字变电站SMV报文的入侵检测的方法,其特征在于:所述实现方法包括如下步骤;
1)SMV报文的快速过滤及数据结构化:SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文,并对SMV报文内容进行数据结构化处理;
2)SMV帧报文的数据单元的多级关联检测:SMV通过快速过滤和数据结构化提取完成后,按照多级检测项依次检测报文中的若干数据单元项,以完成对SMV帧报文数据的安全合规性检测;
3)SMV报文的危害性评估:根据SMV报文安全性的检测方法,可将数字变电站的SMV报文的安全性分为三个级别,安全级别“0”为可信,代表经过多级检测过的SMV报文数据未包含任何威胁隐患,数字变电站的SMV报文安全级别为“0”级;安全级别“-1”代表数字变电站中有可疑的SMV报文存在,单位时间SMV帧报文数量检测项中检测到当前报文流量超过或小于基准流量的30%,而帧报文其它级的检测都通过时,则数字变电站的报文安全级别为“-1”,有可疑SMV帧报文存在;安全级别“-2”代表变电站存在不可信的SMV报文,当前数字变电站的SMV帧报文集只通过单位时间流量范围的检测,其它各级别帧报文检测项的任意一项都未通过,则此数字变电站的SMV报文安全级别为“-2”,存在非合规报文。
本发明进一步技术改进方案是:
所述步骤2中多级检测项包括如下部分,1)SMV报文的以太网络类型及源目标MAC地址;2)单位时间的SMV帧报文数量检测;3)报文采样计数器检测;4)SMV帧报文数据集中的标识的一致性检测。
本发明的效益是通过对IEC61850-SMV报文的结构和广播通讯机制的研究,总结出SMV报文在通讯过程中的可信状态下报文中相关数据项所应遵循的规则,从而建立起可疑和不可信SMV帧报文的入侵检测的机制及方法,从而确保数字变电站中各智能设备间的SMV报文的安全可信。具体来说,本发明具有如下效果:
一、本发明提供了IEC61850-SMV报文的模板格式的定义方法,采用模式树的匹配技术,能够快速从各类协议报文中提取SMV类型报文,并在模式匹配过程中完成报文内容数据提取的结构化处理,缩短了从报文类型识别到数据提取的过程;
二、本发明对完成结构化处理的报文数据,设立了多级和关联的数据检测项,防止各种形式的入侵报文的注入和非法篡改。其中一级检测是对报文中的源和目标的物理地址采用报文协议可信匹配机制,通过预先定义接收SMV帧报文中智能设备的可信源,完成对非可信设备报文的过滤;
三、本发明建立了SMV帧报文内部数据项的关联合规检测机制,例如,SMV帧报文中的采样计数器的检测和应用协议单元中数据集的标识一致性检测,能够及时发现常见的各种类型的SMV报文的暴力入侵、注入和篡改;
四、本发明实现单位时间SMV帧报文流量的检测,通过建立单位时间SMV帧流量的基准值,设置了三类流量检测方式:一、单位时间未见SMV报文,通讯被中断或报文被截断攻击;二、单位时间的SMV帧报文流量倍数高于流量基准值,存在DDOS攻击;三、单位时间帧报文流量高于或小于基准流量的某个百分比,帧报文中存在报文注入与盗劫。
附图说明
图1、IEC61850-SMV通信协议栈示意图;
图2、IEC61850-SMV报文帧结构示意图;
图3、IEC61850-SMV报文入侵检测方法流程。
具体实施方式
本发明提供了一种对IEC61850数字变电站中用于在智能设备间(IED)传输IEC61850数字变电站中传输各类模拟测量的SMV报文的安全、合规检测方法,通过本发明能够快速检测出存在非合规隐患的各类SMV数据报文。
由图1、2可见SMV服务的通信协议栈由应用层、传输层、网络层、数据链路层和物理层组成,传输层和网络层均为空。这样可以缩短SMV报文的长度,减少传输的延时,满足数字变电站中测量数据的实时传输的要求。应用层定义了IEC61850-SMV报文的应用协议单元(APDU),表示层遵循ASN.1 BER对APDU进行编码,数据链路层基于ISO/IEC8802-3标准设置报文的传输优先级、以太网类型、组播地址等。因为IEC61850协议只定义了在变电站网络中智能设备(IED)和应用客户端的通信协议,没有考虑协议的安全性,即使后面推出的IEC62351协议实现了对IEC61850协议的安全加固,但对于实时性要求很高的模拟测量传输SMV报文无法实现IEC62351通过数据加密的安全加固,导致这类SMV报文中的测量量模拟数据极容易通过对数据值得修改和非法报文注入实现到对数字变电站入侵攻击。
本发明通过对IEC61850-SMV原报文内容的深度结构化数据的还原,分析发现非法的注入或遭到篡改的SMV报文。本方法有三个步骤组成,1) SMV报文的快速过滤及报文数据结构化;2)SMV结构化报文数据项的多级关联检测;3)数字变电站中SMV报文的危害评估。
1、SMV报文的快速过滤及数据结构化
SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文,并对SMV报文内容进行数据结构化处理。
SMV报文过滤数据提取采用基于报文模板的多模式匹配,一次报文扫描完成SMV报文数据项的识别和数据的结构化处理。本发明的SMV的报文模板可由一系列的数据项模板单元组成,每个数据项模板单元定义在两个“@”标识符之间,模板单元由四部分组成,每部分彼此以“:”隔开。第一部分为该数据项单元对应源报文的原始数据类型;第二部分为该数据项在源报文中的数据长度,数据项长度不定时缺省为空;第三部分为该数据项结构化后的数据类型;第四部分为对应报文数据项的名称。前两部分描述了该数据项在源报文中的数据形态,后两部分表达了数据项数据结构化处理后的数据呈现方式。
根据图2可将SMV报文可分解为下表中的模板单元数据项,表中键名是报文数据键值对结构化输出中的键的名字:
序号 模板数据单元 数据项名称 键名
1 @字节:6:字节:目标地址@ 目标地址单元 MACDst
2 @字节:6:字节:源地址@ 源地址单元 MACSrc
3 @字节:2:字节:TPID@ 802.1Q以太网编码帧的以太网类型 TPID
4 @字节:2:字节:优先级@ 用户优先级 TCI
5 @字节:2:字节:网络类型@ 以太网络类型 Ethertype
6 @字节:2:字节:应用标识@ 应用标识符; APPID
7 @字节:2:整数:长度字节数@ 从APPID开始包含在以太网PDU中字节数 Length
8 @字节:2:字节:保留字@ 保留字 Reserve1
9 @字节:2:字节:保留字@ 保留字 Reserve2
11 @字节:1493:集合:应用协议单元@ SMV报文应用协议数据单元 APDU
12 @字节::填充数据@ 填充数据 MACData
13 @字节:4:数据:校验数据@ 校验数据 CRC
以上各数据项模板单元可组成一个完整的SMV帧报文模板:
@字节:6:字节:目标地址@ @字节:6:字节:源地址@ @字节:2:字节:TPID@ @字节:2:字节:优先级@ @字节:2:字节:网络类型@ @字节:2:字节:应用标识@ @字节:2:整数:长度字节数@ @字节:2:字节:保留字@ @字节:2:字节:保留字@ @字节:1493:集合:应用协议单元@@字节::填充数据@ @字节:4:数据:校验数据@
数据项模板单元也可以由若干模板单元集合组成,如组成SMV报文应用协议单元(@字节:1493:集合:应用协议单元@)又可以由以下表中模板单元组成:
序号 模板数据单元 数据项名称 键名
1 @字节:2:字符串:APDU标记@ APDU标记 savPdu
2 @字节:2:整型:ASDU数目@ ASDU数目 noASDU
3 @字节:2:字节:ASDU序列数目@ ASDU序列数目 seqASDU
4 @字节:2:字节:数据项标识@ ASDU数据项标识 ASDU1
5 @字节:34:字符串:采样值控制块标识@ 采样值控制块ID svID
6 @字节:2:整数:采样计数器@ 采样计数器 smpCnt
7 @字节:4:整数:配置版本号@ 配置版本号 confRev
8 @字节:1:布尔:采样时间同步@ 采样时间同步 smpSynch
9 @字节::整数:采样值序列@ 采样值序列 seqData
………… ……… ………
SMV报文应用协议单元(APDU)完整模板格式如下:
@字节:2:字符串:APDU标记@ @字节:2:整型:ASDU数目@ @字节:2:字节:ASDU序列数目@ @字节:2:字节:ASDU序列数目@ @字节:2:字节:数据项标识@ @字节:34:字符串:采样值控制块标识@ @字节:2:整数:采样计数器@ @字节:4:整数:配置版本号@ @字节:1:布尔:采样同步@ @字节::整数:采样值序列@
根据上面定义的SMV报文的协议模板,对SMV协议数据包的模板匹配过程采用了“多模式树模板匹配技术”,多模式模树就是根据报文的模板建立一棵模式匹配树,树的节点就是数据项模板单元,每个数据项模板单元定义了原始数据到结构化数据的匹配模式。通过一次SMV模板模式树与协议数据包的扫描交互完成SMV报文数据单元的匹配结构化处理,极大提高了SMV报文数据项匹配和数据单元提取的效率;提取出的报文数据以键、值对的形式输出存储,供相关数据项的多级关联分析检测。
2、SMV帧报文的数据单元的多级关联检测
SMV通过快速过滤和数据结构化提取完成后,按照以下多级检测项依次检测报文中的若干数据单元项,以完成对SMV帧报文数据的安全合规性检测:
1)SMV报文的以太网络类型及源目标MAC地址
这部分检测涉及模板单元有以太网络类型(@字节:2:字节:网络类型@)、报文目标地址(@字节:6:字节:目标地址@)、报文源地址(@字节:6:字节:源地址@)。对报文源地址的检测可以判断SMV报文是否来自可信的IED智能设备,以太网络类型的检测可以提高过滤SMV报文的准确性。
通过数字变电站中的各类智能设备的MAC地址,建立起该数字变电站可信设备的安全名单,检测该数字变电站中各SMV帧报文中的源和目标地址,及时发现非法可疑的SMV帧报文。
2)单位时间的SMV帧报文数量检测
在数字变电站中通过对正常工况下数字变电站中每秒产生的SMV帧报文的数量计数,生成每秒SMV帧报文流量数的基准值。通过该流量基准值来检测当前数字变电站的SMV帧报文流量是否异常。
当单位时间的SMV帧报文数量超过基准的流量,则当前环境中存在流量异常可能。当前报文流量倍数超过基准流量,则该数字变电站存在拒绝服务的DDOS攻击。
当单位时间的SMV帧报文数量大于或小于基准流量的30%,则数字变电站中存在SMV帧报文被非法注入或报文被盗劫的可能当单位时间里没有发现任何SMV帧报文,则当前数字变电站环境中可能出现通讯中断或SMV帧报文被非法截断的攻击。
3)报文采样计数器检测
在SMV帧报文模板中应用协议模板单元有一个数据项“采样计数器”,每次产生一帧新的SMV报文,新报文中的该数据项就自动加一;该计数器在两种情况下会被置0,每次数字变电站时钟同步时采样计数器置0,计数器到最大值3999后置0。“采样计数器”检测由以下步骤组成:
“采样计数器”数据序列检测:先检测当前SMV帧报文采样计数器(@字节:2:整数:采样计数器@)的值,将当前SMV帧报文的采样计数器的值与上一帧报文采样计数器的值做比较,如果当前SMV帧报文未有采样时间同步(@字节:1:布尔:采样时间同步@)发生,且上一次报文计数器的值不等于39999,而当前计数值不等于上次计数值加一,说明当前SMV帧报文为入侵报文。
“采样计数器”数据合规检测:若当前SMV帧报文有采样时间同步发生,而当前采样计数器值若不为0,则当前帧报文为入侵报文;若上一帧SMV报文中的采样计数器的值为39999,而当前帧报文采样计数器的值不为0,则当前报文为入侵报文。
4)SMV帧报文数据集中的标识的一致性检测
SMV报文中在合并单元的配置没有发生改变的情况下,则具有相同的源地址和目标地址的帧报文中应用协议数据单元项中的采样控制块ID数据项和采样值序列单元的名称都应该相同的。通过对SMV帧报文中应用协议数据单元中的采样控制ID数据项与采样值序列单元名称的一致性检测,即当前报文的相关标识与上次报文相关标识的检测,可以发现当前报文的是否合规。若当前报文数据项标识一致性检测失败,则当前报文为入侵报文。
3、SMV报文的危害性评估
根据SMV报文安全性的检测方法,可将数字变电站的SMV报文的安全性分为三个级别,安全级别“0”为可信,代表经过多级检测过的SMV报文数据未包含任何威胁隐患,数字变电站的SMV报文安全级别为“0”级;
安全级别“-1”代表数字变电站中有可疑的SMV报文存在,单位时间SMV帧报文数量检测项中检测到当前报文流量超过或小于基准流量的30%,而帧报文其它级的检测都通过时,则数字变电站的报文安全级别为“-1”,有可疑SMV帧报文存在;
安全级别“-2”代表变电站存在不可信的SMV报文,当前数字变电站的SMV帧报文集只通过单位时间流量范围的检测,其它各级别帧报文检测项的任意一项都未通过,则此数字变电站的SMV报文安全级别为“-2”,存在非合规报文。
结合图3就IEC61850-SMV报文的入侵检测过程进行详细描述:
1、接收IEC61850报文后首先识别SMV报文,报文通过SMV报文的匹配模板,完成对SMV类型报文数据项的匹配和数据的结构化处理及数据的提取;
2、完成结构数据化处理的SMV帧报文进入多级关联的报文检测过程,第一级检测为报文的可信度检测,检测报文的源和目的物理地址是否匹配定义可信源,实现对非可信设备报文的过滤;
3、可信的SMV帧报文进入单位时间的报文流量检测,当前SMV帧报文流量与基准报文流量进行比较,当前帧报文流量倍数与基准流量,当前数字变电站存在于拒绝服务(DDOS)的攻击;单位时间未见可信的SMV帧报文,当前环境中报文通信机制损坏或可信报文遭到非法截断;单位时间帧报文流量偏移基准流量的一定数量的百分比,则当前环境存在SMV帧报文的非法注入和盗劫;
4、可信的SMV帧报文在做流量检测的同时,进入报文的自身的合法合规性检测,合法合规检测主要是通过对SMV帧报文中的“采样计数器”、“采样控制块ID”和采样值序列标识符的关联检测,发现非法注入和篡改的各类可疑报文;
5、报文在经过每一个环节的检测过程中,检测的结果会进入SMV帧报文进入危害度评估系统,评估系统根据帧报文通过的多级关联流程检测的结果评判前数字变电站环境中存在的SVM帧报文的危害程度,本方法将数字变电站中报文危害程度分为三级,0级为环境中的报文无害,-1级为环境中存在可疑报文,-2为环境中存在不可信报文。报文的危害性评估过程能够提供一个对数字变电站运行安全工况的一个评估判断的手段和方法。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (2)

1.一种对IEC61850数字变电站SMV报文的入侵检测的方法,其特征在于:所述实现方法包括如下步骤;
1)SMV报文的快速过滤及数据结构化:SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文,并对SMV报文内容进行数据结构化处理;
2)SMV帧报文的数据单元的多级关联检测:SMV通过快速过滤和数据结构化提取完成后,按照多级检测项依次检测报文中的若干数据单元项,以完成对SMV帧报文数据的安全合规性检测;
3)SMV报文的危害性评估:根据SMV报文安全性的检测方法,可将数字变电站的SMV报文的安全性分为三个级别,安全级别“0”为可信,代表经过多级检测过的SMV报文数据未包含任何威胁隐患,数字变电站的SMV报文安全级别为“0”级;安全级别“-1”代表数字变电站中有可疑的SMV报文存在,单位时间SMV帧报文数量检测项中检测到当前报文流量超过或小于基准流量的30%,而帧报文其它级的检测都通过时,则数字变电站的报文安全级别为“-1”,有可疑SMV帧报文存在;安全级别“-2”代表变电站存在不可信的SMV报文,当前数字变电站的SMV帧报文集只通过单位时间流量范围的检测,其它各级别帧报文检测项的任意一项都未通过,则此数字变电站的SMV报文安全级别为“-2”,存在非合规报文。
2.根据权利要求1所述的一种对IEC61850数字变电站SMV报文的入侵检测的方法,其特征在于:所述步骤2中多级检测项包括如下部分,1)SMV报文的以太网络类型及源目标MAC地址;2)单位时间的SMV帧报文数量检测;3)报文采样计数器检测;4)SMV帧报文数据集中的标识的一致性检测。
CN201710157295.7A 2017-03-16 2017-03-16 一种对iec61850数字变电站smv报文的入侵检测的方法 Active CN106936834B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710157295.7A CN106936834B (zh) 2017-03-16 2017-03-16 一种对iec61850数字变电站smv报文的入侵检测的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710157295.7A CN106936834B (zh) 2017-03-16 2017-03-16 一种对iec61850数字变电站smv报文的入侵检测的方法

Publications (2)

Publication Number Publication Date
CN106936834A true CN106936834A (zh) 2017-07-07
CN106936834B CN106936834B (zh) 2020-12-11

Family

ID=59432959

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710157295.7A Active CN106936834B (zh) 2017-03-16 2017-03-16 一种对iec61850数字变电站smv报文的入侵检测的方法

Country Status (1)

Country Link
CN (1) CN106936834B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547438A (zh) * 2017-08-02 2018-01-05 许继电气股份有限公司 一种基于动态特征字的goose/sv报文处理方法及其交换机
CN114697081A (zh) * 2022-02-28 2022-07-01 国网江苏省电力有限公司淮安供电分公司 基于iec61850 sv报文运行态势模型的入侵检测方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1691581A (zh) * 2004-04-26 2005-11-02 彭诗力 基于特征值的多模式匹配算法及硬件实现
CN101728869A (zh) * 2009-11-10 2010-06-09 重庆大学 电站自动化系统数据网络安全监控方法
CN102932167A (zh) * 2012-10-10 2013-02-13 华南理工大学 提高智能变电站继电保护可靠性的信息流控制方法和系统
KR20150037285A (ko) * 2013-09-30 2015-04-08 한국전력공사 침입 탐지 장치 및 방법
CN106130950A (zh) * 2016-05-20 2016-11-16 南京理工大学 针对iec61850协议sv报文的异常检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1691581A (zh) * 2004-04-26 2005-11-02 彭诗力 基于特征值的多模式匹配算法及硬件实现
CN101728869A (zh) * 2009-11-10 2010-06-09 重庆大学 电站自动化系统数据网络安全监控方法
CN102932167A (zh) * 2012-10-10 2013-02-13 华南理工大学 提高智能变电站继电保护可靠性的信息流控制方法和系统
KR20150037285A (ko) * 2013-09-30 2015-04-08 한국전력공사 침입 탐지 장치 및 방법
CN106130950A (zh) * 2016-05-20 2016-11-16 南京理工大学 针对iec61850协议sv报文的异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈海涛等: "网络入侵检测中高效散列模式树算法的研究", 《计算机工程与科学》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547438A (zh) * 2017-08-02 2018-01-05 许继电气股份有限公司 一种基于动态特征字的goose/sv报文处理方法及其交换机
CN114697081A (zh) * 2022-02-28 2022-07-01 国网江苏省电力有限公司淮安供电分公司 基于iec61850 sv报文运行态势模型的入侵检测方法和系统
CN114697081B (zh) * 2022-02-28 2024-05-07 国网江苏省电力有限公司淮安供电分公司 基于iec61850 sv报文运行态势模型的入侵检测方法和系统

Also Published As

Publication number Publication date
CN106936834B (zh) 2020-12-11

Similar Documents

Publication Publication Date Title
CN106953855A (zh) 一种对iec61850数字变电站goose报文的入侵检测的方法
CN106898065A (zh) 一种智能门锁的开锁方法
CN103581173B (zh) 一种基于工业以太网的数据安全传输方法、系统及装置
CN104796261A (zh) 一种网络终端节点的安全接入管控系统及方法
CN107026874A (zh) 一种指令签名与验证方法及系统
CN104486075B (zh) 一种智能变电站icd模型文件数字签名的验证方法
CN106789015B (zh) 一种智能配电网通信安全系统
CN103269332B (zh) 面向电力二次系统的安全防护系统
CN202003425U (zh) 一种智能锁监控中央管理系统
CN107038777A (zh) 一种基于智能门锁系统的安全通信方法及其智能门锁系统
CN113691380B (zh) 一种智能电网中多维隐私数据聚合方法
CN108965215A (zh) 一种多融合联动响应的动态安全方法与系统
CN103368954B (zh) 一种基于口令和生物特征的智能卡注册登录方法
CN108959966A (zh) 基于大数据管理分析的云平台审计系统
CN102833066B (zh) 一种三方认证方法、装置及支持双向认证的智能卡
CN109617875A (zh) 一种终端通信网的安全接入平台及其实现方法
CN105610837A (zh) 用于scada系统主站与从站间身份认证的方法及系统
CN103501293B (zh) 一种智能电网中终端可信接入的认证方法
CN106936834A (zh) 一种对iec61850数字变电站smv报文的入侵检测的方法
CN106612505A (zh) 基于区域划分的无线传感器安全通信及防泄密定位方法
CN106878257A (zh) 具有攻击防护的工业网络闭环控制方法及其架构
CN106559218A (zh) 一种智能变电站计量数据的安全采集方法
CN102833067B (zh) 三方认证的方法、系统及终端设备的认证状态管理方法
CN103746791B (zh) 一种应用于工业领域的加密通信装置及方法
CN204697072U (zh) 一种网络终端节点的安全接入管控系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant