CN114697081B

CN114697081B - 基于iec61850 sv报文运行态势模型的入侵检测方法和系统

Info

Publication number: CN114697081B
Application number: CN202210189576.1A
Authority: CN
Inventors: 刘建戈; 李江成; 戴欣; 吕少岚; 张鹏宇
Original assignee: Nanjing Fengcheng Yunma Software Technology Co ltd; State Grid Jiangsu Electric Power Co Ltd; HuaiAn Power Supply Co of State Grid Jiangsu Electric Power Co Ltd
Current assignee: Nanjing Fengcheng Yunma Software Technology Co ltd; State Grid Jiangsu Electric Power Co Ltd; HuaiAn Power Supply Co of State Grid Jiangsu Electric Power Co Ltd
Priority date: 2022-02-28
Filing date: 2022-02-28
Publication date: 2024-05-07
Anticipated expiration: 2042-02-28
Also published as: CN114697081A

Abstract

本发明涉及智能电网安全技术领域，公开了一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统，通过收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据，将这些数据提供给机器学习算法训练学习，采用机器学习技术，对正常的SV数据报文的电网行为的学习，构建出该电网系统的基于SV报文测量值的数据合规模型。利用SV报文的测量值数据构建出的数据合规模型，用于检测IEC61850系统的异常SV报文，实现对各类入侵行为的实时检测。与现有技术相比，本发明解决了IEC62351在实际使用过程中的局限性和不适用性。

Description

基于IEC61850 SV报文运行态势模型的入侵检测方法和系统

技术领域

本发明涉及智能电网安全技术领域，具体涉及一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统。

背景技术

IEC61850是基于通用网络通信平台的变电站自动化系统的国际标准，它可以实现变电站自动化系统产品的互操作性和协议转换。采用IEC61850标准可使变电站自动化设备具备自描述、自诊断和即插即用的特性，很大程度上使数字变电站系统的集成变得简单，减少了变电站自动化系统的开支。

IEC61850标准也使得智能电网的网络形态正从过去的封闭系统走向半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时，也带来了智能变电站的安全上的隐患。其中IEC61850数字变电站采用的基于开放标准的网络技术之上，导致系统的安全性降低。具体表现为IEC61850协议本身并没有考虑任何安全措施，一旦攻击者绕过物理防护，直接进入调度中心和变电站网络，可直接通过通信协议实现对智能变电站设备的控制。

IEC62351协议标准实现了对IEC61850协议的安全加固，使得IEC61850协议具有了这些基本的安全功能。这种加固主要包括：1、通过数字签名，提供节点的双向身份认证；2、通过加密，提供传输层认证、加密密钥的机密性；3、通过加密，提供传输层及以上层次消息的机密性，防止窃听；4、通过消息鉴别码，提供传输层及以上层次消息的完整性；5、通过定义传输序列号有效性，防止传输层的重放和欺骗。由此可见，IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上，而在实际生产环境中这些安全加固方法无法适用于的IEC61850中的SV实时性要求极高的报文。

SV(Sampled Measured Value)报文中的采样测量值，是一种用于实时传输数字采样信息的服务。IEC61850数字变电站中常用SV服务来传递各类测量模拟量，比如变电站中各相电流电压的数值。数字变电站中的各类测量数据都以明文形式传送，很容易被修改或注入非法的SV报文，而非法的变电站测量数据会引起主站发出错误的操作指令，引起数字变电站的智能设备的错误动作。所以SV报文的安全性变得非常重要，而由于SV报文的实时性要求高的特点，因此IEC61850标准中的SV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成，需要重新寻找一套针对智能设备间SV明文传输的报文安全加固和入侵检测解决方案，来保护智能变电站的安全运行。

发明内容

发明目的：针对现有技术中存在的问题，本发明提供一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统，解决了IEC62351在实际使用过程中的局限性和不适用性，采用机器学习技术，通过对正常的SV数据报文的电网行为的学习，建立SV报文行为的合规行为模型，利用SV合规行为模型，实时检测SV数据报文的异常行为，实现对各类入侵行为的实时检测。

技术方案：本发明提供了一种基于IEC61850 SV报文运行态势模型的入侵检测方法，包括如下步骤：

步骤1：SV报文采集还原，将二进制SV报文流转换为可被解析的帧结构的SV报文；

步骤2：收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据，将所述数据提供给机器学习算法训练学习，构建基于SV报文测量值的数据合规模型；

步骤3：利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。

进一步地，所述SV报文中的各类测量值数据包括每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值，其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit。

进一步地，所述步骤1中的获取SV报文并处理的过程为：

1)监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出SV报文的二进制数据流；

2)SV报文二进制数据流进入一个报文数据队列，根据SV报文结构逐字节还原成ASCII码，实现SV报文二进制数据流到SV报文的帧还原，完成二进制数据流转换成一帧帧可解析的SV报文。

进一步地，所述步骤2构建基于SV报文测量值的数据合规模型的具体步骤为：

步骤2.1：利用正则表达式提取每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值，其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit；

步骤2.2：利用从每帧SV报文中提取的数据对象及测量值(Data、instMag)，形成一条{Data1，v＝对应值；Data2：v＝对应值；Data3，v＝对应值；……}格式的SV报文测量值数据记录集；

步骤2.3：采集一段时间周期的智能变电站运行的SV报文测量值的数据，在确保该时段智能变电站处于正常合规运行，对该时段SV报文测量值持续采集和处理，形成干净的SV报文测量数据记录集作为学习集，完成对该智能变电站测量数据合规态势模型构建；

步骤2.4：合规测量值数据记录集中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集；

步骤2.5：利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习，根据数据对象的测量值建立测量值的数据合规模型树，各数据合规模型树组成一个测量值数据合规模型集合，即合规模型森林，所述合规模型森林中的每一个数据合规树用于异常报文的检测。

进一步地，所述步骤2.5中利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习的具体过程为：

1)对于{Data1，v＝对应值；Data2：v＝对应值；Data3，v＝对应值；……}二维属性项数据集中的n条数据，先从这n条数据中抽取一批子样本，子样本个数为ψ；

2)从样本中随机选择两列特征，将两列特征值映射在一个超平面上形成为一列复合属性映射值，再根据此映射值建立合规孤立树，其中映射规则为：

其中，f(x)为映射值，Q为所有特征属性，j为随机选出的属性，c_j为[-1,1]间随机选取的值，X′为子样本集，X_j′为X′的第j个特征属性值。

进一步地，所述步骤2.5中根据数据对象的测量值建立测量值的数据合规模型树的具体过程为：

首先将映射值作为起始节点，并根据Sd-gain理论选择一个最优分割点P，根据Sd-gain理论对每个样本进行二叉划分，将样本中小于最优分割点P的样本划到左分支，样本中大于最优分割点P的划到右分支，然后在左右两个分支重复这样的二叉划分操作，直到达到满足如下条件：

条件1：数据本身不可再分割；

条件2：二叉树达到限定的最大深度，最大深度为log₂(ψ)，其中ψ为二次取样的子样本个数。

进一步地，所述SV报文对象测量值数据合规模型集合由100棵数据合规树构成。

进一步地，所述步骤3中利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测的具体操作为：

步骤3.1：实时采集SV帧报文实例X遍历每一个学习训练构成的SV报文测量值的数据合规模型树，即测量值的数据合规树集合，对每一个SV报文实例X进行映射，将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值，接着进行二叉划分，将检测集中小于最优分割点P的样本传递给左分支，大于最优分割点P的样本向下移动到右分支；

步骤3.2：对于每一个报文实例X，遍历完建立起来的m个数据合规模型树，得到m个路径长度，通过运用统计学的方法计算得出m个路径长度平均路径长度，并且根据平均路径长短计算出该SV报文实例X的测量值的异常得分；

步骤3.3：对于异常SV报文通知告警。

本发明还公开一种基于IEC61850的SV报文入侵检测系统，包括：

SV报文采集模块，用于对SV报文采集还原，将二进制SV报文流转换为可被解析的帧结构的SV报文；

SV报文数据对象测量值合规学习模块，用于收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据，将所述数据提供给机器学习算法训练学习，构建基于SV报文测量值的数据合规模型；

SV报文事件的实时入侵检测模块，用于利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。

有益效果：

1、本发明采用机器学习技术，通过对正常的SV数据报文的电网行为的学习，建立SV报文行为的合规行为模型，利用SV合规行为模型，实时检测SV数据报文的异常行为，实现对各类入侵行为的实时检测，解决了IEC62351在实际使用过程中的局限性和不适用性。

2、本发明通过收集一定时间段(一个月到3个月时间周期)智能变电站系统中各位置SV报文中的各类测量值数据，将这些数据提供给机器学习算法训练学习，构建出该电网系统的基于SV报文测量值的数据合规模型，利用SV报文的测量值数据构建出的数据合规模型，用于实时检测IEC61850系统的异常SV报文。

附图说明

图1为本发明IEC61850-SV报文帧结构示意图；

图2为本发明IEC61850-SV报文发布订阅传输示意图；

图3为本发明IEC61850-SV报文测量值数据合规模型学习示意图；

图4为本发明IEC61850-SV报文入侵检测系统工作示意图；

图5为本发明测量值数据合规模型树建立过程示意图；

图6为本发明SV报文异常检测过程示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明公开了一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统，参见附图1至附图6。

IEC61850标准中通过SV报文消息将连续采集智能电网系统的参数发送到控制中心，SV报文消息中的采样测量值数据报文实现了对应用的智能电网系统的整体运行状态的反应。SV消息报文中的数据随着智能电网网络中发生的事件(如负荷增加、发电损失或故障)而变化。然而，这些数据的变化不是任意的，这些数据的变化取决于智能电网系统的拓扑结构、操作条件和相关的电网智能设备，在相似运行条件环境下的相似事件引起的智能电网系统中各类测量值数据的反应是相似的。此外，若某一特定的位置事件，例如某一总线上的发电损失或负载增加，不仅会影响从该特定位置发送的SV报文消息中的测量值数据，也会影响从邻近的采样点发送的SV报文消息中的测量值数据。因此，对于特定位置的事件，每个智能变电网系统都有特定的数据的关联合规模式，这些测量值数据模式的自身和变化彼此具有关联关系，这种关联关系引起的关联变化是可以被检测和发现的。

黑客对智能电网系统的入侵是基于他们获得了智能电网系统中某个或某几个测量设备的未经授权的访问权限，因此当黑客通过注入伪造的SV测量值报文对受损的访问节点发起入侵攻击时，其目的是通过伪造虚假的SV测量值报文改变智能电网的正常运行模式。但是这些伪造的SV测量值报文将与智能电网系统中其它部分存的SV测量值报文的数据模式不匹配，这种测量值的数据模式匹配差异表明智能电网中存在入侵者试图通过注入恶意测量数据改变智能电网系统正确运行模式的风险。本发明就是利用这种SV报文中的测量值数据模式匹配的方法来检测SV的入侵报文。

每个IEC61850智能电网系统都有着自身特有的运行行为和数据特点，本发明通过收集一定时间段(一个月到3个月时间周期)智能变电站系统中各位置SV报文中的各类测量值数据，将这些数据提供给机器学习算法训练学习，构建出该电网系统的基于SV报文测量值的数据合规模型。利用SV报文的测量值数据构建出的数据合规模型，用于实时检测IEC61850系统的异常SV报文。

本发明公开的基于IEC61850 SV报文运行态势模型的入侵检测系统由SV报文采集模块、SV报文数据对象测量值合规学习模块和SV报文事件的实时入侵检测模块组成，其中SV报文数据对象测量值合规学习模块是对IEC61850智能电网系统正常运行过程中SV测量数据报文的测量数据集进行无监督的机器自动学习，建立基于智能电网运行中各类SV报文测量数据的合规模型，利用数据合规模型完成对智能变电站系统中的SV报文的安全性检测。

本发明对应的基于IEC61850 SV报文运行态势模型的入侵检测方法的具体步骤为：

步骤1：SV报文的采集，SV报文采集是将二进制流的SV报文还还原成可被解析的帧结构的SV报文。具体步骤如下：

1)入侵检测系统监听智能变电站核心交换机的镜像端口，获取进出智能变电站的各类通讯报文，提取出SV报文的二进制数据流；

2)SV报文二进制数据流进入一个报文数据队列，根据SV报文结构(见图1)可逐字节还原成ASCII码，实现SV报文二进制数据流到SV报文的帧还原，完成二进制SV报文数据流转换成一帧帧可解析的SV报文。

步骤2：SV报文数据测量值数据的合规模型的训练学习是针对入侵检测系统应用于某个具体的IEC61850智能变电站，首先学习模块通过对一个时间段(1个月或3个月)变电站正常运行时的SV报文中测量值数据集合数据模型态势的自动学习，建立起该变电站的基于SV报文的测量数据合规态势模型，通过测量数据合规态势模型可实现对异常测量值的检测。

SV报文测量数据学习建模包括以下几个步骤项(参见图3)：

步骤2.1：通过报文采集系统获取原始可被分析的SV帧报文，利用正则表达式提取每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性instMag(测量值)的值，其中DataSet属性项包含instMag(测量值)、q(品质)、t(时标)、unit(单位)；

步骤2.3：采集一月或三个月的时间周期的智能变电站运行的SV报文测量值的数据，在确保该时段智能变电站处于正常合规运行，通过对该时段SV报文测量值持续采集和处理，形成干净的SV报文测量数据记录集，该记录集可作为一个学习集，提供给SV入侵检测系统的学习模块完成对该智能变电站测量数据合规态势模型构建；

步骤2.4：合规测量值数据记录集中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集。根据SV报文定义，测量值本身属于数字属性，无需进行数字转换。而数据对象名称Data1等为字符型，通过数字映射将Data1数字化，如，Data1数字化为1，Data2数字化为2，数据对象名称转换成为的数字值需确保唯一性。

步骤2.5：SV入侵检测系统的学习模块利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习，学习的结果是根据数据对象的测量值建立测量值的数据合规模型树。各数据合规模型树组成一个测量值数据合规模型集合(合规模型森林)，合规模型森林中的每一个数据合规树用于异常报文的检测。

在测量值数据的合规模型学习训练阶段，对于{Data1，v＝对应值；Data2：v＝对应值；Data3，v＝对应值；……}二维属性项数据集中的n条数据，先从这n条数据中抽取一批子样本，假设子样本个数为ψ，每建立完成一棵树都要重新抽取子样本集。首先从样本中随机选择两列特征，将两列特征值映射在一个超平面上形成为一列复合属性映射值，再根据此映射值建立合规孤立树，其中映射规则为：

其中，f(x)为映射值，Q为所有特征属性，j为随机选出的属性，c_j为[-1,1]间随机选取的值，X′为子样本集，X_j′为X′的第j个特征属性值。具体步骤如图3所示的IEC61850的SV报文测量值数据学习建模过程。

步骤2.6：SV入侵检测系统的建模过程本质是建立SV报文中的数据对象和对应测量值的合规测量数据模型树的过程，如图5所示的建立一棵数据测量值的数据合规模型树的可视化过程。这里随机选取图5中子样本1数字映射后的4个数据进行展示说明，首先将映射值作为起始节点，并根据Sd-gain理论选择一个最优分割点P，Sd-gain理论即当一个超平面能清晰地将两个不同的分布分开时，这两个分布的内部离散程度是最小的。根据这一理论对每个样本进行二叉划分，将样本中小于该最优分割点P的样本划到左分支，样本中大于该最优分割点P的划到右分支。然后在左右两个分支重复这样的二叉划分操作。直到达到满足如下条件：

条件1：数据本身不可再分割；

条件2：二叉树达到限定的最大深度，最大深度为log₂(ψ)。

如图5所示SV测量值数据合规模型树的建立过程示意图。

由于SV报文数据对象测量值的合规模型集合里达到100棵树后，数据对象测量值的合规模型树的数量再增加，异常检测的结果不会有进一步的提升，所以本发明中SV报文数据测量值的数据合规模型树的集合默认由100棵数据合规树构成。

步骤3：SV报文实时入侵检测模块利用学习模块建立起来的SV报文数据对象的测量值的数据合规模型树，实现对当前运行的智能变电站中产生的SV报文异常入侵检测，发现异常的入侵报文并告警。

SV报文数据对象异常测量值的检测步骤如下(参见图6)：

步骤3.1：利用报文采集模块，实时采集SV帧报文，实时采集的SV报文实例X都需要遍历每一个学习训练构成的SV报文测量值的数据合规模型树(测量值的数据合规树集合)，对每一个SV报文实例X进行和学习模块一样的映射，将两个对应的特征值映射在一个超平面上形成为一列复合属性映射值，接着进行二叉划分，将检测集中小于最优分割点P的样本传递给左分支，大于最优分割点P的样本向下移动到右分支。

步骤3.2：接下来对于每一个报文实例X，遍历完建立起来的m个数据合规模型树(最多100棵)可以得到m个路径长度，接着通过运用统计学的方法计算得出m个路径长度平均路径长度，当平均路径越短，异常程度越大，越会被判定为异常实例点，并且可以根据平均路径长短计算出该SV报文实例X的测量值的异常得分。

步骤3.3：对于异常SV报文通知告警系统，完成告警操作。

上述实施方式只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。

Claims

1.一种基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，包括如下步骤：

步骤2.3：采集一段时间周期的智能变电站运行的SV报文测量值的数据，在确保该时段智能变电站处于正常合规运行下，对该时段SV报文测量值持续采集和处理，形成干净的SV报文测量数据记录集作为学习集，完成对该智能变电站测量数据合规态势模型构建；

步骤2.4：合规测量值数据记录集合中的非数字化记录的数字化转换，转变为可被机器学习的数字记录集；

步骤2.5：利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习，根据数据对象的测量值建立测量值的数据合规模型树，各数据合规模型树组成一个测量值数据合规模型集合，即合规模型森林，所述合规模型森林中的每一个数据合规树用于异常报文的检测；

2.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述SV报文中的各类测量值数据包括每帧SV报文中的APDU部分的各ASDU子项中的DataSet的数据对象名称和对象属性测量值instMag的值，其中DataSet属性项包含测量值instMag、品质q、时标t、单位unit。

3.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述步骤1中的获取SV报文并处理的过程为：

4.根据权利要求1所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述步骤2.5中利用基于分片选择的孤立森林算法完成对采集的合规测量值数据集训练学习的具体过程为：

5.根据权利要求4所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述步骤2.5中根据数据对象的测量值建立测量值的数据合规模型树的具体过程为：

条件1：数据本身不可再分割；

6.根据权利要求1或4或5所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述SV报文对象测量值数据合规模型集合由100棵数据合规树构成。

7.根据权利要求6所述的基于IEC61850 SV报文运行态势模型的入侵检测方法，其特征在于，所述步骤3中利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测的具体操作为：

步骤3.3：对于异常SV报文通知告警。

8.一种基于权利要求1至5或7任一所述的基于IEC61850 SV报文运行态势模型的入侵检测方法的入侵检测系统，其特征在于，包括：