CN112737973A

CN112737973A - 一种基于协议感知的电力网络监控方法及系统

Info

Publication number: CN112737973A
Application number: CN202011466868.2A
Authority: CN
Inventors: 倪鹏程; 叶志远; 赵永生; 李志浩; 杨允志; 黄凯; 曹灿; 王红艳; 陈颢; 王磊; 凡恒山; 陈巨龙; 王文清; 汤亿则; 孔文杰
Original assignee: State Grid Information and Telecommunication Co Ltd; Anhui Jiyuan Software Co Ltd
Current assignee: State Grid Information and Telecommunication Co Ltd; Anhui Jiyuan Software Co Ltd
Priority date: 2020-12-14
Filing date: 2020-12-14
Publication date: 2021-04-30
Anticipated expiration: 2040-12-14
Also published as: CN112737973B

Abstract

本发明公开了一种基于协议感知的电力网络监控方法及系统，属于电力网络监控技术领域，包括：从电力网络通信流量中读取通信报文的字段，并识别字段中的网络传输协议；生成所识别的网络传输协议对应的安全白名单；选定安全白名单内的协议或业务类型的数据包作为待转发数据包；对待转发数据包做打标签处理后转发至厂站端以供厂站端进行验证，实现电力网络的监控。本发明可达到网络业务自适应、可编排、可控制、可视化及自主可控，使电力监控系统网络的安全性、可靠性、智能化及服务水平得到有效提升。

Description

一种基于协议感知的电力网络监控方法及系统

技术领域

本发明涉及电力网络监控技术领域，特别涉及一种基于协议感知的电力网络监控方法及系统。

背景技术

当前，以数字技术为代表的第四次工业革命正在加速改变世界，引领生产模式和组织方式的变革，对电网作业模式、企业管理流程再造、企业组织结构变革等方面产生深远影响，网络基础设施将面临海量物联网数据的接入和智能化数字化应用产生的高并发需求，要求网络具有更加灵活的组网能力、业务承载能力、业务感知能力和网络边缘计算等能力。

电力系统控制网络的总体结构是由变电站前段、传输网络控制中心和控制用户端三个主要部分组成，变电站前段由远程监控设备、远程监控组合网络服务组构成，主要功用是负责对监控对象实行远程监控，并将收集的相关数据传输至传输网络控制中心，控制中心则将这些数据进行处理，通过一定的途径反馈给监控用户端。

电力监控系统可与智能电表、带智能接口的低压断路器、中压集成保护继电器、变压器、直流屏等连接。实现五遥(遥控、遥测、遥信、遥调、遥设)等功能，实时采集和显示各种操作开关状态量的系统功率参数，完全了解配电系统的实时运行状态，及时识别故障并做出相应的决策和处理。同时，值班管理人员通过在监控系统中监测到配电系统的运行情况来进行负荷分析，合理调度，故障诊断，峰值削减和谷底填充。

综上所述，电力监控系统具有数据采集处理、故障报警分析、统计分析打印、趋势曲线分析、报表管理、用户管理、信息管理、人机交互HMI、设备维护管理、五遥、系统自诊断等功能。

然而，现有的电力监控系统网络系统多基于传统网络通信设备构建，从协议适配性、配置灵活性、安全可控性等诸多方面都无法适应日益增长的电力业务需求，特别是电力监控系统“全要素、全业务、全流程”的数字化转型的要求。现有的电力监控系统网络系统数据采集和处理大多基于传统网络通信设备构建，只能运行特定协议，缺乏配置灵活性，运行效率和智能化程度低。由于采用黑盒式设计，安全可控性差，无法适应日益增长的电力业务需求，特别是电力监控系统“全要素、全业务、全流程”的数字化转型的要求。

因此，在现有的网络设备操作系统封闭、低效的背景下，研制自主可控的电力监控系统网络设备、网络操作系统，提高网络操作系统对电网核心业务的智能感知能力、网络服务资源灵活调度能力和网络边缘计算服务能力，并逐渐演进成电力监控系统专用的全能型可视化的网络，通过自主可控的网络操作系统可进一步提高电力通信的网络安全，对电网调度数字和智慧化建设有着十分重要的实际意义及价值。

发明内容

本发明的目的在于克服上述背景技术中的不足，实现对电力监控系统的自主可控。

为实现以上目的，采用一种基于协议感知的电力网络监控方法，包括如下步骤：

从电力网络通信流量中读取通信报文的字段，并识别字段中的网络传输协议；

生成所识别的网络传输协议对应的安全白名单；

选定安全白名单内的协议或业务类型的数据包作为待转发数据包；

对待转发数据包做打标签处理后转发至厂站端以供厂站端进行验证，实现电力网络的监控。

进一步地，所述生成网络传输协议对应的安全白名单，包括：

对所述电力网络通信流量的通信报文进行统一的本地化特征处理，构建监控基础数据库；

对监控基础数据库中的数据进行应用层识别协议、业务类型和业务内容的分析，得到业务特征；

基于大数据和机器学习算法对业务特征进行多维度画像，建立业务行为对应的安全白名单。

进一步地，所述对待转发数据包做打标签处理后转发至厂站端，包括：

在所述待转发数据包的未使用字段添加标识字段；

利用所述待转发数据包对应的网络传输协议的转发控制策略，将所述待转发数据包转发至所述厂站端。

进一步地，所述在所述待转发数据包的未使用字段添加标识字段，包括：

所述待转发数据包的业务报文进入第一台交换机时，在存储转发的过程中进行打标签，并在首部中添加标识字段，同时记录日志；

业务报文进入后续流转交换机时，顺次加入标签信息，并记录日志；

业务报文进入最后一台交换机时，将标签信息提取到数据库中，同时删除所有添加的标签，并将其中的信息发送至所述厂站端的监控服务器进行解析。

进一步地，所述添加的标识字段为时间戳。

进一步地，还包括：

对禁止采用的网络传输协议设置相应的黑名单；

对黑名单内的协议或业务类型的数据包禁止转发通信。

另一方面，采用一种基于协议感知的电力网络监控系统，包括可编程网络设备、主站端和厂站端，其中可编程网络设备包括识别模块、白名单生成模块和选定模块：

识别模块用于从电力网络通信流量中读取通信报文的字段，并识别字段中的网络传输协议；

白名单生成模块用于生成所识别的网络传输协议对应的安全白名单；

选定模块用于选定安全白名单内的协议或业务类型的数据包作为待转发数据包；

在主站端对待转发数据包做打标签处理后并转发至厂站端以供厂站端进行验证，实现电力网络的监控。

进一步地，所述白名单生成模块包括基础数据库构建单元、分析单元和白名单建立单元；

基础数据库构建单元用于对所述电力网络通信流量的通信报文进行统一的本地化特征处理，构建监控基础数据库；

分析单元用于对监控基础数据库中的数据进行应用层识别协议、业务类型和业务内容的分析，得到业务特征；

白名单建立单元用于基于大数据和机器学习算法对业务特征进行多维度画像，建立业务行为对应的安全白名单。

进一步地，所述主站端包括添加单元、转发单元，其中：

添加单元用于在所述待转发数据包的未使用字段添加标识字段；

转发单元用于利用所述待转发数据包对应的网络传输协议的转发控制策略，将所述待转发数据包转发至所述厂站端。

进一步地，所述添加单元具体用于：

与现有技术相比，本发明存在以下技术效果：本发明通过对网络数据包的采集和处理，实现电力监控网络服务功能，达到网络业务自适应、可编排、可控制、可视化及自主可控，使电力监控系统网络的安全性、可靠性、智能化及服务水平得到有效提升。

附图说明

下面结合附图，对本发明的具体实施方式进行详细描述：

图1是一种基于协议感知的电力网络监控方法的流程图；

图2是报文特征识别示意图；

图3是标签注入过程示意图；

图4是一种基于协议感知的电力网络监控系统的结构图。

具体实施方式

为了更进一步说明本发明的特征，请参阅以下有关本发明的详细说明与附图。所附图仅供参考与说明之用，并非用来对本发明的保护范围加以限制。

如图1所示，本实施例公开了一种基于协议感知的电力网络监控方法，包括如下步骤S1至S4：

S1、从电力网络通信流量中读取通信报文的字段，并识别字段中的网络传输协议；

S2、生成所识别的网络传输协议对应的安全白名单；

S3、选定安全白名单内的协议或业务类型的数据包作为待转发数据包；

S4、对待转发数据包做打标签处理后转发至厂站端以供厂站端进行验证，实现电力网络的监控。

作为进一步优选的方案，上述步骤S2：生成所识别的网络传输协议对应的安全白名单，具体包括如下细分步骤S21至S23：

S21、对所述电力网络通信流量的通信报文进行统一的本地化特征处理，构建监控基础数据库；

S22、对监控基础数据库中的数据进行应用层识别协议、业务类型和业务内容的分析，得到业务特征；

需要说明的是，如图2所示，对协议类型的识别过程为：

分析报文段，

如果启动字符为68H，则为ICE101/104协议；

如果类型字段为0x88B8，则为GOOSE报文；

如果类型字段为0x88BA，则为SV报文；

如果类型字段为0x8100，则为IP报文。

S23、基于大数据和机器学习算法对业务特征进行多维度画像，建立业务行为对应的安全白名单。

需要说明的是，本实施例通过大数据和机器学习方法进行业务特征分析，从业务类型、网络质量、终端位置、安全威胁等实现多维画像。

具体过程如下：

网络数据包采集；

数据存储预处理，需要对所获信息进行数据清洗，同时格式标准化，将各网络行为数据集成，统一存储；

网络行为数据标签及特征构建，包括业务类型、网络质量、终端位置、安全威胁等级；

数据挖掘分析，通过对历史数据进行预处理后，进行标签与特征构建，将历史数据分为训练集和测试集，最终可得到机器学习模型；

网络异常行为预警，识别为危险访问，进行预警或禁止访问操作。

作为进一步优选的方案，本实施例方法还包括：

对禁止采用的网络传输协议设置相应的黑名单；

对黑名单内的协议或业务类型的数据包禁止转发通信。

具体地，可参考如下实施例：

(1)厂站交换机：厂站过程层的交换机，通常情况下只传输IEC61850协议，可设置IEC61850协议的白名单，白名单以外的数据包都不允转发，直接丢弃。

(2)主站I/II区的交换机：主站I/II区是不允许有HTTP、EMAIL、TELNET等协议，可设置相应的黑名单机制，从整个网络层面彻底禁止黑名单协议的通信。

本实施例通过生成电力监控系统网络的白名单，对识别结果中的协议或业务类型进行过滤，对已定义的协议或业务类型的数据包才进行数据转发，对应白名单外的所有数据报和流量都进行丢弃，并输出日志。

作为进一步优选的方案，上述步骤S4：对待转发数据包做打标签处理后转发至厂站端，具体包括如下细分步骤S41至S42：

S41、在所述待转发数据包的未使用字段添加标识字段；

S42、利用所述待转发数据包对应的网络传输协议的转发控制策略，将所述待转发数据包转发至所述厂站端。

作为进一步优选的方案，如图3所示，上述步骤S41：在所述待转发数据包的未使用字段添加标识字段，具体包括如下细分步骤S411至S413：

S411、所述待转发数据包的业务报文进入第一台交换机时，在存储转发的过程中进行打标签，并在首部中添加标识字段，如时间戳等，同时记录日志；

S412、业务报文进入后续流转交换机时，顺次加入标签信息，并记录日志；

S413、业务报文进入最后一台交换机时，将标签信息提取到数据库中，同时删除所有添加的标签，并将其中的信息发送至所述厂站端的监控服务器进行解析。

需要说明的是，本实施例在现有的网络设备操作系统封闭、低效的背景下，研制自主可控的电力监控系统网络设备、网络操作系统，提高网络操作系统对电网核心业务的智能感知能力、网络服务资源灵活调度能力和网络边缘计算服务能力，并逐渐演进成电力监控系统专用的全能型可视化的网络，通过自主可控的网络操作系统可进一步提高电力通信的网络安全，对电网调度数字和智慧化建设有着十分重要的实际意义及价值。

如图4所示，本实施例公开了一种基于协议感知的电力网络监控系统，包括可编程网络设备、主站端和厂站端，其中可编程网络设备包括识别模块、白名单生成模块和选定模块：

作为进一步优选的方案，所述白名单生成模块包括基础数据库构建单元、分析单元和白名单建立单元；

作为进一步优选的方案，所述主站端包括添加单元、转发单元，其中：

作为进一步优选的方案，所述添加单元具体用于：

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于协议感知的电力网络监控方法，其特征在于，包括：

生成所识别的网络传输协议对应的安全白名单；

2.如权利要求1所述的基于协议感知的电力网络监控方法，其特征在于，所述生成网络传输协议对应的安全白名单，包括：

3.如权利要求1所述的基于协议感知的电力网络监控方法，其特征在于，所述对待转发数据包做打标签处理后转发至厂站端，包括：

在所述待转发数据包的未使用字段添加标识字段；

4.如权利要求3所述的基于协议感知的电力网络监控方法，其特征在于，所述在所述待转发数据包的未使用字段添加标识字段，包括：

5.如权利要求4所述的基于协议感知的电力网络监控方法，其特征在于，所述添加的标识字段为时间戳。

6.如权利要求1-5任一项所述的基于协议感知的电力网络监控方法，其特征在于，还包括：

对禁止采用的网络传输协议设置相应的黑名单；

对黑名单内的协议或业务类型的数据包禁止转发通信。

7.一种基于协议感知的电力网络监控系统，其特征在于，包括可编程网络设备、主站端和厂站端，其中可编程网络设备包括识别模块、白名单生成模块和选定模块：

8.如权利要求7所述的基于协议感知的电力网络监控系统，其特征在于，所述白名单生成模块包括基础数据库构建单元、分析单元和白名单建立单元；

9.如权利要求7所述的基于协议感知的电力网络监控系统，其特征在于，所述主站端包括添加单元、转发单元，其中：

10.如权利要求9所述的基于协议感知的电力网络监控系统，其特征在于，所述添加单元具体用于：