CN112350846A - 一种智能变电站的资产学习方法、装置、设备及存储介质 - Google Patents
一种智能变电站的资产学习方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112350846A CN112350846A CN201910937925.1A CN201910937925A CN112350846A CN 112350846 A CN112350846 A CN 112350846A CN 201910937925 A CN201910937925 A CN 201910937925A CN 112350846 A CN112350846 A CN 112350846A
- Authority
- CN
- China
- Prior art keywords
- equipment
- substation
- intelligent substation
- ied
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 107
- 238000003860 storage Methods 0.000 title claims abstract description 17
- 230000006854 communication Effects 0.000 claims abstract description 164
- 238000004891 communication Methods 0.000 claims abstract description 163
- 230000008569 process Effects 0.000 claims abstract description 61
- 241000272814 Anser sp. Species 0.000 claims description 78
- 125000006850 spacer group Chemical group 0.000 claims description 42
- 238000004458 analytical method Methods 0.000 claims description 19
- 230000008859 change Effects 0.000 claims description 13
- 230000003213 activating effect Effects 0.000 claims description 6
- 238000007405 data analysis Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 21
- 238000012550 audit Methods 0.000 abstract description 5
- 239000010410 layer Substances 0.000 description 161
- 230000000875 corresponding effect Effects 0.000 description 30
- 238000009826 distribution Methods 0.000 description 21
- 230000005856 abnormality Effects 0.000 description 19
- 230000005540 biological transmission Effects 0.000 description 16
- 238000005259 measurement Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000011229 interlayer Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E60/00—Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/16—Electric power substations
Abstract
本发明公开了一种智能变电站的资产学习方法、装置、设备及可读存储介质,方法包括如下步骤:读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系;获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系;将所述通信逻辑关系与所述实际通信关系进行比对,形成资产学习结果。本发明提高了针对电力行业的资产学习效率和准确度,能及时发现变电站实际运行过程中的异常事件并进行溯源,实现高效安全的审计。
Description
技术领域
本发明涉及智能变电站领域,具体地涉及一种智能变电站的资产学习方法、装置、设备及存储介质。
背景技术
随着电网技术的发展,建立在IEC 61850通信规范基础上的智能变电站技术在全世界范围内得到了广泛的应用,而由此引发的一系列工控网络安全风险,也逐渐得到了相关单位的重视。为了有效地实现智能变电站中各设备之间的操作通信审计,必须在变电站的全站配置文件SCD(Substation Configuration Description)文件中筛选出活跃的设备,并建立起设备之间相互通信的资产模式。
当前,智能变电站中主要采用syslog系统日志或snmp对系统中的设备操作和参数进行记录。但也仅仅是记录,当异常事件发生时,简单的日志记录并不能实现异常事件的告警和溯源,需要富有经验的监管人员进行日志记录的人工查阅,判定原因、定位源头,继而采取相应的措施。这样的过程需要耗费大量的人力和时间,且无法保障在异常事件发生的第一时间采取正确的解决措施。
少数智能变电站中已率先应用审计告警设备,但其告警机制也只是简单的黑白名单告警,且需要人工提前设置好黑白名单规则。一旦变电站内的设备或规则发生变化,则需要重新进行人工设置。同样需要耗费不少人力,无法实现资产模式的自学习。
SCD文件描述了站内所有智能化电子装置实例配置和通讯参数、智能电子设备之间的通讯配置及信号连线等信息,但目前主要是通过人工筛选需要的设备信息,缺乏从SCD文件中提取针对性设备信息的方法,同时也欠缺将各资产设备与它们之间的实际流量通信相绑定以实现高效安全审计的手段。
发明内容
本发明目的在于克服现有技术的不足,提供一种智能变电站的资产学习方法、装置、设备及存储介质,能自动从SCD文件中提取所需设备的信息以及设备之间的通信方式,从而提高了电力行业的资产学习效率,实现高效安全的审计。
本发明实施例提供了一种智能变电站的资产学习方法,其特征在于,包括如下步骤:
读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系;
获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系;
将所述通信逻辑关系与所述实际通信关系进行比对,形成资产学习结果;其中,所述资产学习结果至少包括以下其中之一:智能变电站的活跃设备、智能变电站的新增设备、设备间的合法操作、设备间的越权操作以及设备间的新增关系。
优选地,所述读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系,具体为:
通过解析变电站全站配置文件,获取站控层与间隔层设备之间的点对点通信关系;
通过解析变电站全站配置文件,获得间隔层与过程层设备之间的相互发布、订阅信息的关系;
根据所述站控层与间隔层设备之间的点对点通信关系以及间隔层与过程层设备之间的相互发布、订阅信息的关系,形成通信逻辑关系;其中,所述站控层与间隔层的网络采用MMS协议,间隔层与过程层的网络采用goose/sv协议。
优选地,所述通过解析变电站全站配置文件,获取站控层与间隔层设备之间的点对点通信关系具体为:
通过解析变电站全站配置文件的IED标签,获得所述IED标签所包含的LN0标签中携带的设备name信息以及IED标签中所包含的Report Control Block标签里的client信息;其中,所述client信息中记录了接收由当前IED设备发送信息的其他IED设备;
根据所述设备name信息以及所述client信息,获得站控层网络中各设备之间的点对点通信关系。
优选地,所述通过解析变电站全站配置文件,获得间隔层与过程层设备之间的相互发布、订阅信息的关系具体为:
通过解析IED标签中的Dataset标签和Control Block标签,获得当前IED设备中的Dataset name所对应的Dataset address;其中,Dataset标签中包含当前IED设备的Dataset name信息;Control Block中包含所有的Dataset name与Dataset address的对应关系信息;
通过解析变电站全站配置文件的communication标签,获得所有Dataset address与其发送的APPID和其广播至的所有IED设备的目的MAC地址,由此获得当前IED设备对应的APPID和其广播至的所有IED设备的目的MAC地址;;
通过解析IED标签中的Input标签获得当前IED设备所订阅的设备IED name;
遍历所有IED设备,根据每个IED设备广播至的IED设备的目的MAC地址以及每个IED设备所订阅的设备IED name,获得间隔层与过程层设备之间相互发布、订阅信息的关系。
优选地,所述获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系,具体为:
通过在变电站交换机的镜像口抓包的方式获取流量数据;
对每份流量数据进行协议解析,以获取每一次通信操作发生的时间、源/目的MAC地址、源/目的IP,从而形成智能变电站的实际通信关系。
优选地,所述获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系,具体包括:
抓取由位于站控层的第一设备向位于间隔层的第二设备发送的MMS流量数据包,并从所述MMS流量数据包中解析出与所述第二设备对应的Dataset名;
抓取由所述第二设备广播的Goose/sv流量数据包,其中,所述Goose/sv流量数据包携带有APPID,所述APPID与所述Dataset名具有一一对应关系;
对SCD文件中的Input标签进行解析,并获得订阅第二设备广播的Goose/sv流量数据包的位于过程层的至少一个第三设备;其中,所述SCD文件从面向智能变电站一次、二次设备对象的角度描述了完整的变电站配置;
根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以获取智能变电站的跨层级的实际通信关系。
优选地,所述获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系,具体包括:
获取位于间隔层的第二设备向过程层的第三设备发送的若干个Goose流量数据包;其中,每个Goose流量数据包具有对应的APPID以及stNum,所述APPID标识订阅了所述Goose流量数据包的第三设备,所述stNum用于表明广播的数据是否发生变化,如果数据未发生变化,则stNum不变,如果数据发生变化,则stNum自加1;
当检测到第二设备的Goose流量数据包的stNum字段发生了变化时,在第二设备的缓存区内回溯上一个MMS流量数据包,以获得触发所述Goose流量数据包的MMS流量数据包;
检测发出所述MMS流量数据包的位于站控层的第一设备;
根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以获取智能变电站的跨层级的实际通信关系。
优选地,所述Goose/sv流量数据包还包括通信测量值;则还包括:
获取站控层的设备集合:Sub={S1,S2,…,Sn}={S|站控层所有设备};
获取间隔层的设备集合:Bay={B1,B2,…,Bn}={B|间隔层所有设备};
获取过程层的设备集合:Pro={P1,P2,…,Pn}={P|过程层所有设备};
定义特征变量:F={x(1),x(2),…,x(n)},其中,x(i)表示通信测量值;
定义底层传输数据为GOOSE的通信数据集合为:
定义底层传输数据为SV的通信数据集合为:
获取所有特征变量的总体分布律为:
获取不同特征变量的分布律为:
根据总体分布律以及预设的阈值告警参量判断底层通信是否存在整体性异常;
根据不同特征变量的分布律以及置信水平为1-α的置信区间判断底层通信是否存在局部指标异常;其中,置信水平为1-α的置信区间为:其中为p(i)(x)在特征变量e(i)的平均值,为p(i)(x)在特征变量e(i)的方差值;uα/2的正态分位点通过查表获得,m为特征变量的个数;
根据整体性异常和局部指标异常的情况发出相应优先级的告警。
本发明实施例还提供了一种智能变电站的资产学习装置,包括:
文件解析单元,用于读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系;
流量数据解析单元,用于获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系;
比对单元,用于将所述通信逻辑关系与所述实际通信关系进行比对,形成资产学习结果;其中,所述资产学习结果至少包括以下其中之一:智能变电站的活跃设备、智能变电站的新增设备、设备间的合法操作、设备间的越权操作以及设备间的新增关系。
优选地,所述文件解析单元具体包括:
第一解析模块,用于通过解析变电站全站配置文件,获取站控层与间隔层设备之间的点对点通信关系;
第二解析模块,用于通过解析变电站全站配置文件,获得间隔层与过程层设备之间的相互发布、订阅信息的关系;
关系形成模块,用于根据所述站控层与间隔层设备之间的点对点通信关系以及间隔层与过程层设备之间的相互发布、订阅信息的关系,形成通信逻辑关系;其中,所述站控层与间隔层的网络采用MMS协议,间隔层与过程层的网络采用goose/sv协议。
优选地,所述第一解析模块具体用于:
通过解析变电站全站配置文件的IED标签,获得所述IED标签所包含的LN0标签中携带的设备name信息以及IED标签中所包含的Report Control Block标签里的client信息;其中,所述client信息中记录了接收由当前IED设备发送信息的其他IED设备;
根据所述设备name信息以及所述client信息,获得站控层网络中各设备之间的信息点对点通信关系。
优选地,所述第二解析模块具体用于:
通过解析IED标签中的Dataset标签和Control Block标签,获得当前IED设备中的Dataset name所对应的Dataset address;其中,Dataset标签中包含当前IED设备的Dataset name信息;Control Block中包含所有的Dataset name与Dataset address的对应关系信息;
通过解析变电站全站配置文件的communication标签,获得所有Dataset address与其发送的APPID和其广播至的所有IED设备的目的MAC地址,由此获得当前IED设备对应的APPID和其广播至的所有IED设备的目的MAC地址;
通过解析IED标签中的Input标签获得当前IED设备所订阅的设备IED name;
遍历所有IED设备,根据每个IED设备广播至的IED设备的目的MAC地址以及每个IED设备所订阅的设备IED name,获得间隔层与过程层设备之间相互发布、订阅信息的关系。
优选地,所述流量数据解析单元具体包括:
流量数据抓取模块,用于通过在变电站交换机的镜像口抓包的方式获取流量数据;
协议解析模块,用于对每份流量数据进行协议解析,以获取每一次通信操作发生的时间、源/目的MAC地址、源/目的IP,从而形成智能变电站的实际通信关系。
优选地,所述流量数据解析单元具体包括:
第一抓取单元,用于抓取由位于站控层的第一设备向位于间隔层的第二设备发送的MMS流量数据包,并从所述MMS流量数据包中解析出与所述第二设备对应的Dataset名;
第二抓取单元,用于抓取由所述第二设备广播的Goose/sv流量数据包,其中,所述Goose/sv流量数据包携带有APPID,所述APPID与所述Dataset名具有一一对应关系;
检索单元,用于对SCD文件中的Input标签进行解析,并获得订阅第二设备广播的Goose/sv流量数据包的位于过程层的至少一个第三设备;
学习单元,用于根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以形成跨层级的实际通信关系。
优选地,所述流量数据解析单元具体包括:
第一数据包获取模块,用于获取位于间隔层的第二设备向过程层的第三设备发送的若干个Goose流量数据包;其中,每个Goose流量数据包具有对应的APPID以及stNum,所述APPID标识订阅了所述Goose流量数据包的第三设备,所述stNum用于表明广播的数据是否发生变化,如果数据未发生变化,则stNum不变,如果数据发生变化,则stNum自加1;
第二数据包获取模块,用于当检测到第二设备的Goose流量数据包的stNum字段发生了变化时,在第二设备的缓存区内回溯上一个MMS流量数据包,以获得触发所述Goose流量数据包的MMS流量数据包;
检测模块,用于检测发出所述MMS流量数据包的位于站控层的第一设备;
学习模块,用于根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以形成跨层级的实际通信关系。
优选地,所述Goose/sv流量数据包还包括通信测量值;则还包括报警单元,具体用于:
获取站控层的设备集合:Sub={S1,S2,…,Sn}={S|站控层所有设备};
获取间隔层的设备集合:Bay={B1,B2,…,Bn}={B|间隔层所有设备};
获取过程层的设备集合:Pro={P1,P2,…,Pn}={P|过程层所有设备};
定义特征变量:F={x(1),x(2),…,x(n)},其中,x(i)表示通信测量值;
定义底层传输数据为GOOSE的通信数据集合为:
定义底层传输数据为SV的通信数据集合为:
获取所有特征变量的总体分布律为:
获取不同特征变量的分布律为:
根据总体分布律以及预设的阈值告警参量判断底层通信是否存在整体性异常;
根据不同特征变量的分布律以及置信水平为1-α的置信区间判断底层通信是否存在局部指标异常;其中,置信水平为1-α的置信区间为:其中为p(i)(x)在特征变量e(i)的平均值,为p(i)(x)在特征变量e(i)的方差值;uα/2的正态分位点通过查表获得,m为特征变量的个数;
根据整体性异常和局部指标异常的情况发出相应优先级的告警。
本发明实施例还提供了一种智能变电站的资产学习设备,包括存储器以及处理器,所述存储器内存储有可执行代码,所述可执行代码能够被所述处理器执行,以实现如上述的智能变电站的资产学习方法。
本发明实施例还提供了一种计算机可读存储介质,其特征在于,存储有可执行代码,所述可执行代码能够被所述计算机可读存储介质所在的设备的处理器执行,以实现如上述的智能变电站的资产学习方法。
上述实施例中,通过解析SCD文件中的IED标签以及Communication标签,得到SCD文件中所规定的变电站各IED设备间相互通信的关系,形成通信逻辑关系;通过解析在变电站交换机中抓取到的实际流量数据,可获得各IED设备间通信的源MAC地址、目的MAC地址、源IP、目的IP,同样也可形成实际通信关系。将通过解析SCD文件获得的通信逻辑关系与通过解析实际流量数据获得的实际通信关系进行比对,即可获得活跃设备、新增设备、合法操作、越权操作、新增关系等,形成资产学习结果。本发明通过结合SCD文件及变电站中实际流量的解析结果,实现了资产模式的自动学习、异常事件的及时告警和精准溯源。当变电站内设备或操作规则发生变化时,只需导入新的SCD文件,即可自动建立新的白名单基线,最大程度地减少了智能变电站运行监管过程中的人力投入。
进一步的,本发明还可以实现操作路径的层级关联。将MMS层信息与GOOSE/SV层信息进行关联,实现跨层级的操作溯源,判断某一操作是来自站控层还是间隔层的指令,即可得知某一操作是日常操作(来自站控层)或是运维操作(来自间隔层),由此可以分别建立日常操作和运维操作的白名单基线,从而使异常事件的告警判断、事件发生后的责任判定更为精准。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例提供的智能变电站的资产学习方法的流程示意图。
图2为本发明第一实施例提供的SCD文件的数据结构模型图。
图3是本发明第一实施例提供的IED标签的数据结构模型图。
图4是本发明第一实施例提供的对SCD文件的解析示意图。
图5是本发明第一实施例提供的形成资产学习结果的示意图。
图6为本发明第二实施例提供的智能变电站的资产学习装置的模块示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明的理解,在介绍本发明的实施例之前,先对本发明所涉及的一些技术术语进行说明。
1、SCD文件:SCD文件为变电站IEC61850标准中substation configurationdescription的缩写,即全站配置文件。
2、MMS协议:MMS(Manufacturing Message Specification),即制造报文规范,MMS规范了工业领域具有通信能力的智能传感器、智能电子设备(IED)、智能控制设备的通信行为,使出自不同制造商的设备之间具有互操作性(Interoperation)。智能变电站中的站控层与间隔层设备之间采用此种协议进行通讯。
3、GOOSE协议:GOOSE(Generic Object Oriented Substation Event)是IEC61850标准中用于满足变电站自动化系统快速报文需求的机制。主要用于实现在多IED之间的信息传递,包括传输跳合闸信号(命令),具有高传输成功概率。智能变电站中的间隔层与过程层设备之间采用此种协议进行通讯。
4、SV协议:SV(Sampled Value),采样测量值,也被称为SMV(Sampled MeasuredValue),是一种用于实时传输的数字采样信息的通信服务。智能变电站中的间隔层与过程层设备之间采用此种协议进行通讯。
5、IED:IED(Intelligent Electronic Device),智能电子设备,IEC61850标准对IED定义如下:“由一个或多个处理器组成,具有从外部源接收和传送数据或控制外部源的任何设备,即电子多功能仪表、微机保护、控制器,在特定的环境下在接口所限定范围内能够执行一个或多个逻辑接点任务的实体。”
6、APPID:APPID(Application Identification),即应用标识,存在于GOOSE/SV协议报文中,可以根据报文中的APPID来确定唯一的采样值控制块。
7、MAC地址:MAC地址(Media Access Control Address),直译为媒体访问控制地址,也称为局域网地址(LAN Address),以太网地址(Ethernet Address)或物理地址(Physical Address),它是一个用来确认网上设备位置的地址。在OSI模型中,第三层网络层负责IP地址,第二层数据链接层则负责MAC地址。MAC地址用于在网络中唯一标示一个网卡,一台设备若有一或多个网卡,则每个网卡都需要并会有一个唯一的MAC地址。
8、IEC61850:IEC61850《变电站网络与通信协议》标准,(以下简称IEC61850)是新一代变电站网络通信体系,适立分层的IED和变电站自动化系统。该标准根据电力系统生产过程的特点,制定了满足实时信息传输要求的服务模型;采用抽象通信服务接口、特定通信服务映射,以适应网络发展。
请参阅图1,本发明第一实施例提供了一种智能变电站的资产学习方法,包括如下步骤:
S101,读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系。
在本实施例中,所述变电站全站配置文件(以下简写为SCD文件)从面向变电站一次、二次设备对象的角度描述了完整的变电站配置。IEC61850标准中定义的SCD文件的数据结构模型如图2所示,其由Header、Substation、Communication、IED、DataTypeTemplates五个主标签组成;其中:
Header标签包含SCD文件标识、文件版本、配置工具、文件修改历史记。
Substation标签描述变电站的功能结构,标识一次设备以及它们的电气连接关系。
Communication标签描述各个IED的SV控制块和GOOSE控制块的地址信息。
其中,Communication标签下的SMV标签的Address配置了SV控制块的APPID、MAC地址、VLAN-ID和VLAN优先级,GOOSE控制块的相关参数在GSE标签下的Address中配置。
IED标签描述了各个智能电子设备的具体内容,包括SV、GOOSE的发布和订阅。
DataTypeTemplates定义逻辑节点类型LNodeType、数据对象类型DOType、数据属性类型DAType数据类型模板。
在本实施例中,智能变电站多采用“三层两网”结构,其中“三层”包括站控层、间隔层、过程层;“两网”指站控层与间隔层之间的站控层网络以及间隔层与过程层之间的过程层网络。站控层网络通常采用MMS协议,过程层网络通常采用goose/sv协议,MMS协议为点对点收发,而goose/sv则为广播协议,因此针对站控层网络和过程层网络的SCD文件解析过程也有所不同。
具体地,针对站控层网络:
如图3所示,通过层层解析IED标签可获得IED标签所包含的LN0标签中携带的设备name信息以及IED标签中所包含的Report Control Block标签里的client信息,client信息中记录了当前IED设备向哪些IED设备发送了信息。
由于站控层网络采用MMS协议,信息传输为点对点收发,因此通过上述解析得到的设备name信息以及client信息,即可获得站控层网络中各IED设备之间的点对点通信关系。
对于过程层网络:
首先,如图4所示,IED标签中包含Dataset、Control Block(针对goose和sv协议,分为GSE Control和Sampled Value Control)、Input标签,Dataset标签中包含当前IED设备的Dataset name信息;Control Block中包含所有Dataset name(对应图4中的ds name)与Dataset address(对应图4中的ds addr.)的对应关系信息,二者结合即可获得当前IED设备中的Dataset name所对应的Dataset address。
然后,通过解析SCD文件中的communication标签,可获得所有Dataset address与其发送的APPID和其广播至的所有IED设备的目的MAC地址。因此通过结合IED设备的IED标签解析结果与communication标签解析结果,即可获得IED设备对应的APPID和其广播至的所有IED设备的目的MAC地址,即获得IED设备的信息发布关系。
然后,再解析IED标签中的Input标签即可获得当前IED设备所订阅的IED设备的name,即获得IED设备的信息订阅关系。
最后,结合IED设备的信息发布关系以及IED设备的信息订阅关系,即可以获得间隔层与过程层设备之间的相互发布/订阅信息的关系。
在本实施例中,在获得所述站控层与间隔层设备之间的点对点通信关系以及间隔层与过程层设备之间的相互发布/订阅信息的关系,就可以形成通信逻辑关系,例如,可以形成通信逻辑拓扑图。
S102,获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系。
在本实施例中,可通过在变电站交换机的镜像口抓包的方式获取流量数据,然后对每份流量数据进行协议解析,以获取每一次通信操作发生的时间、源/目的MAC地址、源/目的IP,从而形成智能变电站的实际通信关系,例如,可以形成实际通信拓扑图。
S103,将所述通信逻辑关系与所述实际通信关系进行比对,形成资产学习结果;其中,所述资产学习结果至少包括以下其中之一:智能变电站的活跃设备、智能变电站的新增设备、设备间的合法操作、设备间的越权操作以及设备间的新增关系。
在本实施例中,如图5所示,S101获取的通信逻辑关系包括了APPID与MAC地址的对应关系,而S102获得的实际通信关系则包括了发送通信的IED设备之间的MAC地址,由于,可以通过对比S101获取的通信逻辑关系以及步骤S102获得的实际通信关系,得到实际发生通信的IED设备的APPID与MAC地址之间的映射关系,就可以获得智能变电站在实际运行中的活跃设备、新增设备、合法操作、越权操作、新增关系等,由此可形成操作发生时间、源/目标设备、操作路径相结合的资产学习结果。其中:
1、活跃设备:在实际流量中收/发信息,并在SCD文件中可以检索得到的IED设备;
2、新增设备:在实际流量中收/发信息,并在SCD文件中无法检索得到的IED设备;
3、合法操作:在实际流量中解析得到的,并在SCD文件中可以检索得到的信息传输路径;
4、越权操作:在实际流量中解析得到的,并在SCD文件中无法检索得到的信息传输路径;
5、新增关系:在实际流量中解析得到的信息传输路径,并在SCD文件中可以检索得到该路径的发布设备或接收设备,但无法检索到对应的接收设备或发布设备。
本发明通过结合SCD文件及变电站中实际流量的解析结果,实现了资产模式的自动学习、异常事件的及时告警和精准溯源。当变电站内设备或操作规则发生变化时,只需导入新的SCD文件,即可自动建立新的白名单基线,最大程度地减少了智能变电站运行监管过程中的人力投入。
在上述实施例中,实现的是单条操作信息的获取(包括操作发生时间、源/目标设备、操作路径、操作内容),在实际应用中可能还需要将不同层级之间(如站控层与间隔层之间、间隔层与过程层之间)与同一设备有关的操作信息进行关联,以实现跨越层级的溯源。
为此,本发明提供了两个优选实施例以实现跨越层级的溯源。
在一个优选实施例中,步骤S102具体为:
S1021,抓取由位于站控层的第一设备A向位于间隔层的第二设备B发送的MMS流量数据包,并所述MMS流量数据包中解析出其带有的Dataset名。
其中,MMS流量在C/S通信过程中有很多语义,比如读/写数据的时候,MMS流量包会带有一个字段,指向某个Dataset,该字段定义如下:
其中itemID即为Dataset名。
S1022,通过抓取由所述第二设备广播的Goose/sv流量数据包,其中,所述Goose/sv流量数据包携带有APPID,所述APPID与所述Dataset名具有一一对应关系;。
S1023,通过对SCD文件中的Input标签进行解析,并获得订阅第二设备广播的Goose/sv流量数据包的位于过程层的至少一个第三设备。
S1024,根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以形成跨层级的资产学习结果。
在本实施例中,当位于站控层的第一设备A向位于间隔层的第二设备B发送MMS流量数据包时,可以从该MMS数据包中解析出其带有的Dataset名。继而通过此Dataset名可以找到在第二设备B中其对应的APPID,对SCD文件中的Input标签进行解析,并获得订阅第二设备广播的Goose/sv流量数据包的位于过程层的至少一个第三设备(如设备C和设备D)。
通过上述方式即可获得该MMS流量包的通信路径:A→B→(C,D),从而实现操作信息的跨层级路径关联。
在另一个优选实施例中,步骤S102具体为:
S1025,获取位于间隔层的第二设备向过程层的第三设备发送的若干个Goose流量数据包;其中,每个Goose流量数据包具有对应的APPID以及stNum,所述APPID标识订阅了所述Goose流量数据包的第三设备,所述stNum用于表明广播的数据是否发生变化,如果数据未发生变化,则stNum不变,如果数据发生变化,则stNum自加1;
S1026,当检测到第二设备的Goose流量数据包的stNum字段发生了变化时,在第二设备的缓存区内回溯上一个MMS流量数据包,以获得触发所述Goose流量数据包的MMS流量数据包;
S1027,检测发出所述MMS流量数据包的位于站控层的第一设备;
S1028,根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以形成跨层级的资产学习结果。
其中,具体地,对于某一个位于间隔层的第二设备B来说,它会向过程层的第三设备发送若干个Goose流量数据包,每一个Goose流量数据包都有其对应的APPID,APPID表明了哪些过程层的设备订阅了该Goose流量数据包。同时,每一个Goose流量数据包中也会有一个stNum字段。如果第二设备B广播的数据不变,则stNum不变;如果数据变化了,则stNum自加1。
本实施例通过实时监控这些Goose流量数据包,当某一Goose流量数据包中的stNum发生了+1的变化时,在第二设备B的缓存区内回溯上一个MMS流量数据包,则可判定是由该MMS流量数据包触发了该Goose流量数据包的信息广播。若该MMS流量数据包的发出设备为位于站控层的第一设备A,且该Goose流量数据包中的APPID表明位于过程层的第三设备C、D订阅了该Goose流量数据包,则可认为该信息的通信路径为A→B→(C,D)。
上述优选实施例中,将MMS层的流量数据包与GOOSE/SV层的流量数据包进行关联,实现跨层级的操作溯源,判断某一操作是来自站控层还是间隔层的指令,即可得知某一操作是日常操作(来自站控层)或是运维操作(来自间隔层),由此可以分别建立日常操作和运维操作的白名单基线,从而使异常事件的告警判断、事件发生后的责任判定更为精准。
在上述实施例的基础上,基于跨层级的实际通信关系,还可以实现不同优先级的告警。
具体地:所述Goose/sv流量数据包还包括通信测量值;则还包括:
获取站控层的设备集合:Sub={S1,S2,…,Sn}={S|站控层所有设备};
获取间隔层的设备集合:Bay={B1,B2,…,Bn}={B|间隔层所有设备};
获取过程层的设备集合:Pro={P1,P2,…,Pn}={P|过程层所有设备};
定义特征变量:F={x(1),x(2),…,x(n)},其中,x(i)表示通信测量值。
例如,可定义x(1)为电流值,x(2)为电压值,x(3)为刀闸开关状态,x(n)为其他通信测量值,具体可根据实际需要而设,本发明不做具体限定。
定义底层传输数据为GOOSE的通信数据集合为:
定义底层传输数据为SV的通信数据集合为:
获取所有特征变量的总体分布律为:
其中,n为特征变量的维度,m为特征变量的个数。
获取不同特征变量的分布律:
根据总体分布律以及预设的阈值告警参量判断底层通信是否存在整体性异常。
其中,当pall(x)<εall,则说明底层通信存在整体性异常:εall为定义的阈值告警参量。
根据不同特征变量的分布律以及所述置信区间判断底层通信是否存在局部指标异常。
根据整体性异常和局部指标异常的情况发出相应优先级的告警。
具体地,如果整体和局部指标都出现了异常,那么变电站通信系统出现通信异常的程度较高,告警等级为优先级;如果整体出现异常,局部未出现异常,变电站通信系统出现通信异常的程度中等,告警等级为次优先级;如果整体未出现异常,局部出现异常,变电站通信系统出现异常的程度为低,告警等级为延迟;如果整体和局部指标都未出现异常,变电站通信系统出现异常的概率较低,不触发告警。
本实施例中,通过在Goose/sv流量数据包增加通信测量值,并通过对通信测量值的处理来判断整个变电站的通信系统是否有异常以及异常的程度,从而根据异常的程度进行及时的处理,保证变电站的正常运行。
请参阅图6,本发明第二实施例还提供了一种智能变电站的资产学习装置,包括:
文件解析单元210,用于读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系;
流量数据解析单元220,用于获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系;
比对单元230,用于将所述通信逻辑关系与所述实际通信关系进行比对,形成资产学习结果;其中,所述资产学习结果至少包括以下其中之一:智能变电站的活跃设备、智能变电站的新增设备、设备间的合法操作、设备间的越权操作以及设备间的新增关系。
优选地,所述文件解析单元210具体包括:
第一解析模块,用于通过解析变电站全站配置文件,获取站控层与间隔层设备之间的点对点通信关系;
第二解析模块,用于通过解析变电站全站配置文件,获得间隔层与过程层设备之间的相互发布、订阅信息的关系;
关系形成模块,用于根据所述站控层与间隔层设备之间的点对点通信关系以及间隔层与过程层设备之间的相互发布、订阅信息的关系,形成通信逻辑关系;其中,所述站控层与间隔层的网络采用MMS协议,间隔层与过程层的网络采用goose/sv协议。
优选地,所述第一解析模块具体用于:
通过解析变电站全站配置文件的IED标签,获得所述IED标签所包含的LN0标签中携带的设备name信息以及IED标签中所包含的Report Control Block标签里的client信息;其中,所述client信息中记录了接收由当前IED设备发送信息的其他IED设备;
根据所述设备name信息以及所述client信息,获得站控层网络中各设备之间的点对点通信关系。
优选地,所述第二解析模块具体用于:
通过解析IED标签中的Dataset标签和Control Block标签,获得当前IED设备中的Dataset name所对应的Dataset address;其中,Dataset标签中包含当前IED设备的Dataset name信息;Control Block中包含所有的Dataset name与Dataset address的对应关系信息;
通过解析变电站全站配置文件的communication标签,获得所有Dataset address与其发送的APPID和其广播至的所有IED设备的目的MAC地址,由此获得当前IED设备对应的APPID和其广播至的所有IED设备的目的MAC地址;
通过解析IED标签中的Input标签获得当前IED设备所订阅的设备IED name;
遍历所有IED设备,根据每个IED设备广播至的IED设备的目的MAC地址以及每个IED设备所订阅的设备IED name,获得间隔层与过程层设备之间相互发布、订阅信息的关系。
优选地,所述流量数据解析单元220具体包括:
流量数据抓取模块,用于通过在变电站交换机的镜像口抓包的方式获取流量数据;
协议解析模块,用于对每份流量数据进行协议解析,以获取每一次通信操作发生的时间、源/目的MAC地址、源/目的IP,从而形成智能变电站的实际通信关系。
优选地,所述流量数据解析单元具体包括:
第一抓取单元,用于抓取由位于站控层的第一设备向位于间隔层的第二设备发送的MMS流量数据包,并从所述MMS流量数据包中解析出与所述第二设备对应的Dataset名;
第二抓取单元,用于抓取由所述第二设备广播的Goose/sv流量数据包,其中,所述Goose/sv流量数据包携带有APPID,所述APPID与所述Dataset名具有一一对应关系;
检索单元,用于对SCD文件中的Input标签进行解析,并获得订阅第二设备广播的Goose/sv流量数据包的位于过程层的至少一个第三设备;
学习单元,用于根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以形成跨层级的实际通信关系。
优选地,所述流量数据解析单元具体包括:
第一数据包获取模块,用于获取位于间隔层的第二设备向过程层的第三设备发送的若干个Goose流量数据包;其中,每个Goose流量数据包具有对应的APPID以及stNum,所述APPID标识订阅了所述Goose流量数据包的第三设备,所述stNum用于表明广播的数据是否发生变化,如果数据未发生变化,则stNum不变,如果数据发生变化,则stNum自加1;
第二数据包获取模块,用于当检测到第二设备的Goose流量数据包的stNum字段发生了变化时,在第二设备的缓存区内回溯上一个MMS流量数据包,以获得触发所述Goose流量数据包的MMS流量数据包;
检测模块,用于检测发出所述MMS流量数据包的位于站控层的第一设备;
学习模块,用于根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以形成跨层级的实际通信关系。
优选地,所述Goose/sv流量数据包还包括通信测量值;则还包括报警单元,具体用于:
获取站控层的设备集合:Sub={S1,S2,…,Sn}={S|站控层所有设备};
获取间隔层的设备集合:Bay={B1,B2,…,Bn}={B|间隔层所有设备};
获取过程层的设备集合:Pro={P1,P2,…,Pn}={P|过程层所有设备};
定义特征变量:F={x(1),x(2),…,x(n)},其中,x(i)表示通信测量值;
定义底层传输数据为GOOSE的通信数据集合为:
定义底层传输数据为SV的通信数据集合为:
获取所有特征变量的总体分布律为:
获取不同特征变量的分布律为:
根据总体分布律以及预设的阈值告警参量判断底层通信是否存在整体性异常;
根据不同特征变量的分布律以及置信水平为1-α的置信区间判断底层通信是否存在局部指标异常;其中,置信水平为1-α的置信区间为:其中为p(i)(x)在特征变量e(i)的平均值,为p(i)(x)在特征变量e(i)的方差值;uα/2的正态分位点通过查表获得,m为特征变量的个数;
根据整体性异常和局部指标异常的情况发出相应优先级的告警。
本发明第三实施例还提供了一种智能变电站的资产学习设备,包括存储器以及处理器,所述存储器内存储有可执行代码,所述可执行代码能够被所述处理器执行,以实现如上述任一实施例的智能变电站的资产学习方法。
本发明第四实施例还提供了一种计算机可读存储介质,其特征在于,存储有可执行代码,所述可执行代码能够被所述计算机可读存储介质所在的设备的处理器执行,以实现如上述任一实施例的智能变电站的资产学习方法。
本发明的上述实施例中,通过解析SCD文件中的IED标签以及Communication标签,得到SCD文件中所规定的变电站各IED设备间的通信关系,形成通信逻辑关系;通过解析在变电站交换机中抓取到的实际流量数据,可获得各IED设备间通信的源MAC地址、目的MAC地址、源IP、目的IP,同样也可形成实际通信关系。将通过解析SCD文件获得的通信逻辑关系与通过解析实际流量数据获得的实际通信关系进行比对,即可获得活跃设备、新增设备、合法操作、越权操作、新增关系等,形成资产学习结果。该方式极大提高了针对电力行业的资产学习效率和准确度,能及时发现变电站实际运行过程中的异常事件并进行溯源,实现高效安全的审计。
示例性地,本发明第三实施例和第四实施例中所述的可执行代码可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述实现一种资产学习设备中的执行过程。例如,本发明第二实施例中所述的装置。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述资产学习方法的控制中心,利用各种接口和线路连接整个所述实现资产学习方法的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现基于物联网的物品追踪方法的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、文字转换功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、文字消息数据等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其中,所述实现的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一个计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种智能变电站的资产学习方法,其特征在于,包括如下步骤:
读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系;
获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系;
将所述通信逻辑关系与所述实际通信关系进行比对,形成资产学习结果;其中,所述资产学习结果至少包括以下其中之一:智能变电站的活跃设备、智能变电站的新增设备、设备间的合法操作、设备间的越权操作以及设备间的新增关系。
2.根据权利要求1所述的智能变电站的资产学习方法,其特征在于,所述读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系,具体为:
通过解析变电站全站配置文件,获取站控层与间隔层设备之间的点对点通信关系;
通过解析变电站全站配置文件,获得间隔层与过程层设备之间的相互发布、订阅信息的关系;
根据所述站控层与间隔层设备之间的点对点通信关系以及间隔层与过程层设备之间的相互发布、订阅信息的关系,形成通信逻辑关系;其中,所述站控层与间隔层的网络采用MMS协议,间隔层与过程层的网络采用goose/sv协议。
3.根据权利要求1所述的智能变电站的资产学习方法,其特征在于,所述通过解析变电站全站配置文件,获取站控层与间隔层设备之间的点对点通信关系具体为:
通过解析变电站全站配置文件的IED标签,获得所述IED标签所包含的LN0标签中携带的设备name信息以及IED标签中所包含的Report Control Block标签里的client信息;其中,所述client信息中记录了接收由当前IED设备发送信息的其他IED设备;
根据所述设备name信息以及所述client信息,获得站控层网络中各设备之间的点对点通信关系。
4.根据权利要求2所述的智能变电站的资产学习方法,其特征在于,所述通过解析变电站全站配置文件,获得间隔层与过程层设备之间的相互发布、订阅信息的关系具体为:
通过解析IED标签中的Dataset标签和Control Block标签,获得当前IED设备中的Dataset name所对应的Dataset address;其中,Dataset标签中包含当前IED设备的Dataset name信息;Control Block中包含所有的Dataset name与Dataset address的对应关系信息;
通过解析变电站全站配置文件的communication标签,获得所有Dataset address与其发送的APPID和其广播至的所有IED设备的目的MAC地址,由此获得当前IED设备对应的APPID和其广播至的所有IED设备的目的MAC地址;;
通过解析IED标签中的Input标签获得当前IED设备所订阅的设备IED name;
遍历所有IED设备,根据每个IED设备广播至的IED设备的目的MAC地址以及每个IED设备所订阅的设备IED name,获得间隔层与过程层设备之间相互发布、订阅信息的关系。
5.根据权利要求1所述的智能变电站的资产学习方法,其特征在于。所述获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系,具体为:
通过在变电站交换机的镜像口抓包的方式获取流量数据;
对每份流量数据进行协议解析,以获取每一次通信操作发生的时间、源/目的MAC地址、源/目的IP,从而形成智能变电站的实际通信关系。
6.根据权利要求1-5所述的智能变电站的资产学习方法,其特征在于,所述获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系,具体包括:
抓取由位于站控层的第一设备向位于间隔层的第二设备发送的MMS流量数据包,并从所述MMS流量数据包中解析出与所述第二设备对应的Dataset名;
抓取由所述第二设备广播的Goose/sv流量数据包,其中,所述Goose/sv流量数据包携带有APPID,所述APPID与所述Dataset名具有一一对应关系;
对SCD文件中的Input标签进行解析,并获得订阅第二设备广播的Goose/sv流量数据包的位于过程层的至少一个第三设备;其中,所述SCD文件从面向智能变电站一次、二次设备对象的角度描述了完整的变电站配置;
根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以获取智能变电站的跨层级的实际通信关系。
7.根据权利要求1所述的智能变电站的资产学习方法,其特征在于,所述获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系,具体包括:
获取位于间隔层的第二设备向过程层的第三设备发送的若干个Goose流量数据包;其中,每个Goose流量数据包具有对应的APPID以及stNum,所述APPID标识订阅了所述Goose流量数据包的第三设备,所述stNum用于表明广播的数据是否发生变化,如果数据未发生变化,则stNum不变,如果数据发生变化,则stNum自加1;
当检测到第二设备的Goose流量数据包的stNum字段发生了变化时,在第二设备的缓存区内回溯上一个MMS流量数据包,以获得触发所述Goose流量数据包的MMS流量数据包;
检测发出所述MMS流量数据包的位于站控层的第一设备;
根据所述第一设备、第二设备以及第三设备实现操作信息的跨层级路径关联,以获取智能变电站的跨层级的实际通信关系。
8.一种智能变电站的资产学习装置,其特征在于,包括:
文件解析单元,用于读取变电站全站配置文件,并对所述变电站全站配置文件进行解析,以获得智能变电站的通信逻辑关系;
流量数据解析单元,用于获取智能变电站内的各个设备进行通信时产生的流量数据,并对所述流量数据进行解析以获得智能变电站的实际通信关系;
比对单元,用于将所述通信逻辑关系与所述实际通信关系进行比对,形成资产学习结果;其中,所述资产学习结果至少包括以下其中之一:智能变电站的活跃设备、智能变电站的新增设备、设备间的合法操作、设备间的越权操作以及设备间的新增关系。
9.一种智能变电站的资产学习设备,其特征在于,包括存储器以及处理器,所述存储器内存储有可执行代码,所述可执行代码能够被所述处理器执行,以实现如权利要求1至8任意一项所述的智能变电站的资产学习方法。
10.一种计算机可读存储介质,其特征在于,存储有可执行代码,所述可执行代码能够被所述计算机可读存储介质所在的设备的处理器执行,以实现如权利要求1至7任意一项所述的智能变电站的资产学习方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910727624 | 2019-08-07 | ||
CN2019107276246 | 2019-08-07 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112350846A true CN112350846A (zh) | 2021-02-09 |
CN112350846B CN112350846B (zh) | 2024-01-09 |
Family
ID=74367859
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910937925.1A Active CN112350846B (zh) | 2019-08-07 | 2019-09-30 | 一种智能变电站的资产学习方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112350846B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111614512A (zh) * | 2020-04-27 | 2020-09-01 | 国网山东省电力公司电力科学研究院 | 基于层级关联的资产学习方法、装置、设备及智能变电站 |
CN111614511A (zh) * | 2020-04-27 | 2020-09-01 | 国网山东省电力公司电力科学研究院 | 跨层级的智能变电设备资产学习方法、装置及设备 |
CN113051870A (zh) * | 2021-03-04 | 2021-06-29 | 国网冀北电力有限公司承德供电公司 | 一种scd虚端子表制作方法和系统 |
CN113285937A (zh) * | 2021-05-17 | 2021-08-20 | 国网山东省电力公司电力科学研究院 | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
CN115913642A (zh) * | 2022-10-19 | 2023-04-04 | 云南电网有限责任公司 | 一种电力变电站网络威胁防护方法和装置 |
Citations (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594622A (zh) * | 2012-02-23 | 2012-07-18 | 河北省电力研究院 | 数字化变电站goose报文检测方法 |
US20120323381A1 (en) * | 2011-06-15 | 2012-12-20 | Cisco Technology, Inc. | Security Measures for the Smart Grid |
CN104486132A (zh) * | 2014-12-26 | 2015-04-01 | 武汉中元华电科技股份有限公司 | 一种电力系统中对网络拓扑反馈式检查的方法 |
CN104702466A (zh) * | 2015-02-12 | 2015-06-10 | 中国南方电网有限责任公司 | 一种基于iec62351的过程层安全测试系统及方法 |
CN105426454A (zh) * | 2015-11-12 | 2016-03-23 | 国网宁夏电力公司 | 智能电子设备与scd文件回路信息一致性检测方法 |
CN106372301A (zh) * | 2016-08-29 | 2017-02-01 | 西电通用电气自动化有限公司 | 智能变电站配置文件可视化及配置一致性检测方法和系统 |
CN106452900A (zh) * | 2016-11-04 | 2017-02-22 | 国网江西省电力公司电力科学研究院 | 一种基于网络协议的变电站工控系统仿真平台搭建方法 |
CN106452891A (zh) * | 2016-10-25 | 2017-02-22 | 北京博维亚讯技术有限公司 | 基于scd文件的vlan自动配置方法、装置及交换机 |
CN106712001A (zh) * | 2016-12-30 | 2017-05-24 | 国网浙江省电力公司绍兴供电公司 | 一种用于网络报文记录分析装置的数据建模方法 |
CN106844432A (zh) * | 2016-12-13 | 2017-06-13 | 国网北京市电力公司 | 数据处理方法和装置 |
CN107332702A (zh) * | 2017-06-27 | 2017-11-07 | 国网福建省电力有限公司 | 一种基于网络拓扑的scd文件可视化解析自动生成方法 |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
US20180183728A1 (en) * | 2016-12-27 | 2018-06-28 | Netspeed Systems, Inc. | Traffic mapping of a network on chip through machine learning |
CN109378900A (zh) * | 2018-11-15 | 2019-02-22 | 云南电网有限责任公司昆明供电局 | 智能变电站交换设备在线及投退的检测控制方法 |
CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
CN109462283A (zh) * | 2018-11-12 | 2019-03-12 | 山东鲁能智能技术有限公司 | 智能变电站单个设备流量监控方法及系统 |
CN109639655A (zh) * | 2018-11-30 | 2019-04-16 | 南京中新赛克科技有限责任公司 | 一种智能深度解析系统及解析方法 |
CN109639492A (zh) * | 2018-12-19 | 2019-04-16 | 众邦同力(武汉)技术有限公司 | 一种智能变电站设备自动识别方法及网络管理系统 |
WO2019094729A1 (en) * | 2017-11-09 | 2019-05-16 | Strong Force Iot Portfolio 2016, Llc | Methods and systems for the industrial internet of things |
CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
US20190170822A1 (en) * | 2017-12-05 | 2019-06-06 | State Grid Hebei Electric Power Research Institute | Fully-automatic closed-loop detection method and device for intelligent substation |
EP3503494A1 (en) * | 2017-12-22 | 2019-06-26 | Deutsche Telekom AG | Security system and security method for a data network and for terminal devices connected to the data network |
-
2019
- 2019-09-30 CN CN201910937925.1A patent/CN112350846B/zh active Active
Patent Citations (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120323381A1 (en) * | 2011-06-15 | 2012-12-20 | Cisco Technology, Inc. | Security Measures for the Smart Grid |
CN102594622A (zh) * | 2012-02-23 | 2012-07-18 | 河北省电力研究院 | 数字化变电站goose报文检测方法 |
CN104486132A (zh) * | 2014-12-26 | 2015-04-01 | 武汉中元华电科技股份有限公司 | 一种电力系统中对网络拓扑反馈式检查的方法 |
CN104702466A (zh) * | 2015-02-12 | 2015-06-10 | 中国南方电网有限责任公司 | 一种基于iec62351的过程层安全测试系统及方法 |
CN105426454A (zh) * | 2015-11-12 | 2016-03-23 | 国网宁夏电力公司 | 智能电子设备与scd文件回路信息一致性检测方法 |
CN106372301A (zh) * | 2016-08-29 | 2017-02-01 | 西电通用电气自动化有限公司 | 智能变电站配置文件可视化及配置一致性检测方法和系统 |
CN106452891A (zh) * | 2016-10-25 | 2017-02-22 | 北京博维亚讯技术有限公司 | 基于scd文件的vlan自动配置方法、装置及交换机 |
CN106452900A (zh) * | 2016-11-04 | 2017-02-22 | 国网江西省电力公司电力科学研究院 | 一种基于网络协议的变电站工控系统仿真平台搭建方法 |
CN106844432A (zh) * | 2016-12-13 | 2017-06-13 | 国网北京市电力公司 | 数据处理方法和装置 |
US20180183728A1 (en) * | 2016-12-27 | 2018-06-28 | Netspeed Systems, Inc. | Traffic mapping of a network on chip through machine learning |
CN106712001A (zh) * | 2016-12-30 | 2017-05-24 | 国网浙江省电力公司绍兴供电公司 | 一种用于网络报文记录分析装置的数据建模方法 |
CN107332702A (zh) * | 2017-06-27 | 2017-11-07 | 国网福建省电力有限公司 | 一种基于网络拓扑的scd文件可视化解析自动生成方法 |
WO2019094729A1 (en) * | 2017-11-09 | 2019-05-16 | Strong Force Iot Portfolio 2016, Llc | Methods and systems for the industrial internet of things |
US20190170822A1 (en) * | 2017-12-05 | 2019-06-06 | State Grid Hebei Electric Power Research Institute | Fully-automatic closed-loop detection method and device for intelligent substation |
EP3503494A1 (en) * | 2017-12-22 | 2019-06-26 | Deutsche Telekom AG | Security system and security method for a data network and for terminal devices connected to the data network |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
CN109462283A (zh) * | 2018-11-12 | 2019-03-12 | 山东鲁能智能技术有限公司 | 智能变电站单个设备流量监控方法及系统 |
CN109378900A (zh) * | 2018-11-15 | 2019-02-22 | 云南电网有限责任公司昆明供电局 | 智能变电站交换设备在线及投退的检测控制方法 |
CN109639655A (zh) * | 2018-11-30 | 2019-04-16 | 南京中新赛克科技有限责任公司 | 一种智能深度解析系统及解析方法 |
CN109639492A (zh) * | 2018-12-19 | 2019-04-16 | 众邦同力(武汉)技术有限公司 | 一种智能变电站设备自动识别方法及网络管理系统 |
CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
Non-Patent Citations (3)
Title |
---|
吕占彪;吕彦召;邓显俊;夏栋;: "智能变电站过程层网络报文特性分析与通信配置研究", 科技资讯, no. 01 * |
胡煜;张惠刚;: "基于GOOSE报文解析的变电站配置方法及图形化技术", 南京工程学院学报(自然科学版), no. 04 * |
莫裕倩;: "智能变电站二次设备端口自动识别方法", 广西电力, no. 06 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111614512A (zh) * | 2020-04-27 | 2020-09-01 | 国网山东省电力公司电力科学研究院 | 基于层级关联的资产学习方法、装置、设备及智能变电站 |
CN111614511A (zh) * | 2020-04-27 | 2020-09-01 | 国网山东省电力公司电力科学研究院 | 跨层级的智能变电设备资产学习方法、装置及设备 |
CN111614512B (zh) * | 2020-04-27 | 2022-04-15 | 国网山东省电力公司电力科学研究院 | 基于层级关联的资产学习方法、装置、设备及智能变电站 |
CN111614511B (zh) * | 2020-04-27 | 2022-09-20 | 国网山东省电力公司电力科学研究院 | 跨层级的智能变电设备资产学习方法、装置及设备 |
CN113051870A (zh) * | 2021-03-04 | 2021-06-29 | 国网冀北电力有限公司承德供电公司 | 一种scd虚端子表制作方法和系统 |
CN113285937A (zh) * | 2021-05-17 | 2021-08-20 | 国网山东省电力公司电力科学研究院 | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
CN115913642A (zh) * | 2022-10-19 | 2023-04-04 | 云南电网有限责任公司 | 一种电力变电站网络威胁防护方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112350846B (zh) | 2024-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112350846B (zh) | 一种智能变电站的资产学习方法、装置、设备及存储介质 | |
US8789182B2 (en) | Security event logging in process control | |
CN107818150B (zh) | 一种日志审计方法及装置 | |
CN103296755B (zh) | 一种变电站网络在线监测系统 | |
CN107294764A (zh) | 智能监管方法和智能监管系统 | |
CN103220173B (zh) | 一种报警监控方法及监控系统 | |
CN109587125B (zh) | 一种网络安全大数据分析方法、系统及相关装置 | |
CN110224865A (zh) | 一种基于流式处理的日志告警系统 | |
CN113157994A (zh) | 一种多源异构平台数据处理方法 | |
US20120109663A1 (en) | Advanced Metering Infrastructure Event Filtering | |
CN110929896A (zh) | 一种系统设备的安全分析方法及装置 | |
CN106656620A (zh) | 网络设备监控处理方法及系统 | |
CN108574627B (zh) | 一种sdn网络多控制域协同管理方法和系统 | |
JP2015095060A (ja) | ログ分析装置及び方法 | |
CN113849553A (zh) | 基于物联网设备数据采集的变电站数据采集与处理方法和系统 | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
CN111258798A (zh) | 监控数据的故障定位方法、装置、计算机设备及存储介质 | |
CN110677304A (zh) | 一种分布式问题追踪系统及设备 | |
CN116257021A (zh) | 一种工控系统智能网络安全态势监测预警平台 | |
CN103400220A (zh) | 一种网络设备信息的采集、分类以及固定标识的方法 | |
CN114328107A (zh) | 光磁融合存储服务器集群的监控方法、系统及电子设备 | |
CN105515192A (zh) | 输变电设备负荷数据接入电力系统的监控预警系统及方法 | |
CN113132370A (zh) | 一种普适的一体化安管中心系统 | |
CN114513342B (zh) | 一种智能变电站通信数据安全监测方法及系统 | |
CN110908956A (zh) | 一种保信主站系统及其故障信息归档方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information |
Address after: 311100 floor 10, building 4, No. 188, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Applicant after: Zhejiang Mulian Internet of things Technology Co.,Ltd. Address before: 311100 room 501-505, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou wooden chain Internet of things Technology Co.,Ltd. |
|
CB02 | Change of applicant information | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |