CN114124538A - 一种智能变电站goose、sv报文的入侵检测方法 - Google Patents
一种智能变电站goose、sv报文的入侵检测方法 Download PDFInfo
- Publication number
- CN114124538A CN114124538A CN202111412573.1A CN202111412573A CN114124538A CN 114124538 A CN114124538 A CN 114124538A CN 202111412573 A CN202111412573 A CN 202111412573A CN 114124538 A CN114124538 A CN 114124538A
- Authority
- CN
- China
- Prior art keywords
- message
- goose
- field
- data packet
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明涉及智能变电站安全技术领域,具体涉及一种智能变电站GOOSE、SV报文的入侵检测方法及系统。本发明提供的入侵检测方法,包括以下步骤:接收CPE镜像流量,从流量中提取GOOSE或SV数据包以及与数据包对应的IP地址、UDP端口号的元数据和时间戳,并解析数据包以获取相关字段及内容;将与数据包对应的IP地址、UDP端口号、时间戳以及相关字段及内容存入第一数据表;检测数据包是否异常;进行DoS攻击检测;将检测出的异常数据包、与异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表,建立第一数据表与第二数据表之间的关联。本发明提供的入侵检测方法及系统能够适用于5G环境,降低了整个协议栈中可能面对的安全威胁。
Description
技术领域
本发明涉及智能变电站安全技术领域,具体涉及一种智能变电站GOOSE/SV报文的入侵检测方法及系统。
背景技术
配电网是国民经济和社会发展的重要公共基础设施,为确保各供电区域电力的可靠供应,往往建设光纤专网形成与之配套的电力通信网。智能变电站采用IEC61850协议,基于该协议中定义的GOOSE、SV报文,通过光纤专网传输数据和控制信号。但光纤专网灵活性差、建设成本高,随着分布式电源的广泛接入,传统配电网保护已经难以满足复杂配电网的特性要求,而客户对供电可靠性、持续性的要求不断提升,对配电网保护的快速性、可靠性、选择性提出了更高的要求。随着以5G为代表的无线通信技术发展,无线网络能够提供高速的传输速度和可靠的传输质量。将配电网承载于5G之上可以显著减少建设成本并提高部署和维护的灵活性。国家电网四川省电力公司眉山分公司于2019年底投运了全国首套5G配电网差动保护,初步验证了5G承载配电网保护业务的可行性。但传统电力数据报文经5G传输所带来的网络安全隐患是无法绕过的问题。目前已有的针对IEC61850的入侵检测系统并不适用于5G环境,且现有的入侵检测系统,仅考虑了针对报文本身可能存在的异常,而未考虑到整个协议栈中可能面对的安全威胁。
发明内容
为克服上述问题或部分解决上述问题,本发明的目的在于提供一种智能变电站GOOSE/SV报文的入侵检测方法及系统,以适用5G环境,并降低协议栈可能面临的安全威胁。
本发明通过下述技术方案实现:
第一方面,本发明实施例提供一种智能变电站GOOSE、SV报文的入侵检测方法,包括以下步骤:接收CPE镜像流量,从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳,解析所述数据包以获取GOOSE或SV的所有字段及字段内容;将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表;对所述GOOSE或SV的字段及字段内容进行分析,以检测数据包是否异常;基于所述IP地址及UDP端口号的元数据进行DoS攻击检测;将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表,将时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表与第二数据表之间的关联,从而实现异常数据包的原始数据包回溯。
基于第一方面,在本发明一些实施例中,还包括:所述元数据包括相同IP地址和UDP端口号的数据包的数量。
基于第一方面,在本发明一些实施例中,所述基于所述IP地址及UDP端口号的元数据进行DoS攻击检测包括:统计单位时间内具有相同IP地址和UDP端口号的数据包的数量,当数量超过设定的阈值时,判定为DoS攻击。
基于第一方面,在本发明一些实施例中,针对GOOSE数据包的异常检测方法包括:对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析,检测其中存在的异常行为。
基于第一方面,在本发明一些实施例中,所述针对GOOSE数据包的异常检测包括重启和配置错误检测,检测方法分别为:重启:当stnum字段等于1且sqnum字段等于1时,判定发生重启事件;配置错误:当ndscom字段为TRUE时,判定配置错误。
基于第一方面,在本发明一些实施例中,所述针对GOOSE数据包的异常检测包括检修,检测的方法为:当TEST字段为TRUE时,判定为检修。
基于第一方面,在本发明一些实施例中,所述针对GOOSE数据包的异常检测包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击,检测方法分别为:APPID异常:当前APPID字段与上一报文的APPID不一致时,判定发生APPID异常;虚假状态改变:当前报文的stnum不等于上一报文的stnum,且当前报文的dataset字段相较上一报文的dataset字段没有发生变化,判定为虚假状态改变;虚假配置改变:当前报文的confrev字段不等于上一报文的confrev字段,且当前报文的dataset字段相较上一报文的dataset字段没有发生变化,判定为虚假状态改变;运行状态改变:当前报文的stnum字段值等于上一报文的stnum字段值加1,且当前报文的sqnum等于0,判定为运行状态改变;报文乱序:当前报文的stnum字段值等于上一报文的stnum字段值,且当前报文的sqnum字段值等于上一报文sqnum字段值加1,判定为报文乱序;报文重放:当前报文的stnum字段值等于上一报文的stnum字段值,且当前报文的sqnum字段值等于上一报文sqnum字段值,判定为报文重放;高stnum攻击:当前报文的stnum字段值大于上一报文的stnum字段值加一,判定为高stnum攻击;DoS攻击:当前数据包传输速率大于正常GOOSE运行速率阈值,判定为DoS攻击。
基于第一方面,在本发明一些实施例中,针对SV数据包的异常检测方法包括:对SV上下文报文中的APPID或smpcnt字段进行分析,检测其中存在的异常行为。
基于第一方面,在本发明一些实施例中,所述针对SV数据包的异常检测包括重启、APPID异常、报文重放、高smpcnt攻击和DoS攻击,检测方法分别为:重启:当前报文的smpcnt字段值等于0,判定为重启;APPID异常:当前报文的APPID字段值不等于上一报文的APPID字段值,判定为APPID异常;报文重放:当前报文的smpcnt字段值等于上一报文的smpcnt字段值,判定为报文重放;高smpcnt攻击:当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一,判定为报文重放;DoS攻击:当前数据包传输速率大于正常SV运行速率阈值,判定为DoS攻击。
第二方面,本发明实施例提供一种智能变电站GOOSE、SV报文的入侵检测系统,其特征在于,包括:流量采集处理模块:用于接收CPE镜像流量,并从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳,解析所述数据包以获取GOOSE或SV的所有字段及字段内容;第一存储模块:将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表;第一入侵检测模块:用于对所述GOOSE或SV的字段及字段内容进行分析,以检测数据包是否异常;第二入侵检测模块:基于所述IP地址及UDP端口号的元数据进行DoS攻击检测;第二存储模块:将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表;将时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表、第二数据表、第三数据表和第四数据表之间的关联,从而实现异常数据包的原始数据包回溯。
本发明与现有技术相比,至少具有如下的优点和有益效果:
1)能够适用于5G环境。智能变电站在5G环境中通过CPE接入网络,因此要实现5G环境中的流量采集,需要在CPE(Customer Premise Equipment,客户终端设备)处采集流量。通过端口镜像方式对CPE流量进行复制,从而在旁路对流量进行采集,并使流量采集至部署本发明的主机。采集后的流量通过DPDK从网卡交由流量识别及解析装置进行处理。该流量采集方法采用纯软件化方式实现,不依赖于特殊硬件,在5G环境中即插即用,具有高性能的特点,因此适用于5G环境。
2)检测整个协议栈中可能面对的安全威胁。在5G环境中,GOOSE报文作为应用层协议由UDP层承载,因此不仅应当考虑GOOSE报文本身,还应当考虑在整个协议栈中可能面对的安全威胁。统计单位时间内具有相同IP地址和端口的数据包的数量,当数量超过设定的阈值时,则判定为DoS攻击。对于检测出的异常结果,可给出相应的告警信息,并将其存储在数据库中。
3)异常事件存储以方便异常数据包的原始数据包回溯分析。对于GOOSE或SV协议,其中一张数据表用于存储解析的数据包字段详情,包括时间戳、IP地址及端口和GOOSE/SV的所有字段及其内容;另一张数据表用于存储检测得到的异常信息,包括该异常数据包对应的时间戳、IP地址及端口和异常类型。在数据表中,可根据时间戳、IP地址及端口字段组成联合主键,实现不同数据表关联,从而实现异常信息的原始数据包回溯。
附图说明
为了更清楚地说明本发明示例性实施方式的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。在附图中:
图1为一种智能变电站GOOSE、SV报文的入侵检测方法一实施例的流程示意图;
图2为一种智能变电站GOOSE、SV报文的入侵检测系统一实施例的结构框图。
图标:1-流量采集处理模块;2-第一存储模块;3-第一入侵检测模块;4-第二入侵检测模块;5-第二存储模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
需要说明的是,在本发明的描述中,出现的术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参照图1,在本发明实施例提供一种智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,包括以下步骤:
S101、接收CPE镜像流量,从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳,解析所述数据包以获取GOOSE或SV的所有字段及字段内容;
智能变电站在5G环境中通过CPE接入网络,因此要实现5G环境中的流量采集,需要在CPE(Customer Premise Equipment,客户终端设备)处采集流量。通过端口镜像方式对CPE流量进行复制,从而在旁路对流量进行采集,并使流量采集至部署本发明的主机。采集后的流量通过DPDK从网卡交由流量识别及解析装置进行处理。该流量采集方法采用纯软件化方式实现,不依赖于特殊硬件,在5G环境中即插即用,具有高性能的特点,因此适用于5G环境。
在收集流量数据后,则从流量中提取GOOSE或SV数据包,以及对应的IP地址、UDP端口号及其元数据和对应的时间戳,并统计在网络层上单位时间内的数据包数量。同时,还需要对应用层上的GOOSE和SV协议进行解析,所有解析结果都存储于数据库。进一步的,对从流量中提取的GOOSE或SV数据包进行解析以获取数据包字段详情,其包括GOOSE或SV的所有字段及字段内容。
S102、将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表;
将上述步骤中分析获得的数据进行存储。若存储对象同时包含有GOOSE和SV报文,则应对两种报文分别进行存储,本实施例中以GOOSE报文为例,示例性的,将与GOOSE数据包对应IP地址、UDP端口号、时间戳以及GOOSE的所有字段及字段内容存入第一数据表,以便后续检测时进行数据的提取。
S103、对所述GOOSE或SV的字段及字段内容进行分析,以检测数据包是否异常;
示例性的,本实施例中,基于GOOSE及SV报文特征进行检测,并对异常行为进行告警,其中,其中数据包异常检测功能具体包括APPID改变、报文重启、连接中段、报文丢失、报文重复、报文变位、报文乱序、配置异常等。其中,当出现报文变位、报文重复或报文乱序异常时,也可能为针对GOOSE或SV的数据注入攻击。
针对GOOSE报文,具体的检测方法为:对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析,检测其中存在的异常行为。GOOSE报文异常包括三类:分别为1)重新配置、2)检修状态、3)告警事件,三类异常共包括11种事件。重新配置包括重启和配置错误;检修状态包括检修事件;告警事件包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击。下面依次阐述各种异常事件的检测方法:
重启:当stnum字段等于1且sqnum字段等于1时,判定发生重启事件。
配置错误:当ndscom字段为TRUE时,判定配置错误。
检修:当TEST字段为TRUE时,判定为检修。
APPID异常:当前APPID字段与上一报文的APPID不一致时,判定发生APPID异常
虚假状态改变:当前报文的stnum不等于上一报文的stnum,且当前报文的dataset字段相较上一报文的dataset字段没有发生变化,判定为虚假状态改变。
虚假配置改变:当前报文的confrev字段不等于上一报文的confrev字段,且当前报文的dataset字段相较上一报文的dataset字段没有发生变化,判定为虚假状态改变。
运行状态改变:当前报文的stnum字段值等于上一报文的stnum字段值加1,且当前报文的sqnum等于0,判定为运行状态改变。
报文乱序:当前报文的stnum字段值等于上一报文的stnum字段值,且当前报文的sqnum字段值等于上一报文sqnum字段值加1,判定为报文乱序。
报文重放:当前报文的stnum字段值等于上一报文的stnum字段值,且当前报文的sqnum字段值等于上一报文sqnum字段值,判定为报文重放。
高stnum攻击:当前报文的stnum字段值大于上一报文的stnum字段值加一,判定为高stnum攻击。
DoS攻击:当前数据包传输速率大于正常GOOSE运行速率阈值,判定为DoS攻击。
针对SV报文,具体的检测方法为:对SV上下文报文中的APPID或smpcnt字段进行分析,检测其中存在的异常行为。SV报文异常包括五种异常事件:重启、APPID异常、报文重放、高smpcnt攻击和DoS攻击。下面依次阐述各种异常事件的检测方法:重启:当前报文的smpcnt字段值等于0,判定为重启
APPID异常:当前报文的APPID字段值不等于上一报文的APPID字段值,判定为APPID异常。
报文重放:当前报文的smpcnt字段值等于上一报文的smpcnt字段值,判定为报文重放。
高smpcnt攻击:当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一,判定为报文重放。
DoS攻击:当前数据包传输速率大于正常SV运行速率阈值,判定为DoS攻击。
S104、基于所述IP地址及UDP端口号的元数据进行DoS攻击检测;
示例性的,除上述步骤S103中提到的对报文本身进行异常检测外,本步骤中则是检测通过网络层或传输层发起的DoS(Denial of Service,拒绝服务)攻击,其具体检测思路是根据IP地址和UDP端口统计数据包数量分析设定阈值进行DoS攻击检测。即根据步骤S101中从流量中提取获得的数据包及对应的IP地址、UDP端口号的元数据(元数据又称中介数据、中继数据,为描述数据的数据,主要是描述数据属性的信息,本实施例中指具有相同IP地址和UDP端口号的数据包的数量)进行判断。具体的,计算单位时间内具有相同IP地址和端口的数据包的数量,当数量超过设定的阈值时,则判定为DoS攻击。例如设定阈值为每秒10个数据包,而检测到每秒钟有30个具有相同IP地址和端口的数据包,从而触发DoS攻击告警。对于检测出的异常结果,可给出相应的告警信息,并将其存储在数据库中。
S105、将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表;将时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表与第二数据表之间的关联,从而实现异常数据包的原始数据包回溯。
为便于后续进行优化分析,本实施例中,则针对检测出的异常事件进行记录和保存,设计第二数据表,将S103步骤中检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型均存入第二数据表。进一步的,可以时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表与第二数据表之间的关联,如此则可实现异常数据包的原始数据包回溯。例如,当检测到GOOOSE数据包存在配置错误,根据该警报记录的时间戳、IP地址、UDP端口号,可以在数据库中查找对应数据包的各个字段的详细信息,从而分析具体是什么配置出现了错误。
实施例2
请参照图2,在本发明些实施例提供一种智能变电站GOOSE、SV报文的入侵检测系统,包括:流量采集处理模块1:用于接收CPE镜像流量,并从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳,解析所述数据包以获取GOOSE或SV的所有字段及字段内容;第一存储模块2:将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表;第一入侵检测模块3:用于对所述GOOSE或SV的字段及字段内容进行分析,以检测数据包是否异常;第二入侵检测模块4:基于所述IP地址及UDP端口号的元数据进行DoS攻击检测;第二存储模块5:将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表;将时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表、第二数据表、第三数据表和第四数据表之间的关联,从而实现异常数据包的原始数据包回溯。
示例性的,其中第一存储模块2、第二存储模块5可以为数据存储装置的一部分,第一存储模块2存储经流量采集处理模块1分析后的数据,对上层业务系统提供接口。同时第二存储模块5对上层检测结果(异常事件)进行存储,用于可视化分析等;第一入侵检测模块3与第二入侵检测模块4可以构成入侵检测装置的一部分,其中第一入侵检测模块3主要用于针对报文本身进行检测,第二入侵检测模块4则是对在网络层或传输层发起的DoS(拒绝服务,Denial of Service)攻击进行检测。
流量采集处理模块1采用端口镜像的方式与智能变电站所属的CPE(CustomerPremise Equipment,客户终端设备)相连接。流量采集处理模块1与数据存储装置相连接,入侵检测装置和数据存储装置互相连接。流量采集处理模块1收集并解析通过端口镜像捕获的来自智能变电站的流量,并将收集和解析的数据储存至数据存储装置。入侵检测装置根据流量采集处理装置解析的数据分析流量,进行安全检测。检测到的安全事件储存至数据存储装置。
本发明实施例所提供的系统可用于执行上述实施例所描述的方法,具体方法步骤见实施例1。在此不作赘述。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,包括以下步骤:
接收CPE镜像流量,从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳,解析所述数据包以获取GOOSE或SV的所有字段及字段内容;
将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表;
对所述GOOSE或SV的字段及字段内容进行分析,以检测数据包是否异常;
基于所述IP地址及UDP端口号的元数据进行DoS攻击检测;
将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表,将时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表与第二数据表之间的关联,从而实现异常数据包的原始数据包回溯。
2.根据权利要求1所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,还包括:所述元数据包括相同IP地址和UDP端口号的数据包的数量。
3.根据权利要求2所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述基于所述IP地址及UDP端口号的元数据进行DoS攻击检测包括:统计单位时间内具有相同IP地址和UDP端口号的数据包的数量,当数量超过设定的阈值时,判定为DoS攻击。
4.根据权利要求2所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,针对GOOSE数据包的异常检测方法包括:对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析,检测其中存在的异常行为。
5.根据权利要求4所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述针对GOOSE数据包的异常检测包括重启和配置错误检测,检测方法分别为:
重启:当stnum字段等于1且sqnum字段等于1时,判定发生重启事件;
配置错误:当ndscom字段为TRUE时,判定配置错误。
6.根据权利要求4所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述针对GOOSE数据包的异常检测包括检修,检测的方法为:当TEST字段为TRUE时,判定为检修。
7.根据权利要求4所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述针对GOOSE数据包的异常检测包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击,检测方法分别为:
APPID异常:当前APPID字段与上一报文的APPID不一致时,判定发生APPID异常;
虚假状态改变:当前报文的stnum不等于上一报文的stnum,且当前报文的dataset字段相较上一报文的dataset字段没有发生变化,判定为虚假状态改变;
虚假配置改变:当前报文的confrev字段不等于上一报文的confrev字段,且当前报文的dataset字段相较上一报文的dataset字段没有发生变化,判定为虚假状态改变;
运行状态改变:当前报文的stnum字段值等于上一报文的stnum字段值加1,且当前报文的sqnum等于0,判定为运行状态改变;
报文乱序:当前报文的stnum字段值等于上一报文的stnum字段值,且当前报文的sqnum字段值等于上一报文sqnum字段值加1,判定为报文乱序;
报文重放:当前报文的stnum字段值等于上一报文的stnum字段值,且当前报文的sqnum字段值等于上一报文sqnum字段值,判定为报文重放;
高stnum攻击:当前报文的stnum字段值大于上一报文的stnum字段值加一,判定为高stnum攻击;
DoS攻击:当前数据包传输速率大于正常GOOSE运行速率阈值,判定为DoS攻击。
8.根据权利要求2所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,针对SV数据包的异常检测方法包括:对SV上下文报文中的APPID或smpcnt字段进行分析,检测其中存在的异常行为。
9.根据权利要求8所述的智能变电站GOOSE、SV报文的入侵检测方法,其特征在于,所述针对SV数据包的异常检测包括重启、APPID异常、报文重放、高smpcnt攻击和DoS攻击,检测方法分别为:
重启:当前报文的smpcnt字段值等于0,判定为重启;
APPID异常:当前报文的APPID字段值不等于上一报文的APPID字段值,判定为APPID异常;
报文重放:当前报文的smpcnt字段值等于上一报文的smpcnt字段值,判定为报文重放;
高smpcnt攻击:当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一,判定为报文重放;
DoS攻击:当前数据包传输速率大于正常SV运行速率阈值,判定为DoS攻击。
10.一种智能变电站GOOSE、SV报文的入侵检测系统,其特征在于,包括:
流量采集处理模块:用于接收CPE镜像流量,并从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳,解析所述数据包以获取GOOSE或SV的所有字段及字段内容;
第一存储模块:将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表;
第一入侵检测模块:用于对所述GOOSE或SV的字段及字段内容进行分析,以检测数据包是否异常;
第二入侵检测模块:基于所述IP地址及UDP端口号的元数据进行DoS攻击检测;
第二存储模块:将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表;将时间戳、IP地址及UDP端口号组成联合主键,以建立第一数据表、第二数据表、第三数据表和第四数据表之间的关联,从而实现异常数据包的原始数据包回溯。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111412573.1A CN114124538B (zh) | 2021-11-25 | 2021-11-25 | 一种智能变电站goose、sv报文的入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111412573.1A CN114124538B (zh) | 2021-11-25 | 2021-11-25 | 一种智能变电站goose、sv报文的入侵检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124538A true CN114124538A (zh) | 2022-03-01 |
| CN114124538B CN114124538B (zh) | 2023-04-07 |
Family
ID=80372912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111412573.1A Active CN114124538B (zh) | 2021-11-25 | 2021-11-25 | 一种智能变电站goose、sv报文的入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124538B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024045095A1 (zh) * | 2022-08-31 | 2024-03-07 | 西门子股份公司 | 数据处理方法、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856372A (zh) * | 2014-03-11 | 2014-06-11 | 电信科学技术仪表研究所 | 一种数字化变电站goose报文的监测方法及监测装置 |
| CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
| CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
| CN107340436A (zh) * | 2016-04-28 | 2017-11-10 | 中国电力科学研究院 | 一种智能变电站继电保护采样数据异常模拟测试方法 |
| WO2018049584A1 (zh) * | 2016-09-14 | 2018-03-22 | 国家电网公司 | 一种变电站内通信网络中避免数据报文碰撞的方法 |
| CN109639503A (zh) * | 2019-01-03 | 2019-04-16 | 南京南瑞继保电气有限公司 | 一种基于变电站过程层网络设备的异常报文追溯实现方法 |
-
2021
- 2021-11-25 CN CN202111412573.1A patent/CN114124538B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856372A (zh) * | 2014-03-11 | 2014-06-11 | 电信科学技术仪表研究所 | 一种数字化变电站goose报文的监测方法及监测装置 |
| CN107340436A (zh) * | 2016-04-28 | 2017-11-10 | 中国电力科学研究院 | 一种智能变电站继电保护采样数据异常模拟测试方法 |
| CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
| WO2018049584A1 (zh) * | 2016-09-14 | 2018-03-22 | 国家电网公司 | 一种变电站内通信网络中避免数据报文碰撞的方法 |
| CN106953855A (zh) * | 2017-03-16 | 2017-07-14 | 国网江苏省电力公司淮安供电公司 | 一种对iec61850数字变电站goose报文的入侵检测的方法 |
| CN109639503A (zh) * | 2019-01-03 | 2019-04-16 | 南京南瑞继保电气有限公司 | 一种基于变电站过程层网络设备的异常报文追溯实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 丁修玲等: "基于报文解析的变电站过程层网络信息流异常保护方法", 《电力系统保护与控制》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024045095A1 (zh) * | 2022-08-31 | 2024-03-07 | 西门子股份公司 | 数据处理方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124538B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111092869B (zh) | 终端接入办公网络安全管控方法及认证服务器 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN105721198B (zh) | 一种视频监控系统日志安全审计方法 | |
| CN102355368B (zh) | 一种网络设备的故障处理方法及系统 | |
| EP1776823A1 (en) | Anomaly-based intrusion detection | |
| CN104852927A (zh) | 基于多源异构的信息安全综合管理系统 | |
| CN114124538B (zh) | 一种智能变电站goose、sv报文的入侵检测方法及系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN111669371B (zh) | 一种适用于电力网络的网络攻击还原系统及方法 | |
| CN113329017A (zh) | 网络安全风险的检测系统及方法 | |
| CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
| CN117040943B (zh) | 基于IPv6地址驱动的云网络内生安全防御方法和装置 | |
| CN111786990B (zh) | 一种针对web主动推送跳转页面的防御方法和系统 | |
| CN107682166A (zh) | 基于大数据的安全运维服务平台远程数据采集的实现方法 | |
| CN114826786B (zh) | 高速公路收费稽核系统 | |
| CN114500117B (zh) | 基于环网风暴流量特征的环网Master配置错误判断方法及装置 | |
| KR101131072B1 (ko) | 네트워크 시간 동기화 정보를 이용한 복수 단말 분류 방법 | |
| CN101360014B (zh) | 一种利用多点错位联合检测实现网络异常定位的方法 | |
| Li et al. | Campus network intrusion prevention and detection application research | |
| Li et al. | Research on the network security management based on data mining | |
| KR20040048466A (ko) | 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 | |
| Hongyan et al. | Network Fault Recognition Method Based on Network Topology Monitoring | |
| Shen et al. | Research on Flow Anomaly Detection Technology Based on NetFlow | |
| Huang et al. | A Correlation Analysis-Based Security Event Processing System for Power Networks | |
| CN117914511A (zh) | 一种基于数据交换、日志分析的安全审计系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |