CN113037745A

CN113037745A - 一种基于安全态势感知的智能变电站风险预警系统及方法

Info

Publication number: CN113037745A
Application number: CN202110247627.7A
Authority: CN
Inventors: 刘咸通; 李刚; 祝金会; 陈中伟; 王占魁; 黄镜宇; 吴军英; 赵林丛; 王静; 陈连栋; 申培培; 辛晓鹏; 杨超; 周文芳; 郑涛; 赵建斌; 康之增; 魏肖明; 王旭蕊
Original assignee: State Grid Corp of China SGCC; North China Electric Power University; Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; North China Electric Power University; Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Priority date: 2021-03-06
Filing date: 2021-03-06
Publication date: 2021-06-25

Abstract

本发明公开了一种基于安全态势感知的智能变电站风险预警系统及方法，所述系统包括智能变电站I区、站控层网络通信设备以及智能变电站态势感知硬件装置，所述智能变电站I区用于对智能变电站的运作状态进行实时监控；所述站控层网络通信设备用于根据智能变电站I区产生的运作状态对全站进行控制；所述智能变电站态势感知硬件装置用于风险检测和预警；所述方法首先提取系统的态势要素，然后对实时态势进行评估和理解，再对态势的发展进行预测，最终确定风险等级，若达到预警线则立即向变电站安管系统递交预警报告。本发明采用安全态势感知技术监测变电站的安全状态，并预测其运行趋势，能够进行准确的风险预警，确保变电站的运行安全。

Description

一种基于安全态势感知的智能变电站风险预警系统及方法

技术领域

本发明涉及智能变电站风险检测技术领域，特别是涉及一种基于安全态势感知的智能变电站风险预警系统及方法。

背景技术

随着信息技术的快速发展，信息安全问题影响越发严重，如今，变电站已进入智能化阶段，全站存在大量智能电子设备IED(Intelligent Electronic Device)，为网络攻击提供了可乘之机，现有技术在应对网络攻击时较为被动，无法及时规避风险。

智能变电站风险预警系统是根据变电站设备的运行状态，通过收集各设备的状态信息，监控风险因素的变动趋势，并评估各种风险状态偏离预警线的强弱程度，向站控层发出预警信号并制定防护策略的系统。风险预警一般要经过风险检测、风险评估、风险等级划分几个过程，其中风险检测最为关键，技术难度也最大。对于变电站风险检测而言，基于物理模型的检测方法使用特征矩阵或微分方程组求解，计算速度较快，但需事先获取变电站详细的拓扑结构及各设备的机电参数，不适合在线应用；基于数据驱动的检测方法虽不依赖设备参数，但方法中的阈值需要人为给定，数学原理复杂且计算速度慢；基于主成分分析法的检测方法由于未充分考虑变电站的非线性因素，检测结果准确率低。

态势感知技术最早应用在太空领域，如今已应用到军事、交通、电力等多个领域。安全态势感知主张对系统进行全面的动态检测，分析系统的安全环境，同时对系统的变化趋势做出评估，并通过收集、分析历史数据对潜在风险进行检测，对可能遭受的网络攻击进行预警。智能变电站的运作会产生大量信息，如设备及网络的实时运行日志信息、设备安全状态信息以及全站的稳态、动态、暂态数据信息等，在变电站的安防工作中，安全态势感知技术旨在能够准确地获取变电站的安全状态和运行趋势，快速对风险进行预测并向安管部门提交预警报告。安全态势感知技术应用到智能变电站的风险预警中可使其面对大规模网络攻击时提前采取有效的防御措施和应对手段。

发明内容

本发明的目的是提供一种基于安全态势感知的智能变电站风险预警系统及方法，针对变电站终端设备和网络环境在安防方面的薄弱环节，采用安全态势感知技术监测变电站的安全状态，并预测其运行趋势，能够进行准确的风险预警，确保变电站的运行安全。

为实现上述目的，本发明提供了如下方案：

一种基于安全态势感知的智能变电站风险预警系统，该系统包括：智能变电站I区，包括隔离装置、防火墙、加密认证装置、监管服务器和交换机，用于对智能变电站的运作状态进行实时监控；

站控层网络通信设备，包括数据通信控制器、保护管理机、远动工作站、规约转换装置和网络交换机，用于根据智能变电站I区产生的运作状态对全站进行控制；所述网络交换机与所述智能变电站I区的交换机通信连接；

智能变电站态势感知硬件装置，包括信息采集装置、数据处理中心、关联分析服务器、关联事件库，用于风险检测和预警；所述信息采集装置与所述站控层网络通信设备的数据通信控制器、远动工作站通信连接。

进一步的，所述数据通信控制器用于通过各类标准通信接口及规约建立起多类继电保护装置、数据采集装置、智能测控装置与后台监控系统间的信息联系；所述保护管理器用于完成通信转接和规约转换；所述远动工作站用于通过模拟通道或数字通道向调度端传输数据，同时接收调度端的遥控命令向变电站设备转发，还承担与子站的通信任务；所述规约转换装置用于多种保护装置及智能设备与当地监控、信息管理装置间的通信；所述网络交换机用于负责站级单元的信息共享和站内设备的在线监测、数据处理。

进一步的，所述信息采集装置用于采集变电站运行状态数据，采集完后送至数据处理中心进行预处理，生成原始态势数据，考虑到原始态势数据包含大量设备的安全事件数据，且事件数据上下文联系紧密，需要使用关联分析服务器对数据中的安全事件进行关联分析，发现事件之间的关联性或相关性，在分析了大量安全事件后形成变电站安全事件关联规则，最终将关联规则连同所有安全事件存入关联事件库。

本发明还提供了一种基于安全态势感知的智能变电站风险预警方法，应用于上述的基于安全态势感知的智能变电站风险预警系统，包括以下步骤：

S1，使用态势察觉模块通过主动探测与被动监听相结合的方式对智能变电站运行状态数据进行多层次多维度的数据收集，并通过多类传感器传输给信息采集装置，并进行格式处理；

S2，将处理后的智能变电站运行状态数据作为原始态势数据进行态势理解；

S3，将态势理解处理后的数据进行态势评估，由专题评估、要素评估和整体评估三个层次构成，每个层次分别从不同的维度对智能变电站安全态势进行评估；

S4，根据态势评估结果，对智能变电站的安全风险进行识别，根据风险识别结果对风险进综合评级，若风险等级到达预警线则进行态势预测，否则存入历史安全态势信息库；

S5，态势预测模块根据当前智能变电站安全状况，设定不同的场景和条件，根据智能变电站的历史安全态势信息和当前安全态势信息，建立符合变电站业务场景的分析模型并结合资产脆弱性进行态势预测；

S6，根据态势预测结果进行预警审批，审批通过后发布预警。

进一步的，所述步骤S1中，所述智能变电站运行状态数据包括六类数据：安全防护系统数据：来自防火墙、入侵检测系统、入侵防御系统、安全审计系统的日志或告警数据；服务器及主机数据：来自服务器和主机的安全日志；协同合作数据：来自安全决策部门发布的预警数据或第三方的威胁情报数据；通信网络重要节点数据：来自通信网络流量数据；威胁感知数据，来自防御系统捕获的网络攻击数据、对网络攻击源及攻击路径的追踪探测数据；资产脆弱性数据，为根据脆弱性评估、渗透测试发现的数据。

进一步的，所述步骤S1中，所述格式处理为：转换成XML格式。

进一步的，所述步骤S2中，将处理后的智能变电站运行状态数据作为原始态势数据进行态势理解，具体包括：

a.分析原始态势数据，将原始态势数据归类为资产数据、威胁数据以及脆弱性数据，不考虑数据类之间的关系；

b.去除重复冗余信息，合并同类数据，修正错误数据，得到规范化的资产数据集、威胁数据集以及脆弱性数据集；

c.将资产、威胁和脆弱性相关联，综合分析得到安全事件数据集。

进一步的，所述步骤S3中，由专题评估、要素评估和整体评估三个层次构成，每个层次分别从不同的维度对智能变电站安全态势进行评估，具体包括：

专题评估，针对智能变电站安全事件从资产、威胁、脆弱性三方面进行评估；

要素评估，对专题评估结果分别从保密性、完整性和可用性三方面进行评估；

整体评估，对要素评估结果进行整体评估。

进一步的，所述步骤S4中，对智能变电站的安全风险进行识别，具体包括人为风险和自然风险，所述人为风险包括入侵风险、传播风险和失效风险，所述自然风险包括设备老化或设备损坏以及电磁干扰。

根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明提供的基于安全态势感知的智能变电站风险预警系统及方法，通过智能变电站I区可对变电站的运作进行实时监控，站控层网络通信设备根据智能变电站I区产生的工作信息对全站进行控制，智能变电站态势感知硬件装置负责风险检测和预警；在预警方法中，首先进行信息采集，使用态势察觉模块发掘变电站运行状态数据，通过多类传感器传输给信息采集设备，并进行格式处理，为后面过程中的态势评估和预警提供必要的数据支持；然后进行风险处理，处理后的变电站运行状态数据为原始态势数据，已达到态势评估的格式要求，此时通过态势评估完成风险识别，态势评估模块使用精确的数学模型对原始态势数据进行分析，该模块提供了一个全面、定量的网络安全态势状况描述，是态势感知的核心；最后进行风险预警，先对风险进行评级从而确定其影响程度，然后使用态势预测模块根据历史安全态势信息并结合当前安全态势信息预测安全信息走势，最后进行严格的预警审批，形成预警报告后发布。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于安全态势感知的智能变电站风险预警系统的结构示意图；

图2为本发明基于安全态势感知的智能变电站风险预警方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种基于安全态势感知的智能变电站风险预警系统及方法，基于安全态势感知的智能变电站风险预警系统及方法，针对变电站终端设备和网络环境在安防方面的薄弱环节，采用安全态势感知技术监测变电站的安全状态，并预测其运行趋势，能够进行准确的风险预警，确保变电站的运行安全。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，本发明提供的基于安全态势感知的智能变电站风险预警系统，包括：

智能变电站I区，包括隔离装置、防火墙、加密认证装置、监管服务器和交换机，用于对智能变电站的运作状态进行实时监控；

其中，智能变电站I区属于控制区，区域内的设施协同工作，实现对变电站全站运行的实时控制，保障变电站运行的稳定性和安全性。智能变电站I区与站控层网络通信设备两者之间通过各种网络协议(如SNMP协议、Syslog协议)进行通信，实现安全事件信息的传递。

站控层网络通信设备中，所述数据通信控制器用于通过各类标准通信接口及规约建立起多类继电保护装置、数据采集装置、智能测控装置与后台监控系统间的信息联系；所述保护管理器用于完成通信转接和规约转换；所述远动工作站用于通过模拟通道或数字通道向调度端传输数据，同时接收调度端的遥控命令向变电站设备转发，还承担与子站的通信任务；所述规约转换装置用于多种保护装置及智能设备与当地监控、信息管理装置间的通信；所述网络交换机用于负责站级单元的信息共享和站内设备的在线监测、数据处理。

站控层网络通信设备中的数据通信控制器和远动工作站连接智能变电站态势感知硬件装置中的信息采集装置，实现变电站运行状态数据的传递。

智能变电站态势感知硬件装置中，信息采集装置负责采集变电站运行状态数据，采集完后送至数据处理中心进行预处理，生成原始态势数据，考虑到原始态势数据包含大量设备的安全事件数据，且事件数据上下文联系紧密，需要使用关联分析服务器对数据中的安全事件进行关联分析，从而发现事件之间的关联性或相关性，在分析了大量安全事件后可形成变电站安全事件关联规则，最终将关联规则连同所有安全事件存入关联事件库，为变电站风险预警工作提供决策支持。

如图2所示，本发明还提供了一种基于安全态势感知的智能变电站风险预警方法，应用于上述的基于安全态势感知的智能变电站风险预警系统，包括以下步骤：

S6，根据态势预测结果进行预警审批，审批通过后发布预警。变电站设置风险预警审查小组，专门负责预警信息的审查，若预警信息的完整性和准确性均达标则移交安防部门，安防部门负责预警信息的二次审查，若预警信息反映的风险威胁达到预警线则批准其发布。

其中，所述步骤S1中，所述智能变电站运行状态数据包括六类数据：安全防护系统数据：来自防火墙、入侵检测系统、入侵防御系统、安全审计系统的日志或告警数据；服务器及主机数据：来自服务器和主机的安全日志；协同合作数据：来自安全决策部门发布的预警数据或第三方的威胁情报数据；通信网络重要节点数据：来自通信网络流量数据；威胁感知数据，来自防御系统捕获的网络攻击数据、对网络攻击源及攻击路径的追踪探测数据；资产脆弱性数据，为根据脆弱性评估、渗透测试发现的数据。

所述步骤S1中，所述格式处理为：转换成XML格式。

所述步骤S2中，将处理后的智能变电站运行状态数据作为原始态势数据进行态势理解，具体包括：

态势理解负责对所有检测到的原始态势数据进行分析，以最大限度地保障原始态势数据的完整性和态势感知结果准确性和全面性。因变电站原始态势数据较为繁杂，为满足系统实时性的要求，可先进行简单的数据融合，然后分析融合后数据的相关性。

所述步骤S3中，由专题评估、要素评估和整体评估三个层次构成，每个层次分别从不同的维度对智能变电站安全态势进行评估，具体包括：

整体评估，对要素评估结果进行整体评估。

所述步骤S4中，对智能变电站的安全风险进行识别，具体包括人为风险和自然风险，所述人为风险包括入侵风险、传播风险和失效风险，所述自然风险包括设备老化或设备损坏以及电磁干扰，其中：

(1)入侵风险：拒绝服务、木马病毒、旁路控制、中间人攻击等；

(2)传播风险：重放攻击、证书篡改等；

(3)失效风险：违反授权、窃听拦截、欺骗服务、黑洞攻击等。

本发明提供的基于安全态势感知的智能变电站风险预警系统及方法，通过智能变电站I区可对变电站的运作进行实时监控，站控层网络通信设备根据智能变电站I区产生的工作信息对全站进行控制，智能变电站态势感知硬件装置负责风险检测和预警；在预警方法中，首先进行信息采集，使用态势察觉模块发掘变电站运行状态数据，通过多类传感器传输给信息采集设备，并进行格式处理，为后面过程中的态势评估和预警提供必要的数据支持；然后进行风险处理，处理后的变电站运行状态数据为原始态势数据，已达到态势评估的格式要求，此时通过态势评估完成风险识别，态势评估模块使用精确的数学模型对原始态势数据进行分析，该模块提供了一个全面、定量的网络安全态势状况描述，是态势感知的核心；最后进行风险预警，先对风险进行评级从而确定其影响程度，然后使用态势预测模块根据历史安全态势信息并结合当前安全态势信息预测安全信息走势，最后进行严格的预警审批，形成预警报告后发布。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种基于安全态势感知的智能变电站风险预警系统，其特征在于，包括：

2.根据权利要求1所述的基于安全态势感知的智能变电站风险预警系统，其特征在于，所述数据通信控制器用于通过各类标准通信接口及规约建立起多类继电保护装置、数据采集装置、智能测控装置与后台监控系统间的信息联系；所述保护管理器用于完成通信转接和规约转换；所述远动工作站用于通过模拟通道或数字通道向调度端传输数据，同时接收调度端的遥控命令向变电站设备转发，还承担与子站的通信任务；所述规约转换装置用于多种保护装置及智能设备与当地监控、信息管理装置间的通信；所述网络交换机用于负责站级单元的信息共享和站内设备的在线监测、数据处理。

3.根据权利要求1所述的基于安全态势感知的智能变电站风险预警系统，其特征在于，所述信息采集装置用于采集变电站运行状态数据，采集完后送至数据处理中心进行预处理，生成原始态势数据，考虑到原始态势数据包含大量设备的安全事件数据，且事件数据上下文联系紧密，需要使用关联分析服务器对数据中的安全事件进行关联分析，发现事件之间的关联性或相关性，在分析了大量安全事件后形成变电站安全事件关联规则，最终将关联规则连同所有安全事件存入关联事件库。

4.一种基于安全态势感知的智能变电站风险预警方法，其特征在于，应用于权利要求1-3任一所述的基于安全态势感知的智能变电站风险预警系统，其特征在于，包括以下步骤：

5.根据权利要求4所述的基于安全态势感知的智能变电站风险预警方法，其特征在于，所述步骤S1中，所述智能变电站运行状态数据包括六类数据：安全防护系统数据：来自防火墙、入侵检测系统、入侵防御系统、安全审计系统的日志或告警数据；服务器及主机数据：来自服务器和主机的安全日志；协同合作数据：来自安全决策部门发布的预警数据或第三方的威胁情报数据；通信网络重要节点数据：来自通信网络流量数据；威胁感知数据，来自防御系统捕获的网络攻击数据、对网络攻击源及攻击路径的追踪探测数据；资产脆弱性数据，为根据脆弱性评估、渗透测试发现的数据。

6.根据权利要求4所述的基于安全态势感知的智能变电站风险预警方法，其特征在于，所述步骤S1中，所述格式处理为：转换成XML格式。

7.根据权利要求5所述的基于安全态势感知的智能变电站风险预警方法，其特征在于，所述步骤S2中，将处理后的智能变电站运行状态数据作为原始态势数据进行态势理解，具体包括：

8.根据权利要求7所述的基于安全态势感知的智能变电站风险预警方法，其特征在于，所述步骤S3中，由专题评估、要素评估和整体评估三个层次构成，每个层次分别从不同的维度对智能变电站安全态势进行评估，具体包括：

整体评估，对要素评估结果进行整体评估。

9.根据权利要求1所述的基于安全态势感知的智能变电站风险预警方法，其特征在于，所述步骤S4中，对智能变电站的安全风险进行识别，具体包括人为风险和自然风险，所述人为风险包括入侵风险、传播风险和失效风险，所述自然风险包括设备老化或设备损坏以及电磁干扰。