CN109391613A - 一种基于scd解析的智能变电站安全审计方法 - Google Patents

Abstract

一种基于SCD解析的智能变电站安全审计方法,本发明公开了一种基于SCD解析的智能变电站安全审计方法，包括的步骤是：步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；步骤3)基于业务行为基线，诊断资产、路径错误这些专属于智能变电站场景的业务并进行告警。本发明方案深度解析IEC 61850协议簇，对智能变电站场景下可能发生的安全风险进行全方位多角度的安全分析。实现对智能变电站的安全审计。

Description

一种基于SCD解析的智能变电站安全审计方法

技术领域

本发明涉及一种基于SCD解析的智能变电站安全审计方法。

背景技术

SCD(substation configuration description)即全站系统配置文件是变电站IEC61850标准中的重要组成部分。SCD文件存储了变电站现场设备IP地址与设备实际名称之间的对应关系，同时存储了变电站的不同层级的资产信息，这些信息对智能变电站的业务审计起到了十分关键的作用。

智能变电站具有进行数据分析和取证的网络分析仪，目前在智能变电站场景下主要使用网络分析仪进行分析及告警。

网络分析仪检测的对象如下：

i.SV采样值报文(传输电流、电压的测量值)

ii.面向通用对象的变电站事件(GOOSE)报文(传输控制命令和状态信息)

iii.基于制造报文规范MMS协议报文(后台与保护、测控设备之间的数据读写、目录列表上送、事件列表上送服务)

iv.PTP1588对时报文

网络分析仪主要实现在线通讯监视(各种异常告警)；通讯信息记录及分析(链路，MMS，GOOSE,SV报文进行分析)；波形还原及异常告警(人机界面告警及硬接点输出告警)；数据检索及提取(按照时间段、报文类型、报文特征(如异常标记、APPID)条件检索并提取报文列表)；数据转换(导出CAP格式或者COMTRADE格式)

但是网络分析仪只能对后台机和测控装置之间的网络通信报文进行提取，对涉及采样及跳闸过程给出告警，而缺乏针对IEC 61850协议簇网络报文的实时监控分析以及安全方面告警信息的给出。

目前，针对智能变电站各资产的网络安全审计主要采用基于DPI的业务识别方法，DPI意为Deep Packet Inspection，即深度包检测。所谓“深度”是和普通的报文层次相比较而言，“普通报文检测”仅分析IP包的4层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而DPI除了对前面的层次分析外，还增加了应用层分析，识别各种应用以及内容。DPI的技术关键是高效的识别网络中的各种应用。通过对应用流中的数据报文内容进行检测，从而确定数据报文的真正应用。

推广到智能变电站的网络审计应用，除了对智能变电站站控层后台机、远动装置以及间隔层测控保护装置的源地址、目的地址、源端口、目的端口、协议类型进行行为审计解析外，还未针对智能变电站全站通讯协议IEC 61850协议簇进行深度的应用解析，实现针对智能变电站网络通讯协议的DPI深度包的检测。

结合智能变电站的业务特点，急需一套能深度解析IEC 61850协议簇，能充分解析智能变电站SCD文件的基础上进行行为基线的安全审计；并对智能变电站场景下可能发生的安全风险进行全方位多角度的安全分析的审计系统。

发明内容

本发明的一个目的在于弥补现有的智能变电站中，缺乏针对IEC 61850协议簇网络报文的实时监控分析以及安全方面告警信息给出的技术短板。为实现上述目的，现提供

一种基于SCD解析的智能变电站安全审计方法，包括的步骤是：

步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；

步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；

步骤3)基于业务行为基线、诊断资产、路径错误、越限操作以及未知协议这些专属于智能变电站场景的业务并进行告警。

另外，根据本发明实施例可以具有如下附加的技术特征：

根据本发明的一个实施例，

所述业务场景包括智能变电站场景下的遥控操作、定值切区操作、定值修改操作；

在所述智能变电站监控系统网络的安全审计系统中，添加的安全审计系统管理功能模块有：

1)管理接口模块：负责服务器设备自身的管理，对外部提供接口，对设备相应功能进行策略及安全审计系统配置；

2)日志代理模块：设备通过相关接口向管理中心平台发送日志信息；

3)监控进程模块：系统提供进程监控服务，对关键应用能够检测被监控对象是否存在；这种监测是在监控管理器与应用之间发送HB，或是监控管理器监测对象进程的/proc文件；对于监测到异常的对象进行重启；

4)数通引擎模块：根据设定的规则，将报文分发到对应的安全引擎处理；根据安全引擎对报文处理的结果决定报文的丢弃、转发、拷贝；支持L1-L3层解码；ACL，QoS；

5)行为基线功能模块：根据工业现场中流量进行自学习，学习完成后建立基线模型，

包含设备IP、MAC白名单、TCP连接的发起方向、业务行为、业务行为的路径；

6)资产拓扑模块：将基线中审计到的资产按照智能变电站三层两网的网络架构展示出来，资产拓扑中能够显示资产名,ip,mac以及相互之间交互的操作行为；

7)界面告警功能模块：将后续接收到的流量中的信息和行为基线进行比对，不一致的进行告警；

8)流量统计功能模块：只查看工业现场特定协议的流量大小，包括MMS,goose,telnet,ftp；

9)日志查询功能模块：包含告警日志、运行日志、操作日志的查询；

10)报表导出模块：将统计到的流量、告警导出成html报表。

根据本发明的一个实施例，

所述安全审计系统的体系架构划分成两个平面：

管理平面；主要负责设备自身的管理、对外部提供接口、其他平面的策略配置；

数据平面；主要负责业务数据收发、L2/L3/ACL/QOS/、以及安全防护；同时也包括流表、会话表的建立；数据平面又包括数通引擎以及安全引擎，数通引擎侧重于数据转发，安全引擎侧重于安全防护；

为了满足设备的性能和稳定性的要求，在总体架构设计中采取了以下的原则：

最大平面分离原则；尽可能将不同的平面运行在不同的CPU核即线程上；

业务功能分离原则；安全引擎和数通引擎运行在不同的CPU核即线程上。

根据本发明的一个实施例，

所述安全审计系统基于Linux 2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术，L1-L3底层数据包处理由唯一进程Server负责，Server将L4-L7高层解码交由Client负责，Server支持多Client并发处理高层解码；日志代理模块统一采用NPAI机制和管理中心平台进行互联。

根据本发明的一个实施例，

所述安全审计系统还包括底层基础模块、收发包模块、L1-L3层攻击防护模块、应用层攻击防护模块、生产构建模块、统一安全管理平台模块以及其他模块；

底层基础模块：底层基础模块为整个系统的架构基础，包括产品内核、电子盘系统以及应用的WEB-CAVY框架；基于Linux 2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术；

收发包模块：收发包模块主要实现对镜像过来的数据包进行批量的收包和自动调节，同时对接口数据进行整体统计分析；

L1-L3层攻击防护模块：这一模块主要实现L1-L3层的数据解码，针对L1-L3层进行基于规则的数据包过滤检测；对网络层的IPV4和IPV6提供支持，建立通信隧道；同时进行DDOS攻击的检测和防护；该层为系统的安全防护模块，保障系统不受L1-L3层的攻击危害；

应用层攻击防护模块：该层模块实现智能变电站基础工控协议IEC-61850协议簇的基础协议识别，包括MMS、GOOSE和SV协议的应用层解码分析；通过自学习策略的设置建立智能变电站场景下的业务行为基线，对业务状态进行关联，为基于SCD的智能变电站业务审计提供基础解析能力；

生产构建模块：该层模块完成系统的打包和灌装，通过自定义的升级站点为系统提供升级相关功能；

统一安全管理平台模块：基于SCD的智能变电站业务行为审计产生的告警推送至该模块，中间通过加密的通信信道进行数据传输，告警数据在统一安全管理平台进行集中呈现和展示；

其他模块：该模块包括告警功能组件、资产拓扑生成功能组件、流量统计功能组件、异常处理机制以及HA双机热备功能组件；在对SCD文件进行解析之后通过资产拓扑生成功能组件自动生成专属于智能变电站场景站控层、间隔层、过程层三层两网架构的业务行为基线拓扑图，实现针对智能变电站网络数据流量的业务行为审计。

根据本发明的一个实施例，

所述业务行为基线为基于SCD文件解析的智能变电站行为基线

SCD文件基本结构包括：

SCD文件的各节点以树形层次结构组织起来，完整的文件由Header、Substation、Communication、IED、DataTypeTemplates五大部分组成，

Header部分包含SCD文件标识、文件版本、配置工具、文件修改历史记录信息，

Substation部分描述变电站的功能结构，标识一次设备以及它们的电气连接关系。

这里，本申请方案是针对现有的网络分析仪只能对后台机和测控装置之间的网络通信报文进行提取，对涉及采样及跳闸过程给出告警，而缺乏针对IEC 61850协议簇网络报文的实时监控分析以及安全方面告警信息的给出。因此采用了基于SCD文件解析的智能变电站业务行为基线审计系统，深度解析IEC 61850协议簇，对智能变电站场景下可能发生的安全风险进行全方位多角度的安全分析。由此，实现对智能变电站的安全审计。

本申请方案是基于SCD解析的智能变电站安全审计方法研究的安全审计系统，是专门针对智能变电站工业网络的安全审计系统。融入了基于业务的安全告警机制，如智能变电站场景下的遥控操作、定值切区操作、定值修改操作等关键业务行为告警。基于对工业控制协议(如Modbus TCP、OPC、Siemens S7、DNP3、IEC 60870-5-104、IEC 61850-MMS、IEC61850-GOOSE、IEC 61850-SV等)的通信报文进行深度解析(DPI，Deep PacketInspection)，能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时还实现详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，

图1是一种基于SCD解析的智能变电站安全审计方法流程示意图；

图2是一种基于SCD解析的智能变电站安全审计方法的添加功能系统示意图；

图3是安全审计系统整体模块划分管结构示意图；

图4是SCD与行为基线结合的启动流程示意图；

1.行为基线功能模块，2.数通引擎模块，3.硬件抽象层，4.操作系统，5.虚拟化，6.硬件，7.管理接口模块，8.监控进程模块。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。下面结合附图进一步说明；

图1至图4中提供了一种基于SCD解析的智能变电站安全审计方法，包括的步骤是：

步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；

步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；

步骤3)基于业务行为基线、诊断资产、路径错误、越限操作以及未知协议这些专属于智能变电站场景的业务并进行告警。

所述业务场景包括智能变电站场景下的遥控操作、定值切区操作、定值修改操作；

在所述智能变电站监控系统网络的安全审计系统中，添加的安全审计系统管理功能模块有：

1)管理接口模块7：负责服务器设备自身的管理，对外部提供接口，对设备相应功能进行策略及安全审计系统配置；

2)日志代理模块：设备通过相关接口向管理中心平台发送日志信息；

3)监控进程模块8：系统提供进程监控服务，对关键应用能够检测被监控对象是否存在；这种监测是在监控管理器与应用之间发送HB，或是监控管理器监测对象进程的/proc文件；对于监测到异常的对象进行重启；

4)数通引擎模块2：根据设定的规则，将报文分发到对应的安全引擎处理；根据安全引擎对报文处理的结果决定报文的丢弃、转发、拷贝；支持L1-L3层解码；ACL，QoS；

5)行为基线功能模块1：根据工业现场中流量进行自学习，学习完成后建立基线模型，包含设备IP、MAC白名单、TCP连接的发起方向、业务行为、业务行为的路径；

6)资产拓扑模块：将基线中审计到的资产按照智能变电站三层两网的网络架构展示出来，资产拓扑中能够显示资产名,ip,mac以及相互之间交互的操作行为；

7)界面告警功能模块：将后续接收到的流量中的信息和行为基线进行比对，不一致的进行告警；

8)流量统计功能模块：只查看工业现场特定协议的流量大小，包括MMS,goose,telnet,ftp；

9)日志查询功能模块：包含告警日志、运行日志、操作日志的查询；

10)报表导出模块：将统计到的流量、告警导出成html报表。

还包括硬件抽象层3，操作系统4，虚拟化5，硬件6以实现本控制软件可在多种平台上进行移植。以及虚拟化打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚拟部份是不受现有资源的架设方式，地域或物理组态所限制；提高计算能力和资料存储的能力。

所述安全审计系统的体系架构划分成两个平面：

管理平面；主要负责设备自身的管理、对外部提供接口、其他平面的策略配置；

数据平面；主要负责业务数据收发、L2/L3/ACL/QOS/、以及安全防护；同时也包括流表、会话表的建立；数据平面又包括数通引擎以及安全引擎，数通引擎侧重于数据转发，安全引擎侧重于安全防护；

为了满足设备的性能和稳定性的要求，在总体架构设计中采取了以下的原则：

最大平面分离原则；尽可能将不同的平面运行在不同的CPU核即线程上；

业务功能分离原则；安全引擎和数通引擎运行在不同的CPU核即线程上。

所述安全审计系统基于Linux 2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术，L1-L3底层数据包处理由唯一进程Server负责，Server将L4-L7高层解码交由Client负责，Server支持多Client并发处理高层解码；日志代理模块统一采用NPAI机制和管理中心平台进行互联。

所述安全审计系统还包括底层基础模块、收发包模块、L1-L3层攻击防护模块、应用层攻击防护模块、生产构建模块、统一安全管理平台模块以及其他模块；

底层基础模块：底层基础模块为整个系统的架构基础，包括产品内核、电子盘系统以及应用的WEB-CAVY框架；基于Linux 2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术；

收发包模块：收发包模块主要实现对镜像过来的数据包进行批量的收包和自动调节，同时对接口数据进行整体统计分析；

L1-L3层攻击防护模块：这一模块主要实现L1-L3层的数据解码，针对L1-L3层进行基于规则的数据包过滤检测；对网络层的IPV4和IPV6提供支持，建立通信隧道。同时进行DDOS攻击的检测和防护；该层为系统的安全防护模块，保障系统不受L1-L3层的攻击危害；

应用层攻击防护模块：该层模块实现智能变电站基础工控协议IEC-61850协议簇的基础协议识别，包括MMS、GOOSE和SV协议的应用层解码分析；通过自学习策略的设置建立智能变电站场景下的业务行为基线，对业务状态进行关联，为基于SCD的智能变电站业务审计提供基础解析能力；

生产构建模块：该层模块完成系统的打包和灌装，通过自定义的升级站点为系统提供升级相关功能；

统一安全管理平台模块：基于SCD的智能变电站业务行为审计产生的告警推送至该模块，中间通过加密的通信信道进行数据传输，告警数据在统一安全管理平台进行集中呈现和展示；

其他模块：该模块包括告警功能组件、资产拓扑生成功能组件、流量统计功能组件、异常处理机制以及HA双机热备功能组件；在对SCD文件进行解析之后通过资产拓扑生成功能组件自动生成专属于智能变电站场景站控层、间隔层、过程层三层两网架构的业务行为基线拓扑图，实现针对智能变电站网络数据流量的业务行为审计。

所述业务行为基线为基于SCD文件解析的智能变电站行为基线

SCD文件基本结构包括：

SCD文件的各节点以树形层次结构组织起来，完整的文件由Header、Substation、Communication、IED、DataTypeTemplates五大部分组成，

Header部分包含SCD文件标识、文件版本、配置工具、文件修改历史记录信息，

Substation部分描述变电站的功能结构，标识一次设备以及它们的电气连接关系。

可以采用SCD与行为基线相结合的方式实现安全审计UI设计。在具体设计中，创建行为基线时，需要指定流量自学习的起止时间，导入的现场工程文件。通过配置文件管理按钮可以跳转到配置文件的管理界面。行为基线管理可以在不同基线之间进行切换，删除某一个基线，修改其描述工程文件的管理，提供增删工程文件，以及修改描述。

资产拓扑是由资产节点和相互连接的线组成的。它的数据来源于资产数据库和资产关系数据库。可以通过设置鼠标级联选择键，去高亮该节点以及与之有关系的节点。鼠标在网络拓扑图上移动也能高亮显示相应的节点；资产节点支持删除，修改名称。单条变支持右键删除。

SCD与行为基线结合的概要设计中。采用设置工程配置文件(scd)表模式：即将所有工程信息中的ip,mac,资产描述提取出来。通过建立资产表：自学习过程中的，所有流量的ip,mac，协议放入此表。建立关系表：源地址到目的地址的所有关系放到这个表里。

在UI设计界面上设计选择新建基线功能，新建基线功能时，需要手动输入基线的名称，点选选择自学习流量的起止时间，选择导入的工程配置文件。点击确定后，解码的报文信息发送给基线引擎，基线引擎负责将资产数据和关系数据录入数据库。学习时间点结束后，首页界面显示学习到的资产拓扑图。

在本说明书的描述中，参考术语“一个实施例”的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其同物限定。

Claims (6)

1.一种基于SCD解析的智能变电站安全审计方法，其特征在于，包括的步骤是：

步骤1),将智能变电站的站控层、间隔层、过程层的交换机旁路连接在智能变电站监控系统网络的安全审计系统的服务器上，将网络安全审计系统与业务场景进行融合，解析智能变电站SCD文件作为业务场景的入口；

步骤2)将SCD文件解析后的数据入库，与通过网络流量解析获得的数据文件进行关联，建立专属于智能变电站场景的业务行为基线；

步骤3)基于业务行为基线、诊断资产、路径错误、越限操作以及未知协议这些专属于智能变电站场景的业务并进行告警。

2.如权利要求1所述的一种基于SCD解析的智能变电站安全审计方法，其特征在于，

所述业务场景包括智能变电站场景下的遥控操作、定值切区操作、定值修改操作；

在所述智能变电站监控系统网络的安全审计系统中，添加的安全审计系统管理功能模块有：

1)管理接口模块：负责服务器设备自身的管理，对外部提供接口，对设备相应功能进行策略及安全审计系统配置；

2)日志代理模块：设备通过相关接口向管理中心平台发送日志信息；

3)监控进程模块：系统提供进程监控服务，对关键应用能够检测被监控对象是否存在；这种监测是在监控管理器与应用之间发送HB，或是监控管理器监测对象进程的/proc文件；对于监测到异常的对象进行重启；

4)数通引擎模块：根据设定的规则，将报文分发到对应的安全引擎处理；根据安全引擎对报文处理的结果决定报文的丢弃、转发、拷贝；支持L1-L3层解码；ACL，QoS；

5)行为基线功能模块：根据工业现场中流量进行自学习，学习完成后建立基线模型，包含设备IP、MAC白名单、TCP连接的发起方向、业务行为、业务行为的路径；

6)资产拓扑模块：将基线中审计到的资产按照智能变电站三层两网的网络架构展示出来，资产拓扑中能够显示资产名,ip,mac以及相互之间交互的操作行为；

7)界面告警功能模块：将后续接收到的流量中的信息和行为基线进行比对，不一致的进行告警；

8)流量统计功能模块：只查看工业现场特定协议的流量大小，包括MMS,goose,telnet,ftp；

9)日志查询功能模块：包含告警日志、运行日志、操作日志的查询；

10)报表导出模块：将统计到的流量、告警导出成html报表。

3.一种基于SCD解析的智能变电站安全审计方法，其特征在于，所述安全审计系统的体系架构划分成两个平面：

管理平面；主要负责设备自身的管理、对外部提供接口、其他平面的策略配置；

数据平面；主要负责业务数据收发、L2/L3/ACL/QOS/、以及安全防护；同时也包括流表、会话表的建立；数据平面又包括数通引擎以及安全引擎，数通引擎侧重于数据转发，安全引擎侧重于安全防护；

为了满足设备的性能和稳定性的要求，在总体架构设计中采取了以下的原则：

最大平面分离原则；尽可能将不同的平面运行在不同的CPU核即线程上；

业务功能分离原则；安全引擎和数通引擎运行在不同的CPU核即线程上。

4.一种基于SCD解析的智能变电站安全审计方法，其特征在于，

所述安全审计系统基于Linux 2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术，L1-L3底层数据包处理由唯一进程Server负责，Server将L4-L7高层解码交由Client负责，Server支持多Client并发处理高层解码；日志代理模块统一采用NPAI机制和管理中心平台进行互联。

5.一种基于SCD解析的智能变电站安全审计方法，其特征在于，

所述安全审计系统还包括底层基础模块、收发包模块、L1-L3层攻击防护模块、应用层攻击防护模块、生产构建模块、统一安全管理平台模块以及其他模块；

底层基础模块：底层基础模块为整个系统的架构基础，包括产品内核、电子盘系统以及应用的WEB-CAVY框架；基于Linux 2.6.39内核，整体系统为64位系统，包处理采用Intel的DPDK技术；

收发包模块：收发包模块主要实现对镜像过来的数据包进行批量的收包和自动调节，同时对接口数据进行整体统计分析；

L1-L3层攻击防护模块：这一模块主要实现L1-L3层的数据解码，针对L1-L3层进行基于规则的数据包过滤检测；对网络层的IPV4和IPV6提供支持，建立通信隧道；同时进行DDOS攻击的检测和防护；该层为系统的安全防护模块，保障系统不受L1-L3层的攻击危害；

应用层攻击防护模块：该层模块实现智能变电站基础工控协议IEC-61850协议簇的基础协议识别，包括MMS、GOOSE和SV协议的应用层解码分析；通过自学习策略的设置建立智能变电站场景下的业务行为基线，对业务状态进行关联，为基于SCD的智能变电站业务审计提供基础解析能力；

生产构建模块：该层模块完成系统的打包和灌装，通过自定义的升级站点为系统提供升级相关功能；

统一安全管理平台模块：基于SCD的智能变电站业务行为审计产生的告警推送至该模块，中间通过加密的通信信道进行数据传输，告警数据在统一安全管理平台进行集中呈现和展示；

其他模块：该模块包括告警功能组件、资产拓扑生成功能组件、流量统计功能组件、异常处理机制以及HA双机热备功能组件；在对SCD文件进行解析之后通过资产拓扑生成功能组件自动生成专属于智能变电站场景站控层、间隔层、过程层三层两网架构的业务行为基线拓扑图，实现针对智能变电站网络数据流量的业务行为审计。

6.一种基于SCD解析的智能变电站安全审计方法，其特征在于，

所述业务行为基线为基于SCD文件解析的智能变电站行为基线

SCD文件基本结构包括：

SCD文件的各节点以树形层次结构组织起来，完整的文件由Header、Substation、Communication、IED、DataTypeTemplates五大部分组成，

Header部分包含SCD文件标识、文件版本、配置工具、文件修改历史记录信息，

Substation部分描述变电站的功能结构，标识一次设备以及它们的电气连接关系。