CN110867967A - 一种电力监控系统通信的背景流量回放方法 - Google Patents

一种电力监控系统通信的背景流量回放方法 Download PDF

Info

Publication number
CN110867967A
CN110867967A CN201911185290.0A CN201911185290A CN110867967A CN 110867967 A CN110867967 A CN 110867967A CN 201911185290 A CN201911185290 A CN 201911185290A CN 110867967 A CN110867967 A CN 110867967A
Authority
CN
China
Prior art keywords
background flow
data
background
mirror image
image data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911185290.0A
Other languages
English (en)
Other versions
CN110867967B (zh
Inventor
冯勇
杨家全
李孟阳
孙暄
李响
李踔
王禹
夏金柱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Yunnan Power System Ltd
Original Assignee
Electric Power Research Institute of Yunnan Power System Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of Yunnan Power System Ltd filed Critical Electric Power Research Institute of Yunnan Power System Ltd
Priority to CN201911185290.0A priority Critical patent/CN110867967B/zh
Publication of CN110867967A publication Critical patent/CN110867967A/zh
Application granted granted Critical
Publication of CN110867967B publication Critical patent/CN110867967B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种电力监控系统通信的背景流量回放方法,在数据采集设备内设置有工控协议的检测模块;数据采集设备采集主站的镜像数据和日志数据,利用检测模块筛选主站的镜像数据和日志数据的第一背景流量;数据采集设备采集场站的镜像数据和日志数据,利用检测模块筛选场站的镜像数据和日志数据的第二背景流量;模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放。数据采集终端利用检测筛选主站和场站的镜像数据和日志数据的背景流量,减少了采集数据量,提高检索效率;模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放,使得模拟设备模拟的网络环境与电力监控系统的网络环境相似,方便检索,进而提高检索效率。

Description

一种电力监控系统通信的背景流量回放方法
技术领域
本申请涉及电力通信技术领域,尤其涉及一种电力监控系统通信的背景流量回放方法。
背景技术
数据采集是通过软硬件技术的结合来产生和收集电力监控系统背景流量数据,其目的是用于仿真模拟真实的电力监控系统网络数据提供素材。因为对电力监控系统做信息安全攻防研究,离开流量数据是不行的,但也不能直接在真实的环境中做攻防研究,这样对在生产系统将产生影响。
现有的数据回放方法是电力监控系统的SNMP数据采集、Telnet数据采集、SSH数据采集还是被动式的镜像流量采集、Syslog采集技术采集电力监控系统的数据,并将采集到的数据发送给电力监控系统的模拟系统进行模拟回放。
但由于SNMP数据采集、Telnet数据采集、SSH数据采集还是被动式的镜像流量采集、Syslog采集技术都无法识别电力监控系统内的工控私有协议如I2、IEC103、IEC 104、IEC61850,无法对全流量数据做分流处理等,导致监控系统采集到的数据数量较多,且种类复杂。利用现有的数据回放方法检索数据,容易造成检索困难,检索效率低的技术问题。因此,本申请提供了一种电力监控系统通信的背景流量回放方法。
发明内容
本申请提供了一种电力监控系统通信的背景流量回放方法,以解决现有的数据回放方法的检索困难,检索效率低的技术问题。
为了解决上述问题,本申请提供以下的技术方案:
一种电力监控系统通信的背景流量回放方法,电力监控系统包括数据采集设备、主站、场站和模拟设备,主站和场站分别与数据采集设备的一端通信连接,数据采集设备的第二端与模拟设备通信连接,背景流量回放方法包括:在数据采集设备内设置有工控协议的检测模块;数据采集设备采集主站的镜像数据和日志数据,并利用检测模块筛选主站的镜像数据和日志数据的第一背景流量;数据采集设备采集场站的镜像数据和日志数据,并利用检测模块筛选场站的镜像数据和日志数据的第二背景流量;模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放。
可选地,数据采集设备采集主站的镜像数据和日志数据,并利用检测模块筛选主站的镜像数据和日志数据的第一背景流量,包括:数据采集设备采集主站控制区横向互联交换机、控制区纵向互联交换机、非控制区纵向交换机、非控制区横向交换机、信息大区交换机的镜像数据;数据采集设备接收主站通过Syslog方式发送的控制区、非控制区、生产管理大区的交换机、服务器、后台主机、操作员站、防火墙、纵向加密认证网关、路由器设备的日志数据;数据采集设备利用检测模块筛选镜像数据和日志数据的第一背景流量,并存储。
可选地,数据采集设备采集场站的镜像数据和日志数据,并利用检测模块场站的镜像数据和日志数据的第二背景流量,包括:数据采集设备采集场站控制区纵向互联交换机、非控制区纵向交换机、调度数据网交换机的镜像数据;数据采集设备接收场站通过Syslog方式发送的智能终端、监控装置、横向隔离防火墙、通信处理单元、SCADA后台服务器、电能采集设备、纵向加密认证网关、纵向NAT防火墙、调度数据网路由器的日志数据;数据采集设备利用检测模块筛选镜像数据和日志数据的第二背景流量,并存储。
可选地,检测模块的工控协议包括TCP、Modbus/TCP、DNP3、Profinet、MMS、S7、GOOSE、SV、I2、IEC103、IEC 104、IEC61850。
可选地,模拟设备根据接收的第一背景流量和第二背景流量进行回放,包括:模拟设备根据接收的第一背景流量和第二背景流量进行正常背景流量回放。
可选地,模拟设备根据接收的第一背景流量和第二背景流量进行回放,还包括:模拟设备根据接收的第一背景流量和第二背景流量进行异常背景流量回放。
有益效果;本申请提供了一种电力监控系统通信的背景流量回放方法,电力监控系统包括数据采集设备、主站、场站和模拟设备,主站和场站分别与数据采集设备的一端通信连接,数据采集设备的第二端与模拟设备通信连接,背景流量回放方法包括:在数据采集设备内设置有工控协议的检测模块;数据采集设备采集主站的镜像数据和日志数据,并利用检测模块筛选主站的镜像数据和日志数据的第一背景流量;数据采集设备采集场站的镜像数据和日志数据,并利用检测模块筛选场站的镜像数据和日志数据的第二背景流量;模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放。本申请中,数据采集终端利用检测筛选主站和场站的镜像数据和日志数据的背景流量,减少了采集的数据量,方便检索数据,提高了检索的效率;模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放,数据量虽然增加,使得模拟设备模拟的网络环境与电力监控系统的网络环境相似,但数据的类型固定,方便检索数据,进一步提高检索效率。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为申请提供的一种电力监控系统通信的背景流量回放方法的流程图;
图2为申请提供的筛选第一背景流量的方法的流程图;
图3为申请提供的筛选第二背景流量的方法的流程图。
具体实施方式
参见图1,为本申请提供的一种电力监控系统通信的背景流量回放方法的流程图,可知,本申请提供了一种电力监控系统通信的背景流量回放方法,电力监控系统包括数据采集设备、主站、场站和模拟设备,主站和场站分别与数据采集设备的一端通信连接,数据采集设备的第二端与模拟设备通信连接。该背景流量回放方法包括:
S01:在数据采集设备内设置有工控协议的检测模块。
检测模块的工控协议包括TCP、Modbus/TCP、DNP3、Profinet、MMS、S7、GOOSE、SV、I2、IEC103、IEC 104、IEC61850。
检测模块对上述工控协议进行自定义,自定义类型细化到功能码、字节的防护配置,根据协议类型筛选需求流量。
S02:数据采集设备采集主站的镜像数据和日志数据,并利用检测模块筛选主站的镜像数据和日志数据的第一背景流量。
参见图2,为本申请提供的筛选第一背景流量的方法的流程图,可知,筛选第一背景流量的过程如下:
S021:数据采集设备采集主站控制区横向互联交换机、控制区纵向互联交换机、非控制区纵向交换机、非控制区横向交换机、信息大区交换机的镜像数据。
S022:数据采集设备接收主站通过Syslog方式发送的控制区、非控制区、生产管理大区的交换机、服务器、后台主机、操作员站、防火墙、纵向加密认证网关、路由器设备的日志数据。
S023:数据采集设备利用检测模块筛选镜像数据和日志数据的第一背景流量,并存储。
S03:数据采集设备采集场站的镜像数据和日志数据,并利用检测模块筛选场站的镜像数据和日志数据的第二背景流量。
参见图3,为本申请提供的筛选第二背景流量的方法的流程图,可知,筛选第二背景流量的过程如下:
S031:数据采集设备采集场站控制区纵向互联交换机、非控制区纵向交换机、调度数据网交换机的镜像数据。
S032:数据采集设备接收场站通过Syslog方式发送的智能终端、监控装置、横向隔离防火墙、通信处理单元、SCADA后台服务器、电能采集设备、纵向加密认证网关、纵向NAT防火墙、调度数据网路由器的日志数据。
S033:数据采集设备利用检测模块筛选第二镜像数据和第二日志数据的第二背景流量,并存储。
S04:模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放。
背景流量回放作为网络靶场中产生流量的方法之一,它可以保证回放出的背景流量有着和真实网络中的背景流量一样的特征。根据输入的流量文件在目标网络中回放出与原始网络极其相似的流量,产生与现实网络相似的网络环境,供实验人员进行实验和研究。
背景流量回放包括正常背景流量回放和异常背景流量回放。
为了便于检索,本实施例中,模拟设备根据接收的第一背景流量和第二背景流量进行正常背景流量回放。正常背景流量回放是基于报文时序,增加了工业控制协议内容,便于工控私有协议能够被识别回放。
为了便于检测电力监控系统是否存在异常,本实施例中,模拟设备根据接收的第一背景流量和第二背景流量进行异常背景流量回放。异常背景流量回放是基于Fuzzing对采集来的真实流量进行变异,达到异常流量回放的目的。
本申请提供了一种电力监控系统通信的背景流量回放方法,电力监控系统包括数据采集设备、主站、场站和模拟设备,主站和场站分别与数据采集设备的一端通信连接,数据采集设备的第二端与模拟设备通信连接,背景流量回放方法包括:在数据采集设备内设置有工控协议的检测模块;数据采集设备采集主站的镜像数据和日志数据,并利用检测模块筛选主站的镜像数据和日志数据的第一背景流量;数据采集设备采集场站的镜像数据和日志数据,并利用检测模块筛选场站的镜像数据和日志数据的第二背景流量;模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放。本申请中,数据采集终端利用检测筛选主站和场站的镜像数据和日志数据的背景流量,减少了采集的数据量,方便检索数据,提高了检索的效率;模拟设备根据接收的第一背景流量和第二背景流量进行背景流量回放,数据量虽然增加,使得模拟设备模拟的网络环境与电力监控系统的网络环境相似,但数据的类型固定,方便检索数据,进一步提高检索效率。
本领域技术人员在考虑说明书及实践这里申请的公开后,将容易想到本申请的其他实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求的内容指出。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。

Claims (6)

1.一种电力监控系统通信的背景流量回放方法,其特征在于,电力监控系统包括数据采集设备、主站、场站和模拟设备,所述主站和所述场站分别与所述数据采集设备的一端通信连接,所述数据采集设备的第二端与所述模拟设备通信连接,所述背景流量回放方法包括:
在所述数据采集设备内设置有工控协议的检测模块;
所述数据采集设备采集所述主站的镜像数据和日志数据,并利用所述检测模块筛选所述主站的镜像数据和日志数据的第一背景流量;
所述数据采集设备采集所述场站的镜像数据和日志数据,并利用所述检测模块筛选所述场站的镜像数据和日志数据的第二背景流量;
所述模拟设备根据接收的所述第一背景流量和所述第二背景流量进行背景流量回放。
2.根据权利要求1所述的背景流量回放方法,其特征在于,所述数据采集设备采集所述主站的镜像数据和日志数据,并利用所述检测模块筛选所述主站的镜像数据和日志数据的第一背景流量,包括:
所述数据采集设备采集所述主站控制区横向互联交换机、控制区纵向互联交换机、非控制区纵向交换机、非控制区横向交换机、信息大区交换机的镜像数据;
所述数据采集设备接收所述主站通过Syslog方式发送的控制区、非控制区、生产管理大区的交换机、服务器、后台主机、操作员站、防火墙、纵向加密认证网关、路由器设备的日志数据;
所述数据采集设备利用所述检测模块筛选所述镜像数据和所述日志数据的第一背景流量,并存储。
3.根据权利要求1所述的背景流量回放方法,其特征在于,所述数据采集设备采集所述场站的镜像数据和日志数据,并利用所述检测模块所述场站的镜像数据和日志数据的第二背景流量,包括:
所述数据采集设备采集所述场站控制区纵向互联交换机、非控制区纵向交换机、调度数据网交换机的镜像数据;
所述数据采集设备接收所述场站通过Syslog方式发送的智能终端、监控装置、横向隔离防火墙、通信处理单元、SCADA后台服务器、电能采集设备、纵向加密认证网关、纵向NAT防火墙、调度数据网路由器的日志数据;
所述数据采集设备利用所述检测模块筛选所述镜像数据和所述日志数据的第二背景流量,并存储。
4.根据权利要求1所述的背景流量回放方法,其特征在于,所述检测模块的工控协议包括TCP、Modbus/TCP、DNP3、Profinet、MMS、S7、GOOSE、SV、I2、IEC103、IEC 104、IEC61850。
5.根据权利要求1所述的背景流量回放方法,其特征在于,所述模拟设备根据接收的所述第一背景流量和所述第二背景流量进行背景流量回放,包括:
所述模拟设备根据接收的所述第一背景流量和所述第二背景流量进行正常背景流量回放。
6.根据权利要求1所述的背景流量回放方法,其特征在于,所述模拟设备根据接收的所述第一背景流量和所述第二背景流量进行背景流量回放,还包括:
所述模拟设备根据接收的所述第一背景流量和所述第二背景流量进行异常背景流量回放。
CN201911185290.0A 2019-11-27 2019-11-27 一种电力监控系统通信的背景流量回放方法 Active CN110867967B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911185290.0A CN110867967B (zh) 2019-11-27 2019-11-27 一种电力监控系统通信的背景流量回放方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911185290.0A CN110867967B (zh) 2019-11-27 2019-11-27 一种电力监控系统通信的背景流量回放方法

Publications (2)

Publication Number Publication Date
CN110867967A true CN110867967A (zh) 2020-03-06
CN110867967B CN110867967B (zh) 2023-11-10

Family

ID=69655456

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911185290.0A Active CN110867967B (zh) 2019-11-27 2019-11-27 一种电力监控系统通信的背景流量回放方法

Country Status (1)

Country Link
CN (1) CN110867967B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113473472A (zh) * 2021-09-02 2021-10-01 北京信联科汇科技有限公司 一种电力网络靶场终端接入仿真和攻击重放方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326900A (zh) * 2013-06-24 2013-09-25 中国科学院信息工程研究所 一种面向虚拟网络的流量回放方法及系统
CN106953741A (zh) * 2017-01-25 2017-07-14 中国科学院信息工程研究所 一种面向网络仿真环境的流量回放方法及系统
CN107332731A (zh) * 2017-06-23 2017-11-07 北京北信源软件股份有限公司 一种用于网络安全监测设备的测试系统和测试床
CN107465690A (zh) * 2017-09-12 2017-12-12 国网湖南省电力公司 一种基于流量分析的被动式异常端口实时检测方法及系统
CN107517205A (zh) * 2017-08-14 2017-12-26 浙江大学 基于概率的智能变电站网络异常流量检测模型构建方法
CN109922073A (zh) * 2019-03-19 2019-06-21 中国南方电网有限责任公司 网络安全监控装置、方法和系统
CN110213233A (zh) * 2019-04-29 2019-09-06 国网宁夏电力有限公司电力科学研究院 防御电网分布式拒绝服务攻击的仿真平台及建立方法
CN209607185U (zh) * 2018-12-05 2019-11-08 国网浙江省电力有限公司培训中心 一种电力监控系统网络安全防护实训系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326900A (zh) * 2013-06-24 2013-09-25 中国科学院信息工程研究所 一种面向虚拟网络的流量回放方法及系统
CN106953741A (zh) * 2017-01-25 2017-07-14 中国科学院信息工程研究所 一种面向网络仿真环境的流量回放方法及系统
CN107332731A (zh) * 2017-06-23 2017-11-07 北京北信源软件股份有限公司 一种用于网络安全监测设备的测试系统和测试床
CN107517205A (zh) * 2017-08-14 2017-12-26 浙江大学 基于概率的智能变电站网络异常流量检测模型构建方法
CN107465690A (zh) * 2017-09-12 2017-12-12 国网湖南省电力公司 一种基于流量分析的被动式异常端口实时检测方法及系统
CN209607185U (zh) * 2018-12-05 2019-11-08 国网浙江省电力有限公司培训中心 一种电力监控系统网络安全防护实训系统
CN109922073A (zh) * 2019-03-19 2019-06-21 中国南方电网有限责任公司 网络安全监控装置、方法和系统
CN110213233A (zh) * 2019-04-29 2019-09-06 国网宁夏电力有限公司电力科学研究院 防御电网分布式拒绝服务攻击的仿真平台及建立方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113473472A (zh) * 2021-09-02 2021-10-01 北京信联科汇科技有限公司 一种电力网络靶场终端接入仿真和攻击重放方法及系统
CN113473472B (zh) * 2021-09-02 2021-11-12 北京信联科汇科技有限公司 一种电力网络靶场终端接入仿真和攻击重放方法及系统

Also Published As

Publication number Publication date
CN110867967B (zh) 2023-11-10

Similar Documents

Publication Publication Date Title
CN109391500B (zh) 一种配置管理方法、装置及设备
EP3756309B1 (en) Collecting network oam flow data using out-of-band messages
CN112866075B (zh) 面向Overlay网络的带内网络遥测方法、系统及相关装置
KR102030837B1 (ko) 침입 탐지 장치 및 방법
CN102045214B (zh) 僵尸网络检测方法、装置和系统
EP2566102B1 (en) Security event logging and conversion of security event messages in process control
CN109167798B (zh) 一种基于机器学习的家用物联网设备DDoS检测方法
CN109639733A (zh) 适用于工控系统的安全检测与监控系统
US20150074260A1 (en) Auto discovery and topology rendering in substation networks
Mashima et al. Towards a grid-wide, high-fidelity electrical substation honeynet
Youssef et al. IEC 61850: Technology standards and cyber-threats
Dalamagkas et al. A survey on honeypots, honeynets and their applications on smart grid
CN111049843A (zh) 一种智能变电站网络异常流量分析方法
Elbez et al. A cost-efficient software testbed for cyber-physical security in iec 61850-based substations
CN101719692A (zh) 数字化变电站网络数据获取及网络性能分析方法
Rosa et al. Attacking SCADA systems: A practical perspective
CN106850319B (zh) 电网ems系统的数据采集方法和系统
CN105262712A (zh) 网络入侵检测方法及装置
CN113347258A (zh) 云流量下的数据采集监控分析的方法及系统
CN104219100A (zh) 一种信息采集方法和装置
Matoušek et al. Increasing visibility of iec 104 communication in the smart grid
CN110867967B (zh) 一种电力监控系统通信的背景流量回放方法
Rowe et al. Creating effective industrial-control-system honeypots
Mai et al. IEC 60870-5-104 network characterization of a large-scale operational power grid
CN115484047A (zh) 云平台中的泛洪攻击的识别方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant