CN112968869A - 一种电力生产控制大区的信息安全监测系统 - Google Patents
一种电力生产控制大区的信息安全监测系统 Download PDFInfo
- Publication number
- CN112968869A CN112968869A CN202110125914.0A CN202110125914A CN112968869A CN 112968869 A CN112968869 A CN 112968869A CN 202110125914 A CN202110125914 A CN 202110125914A CN 112968869 A CN112968869 A CN 112968869A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- production control
- power
- information
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 120
- 238000004519 manufacturing process Methods 0.000 title claims abstract description 40
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 19
- 238000004458 analytical method Methods 0.000 claims abstract description 19
- 230000006399 behavior Effects 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 14
- 238000001514 detection method Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 3
- 238000010248 power generation Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 241000272814 Anser sp. Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Abstract
本发明提供一种电力生产控制大区的信息安全监测系统,包括监控报文采集设备、监控报文分析设备和信息安全监测平台,监控报文采集设备用于对生产控制大区中的网络流量进行采集;监控报文分析设备用于根据应用环境,对不同的电力监控系统专用通信协议进行解析;信息安全监测平台分别与监控报文采集设备和监控报文分析设备信号连接,信息安全监测平台对监控报文采集设备采集的网络流量和监控报文分析设备解析的报文进行业务行为学习和异常行为监测,整合生产控制大区和管理信息大区中的安全设备日志,建立业务模型,感知电力监控网络中的信息安全异常行为和潜在攻击,保障电力系统的安全稳定进行。
Description
技术领域
本发明涉及工业控制系统现场网络信息安全技术领域,特别是涉及一种电力生产控制大区的信息安全监测系统。
背景技术
电力监控系统采用通用网络与信息技术,不可避免的引入了信息安全问题。尽管通过网络隔离技术将电力监控系统的生产控制大区与管理信息大区隔离开来,使得电力监控系统处于相对封闭安全的环境;但随着针对工业控制系统安全攻击的增加,以及各界对工控系统信息安全问题的关注,使得包括电力监控系统在内的控制系统的产品信息获取渠道更清晰,攻击者学习各种控制系统软件、固件和通信协议的机会增加。
目前的防火墙、入侵检测系统、防病毒、态势感知等信息安全产品的防护对象均为通用的IT设备、操作系统、软件和通信协议,无法针对性的分析和监测电力监控系统中的异常行为和潜在威胁。亟需一种监测系统,能够跨电力监控的生产控制大区和管理信息大区,针对电力监控系统的业务特点,同时联合传统安全设备,实现对电力生产监控网络的安全感知。
发明内容
有鉴于此,本发明的目的是针对现有技术的不足,提供一种电力生产控制大区的信息安全监测系统,可以针对电力监控系统的业务特点,同时联合传统安全设备,实现对电力生产监控网络的安全感知。
为达到上述目的,本发明采用以下技术方案:
一种电力生产控制大区的信息安全监测系统,监测系统包括:
监控报文采集设备,用于对生产控制大区中的网络流量进行采集;
监控报文分析设备,用于根据应用环境,对不同的电力监控系统专用通信协议进行解析;
信息安全监测平台,分别与监控报文采集设备和监控报文分析设备信号连接,信息安全监测平台对监控报文采集设备采集的网络流量和监控报文分析设备解析的报文进行业务行为学习和异常行为监测,整合生产控制大区和管理信息大区中的安全设备日志,建立业务模型,感知电力监控网络中的信息安全异常行为和潜在攻击。
进一步的,应用环境包括:电厂离散控制系统、电厂辅助控制系统、变电站自动化系统、调度自动化系统、配网自动化系统。
进一步的,信息安全监测平台对网络流量中的协议分布、发包频度、连接情况分布进行统计,识别流量级的异常行为并告警。
进一步的,信息安全监测平台根据系统、设备间的报文交互,自动学习业务逻辑关系和合法业务操作,识别业务操作中的异常行为并告警。
进一步的,生产控制大区和管理信息大区的安全设备包括生产控制大区中的防火墙、管理信息大区中防火墙、网络入侵检测系统、主机安全防护软件。
与现有技术相比,本发明提供的电力生产控制大区的信息安全监测系统具有以下有益效果:
本发明提供的电力生产控制大区的信息安全监测系统包括监控报文采集设备、监控报文分析设备和信息安全监测平台。通过对生产控制大区中的网络流量进行采集,根据应用环境对不同的电力监控系统专用通信协议进行解析;整合生产控制大区和管理信息大区中的安全设备日志,建立业务模型,感知电力监控网络中的信息安全异常行为和潜在攻击,保障电力系统的安全稳定进行。
附图说明
下面结合附图对本发明做进一步的详细说明。
图1是本发明提供的电力生产控制大区的信息安全监测系统的示意图。
具体实施方式
下面结合实施例对本发明作进一步说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1是本发明提供的电力生产控制大区的信息安全监测系统的示意图。本发明提供的电力生产控制大区的信息安全监测系统包括监控报文采集设备、监控报文分析设备和信息安全监测平台。
监控报文采集设备和监控报文分析设备连接生产控制大区中关键交换机设备,监控报文采集设备用于对生产控制大区中的网络流量进行采集;监控报文分析设备,用于根据应用环境对不同的电力监控系统专用通信协议进行解析。
应用环境包括有很多,包含但不限于电厂离散控制系统、电厂辅助控制系统、变电站自动化系统、调度自动化系统、配网自动化系统。以本发明所述系统应用于调度自动化系统安全监控为例,监控报文采集设备和监控报文分析设备分别部署于变电站和调度中心,在变电站侧连接变电站站控层交换机、过程层交换机和变电站出口交换机,在调度中心侧连接数据采集前置服务器两侧的交换机对流量进行采集,解析的应用层协议包括IEC61850MMS、IEC 61850GOOSE、IEC 61850SV和IEC 60870-5-104。
信息安全监测平台分别与监控报文采集设备和监控报文分析设备信号连接,信息安全监测平台对监控报文采集设备采集的网络流量和监控报文分析设备解析的报文进行业务行为学习和异常行为监测,整合生产控制大区和管理信息大区中的安全设备日志,建立业务模型,感知电力监控网络中的信息安全异常行为和潜在攻击。
信息安全监测平台对网络流量中的协议分布、发包频度、连接情况分布进行统计,识别流量级的异常行为并告警。根据采集到的流量信息,基于源IP、目的IP、源MAC、目的MAC、端口等信息,分析网内设备节点连接情况、不同类型业务流量占用分布情况、网络流量走势,建立常规网络流量模型作为基准,对异常情况进行识别并告警。
信息安全监测平台根据系统、设备间的报文交互,自动学习业务逻辑关系和合法业务操作,识别业务操作中的异常行为并告警。也就是说可以根据解析后的报文,分析节点间通信内容、频度和关联关系,建立业务逻辑模型,对指令级异常行为进行报警。
以监测系统应用于调度自动化系统安全监控为例,通过对变电站内IEC61850MMS协议报文进行解析,解析后信息主要包括源IP、目的IP、源MAC、目的MAC、MMS PDU类型、MMS服务类型、物理设备、逻辑设备和逻辑节点名称、MMS服务内容,通过这些信息与标准Q/GDW1396-2012进行对照,可以识别设备在变电站网络中的逻辑位置(如:站控层、间隔层)和设备类型(如:测控设备、保护设备)和连接关系,并根据服务内容建立起合理的业务通信关系(如:监控后台仅向测控设备发送控制命令、不同控制命令对应的控制模式)、通信内容(如:各逻辑节点的数据集大小、测量值的合理范围)和不同故障情况下设备通信逻辑顺序,从而掌握正常的变电站通信业务逻辑,当存在违反通信关系、违反通信内容和通信逻辑顺序等通信异常行为时,进行报警。
在一些优选的实施例中,监测系统可以实现生产控制大区和管理信息大区的安全设备日志信息与报文关联分析。生产控制大区和管理信息大区的安全设备包括生产控制大区中的防火墙、管理信息大区中防火墙、网络入侵检测系统、主机安全防护软件。
以IP地址、设备名称、操作系统用户名、应用系统进程、应用系统用户名等信息元素,将安全设备和系统日志与网络报文进行关联,若发现电力监控系统中流量或指令行为异常的同时,关联防火墙日志、网络入侵检测系统日志、主机安全防护软件日志、主机监控系统日志、邮件系统日志、IDS系统日志也发现异常行为,增可以判定电力监控系统中流量或指令行为异常与邮件钓鱼、病毒感染、恶意入侵等信息安全攻击行为存在关联关系。
识别电力监控系统中流量或指令行为异常是否与嗅探、邮件钓鱼、病毒感染等信息安全攻击行为存在关联关系,同时对于安全设备和系统发现的信息安全异常是否与电力监控系统设备、进程和权限存在关联关系。以发明所述系统应用于调度自动化系统安全监控为例,当变电站远动设备收到IEC 60870-5-104“遥控”命令时,若该命令报文的源IP地址与正常的调度遥控命令不同,那么在本发明所述信息安全监测平台异常告警的同时,关联该源IP地址对应的主机的主机安全监测日志,查看该主机是否感染病毒或木马,木马或病毒是否对该主机上的电力监控系统进程进行了修改;关联防火墙和IDS日志,查看该源IP地址是否存在大量尝试访问其他非电力监控系统IP地址104协议端口的情况;关联该主机上电力监控系统应用用户对应公司邮箱在邮件审计系统中的行为,查看该用户是否存在邮件泄露电力监控系统应用用户名和口令的情况。
在一些优选的实施例中,监测系统可以对潜在攻击行为分析并告警。具体是根据关联分析结果,对异常事件进行审计,对潜在攻击行为进行路径建模并告警。
以监测系统应用于调度自动化系统安全监控为例,当变电站远动设备收到IEC60870-5-104“遥控”命令时,若该命令报文的源IP地址与正常的调度遥控命令不同。关联该源IP地址对应的主机的主机安全监测日志,若存在病毒并对电力监控系统进程进行了修改;关联防火墙和IDS日志,若该源IP地址存在大量尝试访问其他IP地址104协议端口的情况,且存在与Internet互联网定时通信的情况;关联该主机上电力监控系统应用用户对应公司邮箱在邮件审计系统中的行为,若该用户存在邮件泄露常用用户名和口令的情况。该以电力监控系统为目标的潜在攻击行为的路径可以描述为通过社会工程学或网站钓鱼获得电力监控系统应用系统权限,通过病毒感染电力监控系统所在主机并操作电力监控系统。信息安全监测平台部署在调度中心生产控制大区,可以通过调度数据网与生产控制大区监控报文采集与分析设备进行通信。安全设备和系统的日志可以分别接入平台中,也可以通过SOC类系统统一接入平台中。
本发明提供的电力生产控制大区的信息安全监测系统,通过对生产控制大区中的网络流量进行采集,根据应用环境对不同的电力监控系统专用通信协议进行解析;整合生产控制大区和管理信息大区中的安全设备日志,建立业务模型,感知电力监控网络中的信息安全异常行为和潜在攻击,保障电力系统的安全稳定进行,在网络信息安全技术领域有很强的实用性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (5)
1.一种电力生产控制大区的信息安全监测系统,其特征在于,所述系统包括:
监控报文采集设备,用于对生产控制大区中的网络流量进行采集;
监控报文分析设备,用于根据应用环境,对不同的电力监控系统专用通信协议进行解析;及
信息安全监测平台,其分别与所述监控报文采集设备和所述监控报文分析设备信号连接,所述信息安全监测平台对所述监控报文采集设备采集的网络流量和所述监控报文分析设备解析的报文进行业务行为学习和异常行为监测,整合生产控制大区和管理信息大区中的安全设备日志,建立业务模型,感知电力监控网络中的信息安全异常行为和潜在攻击。
2.根据权利要求1所述的一种电力生产控制大区的信息安全监测系统,其特征在于,所述应用环境包括:电厂离散控制系统、电厂辅助控制系统、变电站自动化系统、调度自动化系统、配网自动化系统。
3.根据权利要求1所述的一种电力生产控制大区的信息安全监测系统,其特征在于,所述信息安全监测平台对网络流量中的协议分布、发包频度、连接情况分布进行统计,识别流量级的异常行为并告警。
4.根据权利要求1所述的一种电力生产控制大区的信息安全监测系统,其特征在于,所述信息安全监测平台根据系统、设备间的报文交互,自动学习业务逻辑关系和合法业务操作,识别业务操作中的异常行为并告警。
5.根据权利要求1所述的一种电力生产控制大区的信息安全监测系统,其特征在于,所述生产控制大区和管理信息大区的安全设备包括生产控制大区中的防火墙、管理信息大区中防火墙、网络入侵检测系统、主机安全防护软件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110125914.0A CN112968869A (zh) | 2021-01-29 | 2021-01-29 | 一种电力生产控制大区的信息安全监测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110125914.0A CN112968869A (zh) | 2021-01-29 | 2021-01-29 | 一种电力生产控制大区的信息安全监测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112968869A true CN112968869A (zh) | 2021-06-15 |
Family
ID=76273593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110125914.0A Pending CN112968869A (zh) | 2021-01-29 | 2021-01-29 | 一种电力生产控制大区的信息安全监测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112968869A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114266051A (zh) * | 2022-03-03 | 2022-04-01 | 江苏政采数据科技有限公司 | 一种电力生产系统内部的综合恶意代码检测系统及其方法 |
| CN114422162A (zh) * | 2021-11-26 | 2022-04-29 | 中国大唐集团科学技术研究院有限公司火力发电技术研究院 | 一种火电机组的生产控制大区安全态势感知系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2182610A1 (en) * | 2008-10-31 | 2010-05-05 | ABB Research Ltd. | A method and a system for monitoring and/or diagnosing electric power equipment and especially high voltage equipment |
| CN104333551A (zh) * | 2014-10-31 | 2015-02-04 | 上海电机学院 | 一种电力二次系统主动安全防御系统 |
| CN107241224A (zh) * | 2017-06-09 | 2017-10-10 | 珠海市鸿瑞软件技术有限公司 | 一种变电站的网络风险监测方法及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
-
2021
- 2021-01-29 CN CN202110125914.0A patent/CN112968869A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2182610A1 (en) * | 2008-10-31 | 2010-05-05 | ABB Research Ltd. | A method and a system for monitoring and/or diagnosing electric power equipment and especially high voltage equipment |
| CN104333551A (zh) * | 2014-10-31 | 2015-02-04 | 上海电机学院 | 一种电力二次系统主动安全防御系统 |
| CN107241224A (zh) * | 2017-06-09 | 2017-10-10 | 珠海市鸿瑞软件技术有限公司 | 一种变电站的网络风险监测方法及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422162A (zh) * | 2021-11-26 | 2022-04-29 | 中国大唐集团科学技术研究院有限公司火力发电技术研究院 | 一种火电机组的生产控制大区安全态势感知系统 |
| CN114422162B (zh) * | 2021-11-26 | 2024-06-07 | 内蒙古大唐国际托克托发电有限责任公司 | 一种用于火电机组的生产控制大区安全态势感知系统 |
| CN114266051A (zh) * | 2022-03-03 | 2022-04-01 | 江苏政采数据科技有限公司 | 一种电力生产系统内部的综合恶意代码检测系统及其方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108063753A (zh) | 一种信息安全监测方法及系统 | |
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| CN109067596B (zh) | 一种变电站网络安全态势感知方法及系统 | |
| EP2721801B1 (en) | Security measures for the smart grid | |
| CN108055282A (zh) | 基于自学习白名单的工控异常行为分析方法及系统 | |
| US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| EP2953298A1 (en) | Log analysis device, information processing method and program | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
| CN106982235A (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 | |
| KR101880162B1 (ko) | 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법 | |
| CN102257787B (zh) | 网络分析 | |
| CN106302540A (zh) | 基于变电站信息安全的通信网络安全检测系统及方法 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| CN104468631A (zh) | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 | |
| CN110113336B (zh) | 一种用于变电站网络环境的网络流量异常分析与识别方法 | |
| CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| CN112968869A (zh) | 一种电力生产控制大区的信息安全监测系统 | |
| CN117499155A (zh) | 一种基于大数据的子网安全性评估方法及系统 | |
| CN116668078A (zh) | 一种互联网入侵安全防御系统 | |
| CN112769709A (zh) | 一种物联网终端设备安全防护系统 | |
| Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
| Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
| CN102104606B (zh) | 一种内网蠕虫主机检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210615 |
|
| RJ01 | Rejection of invention patent application after publication |