CN112261056B - 电力系统的通讯控制方法、装置、控制设备和存储介质 - Google Patents
电力系统的通讯控制方法、装置、控制设备和存储介质 Download PDFInfo
- Publication number
- CN112261056B CN112261056B CN202011165243.2A CN202011165243A CN112261056B CN 112261056 B CN112261056 B CN 112261056B CN 202011165243 A CN202011165243 A CN 202011165243A CN 112261056 B CN112261056 B CN 112261056B
- Authority
- CN
- China
- Prior art keywords
- message
- station
- ethernet
- ethernet message
- master station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/30—Control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Power Sources (AREA)
Abstract
本申请涉及一种电力系统的通讯控制方法、装置、控制设备和存储介质。所述方法包括:获取主站发送给厂站的第一以太网报文;分析第一以太网报文,识别主站发起的通讯是否属于工业网络协议,以及确定第一以太网报文是否属于控制指令;当确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态;物理按钮的物理状态用于标识主站是否受到攻击;根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断。采用本方法能够降低安全损失范围。
Description
技术领域
本申请涉及电力系统通讯技术领域,特别是涉及一种电力系统的通讯控制方法、装置、控制设备和存储介质。
背景技术
目前,我国电力行业二次的安全建设工作已经做了很多工作,厂站内通过部署物理隔离、防火墙、入侵检测系统、纵向加密设备、VPN设备等关键的安全产品,建立了基础性的网络安全防护系统,并取得了很好的效果。传统通常由主站对各厂站起到一个统一管理的作用。
然而,由于厂站对于主站正常下发的指令无法判断是否异常,所以从主站发起的对厂站的控制操作并没有进行很有效的防护,从而缺少对于主站端的控制保护。当通过内部被非法入侵主站下发指令去控制下属的厂站是,所造成影响和损失将是不可估量的,导致安全损失范围被提高。
发明内容
基于此,有必要针对上述技术问题,提供一种能够降低安全损失范围的电力系统的通讯控制方法、装置、控制设备和存储介质。
一种电力系统的通讯控制方法,所述方法包括:
获取主站发送给厂站的第一以太网报文;
分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令;
当确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态;所述物理按钮的物理状态用于标识所述主站是否受到攻击;
根据所述物理状态对所述主站发送给所述厂站的所述第一以太网报文进行发送或阻断。
在其中一个实施例中,所述根据所述物理状态对所述主站发送给所述厂站的所述第一以太网报文进行发送或阻断,包括:
当所述物理状态为弹起时,对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;
当所述物理状态为按下时,判断所述控制指令是否存在于安全策略中;
若不存在于安全策略中,则对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;
若存在于安全策略中,则将所述第一以太网报文修改为拒绝报文并回复给所述主站。
在其中一个实施例中,所述将所述第一以太网报文修改为拒绝报文,包括:
获取所述第一以太网报文的发送序列号、接收序列号以及拒绝协议字段;
将所述发送序列号、所述接收序列号以及所述拒绝协议字段修改为拒绝报文对应的发送序列号、接收序列号以及拒绝协议字段。
在其中一个实施例中,所述分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令,包括:
分析所述第一以太网报文的报文内容格式;
根据所述报文内容格式确定所述主站发起的通讯是否属于工业网络协议,以及所述第一以太网报文是否属于控制指令。
在其中一个实施例中,所述分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令之后,还包括:
当确定不属于控制指令时,对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
在其中一个实施例中,所述方法还包括:
获取所述厂站发送给所述主站的第二以太网报文;
分析所述第二以太网报文,识别所述厂站发起的通讯是否属于工业网络协议;
当确定属于工业网络协议时,对所述第二以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给主站。
在其中一个实施例中,所述方法还包括:
当确定不属于工业网络协议时,将以太网报文直接进行发送;所述以太网报文包括所述第一以太网报文和所述第二以太网报文。
一种电力系统的通讯控制装置,所述装置包括:
报文获取模块,用于获取主站发送给厂站的第一以太网报文;
分析模块,用于分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令;
状态获取模块,用于当确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态;所述物理按钮的物理状态用于标识所述主站是否受到攻击;
发送模块,用于根据所述物理状态对所述主站发送给所述厂站的所述第一以太网报文进行发送或阻断。
一种控制设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述电力系统的通讯控制方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述电力系统的通讯控制方法的步骤。
上述电力系统的通讯控制方法、装置、控制设备和存储介质,由于电力系统中的主站与厂站之间的控制操作基本都是通过工业网络协议来进行的,所以在通讯过程中,通过获取到主站发送给厂站的第一以太网报文之后进一步的分析第一以太网报文,以用于识别主站发起的通讯是否属于工业网络协议以及是否属于控制指令,从而确定此次通讯是否属于主站的控制操作。进而,在确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态并根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断。由于物理按钮的物理状态用于标识主站是否受到攻击,所以通过主站当前是否受到攻击的状态来确定发送或阻断,能够避免当主站受到安全攻击时,被控制的下属厂站不受影响,从而将安全损失的范围降低到最小。
附图说明
图1为一个实施例中电力系统的通讯控制方法的应用环境图;
图2为一个实施例中电力系统的通讯控制方法的流程示意图;
图3为一个实施例中根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断步骤的流程示意图;
图4为另一个实施例中电力系统的通讯控制方法的流程示意图;
图5为一个实施例中电力系统的通讯控制装置的结构框图;
图6为一个实施例中控制设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的电力系统的通讯控制方法,可以应用于如图1所示的应用环境中。该应用环境涉及主站102、厂站104、控制设备106、主站监控设备108和交换机110。其中,控制设备106通过网络与主站102、厂站104以及主站监控设备108进行通信。控制设备106部署于主站102和厂站104之间,与主站102、厂站104通过交换机110进行通信。主站监控设备108包括用于标识主站102是否受到攻击的物理按钮。
具体地,控制设备106获取主站102发送给厂站104的第一以太网报文;控制设备106分析第一以太网报文,识别主站102发起的通讯是否属于工业网络协议,以及确定第一以太网报文是否属于控制指令;当控制设备106确定属于工业网络协议且属于控制指令时,获取主站监控设备108中物理按钮的物理状态;控制设备106根据物理状态对主站102发送给厂站104的第一以太网报文进行发送或阻断。
在一个实施例中,如图2所示,提供了一种电力系统的通讯控制方法,以该方法应用于图1中的控制设备106为例进行说明,包括以下步骤:
步骤S202,获取主站发送给厂站的第一以太网报文。
其中,主站在电力系统中是起到统一管理厂站的作用,厂站服务于主站,例如收集信息、执行主站下发的命令等。以太网报文是主站和厂站之间用于通讯的报文,第一以太网报文是指主站发送给厂站的以太网报文。
具体地,控制设备实时监控主站与厂站之间通讯的以太网报文,当主站给厂站发送第一以太网报文时,控制设备拦截获取到该第一以太网报文。
步骤S204,分析第一以太网报文,识别主站发起的通讯是否属于工业网络协议,以及确定第一以太网报文是否属于控制指令。
其中,工业网络协议是广泛应用于电力系统中主站与厂站通讯的标准网络协议。例如,IEC104、IEC101等协议。
具体地,当控制设备获取到第一以太网报文时,对第一以太网报文进行分析。通过分析来识别主站所发起的通讯是否属于工业网络洗衣以及该以太网报文的报文内容是否属于控制指令。
步骤S206,当确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态;物理按钮的物理状态用于标识主站是否受到攻击。
其中,物理按钮是设于主站监控设备上用于标识主站是否受到攻击的按钮,当主站受到攻击时,相应的工作人员可以在主站监控室内直接按下主站监控设备上的物理按钮,以表示主站受到攻击。物理状态即包括按下状态和弹起状态。
具体地,当确定第一以太网报文属于工业网络协议且属于报文内容属于控制指令时,获取用于标识主站是否受到攻击的物理按钮的物流状态。物理状态的获取可以通过创建独立的线程,从物理按钮的驱动程序中实时获取按钮的状态信息,实时发送给控制进程,从而保证控制进程能够实时更新物理按钮的物理状态。
步骤S208,根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断。
具体地,由于物理状态包括按下状态和弹起状态,且分别用于标识主站受到攻击和未受到攻击。因此,当控制设备根据物理状态确定主站此时处于受到攻击的状态,为了避免厂站受到影响,从而对该第一以太网报文进行阻断。反之,当物理按钮的物理状态标识未收到攻击,则正常将第一以太网报文发送给厂站。例如,按下状态标识受到攻击,则在物理状态为按下时,阻断第一以太网报文的发送。而物理状态为弹起时,则继续第一以太网报文的发送。
上述电力系统的通讯控制方法,由于电力系统中的主站与厂站之间的控制操作基本都是通过工业网络协议来进行的,所以在通讯过程中,通过获取到主站发送给厂站的第一以太网报文之后进一步的分析第一以太网报文,以用于识别主站发起的通讯是否属于工业网络协议以及是否属于控制指令,从而确定此次通讯是否属于主站的控制操作。进而,在确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态并根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断。由于物理按钮的物理状态用于标识主站是否受到攻击,所以通过主站当前是否受到攻击的状态来确定发送或阻断,能够避免当主站受到安全攻击时,被控制的下属厂站不受影响,从而将安全损失的范围降低到最小。
在一个实施例中,如图3所示,步骤S208,包括:
步骤S302,当物理状态为弹起时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
具体地,物理状态为弹起,表示主站没有收到攻击。因此,为了使其更加符合工业网络协议的规定,则对第一以太网报文的报文内容进行修改,如需要修改第一以太网报文以及对应的应用协议的发送序列号和接收序列号。并且,为了防止报文在通信过程中被篡改,还需要重新计算报文的校验和,并通过与报文中的校验和比对确定一致通过后再发送给厂站。其中,校验和根据不同的工业网络协议有对应的计算方式,以IEC101协议为例,其校验和=(链路控制域+链路地址+应用服务数据单元)mod256。
步骤S304,当物理状态为按下时,判断控制指令是否存在于安全策略中。
其中,安全策略是预先配置的,存储有各种可能存在安全隐患的控制指令。
具体地,物理状态为按下,标识主站有受到安全攻击。由于并不是所有的主站发送给厂站的报文内容属于控制指令的报文都是会造成影响的。所以,预先配置安全策略,并在确定第一以太网报文同时属于工业网络控制协议以及控制指令,且确定主站有受到攻击时获取该安全策略。通过该安全策略判断第一以太网报文的报文内容所对应的控制指令是否存在于该安全策略中。
步骤S306,若不存在于安全策略中,则对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
具体地,若确定不存在与安全策略中,表示第一以太网报文的报文内容对应的控制指令并不会对厂站的安全产生影响。因此,控制设备确定该第一以太网报文可以发送给厂站。同理,为了使其更加符合工业网络协议的规定,则同样对第一以太网报文的报文内容进行修改,如需要修改第一以太网报文以及对应的应用协议的发送序列号和接收序列号。并且,为了防止报文在通信过程中被篡改,还同样需要重新计算报文的校验和,并通过与报文中的校验和比对确定一致通过后再发送给厂站。
步骤S308,若存在于安全策略中,则将第一以太网报文修改为拒绝报文并回复给主站。
其中,拒绝报文是经过修改后,主站能够识别为厂站拒绝执行指令的报文。
具体地,若确定存在于安全策略中,则表示第一以太网报文的报文内容对应的控制指令会对厂站的安全产生影响。因此,控制设备确定该第一以太网报文不可以发送给厂站。所以,为了保证通讯的完整性,让主站知晓其报文发送失败,控制设备将第一报文修改为主站能够识别为拒绝执行指令的拒绝报文返回给主站。
在一个实施例中,步骤S308,包括:获取第一以太网报文的发送序列号、接收序列号以及拒绝协议字段;将发送序列号、接收序列号以及拒绝协议字段修改为拒绝报文对应的发送序列号、接收序列号以及拒绝协议字段。
具体地,将报文修改为主站能够识别的拒绝报文时,通过将第一以太网报文的发送序列号、接收序列号和拒绝协议字段修改为拒绝报文所对应的发送序列号、接收序列号以及拒绝协议字段后反馈给主站。通过将第一以太网报文的发送序列号+2之后作为拒绝报文的接收序列号。将第一以太网报文的接收序列号作为拒绝报文的发送序列号。同时,由于报文中包含有传送原因,传送原因对应的字段的第一位和第六位置为1,主站收到后能够解析为拒绝操作。
本实施例中,在确定能够发送给厂站之后,通过序列号修改和校验和的验证,能够使其更加符合工业网络协议的规定以及防止报文被篡改。同时,在确定不能发送给厂站之后,为了使得以太网报文的收发是完整的通讯过程,吉尔通过维护接收和发送序列号,修改拒绝报文返回给主站,确保主站能够知悉其发送的报文的处理情况,便于后续流程处理。
在一个实施例中,步骤S204,分析第一以太网报文的报文内容格式;根据报文内容格式确定主站发起的通讯是否属于工业网络协议,以及第一以太网报文是否属于控制指令。
具体地,由于工业网络协议有具体的规范规定网络通信使用什么格式的报文。因此,控制设备通过分析报文内容格式即可来判断通信使用的是不是工业网络协议,以及使用的具体是哪一种工业网络协议。以IEC104协议为例,报文内容格式通常以0x68开头,第二字节为报文长度,报文分为I,S,U三种格式,其中I帧报文属于控制指令,S帧与U帧不属于控制指令。因此,当第一以太网报文内容的开头为0x68,以及为I帧报文时,即可确定该第一以太网报文属于工业网络协议IEC104,且属于控制指令。
另外,分析出以太网报文所述的工业网络协议之后,可以缓存该报文的通道元祖信息(包括网口号、源IP、源端口、目的IP、目的端口、协议)到内存那种。当再次收到与已经缓存的相同的通道元祖的报文后,即可以直接按照已识别出的工业网络协议格式对报文内容进行分析,直至收到以以太网结束报文(RST或FIN)。
本实施例,通过工业网络协议固有的工业网络协议特征进行分析,能够提高分析的准确性。
在一个实施例中,步骤S204之后,还包括:当确定不属于控制指令时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
具体地,由于在主站收到攻击时,只有下发指令去控制下属的厂站才会影响厂站的安全而造成巨大损失。因此,当通过分析确定主站发送给厂站的报文不属于控制指令时,控制设备则能够确定厂站不会被主站影响。因此,控制设备在不属于控制指令的情况下可以确定报文是可以发送给厂站的。同样的,发送报文之前为了使其更加符合工业网络协议的规定,同样需要对第一以太网报文的报文内容进行修改,即修改第一以太网报文以及对应的应用协议的发送序列号和接收序列号。并且,为了防止报文在通信过程中被篡改,还同样需要重新计算报文的校验和,并通过与报文中的校验和比对确定一致通过后再发送给厂站。
本实施例中,通过分析确定不属于工业网络协议或不属于控制指令后确定继续发送给厂站,能够确保主站和厂站的正常通信。
在一个实施例中,如图4所示,提供另一种电力系统的通讯控制方法,以该方法应用于图1中的控制设备106为例进行说明,包括以下步骤:
步骤S402,获取厂站发送给主站的第二以太网报文。
其中,第二以太网报文是指发厂站送给主站的以太网报文。
具体地,控制设备实时监控主站与厂站之间通讯的以太网报文,当厂站给主站发送第二以太网报文时,控制设备拦截获取到该第二以太网报文。
步骤S404,分析第二以太网报文,识别厂站发起的通讯是否属于工业网络协议。
具体地,当控制设备获取到第二以太网报文时,同样对第二以太网报文进行分析。由于厂站无权限控制主站,所以只要通过报文内容格式分析来识别厂站所发起的通讯是否属于工业网络。
步骤S406,当确定属于工业网络协议时,对第二以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给主站。
具体地,确定属于工业网络协议时,就需要使其更加符合工业网络协议的规定。因此,对第一以太网报文的报文内容进行修改,即修改第一以太网报文以及对应的应用协议的发送序列号和接收序列号。并且,为了防止报文在通信过程中被篡改,还需要重新计算报文的校验和,并通过与报文中的校验和比对确定一致通过后再发送给主站。
在一个实施例中,当确定不属于工业网络协议时,将以太网报文直接进行发送;以太网报文包括第一以太网报文和所述第二以太网报文。
具体地,由于主站和厂站的控制操作基本都是通过工业网络协议来进行。所以,无论是主站发送给厂站的第一以太网报文,还是厂站发送给主站的第一以太网报文。只要该报文经过分析不属于工业网络协议,就可以确定不会因为攻击而受到影响,也不需要使其更加符合工业网络协议的规定。因此,在确定报文不属于工业网络协议之后,即可直接发送出去。是第一以太网报文就不做任何修改直接发送给厂站,是第二以太网报文同样不做任何修改就直接发送给主站。
在一个实施例中,在未产生阻断时,即当设备上电到第一次需要阻断的报文为止,无需对报文进行任何处理,同样直接转发即可。而对于已经产生过阻断的通讯,无论之后的报文是否阻断,还是需要维护工业网络协议自身规定的协议状态,以及修改以太网报文的接收和发送序列号,用以保证主站和厂站之间通讯的平衡状态,从而不对正常的通讯造成影响,
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图5所示,提供了一种电力系统的通讯控制装置,包括:报文获取模块502、分析模块504、状态获取模块506和发送模块508,其中:
报文获取模块502,用于获取主站发送给厂站的第一以太网报文。
分析模块504,用于分析第一以太网报文,识别主站发起的通讯是否属于工业网络协议,以及确定第一以太网报文是否属于控制指令。
状态获取模块506,用于当确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态;物理按钮的物理状态用于标识主站是否受到攻击。
发送模块508,用于根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断。
在一个实施例中,发送模块508还用于当物理状态为弹起时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;当物理状态为按下时,判断控制指令是否存在于安全策略中;若不存在于安全策略中,则对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;若存在于安全策略中,则将第一以太网报文修改为拒绝报文并回复给主站。
在一个实施例中,发送模块508还用于获取第一以太网报文的发送序列号、接收序列号以及拒绝协议字段;将发送序列号、接收序列号以及拒绝协议字段修改为拒绝报文对应的发送序列号、接收序列号以及拒绝协议字段。
在一个实施例中,分析模块504还用于分析第一以太网报文的报文内容格式;根据报文内容格式确定主站发起的通讯是否属于工业网络协议,以及第一以太网报文是否属于控制指令。
在一个实施例中,发送模块508还用于当确定不属于控制指令时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
在一个实施例中,报文获取模块502还用于获取厂站发送给主站的第二以太网报文;分析模块504还用于分析第二以太网报文,识别厂站发起的通讯是否属于工业网络协议;发送模块508还用于当确定属于工业网络协议时,对第二以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给主站。
在一个实施例中,发送模块508还用于当确定不属于工业网络协议时,将以太网报文直接进行发送;以太网报文包括第一以太网报文和第二以太网报文。
关于电力系统的通讯控制装置的具体限定可以参见上文中对于电力系统的通讯控制方法的限定,在此不再赘述。上述电力系统的通讯控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于控制设备中的处理器中,也可以以软件形式存储于控制设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种控制设备,其内部结构图可以如图6所示。该控制设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该控制设备的处理器用于提供计算和控制能力。该控制设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该控制设备的数据库用于存储工业网络协议相关数据。该控制设备的网络接口用于与外部的设备通过网络连接通信。该计算机程序被处理器执行时以实现一种电力系统的通讯控制方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的控制设备的限定,具体的控制设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种控制设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取主站发送给厂站的第一以太网报文;
分析第一以太网报文,识别主站发起的通讯是否属于工业网络协议,以及确定第一以太网报文是否属于控制指令;
当确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态;物理按钮的物理状态用于标识主站是否受到攻击;
根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当物理状态为弹起时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;当物理状态为按下时,判断控制指令是否存在于安全策略中;若不存在于安全策略中,则对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;若存在于安全策略中,则将第一以太网报文修改为拒绝报文并回复给主站。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:获取第一以太网报文的发送序列号、接收序列号以及拒绝协议字段;将发送序列号、接收序列号以及拒绝协议字段修改为拒绝报文对应的发送序列号、接收序列号以及拒绝协议字段。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:分析第一以太网报文的报文内容格式;根据报文内容格式确定主站发起的通讯是否属于工业网络协议,以及第一以太网报文是否属于控制指令。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当确定不属于控制指令时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:获取厂站发送给主站的第二以太网报文;分析第二以太网报文,识别厂站发起的通讯是否属于工业网络协议;当确定属于工业网络协议时,对第二以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给主站。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:当确定不属于工业网络协议时,将以太网报文直接进行发送;以太网报文包括第一以太网报文和第二以太网报文。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取主站发送给厂站的第一以太网报文;
分析第一以太网报文,识别主站发起的通讯是否属于工业网络协议,以及确定第一以太网报文是否属于控制指令;
当确定属于工业网络协议且属于控制指令时,获取物理按钮的物理状态;物理按钮的物理状态用于标识主站是否受到攻击;
根据物理状态对主站发送给厂站的第一以太网报文进行发送或阻断。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当物理状态为弹起时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;当物理状态为按下时,判断控制指令是否存在于安全策略中;若不存在于安全策略中,则对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;若存在于安全策略中,则将第一以太网报文修改为拒绝报文并回复给主站。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取第一以太网报文的发送序列号、接收序列号以及拒绝协议字段;将发送序列号、接收序列号以及拒绝协议字段修改为拒绝报文对应的发送序列号、接收序列号以及拒绝协议字段。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:分析第一以太网报文的报文内容格式;根据报文内容格式确定主站发起的通讯是否属于工业网络协议,以及第一以太网报文是否属于控制指令。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当确定不属于控制指令时,对第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取厂站发送给主站的第二以太网报文;分析第二以太网报文,识别厂站发起的通讯是否属于工业网络协议;当确定属于工业网络协议时,对第二以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给主站。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:当确定不属于工业网络协议时,将以太网报文直接进行发送;以太网报文包括第一以太网报文和第二以太网报文。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种电力系统的通讯控制方法,应用在电力系统的控制设备,所述控制设备部署于所述电力系统的主站和厂站之间,其特征在于,所述方法包括:
获取主站发送给厂站的第一以太网报文;
分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令;所述工业网络协议是广泛应用于电力系统中主站与厂站通讯的标准网络协议;
当确定属于工业网络协议且属于控制指令时,获取设于所述电力系统的主站监控设备上的物理按钮的物理状态;所述物理状态的获取通过创建独立的线程,从物理按钮的驱动程序中实时获取按钮的状态信息,实时发送给控制进程,从而保证控制进程能够实时更新物理按钮的物理状态;所述物理按钮用于标识主站是否受到攻击的按钮,所述物理按钮的物理状态为弹起,表示主站没有收到攻击;所述物理按钮的物理状态为按下,表示主站有受到安全攻击;
当所述物理状态为弹起时,对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;所述序列号包括发送序列号和接收序列号;
当所述物理状态为按下时,判断所述控制指令是否存在于安全策略中;所述安全策略是预先配置的,存储有各种存在安全隐患的控制指令;
若不存在于安全策略中,则对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;
若存在于安全策略中,获取所述第一以太网报文的发送序列号、接收序列号以及拒绝协议字段;
将所述发送序列号、所述接收序列号以及所述拒绝协议字段修改为拒绝报文对应的发送序列号、接收序列号以及拒绝协议字段,得到拒绝报文,将所述拒绝报文回复给所述主站,所述拒绝报文是经过修改后,主站能够识别为厂站拒绝执行指令的报文。
2.根据权利要求1所述的方法,其特征在于,所述分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令,包括:
分析所述第一以太网报文的报文内容格式;
根据所述报文内容格式确定所述主站发起的通讯是否属于工业网络协议,以及所述第一以太网报文是否属于控制指令。
3.根据权利要求1所述的方法,其特征在于,所述分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令之后,还包括:
当确定不属于控制指令时,对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述厂站发送给所述主站的第二以太网报文;
分析所述第二以太网报文,识别所述厂站发起的通讯是否属于工业网络协议;
当确定属于工业网络协议时,对所述第二以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给主站。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当确定不属于工业网络协议时,将以太网报文直接进行发送;所述以太网报文包括所述第一以太网报文和所述第二以太网报文。
6.一种电力系统的通讯控制装置,应用在电力系统的控制设备,所述控制设备部署于所述电力系统的主站和厂站之间,其特征在于,所述装置包括:
报文获取模块,用于获取主站发送给厂站的第一以太网报文;
分析模块,用于分析所述第一以太网报文,识别所述主站发起的通讯是否属于工业网络协议,以及确定所述第一以太网报文是否属于控制指令;所述工业网络协议是广泛应用于电力系统中主站与厂站通讯的标准网络协议;
状态获取模块,用于当确定属于工业网络协议且属于控制指令时,获取设于所述电力系统的主站监控设备上的物理按钮的物理状态;所述物理按钮用于标识主站是否受到攻击的按钮,所述物理按钮的物理状态为弹起,表示主站没有收到攻击;所述物理按钮的物理状态为按下,表示主站有受到安全攻击;
发送模块,当所述物理状态为弹起时,对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;所述序列号包括发送序列号和接收序列号;
当所述物理状态为按下时,判断所述控制指令是否存在于安全策略中;所述安全策略是预先配置的,存储有各种存在安全隐患的控制指令;
若不存在于安全策略中,则对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站;
若存在于安全策略中,获取所述第一以太网报文的发送序列号、接收序列号以及拒绝协议字段;
将所述发送序列号、所述接收序列号以及所述拒绝协议字段修改为拒绝报文对应的发送序列号、接收序列号以及拒绝协议字段,得到拒绝报文,将所述拒绝报文回复给所述主站,所述拒绝报文是经过修改后,主站能够识别为厂站拒绝执行指令的报文。
7.根据权利要求6所述的装置,其特征在于,所述分析模块,用于分析所述第一以太网报文的报文内容格式;
根据所述报文内容格式确定所述主站发起的通讯是否属于工业网络协议,以及所述第一以太网报文是否属于控制指令。
8.根据权利要求6所述的装置,其特征在于,所述发送模块,用于当确定不属于控制指令时,对所述第一以太网报文以及对应的应用协议进行序列号修改,并验证校验和之后发送给厂站。
9.一种控制设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011165243.2A CN112261056B (zh) | 2020-10-27 | 2020-10-27 | 电力系统的通讯控制方法、装置、控制设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011165243.2A CN112261056B (zh) | 2020-10-27 | 2020-10-27 | 电力系统的通讯控制方法、装置、控制设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112261056A CN112261056A (zh) | 2021-01-22 |
CN112261056B true CN112261056B (zh) | 2022-11-11 |
Family
ID=74262259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011165243.2A Active CN112261056B (zh) | 2020-10-27 | 2020-10-27 | 电力系统的通讯控制方法、装置、控制设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112261056B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09307975A (ja) * | 1996-05-10 | 1997-11-28 | Meidensha Corp | Pc下位ネットワーク伝送方式 |
CN111368172A (zh) * | 2020-02-28 | 2020-07-03 | 深圳市通用互联科技有限责任公司 | 传感器数据处理方法、装置、计算机设备和存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100358280C (zh) * | 2003-06-18 | 2007-12-26 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
CN102957602A (zh) * | 2012-08-22 | 2013-03-06 | 广东电网公司茂名供电局 | 一种配电通信系统通信汇集型子站转发报文的方法 |
CN106603359B (zh) * | 2016-11-25 | 2019-10-01 | 北京龙鼎源科技股份有限公司 | Plc系统的通讯控制方法及装置 |
CN109995675B (zh) * | 2017-12-29 | 2021-07-13 | 中国科学院沈阳自动化研究所 | 一种基于软件定义的自适应工业以太网网关系统与方法 |
CN110213204B (zh) * | 2018-03-13 | 2022-09-23 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
CN108737590B (zh) * | 2018-05-15 | 2022-02-25 | 浙江正泰电器股份有限公司 | 一种地址自动分配的方法、系统、Modbus主站、Modbus从站 |
CN109167762B (zh) * | 2018-08-14 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
-
2020
- 2020-10-27 CN CN202011165243.2A patent/CN112261056B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09307975A (ja) * | 1996-05-10 | 1997-11-28 | Meidensha Corp | Pc下位ネットワーク伝送方式 |
CN111368172A (zh) * | 2020-02-28 | 2020-07-03 | 深圳市通用互联科技有限责任公司 | 传感器数据处理方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112261056A (zh) | 2021-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112468488B (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
CN110545257B (zh) | 一种汽车can总线加密方法 | |
CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
CN114244570B (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
KR20160097313A (ko) | 차량용 통신 시스템의 보안 게이트웨이를 동작시키기 위한 방법 | |
CN112187583B (zh) | 动作信息在私有工控协议中识别的方法、装置及存储介质 | |
WO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
CN116094978A (zh) | 一种信息上报方法和信息处理方法及设备 | |
US9998542B2 (en) | System and method for determining routing information | |
CN105577705B (zh) | 针对iec60870-5-104协议的安全防护方法及系统 | |
CN114139133A (zh) | 一种工控安全防护方法及装置 | |
CN112261056B (zh) | 电力系统的通讯控制方法、装置、控制设备和存储介质 | |
US11606366B2 (en) | Using CRC for sender authentication in a serial network | |
US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
CN113381876A (zh) | 基于智能网关的总线日志采集方法及智能网关 | |
CN111654474B (zh) | 一种安全检测的方法和装置 | |
CN114143385A (zh) | 一种网络流量数据的识别方法、装置、设备和介质 | |
CN114050917A (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 | |
CN113596060A (zh) | 一种网络安全应急响应方法及系统 | |
CN111865822A (zh) | 一种基于智能变电站交换机的业务流告警方法及装置 | |
CN112839009B (zh) | 处理报文的方法、装置及系统 | |
CN115442284B (zh) | 一种测试设备的系统及方法 | |
CN115333853B (zh) | 网络入侵检测方法、装置与电子设备 | |
CN113224851B (zh) | 一种配电终端状态确定方法、装置、电子设备及存储介质 | |
WO2024089723A1 (ja) | サイバー攻撃検知装置およびサイバー攻撃検知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230413 Address after: Full Floor 14, Unit 3, Building 2, No. 11, Middle Spectra Road, Huangpu District, Guangzhou, Guangdong 510700 Patentee after: China Southern Power Grid Digital Grid Technology (Guangdong) Co.,Ltd. Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
TR01 | Transfer of patent right |