CN114124538B - 一种智能变电站goose、sv报文的入侵检测方法及系统 - Google Patents

Abstract

本发明涉及智能变电站安全技术领域，具体涉及一种智能变电站GOOSE、SV报文的入侵检测方法及系统。本发明提供的入侵检测方法，包括以下步骤：接收CPE镜像流量，从流量中提取GOOSE或SV数据包以及与数据包对应的IP地址、UDP端口号的元数据和时间戳，并解析数据包以获取相关字段及内容；将与数据包对应的IP地址、UDP端口号、时间戳以及相关字段及内容存入第一数据表；检测数据包是否异常；进行DoS攻击检测；将检测出的异常数据包、与异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表，建立第一数据表与第二数据表之间的关联。本发明提供的入侵检测方法及系统能够适用于5G环境，降低了整个协议栈中可能面对的安全威胁。

Description

一种智能变电站GOOSE、SV报文的入侵检测方法及系统

技术领域

本发明涉及智能变电站安全技术领域，具体涉及一种智能变电站GOOSE/SV报文的入侵检测方法及系统。

背景技术

配电网是国民经济和社会发展的重要公共基础设施，为确保各供电区域电力的可靠供应，往往建设光纤专网形成与之配套的电力通信网。智能变电站采用IEC61850协议，基于该协议中定义的GOOSE、SV报文，通过光纤专网传输数据和控制信号。但光纤专网灵活性差、建设成本高，随着分布式电源的广泛接入，传统配电网保护已经难以满足复杂配电网的特性要求，而客户对供电可靠性、持续性的要求不断提升，对配电网保护的快速性、可靠性、选择性提出了更高的要求。随着以5G为代表的无线通信技术发展，无线网络能够提供高速的传输速度和可靠的传输质量。将配电网承载于5G之上可以显著减少建设成本并提高部署和维护的灵活性。国家电网四川省电力公司眉山分公司于2019年底投运了全国首套5G配电网差动保护，初步验证了5G承载配电网保护业务的可行性。但传统电力数据报文经5G传输所带来的网络安全隐患是无法绕过的问题。目前已有的针对IEC61850的入侵检测系统并不适用于5G环境，且现有的入侵检测系统，仅考虑了针对报文本身可能存在的异常，而未考虑到整个协议栈中可能面对的安全威胁。

发明内容

为克服上述问题或部分解决上述问题，本发明的目的在于提供一种智能变电站GOOSE/SV报文的入侵检测方法及系统，以适用5G环境，并降低协议栈可能面临的安全威胁。

本发明通过下述技术方案实现：

第一方面，本发明实施例提供一种智能变电站GOOSE、SV报文的入侵检测方法，包括以下步骤：接收CPE镜像流量，从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳，解析所述数据包以获取GOOSE或SV的所有字段及字段内容；将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表；对所述GOOSE或SV的字段及字段内容进行分析，以检测数据包是否异常；基于所述IP地址及UDP端口号的元数据进行DoS攻击检测；将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表，将时间戳、IP地址及UDP端口号组成联合主键，以建立第一数据表与第二数据表之间的关联，从而实现异常数据包的原始数据包回溯。

基于第一方面，在本发明一些实施例中，还包括：所述元数据包括相同IP地址和UDP端口号的数据包的数量。

基于第一方面，在本发明一些实施例中，所述基于所述IP地址及UDP端口号的元数据进行DoS攻击检测包括：统计单位时间内具有相同IP地址和UDP端口号的数据包的数量，当数量超过设定的阈值时，判定为DoS攻击。

基于第一方面，在本发明一些实施例中，针对GOOSE数据包的异常检测方法包括：对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析，检测其中存在的异常行为。

基于第一方面，在本发明一些实施例中，所述针对GOOSE数据包的异常检测包括重启和配置错误检测，检测方法分别为：重启：当stnum字段等于1且sqnum字段等于1时，判定发生重启事件；配置错误：当ndscom字段为TRUE时，判定配置错误。

基于第一方面，在本发明一些实施例中，所述针对GOOSE数据包的异常检测包括检修，检测的方法为：当TEST字段为TRUE时，判定为检修。

基于第一方面，在本发明一些实施例中，所述针对GOOSE数据包的异常检测包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击，检测方法分别为：APPID异常：当前APPID字段与上一报文的APPID不一致时，判定发生APPID异常；虚假状态改变：当前报文的stnum不等于上一报文的stnum，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假状态改变；虚假配置改变：当前报文的confrev字段不等于上一报文的confrev字段，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假配置改变；运行状态改变：当前报文的stnum字段值等于上一报文的stnum字段值加1，且当前报文的sqnum等于0，判定为运行状态改变；报文乱序：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值加1，判定为报文乱序；报文重放：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值，判定为报文重放；高stnum攻击：当前报文的stnum字段值大于上一报文的stnum字段值加一，判定为高stnum攻击；DoS攻击：当前数据包传输速率大于正常GOOSE运行速率阈值，判定为DoS攻击。

基于第一方面，在本发明一些实施例中，针对SV数据包的异常检测方法包括：对SV上下文报文中的APPID或smpcnt字段进行分析，检测其中存在的异常行为。

基于第一方面，在本发明一些实施例中，所述针对SV数据包的异常检测包括重启、APPID异常、报文重放、高smpcnt攻击和DoS攻击，检测方法分别为：重启：当前报文的smpcnt字段值等于0，判定为重启；APPID异常：当前报文的APPID字段值不等于上一报文的APPID字段值，判定为APPID异常；报文重放：当前报文的smpcnt字段值等于上一报文的smpcnt字段值，判定为报文重放；高smpcnt攻击：当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一，判定为报文重放；DoS攻击：当前数据包传输速率大于正常SV运行速率阈值，判定为DoS攻击。

第二方面，本发明实施例提供一种智能变电站GOOSE、SV报文的入侵检测系统，其特征在于，包括：流量采集处理模块：用于接收CPE镜像流量，并从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳，解析所述数据包以获取GOOSE或SV的所有字段及字段内容；第一存储模块：将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表；第一入侵检测模块：用于对所述GOOSE或SV的字段及字段内容进行分析，以检测数据包是否异常；第二入侵检测模块：基于所述IP地址及UDP端口号的元数据进行DoS攻击检测；第二存储模块：将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表；将时间戳、IP地址及UDP端口号组成联合主键，以建立第一数据表、第二数据表、第三数据表和第四数据表之间的关联，从而实现异常数据包的原始数据包回溯。

本发明与现有技术相比，至少具有如下的优点和有益效果：

1)能够适用于5G环境。智能变电站在5G环境中通过CPE接入网络，因此要实现5G环境中的流量采集，需要在CPE(Customer Premise Equipment，客户终端设备)处采集流量。通过端口镜像方式对CPE流量进行复制，从而在旁路对流量进行采集，并使流量采集至部署本发明的主机。采集后的流量通过DPDK从网卡交由流量识别及解析装置进行处理。该流量采集方法采用纯软件化方式实现，不依赖于特殊硬件，在5G环境中即插即用，具有高性能的特点，因此适用于5G环境。

2)检测整个协议栈中可能面对的安全威胁。在5G环境中，GOOSE报文作为应用层协议由UDP层承载，因此不仅应当考虑GOOSE报文本身，还应当考虑在整个协议栈中可能面对的安全威胁。统计单位时间内具有相同IP地址和端口的数据包的数量，当数量超过设定的阈值时，则判定为DoS攻击。对于检测出的异常结果，可给出相应的告警信息，并将其存储在数据库中。

3)异常事件存储以方便异常数据包的原始数据包回溯分析。对于GOOSE或SV协议，其中一张数据表用于存储解析的数据包字段详情，包括时间戳、IP地址及端口和GOOSE/SV的所有字段及其内容；另一张数据表用于存储检测得到的异常信息，包括该异常数据包对应的时间戳、IP地址及端口和异常类型。在数据表中，可根据时间戳、IP地址及端口字段组成联合主键，实现不同数据表关联，从而实现异常信息的原始数据包回溯。

附图说明

为了更清楚地说明本发明示例性实施方式的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。在附图中：

图1为一种智能变电站GOOSE、SV报文的入侵检测方法一实施例的流程示意图；

图2为一种智能变电站GOOSE、SV报文的入侵检测系统一实施例的结构框图。

图标：1-流量采集处理模块；2-第一存储模块；3-第一入侵检测模块；4-第二入侵检测模块；5-第二存储模块。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

需要说明的是，在本发明的描述中，出现的术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

请参照图1，在本发明实施例提供一种智能变电站GOOSE、SV报文的入侵检测方法，其特征在于，包括以下步骤：

S101、接收CPE镜像流量，从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳，解析所述数据包以获取GOOSE或SV的所有字段及字段内容；

智能变电站在5G环境中通过CPE接入网络，因此要实现5G环境中的流量采集，需要在CPE(Customer Premise Equipment，客户终端设备)处采集流量。通过端口镜像方式对CPE流量进行复制，从而在旁路对流量进行采集，并使流量采集至部署本发明的主机。采集后的流量通过DPDK从网卡交由流量识别及解析装置进行处理。该流量采集方法采用纯软件化方式实现，不依赖于特殊硬件，在5G环境中即插即用，具有高性能的特点，因此适用于5G环境。

在收集流量数据后，则从流量中提取GOOSE或SV数据包，以及对应的IP地址、UDP端口号及其元数据和对应的时间戳，并统计在网络层上单位时间内的数据包数量。同时，还需要对应用层上的GOOSE和SV协议进行解析，所有解析结果都存储于数据库。进一步的，对从流量中提取的GOOSE或SV数据包进行解析以获取数据包字段详情，其包括GOOSE或SV的所有字段及字段内容。

S102、将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表；

将上述步骤中分析获得的数据进行存储。若存储对象同时包含有GOOSE和SV报文，则应对两种报文分别进行存储，本实施例中以GOOSE报文为例，示例性的，将与GOOSE数据包对应IP地址、UDP端口号、时间戳以及GOOSE的所有字段及字段内容存入第一数据表，以便后续检测时进行数据的提取。

S103、对所述GOOSE或SV的字段及字段内容进行分析，以检测数据包是否异常；

示例性的，本实施例中，基于GOOSE及SV报文特征进行检测，并对异常行为进行告警，其中，其中数据包异常检测功能具体包括APPID改变、报文重启、连接中断、报文丢失、报文重复、报文变位、报文乱序、配置异常等。其中，当出现报文变位、报文重复或报文乱序异常时，也可能为针对GOOSE或SV的数据注入攻击。

针对GOOSE报文，具体的检测方法为：对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析，检测其中存在的异常行为。GOOSE报文异常包括三类：分别为1)重新配置、2)检修状态、3)告警事件，三类异常共包括11种事件。重新配置包括重启和配置错误；检修状态包括检修事件；告警事件包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击。下面依次阐述各种异常事件的检测方法：

重启：当stnum字段等于1且sqnum字段等于1时，判定发生重启事件。

配置错误：当ndscom字段为TRUE时，判定配置错误。

检修：当TEST字段为TRUE时，判定为检修。

APPID异常：当前APPID字段与上一报文的APPID不一致时，判定发生APPID异常

虚假状态改变：当前报文的stnum不等于上一报文的stnum，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假状态改变。

虚假配置改变：当前报文的confrev字段不等于上一报文的confrev字段，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假配置改变。

运行状态改变：当前报文的stnum字段值等于上一报文的stnum字段值加1，且当前报文的sqnum等于0，判定为运行状态改变。

报文乱序：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值加1，判定为报文乱序。

报文重放：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值，判定为报文重放。

高stnum攻击：当前报文的stnum字段值大于上一报文的stnum字段值加一，判定为高stnum攻击。

DoS攻击：当前数据包传输速率大于正常GOOSE运行速率阈值，判定为DoS攻击。

针对SV报文，具体的检测方法为：对SV上下文报文中的APPID或smpcnt字段进行分析，检测其中存在的异常行为。SV报文异常包括五种异常事件：重启、APPID异常、报文重放、高smpcnt攻击和DoS攻击。下面依次阐述各种异常事件的检测方法：重启：当前报文的smpcnt字段值等于0，判定为重启

APPID异常：当前报文的APPID字段值不等于上一报文的APPID字段值，判定为APPID异常。

报文重放：当前报文的smpcnt字段值等于上一报文的smpcnt字段值，判定为报文重放。

高smpcnt攻击：当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一，判定为报文重放。

DoS攻击：当前数据包传输速率大于正常SV运行速率阈值，判定为DoS攻击。

S104、基于所述IP地址及UDP端口号的元数据进行DoS攻击检测；

示例性的，除上述步骤S103中提到的对报文本身进行异常检测外，本步骤中则是检测通过网络层或传输层发起的DoS(Denial of Service，拒绝服务)攻击，其具体检测思路是根据IP地址和UDP端口统计数据包数量分析设定阈值进行DoS攻击检测。即根据步骤S101中从流量中提取获得的数据包及对应的IP地址、UDP端口号的元数据(元数据又称中介数据、中继数据，为描述数据的数据，主要是描述数据属性的信息，本实施例中指具有相同IP地址和UDP端口号的数据包的数量)进行判断。具体的，计算单位时间内具有相同IP地址和端口的数据包的数量，当数量超过设定的阈值时，则判定为DoS攻击。例如设定阈值为每秒10个数据包，而检测到每秒钟有30个具有相同IP地址和端口的数据包，从而触发DoS攻击告警。对于检测出的异常结果，可给出相应的告警信息，并将其存储在数据库中。

S105、将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表；将时间戳、IP地址及UDP端口号组成联合主键，以建立第一数据表与第二数据表之间的关联，从而实现异常数据包的原始数据包回溯。

为便于后续进行优化分析，本实施例中，则针对检测出的异常事件进行记录和保存，设计第二数据表，将S103步骤中检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型均存入第二数据表。进一步的，可以时间戳、IP地址及UDP端口号组成联合主键，以建立第一数据表与第二数据表之间的关联，如此则可实现异常数据包的原始数据包回溯。例如，当检测到GOOOSE数据包存在配置错误，根据该警报记录的时间戳、IP地址、UDP端口号，可以在数据库中查找对应数据包的各个字段的详细信息，从而分析具体是什么配置出现了错误。

实施例2

请参照图2，在本发明些实施例提供一种智能变电站GOOSE、SV报文的入侵检测系统，包括：流量采集处理模块1：用于接收CPE镜像流量，并从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳，解析所述数据包以获取GOOSE或SV的所有字段及字段内容；第一存储模块2：将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表；第一入侵检测模块3：用于对所述GOOSE或SV的字段及字段内容进行分析，以检测数据包是否异常；第二入侵检测模块4：基于所述IP地址及UDP端口号的元数据进行DoS攻击检测；第二存储模块5：将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表；将时间戳、IP地址及UDP端口号组成联合主键，以建立第一数据表、第二数据表、第三数据表和第四数据表之间的关联，从而实现异常数据包的原始数据包回溯。

示例性的，其中第一存储模块2、第二存储模块5可以为数据存储装置的一部分，第一存储模块2存储经流量采集处理模块1分析后的数据，对上层业务系统提供接口。同时第二存储模块5对上层检测结果(异常事件)进行存储，用于可视化分析等；第一入侵检测模块3与第二入侵检测模块4可以构成入侵检测装置的一部分，其中第一入侵检测模块3主要用于针对报文本身进行检测，第二入侵检测模块4则是对在网络层或传输层发起的DoS(拒绝服务，Denial of Service)攻击进行检测。

流量采集处理模块1采用端口镜像的方式与智能变电站所属的CPE(CustomerPremise Equipment，客户终端设备)相连接。流量采集处理模块1与数据存储装置相连接，入侵检测装置和数据存储装置互相连接。流量采集处理模块1收集并解析通过端口镜像捕获的来自智能变电站的流量，并将收集和解析的数据储存至数据存储装置。入侵检测装置根据流量采集处理装置解析的数据分析流量，进行安全检测。检测到的安全事件储存至数据存储装置。

本发明实施例所提供的系统可用于执行上述实施例所描述的方法，具体方法步骤见实施例1。在此不作赘述。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种智能变电站GOOSE、SV报文的入侵检测方法，其特征在于，包括以下步骤：

接收客户终端设备CPE镜像流量，从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳，解析所述数据包以获取GOOSE或SV的所有字段及字段内容；

将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表；

对所述GOOSE或SV的字段及字段内容进行分析，以检测数据包是否异常；

基于所述IP地址及UDP端口号的元数据进行DoS攻击检测；

将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表，将时间戳、IP地址及UDP端口号组成联合主键，以建立第一数据表与第二数据表之间的关联，从而实现异常数据包的原始数据包回溯；

所述元数据包括相同IP地址和UDP端口号的数据包的数量；

针对GOOSE数据包的异常检测方法包括：对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析，检测其中存在的异常行为；

所述针对GOOSE数据包的异常检测包括重启和配置错误检测，检测方法分别为：

重启：当stnum字段等于1且sqnum字段等于1时，判定发生重启事件；

配置错误：当ndscom字段为TRUE时，判定配置错误；

所述针对GOOSE数据包的异常检测包括检修，检测的方法为：当TEST字段为TRUE时，判定为检修；

所述针对GOOSE数据包的异常检测包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击，检测方法分别为：

APPID异常：当前APPID字段与上一报文的APPID不一致时，判定发生APPID异常；

虚假状态改变：当前报文的stnum不等于上一报文的stnum，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假状态改变；

虚假配置改变：当前报文的confrev字段不等于上一报文的confrev字段，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假配置改变；

运行状态改变：当前报文的stnum字段值等于上一报文的stnum字段值加1，且当前报文的sqnum等于0，判定为运行状态改变；

报文乱序：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值加1，判定为报文乱序；

报文重放：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值，判定为报文重放；

高stnum攻击：当前报文的stnum字段值大于上一报文的stnum字段值加一，判定为高stnum攻击；

DoS攻击：当前数据包传输速率大于正常GOOSE运行速率阈值，判定为DoS攻击；

针对SV数据包的异常检测方法包括：对SV上下文报文中的APPID或smpcnt字段进行分析，检测其中存在的异常行为；

所述针对SV数据包的异常检测包括重启、APPID异常、报文重放、高smpcnt攻击和DoS攻击，检测方法分别为：

重启：当前报文的smpcnt字段值等于0，判定为重启；

APPID异常：当前报文的APPID字段值不等于上一报文的APPID字段值，判定为APPID异常；

报文重放：当前报文的smpcnt字段值等于上一报文的smpcnt字段值，判定为报文重放；

高smpcnt攻击：当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一，判定为报文重放；

DoS攻击：当前数据包传输速率大于正常SV运行速率阈值，判定为DoS攻击。

2.根据权利要求1所述的智能变电站GOOSE、SV报文的入侵检测方法，其特征在于，所述基于所述IP地址及UDP端口号的元数据进行DoS攻击检测包括：统计单位时间内具有相同IP地址和UDP端口号的数据包的数量，当数量超过设定的阈值时，判定为DoS攻击。

3.一种智能变电站GOOSE、SV报文的入侵检测系统，其特征在于，包括：

流量采集处理模块：用于接收客户终端设备CPE镜像流量，并从接收的流量中提取GOOSE或SV数据包以及与所述数据包对应的IP地址、UDP端口号的元数据和时间戳，解析所述数据包以获取GOOSE或SV的所有字段及字段内容；

第一存储模块：将与数据包对应的IP地址、UDP端口号、时间戳以及GOOSE或SV的所有字段及字段内容存入第一数据表；

第一入侵检测模块：用于对所述GOOSE或SV的字段及字段内容进行分析，以检测数据包是否异常；

第二入侵检测模块：基于所述IP地址及UDP端口号的元数据进行DoS攻击检测；

第二存储模块：将检测出的异常数据包、与所述异常数据包对应的时间戳、IP地址、UDP端口号及异常类型存入第二数据表；将时间戳、IP地址及UDP端口号组成联合主键，以建立第一数据表、第二数据表、第三数据表和第四数据表之间的关联，从而实现异常数据包的原始数据包回溯；

还包括：所述元数据包括相同IP地址和UDP端口号的数据包的数量；

针对GOOSE数据包的异常检测方法包括：对GOOSE上下报文中的stnum、sqnum、ndscom、TEST、APPID、dataset、confrev字段中的至少一项进行分析，检测其中存在的异常行为；

所述针对GOOSE数据包的异常检测包括重启和配置错误检测，检测方法分别为：

重启：当stnum字段等于1且sqnum字段等于1时，判定发生重启事件；

配置错误：当ndscom字段为TRUE时，判定配置错误；

所述针对GOOSE数据包的异常检测包括检修，检测的方法为：当TEST字段为TRUE时，判定为检修；

所述针对GOOSE数据包的异常检测包括APPID异常、虚假状态改变、虚假配置改变、运行状态改变、报文乱序、报文重放、高stnum攻击和DoS攻击，检测方法分别为：

APPID异常：当前APPID字段与上一报文的APPID不一致时，判定发生APPID异常；

虚假状态改变：当前报文的stnum不等于上一报文的stnum，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假状态改变；

虚假配置改变：当前报文的confrev字段不等于上一报文的confrev字段，且当前报文的dataset字段相较上一报文的dataset字段没有发生变化，判定为虚假配置改变；

运行状态改变：当前报文的stnum字段值等于上一报文的stnum字段值加1，且当前报文的sqnum等于0，判定为运行状态改变；

报文乱序：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值加1，判定为报文乱序；

报文重放：当前报文的stnum字段值等于上一报文的stnum字段值，且当前报文的sqnum字段值等于上一报文sqnum字段值，判定为报文重放；

高stnum攻击：当前报文的stnum字段值大于上一报文的stnum字段值加一，判定为高stnum攻击；

DoS攻击：当前数据包传输速率大于正常GOOSE运行速率阈值，判定为DoS攻击；

针对SV数据包的异常检测方法包括：对SV上下文报文中的APPID或smpcnt字段进行分析，检测其中存在的异常行为；

所述针对SV数据包的异常检测包括重启、APPID异常、报文重放、高smpcnt攻击和DoS攻击，检测方法分别为：

重启：当前报文的smpcnt字段值等于0，判定为重启；

APPID异常：当前报文的APPID字段值不等于上一报文的APPID字段值，判定为APPID异常；

报文重放：当前报文的smpcnt字段值等于上一报文的smpcnt字段值，判定为报文重放；

高smpcnt攻击：当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一，判定为报文重放；

DoS攻击：当前数据包传输速率大于正常SV运行速率阈值，判定为DoS攻击。

Images