CN115190191A - 基于协议解析的电网工业控制系统及控制方法 - Google Patents

基于协议解析的电网工业控制系统及控制方法 Download PDF

Info

Publication number
CN115190191A
CN115190191A CN202211106746.1A CN202211106746A CN115190191A CN 115190191 A CN115190191 A CN 115190191A CN 202211106746 A CN202211106746 A CN 202211106746A CN 115190191 A CN115190191 A CN 115190191A
Authority
CN
China
Prior art keywords
protocol
data stream
power grid
protocol data
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211106746.1A
Other languages
English (en)
Other versions
CN115190191B (zh
Inventor
赵瑾阳
马虹哲
刘则君
席梦梦
洪杨
刘宝玉
杨扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Clp Runs Beijing Information Technology Co ltd
Original Assignee
Clp Runs Beijing Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Clp Runs Beijing Information Technology Co ltd filed Critical Clp Runs Beijing Information Technology Co ltd
Priority to CN202211106746.1A priority Critical patent/CN115190191B/zh
Publication of CN115190191A publication Critical patent/CN115190191A/zh
Application granted granted Critical
Publication of CN115190191B publication Critical patent/CN115190191B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00006Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
    • H02J13/00028Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment involving the use of Internet protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了基于协议解析的电网工业控制系统及控制方法,涉及通信技术领域,实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流;对获取的协议数据流进行周期性解析,并封装上报;对封装上报的解析结果进行解封装,对解封装后的协议数据流的规定字段的行为特征进行监测,判断协议数据流是否存在异常;当判断协议数据流为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块。可以有效实现对电网工业控制系统的数据异常检测,提高了电网工业控制系统的安全保障能力。

Description

基于协议解析的电网工业控制系统及控制方法
技术领域
本发明涉及通信技术领域,特别涉及基于协议解析的电网工业控制系统及控制方法。
背景技术
随着电网的大规模智能化与信息化改造,电网呈现出越来越稳定与智能化的趋势。与此同时,也增加了智能电网遭受来自网络攻击的风险。协议安全是信息安全的一个重要内容,越来越多的研究开始聚焦于智能电网工业控制的协议安全。
现如今,智能电网工业底层智能设备的信息化导致网络攻击的实施更加容易,同时攻击更加容易入侵到底层,对智能变电站会产生更大的影响。无论是从调度中心的向下渗透,还是从变电站内部的渗透都会更加容易。变电站内部存在的网络接口也越来越多,针对智能变电站的底层安全研究刻不容缓。无论是从外部的攻击与渗透还是内部的攻击与渗透都会暴露更多风险。因此针对智能电网工业协议安全,如何从安全通信的角度整体评估协议机制本身的信息安全性,变得尤为重要。
但是,对于目前的智能电网工业控制系统与智能电网的防护设备,大多没有考虑对深度包进行解析与监测,只考虑了对应用层、网络层、传输层部分协议数据流的解析,该信息作为防护输入存在片面性,因此对于数据包的全解析十分重要。
现有技术中,例如专利文献CN106911529A公开了一种基于协议解析的电网工控安全监测系统,对现网的流量进行监测与分析,为电网工业控制信息安全提供保障。将基于协议数据流深度解析的电网工业控制系统安全威胁监测系统部署于调度中心与新能源电站,对104规约及TCP协议通信流量进行深度解析和安全威胁监测,及时识别并记录包括旁路控制、完整性破坏等威胁,但是该技术方案未详细地公开如何解析与监控,只提出了一个系统框架。
再例如专利文献CN110868408A公开了一种基于工业协议解析的工控设备安全检测方法和系统,根据预设的多个工业协议分析类,将监听到的工控网络数据的第一特征信息写入对应的协议地址配置文件,协议地址配置文件与工业协议分析类相对应;根据写入第一特征信息的协议地址配置文件,确定后续监听到的各个工控网络数据所属的工业协议分析类;根据工业协议分析类,判断工控网络数据是否包括安全威胁特征信息;若判定工控网络数据包括安全威胁特征信息,则对工控网络数据进行安全预警。但是该技术方案仍然存在检测反应速度慢,识别不够准确的问题。
发明内容
为了解决上述技术问题,本发明提出了基于协议解析的电网工业控制方法,包括如下步骤:
S1、实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流;
S2、对获取的协议数据流进行周期性解析,并封装上报;
S3、对封装上报的解析结果进行解封装,对解封装后的协议数据流的规定字段的行为特征进行监测,判断协议数据流是否存在异常;
S4、当判断协议数据流为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块。
进一步地,步骤S3中,构建稳定控制预测模型,将选定时刻的实际封装上报的协议数据流与经所述稳定控制预测模型预测的稳态值进行偏离度计算;当计算结果大于设定的阈值时,则判定协议数据流出现异常行为。
进一步地,首先对解封装后的协议数据流中规定字段的行为特征进行测取,用集合
Figure 100002_DEST_PATH_IMAGE001
表示t时刻的k个规定字段的行为特征变量;
Figure 100002_DEST_PATH_IMAGE002
表示第i个规定字段的行为特征变量;
用集合
Figure 100002_DEST_PATH_IMAGE003
表示在测取时间窗口长度N内采集的所有规定字段的行为特征变量的集合,构建稳定控制数据集,获取该稳定控制数据集延迟两个周期测取点
Figure 100002_DEST_PATH_IMAGE004
和延迟两个周期测取点
Figure 100002_DEST_PATH_IMAGE005
得到行为特征变量,以构建稳定控制预测模型的输入输出行为特征变量集;
稳定控制预测模型的输入行为特征变量集表示为:
Figure DEST_PATH_IMAGE006
其中,N为测取时间窗口的长度,下标t-2表示延迟两个周期,下标t-1表示延迟一个周期;
稳定控制预测模型的输出行为特征变量集表示为:
Figure 100002_DEST_PATH_IMAGE007
进一步地,所述稳定控制预测模型表示为:
Figure 100002_DEST_PATH_IMAGE008
Figure 100002_DEST_PATH_IMAGE009
其中,
Figure 100002_DEST_PATH_IMAGE010
为构建的稳定控制预测模型,
Figure 100002_DEST_PATH_IMAGE011
为稳定控制预测模型预测的t时刻的稳态值,
Figure 100002_DEST_PATH_IMAGE012
为稳定控制预测模型预测的t时刻的第i个规定字段的行为特征变量稳态值,
Figure 100002_DEST_PATH_IMAGE013
为第i个规定字段的行为特征变量,
Figure 100002_DEST_PATH_IMAGE014
为数据异常检测阈值,R为偏离度
Figure 100002_DEST_PATH_IMAGE015
与数据异常检测阈值的比较结果。
进一步地,对于一个通信状态的在预测时刻jm的解析流量Im通过下式计算,
Figure 100002_DEST_PATH_IMAGE016
Figure 100002_DEST_PATH_IMAGE017
其中F(jm)为时间概率函数,Cj0代表该通信状态在j0时刻发生的次数;Cjm表示该通信状态在jm时刻发生的次数,j0和jm均在同一时间段J内,j0为起始时刻;
则考虑该通信状态在jm时刻发生的次数的稳定控制预测模型表示为:
Figure 100002_DEST_PATH_IMAGE018
Figure 100002_DEST_PATH_IMAGE019
其中,
Figure 100002_DEST_PATH_IMAGE020
为构建考虑规定通信状态在jm时刻发生的次数的稳定控制预测模型,
Figure 100002_DEST_PATH_IMAGE021
为稳定控制预测模型预测的所有jm时刻的稳态值,
Figure 100002_DEST_PATH_IMAGE022
为数据异常检测阈值,
Figure 100002_DEST_PATH_IMAGE023
为偏离度
Figure 100002_DEST_PATH_IMAGE024
与异常检测阈值
Figure 716183DEST_PATH_IMAGE022
与解析流量Im乘积的比较结果。
进一步地,所述步骤S2中,对接收到的协议数据流进行项目匹配,以对协议数据流的协议类型进行识别;读取所述协议数据流协议类型对应的协议代号,读取与所述协议代号对应的报文特征库;根据与所述协议数据流协议类型对应的报文特征库中的报文特征匹配规则,对所述协议数据流进行报文特征匹配;根据所述报文特征库对协议数据流进行报文特征匹配,获得与匹配到的报文特征对应的匹配规则地址,以及匹配到的报文特征的起点偏置位置和终点偏置位置,封装到数据结构。
进一步地,当与所述协议代号对应的报文特征库不存在时,对报文特征库进行更新,建立与所述协议代号对应的协议类型对应的报文特征库;将所述协议的报文特征段和报文特征段长度作为匹配特征,建立报文特征库,在完成所述报文特征匹配后,将报文特征匹配结果进行封装上报。
本发明还提出了基于协议解析的电网工业控制系统,用于实现上述的电网工业控制方法,包括:采集模块、解析模块、监测模块、终端模块、控制器和上位机;
所述采集模块用于实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流;
所述解析模块用于对获取的协议数据流进行周期性解析并封装上报;
所述监测模块对封装上报的解析结果进行解封装,对解封装后的协议数据流的规定字段的行为特征进行监测,判断协议数据流是否存在异常,当判断解析数据为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块;
所述终端模块用于对所述监测模块的监测结果进行存储与在线显示。
相比于现有技术,本发明具有如下有益技术效果:
对实时获取的协议数据流进行周期性解析,对接收到的协议数据流进行项目匹配,完成所述报文特征匹配后,将报文特征匹配结果进行封装上报;基于封装上报的解析结果,构建稳定控制预测模型,对电网工业控制系统进行数据异常检测;将选定时刻t的实际封装上报的解析结果与所述稳定控制预测模型预测的稳态值进行偏离度计算;当计算结果大于设定的阈值时,判断解析数据为异常;当计算结果不大于设定的阈值时,判断解析数据为正常。当判断解析数据为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块。可以有效实现对电网工业控制系统的数据异常检测,提高了电网工业控制系统的安全保障能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的基于协议解析的电网工业控制方法的流程图;
图2为本发明的进行数据异常检测的流程图;
图3为本发明的基于协议解析的电网工业控制系统中采集模块结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本发明的具体实施例附图中,为了更好、更清楚的描述系统中的各元件的工作原理,表现所述装置中各部分的连接关系,只是明显区分了各元件之间的相对位置关系,并不能构成对元件或结构内的信号传输方向、连接顺序及各部分结构大小、尺寸、形状的限定。
如图1所示,为基于协议解析的电网工业控制方法的流程图,包括如下步骤:
S1、实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流。
S2、对获取的协议数据流进行周期性解析,并封装上报。
协议数据流的周期性解析具体为:对接收到的协议数据流进行项目匹配,以对协议数据流的协议类型进行识别。优选地,根据协议数据流到来的先后顺序,依次匹配所述协议数据流。
协议数据流进行项目匹配的过程就是分析比较待识别协议数据流的报文是否符合本地存储的某种协议的报文特征。对于符合其中某种协议报文特征的协议数据流,可以根据该协议数据流的报文匹配结果确定该数据流的协议类型。
如果该协议数据流匹配命中某种协议的类型特征,读取所述协议数据流匹配的协议类型对应的协议代号,读取与所述协议代号对应的报文特征库;根据与所述协议数据流协议类型对应的报文特征库中的报文特征匹配规则,对所述协议数据流进行报文特征匹配;根据所述报文特征库对协议数据流进行报文特征匹配,获得与匹配到的报文特征对应的匹配规则地址,以及匹配到的报文特征的起点偏置位置和终点偏置位置。
报文特征的数据偏置字段占4位,通过此偏置位置可以指出报文特征内实际的数据起始位置,实际上就是整个报文段头部的长度。由于在TCP报文段中存在着选项字段这一可变部分,所以报文段头部的长度不固定,因此数据偏移字段是必须设置的。
对报文特征匹配的结果进行处理,将与匹配到的报文特征对应的匹配规则地址,以及匹配到的报文特征的起点偏置位置和终点偏置位置封装到规定的数据结构,使得数据处理根据所述规定的数据结构进行。
当与所述协议代号对应的报文特征库不存在时,对报文特征库进行更新,建立与所述协议代号对应的协议类型对应的报文特征库。将所述协议的报文特征段和报文特征段长度作为匹配特征,建立报文特征库。所述报文特征库是基于每个协议建立的,每个协议对应一个独立的报文特征库。在完成所述报文特征匹配后,将报文特征匹配结果进行封装上报。
S3、对封装上报的解析结果进行解封装,对解封装后的协议数据流的规定字段的行为特征进行监测,判断协议数据流是否存在异常。
基于封装上报的解析结果,构建稳定控制预测模型,对电网工业控制系统进行数据异常检测。
稳定控制预测模型需要对电网工业控制系统下的正常通信行为进行模型训练数据的提取,通过该构建好的稳定控制预测模型对电网工业控制系统中实际的解析数据的异常行为进行监测,并报警,具体包括:
在电网工业控制系统环境当中,网络中的解析数据流具有明显而清晰的规律,每一个控制器与上位机之间通信的通信信道都可以看作是一个有限确定稳定控制预测模型的实例。
在电网工业控制系统处于稳定工作状态的情况下,对封装上报的协议数据流中的规定字段进行采集,构建稳定控制数据集。
对所述稳定控制数据集进行预处理;在针对已经获取封装上报的解析结果的前提下,对解封装的协议数据流进行充分的分析处理可以大大提高训练后的稳定控制预测模型的准确率。
将所述稳定控制数据集延迟两个测取点后,转化为有监督学习的数据集;
基于转化的数据集,经长短记忆神经网络训练,构建稳定控制预测模型。
根据构建的稳定控制预测模型,对电网工业控制系统进行数据异常检测。从封装上报的第三个周期开始,利用所述稳定控制预测模型预测选定时刻的作业状态。
第三个周期,将选定时刻的实际封装上报的协议数据流与所述稳定控制预测模型预测的稳态值进行偏离度计算;当计算结果大于设定的阈值时,则判定协议数据流出现异常行为。
本实施例的进行数据异常检测的过程如图2所示,首先对解封装后的协议数据流中规定字段的行为特征进行采集,采集周期为T,用集合
Figure 695640DEST_PATH_IMAGE001
表示t时刻的k个规定字段的行为特征变量;
Figure DEST_PATH_IMAGE025
表示t时刻第i个规定字段的行为特征变量。
通过划分规定字段,提取解析结果当中有用的行为特征变量,过滤解析结果当中的无用数据,能够加快稳定控制预测模型的构建和数据异常检测速度。
用集合
Figure 334432DEST_PATH_IMAGE003
表示在测取时间窗口长度N内收集的所有规定字段的行为特征变量的集合,构建稳定控制数据集。对该数据集进行预处理,即去除无效数据和数据标准化,为了进行有监督的学习,对该数据集延迟两个测取点以构建模型的输入输出行为特征变量集,其输入行为特征变量集可表示为:
Figure DEST_PATH_IMAGE026
其中,N为测取时间窗口的长度,下标t-2表示延迟两个周期,下标t-1表示延迟一个周期;其输出行为特征变量集表示为:
Figure DEST_PATH_IMAGE027
利用长短记忆神经网络训练数据集,构建稳定控制预测模型,并对相应的模型进行评估调参,使其达到良好的预测效果,以上步骤仅初始化一次。
当首次运行稳定控制预测模型时,前两个测取周期不进行数据异常检测,从第三个解析周期开始预测t时刻的稳定控制情况,将选定时刻t的实际封装上报的解析结果与所述稳定控制预测模型预测的稳态值进行偏离度计算;当计算结果大于设定的阈值时,判断解析数据为异常;当计算结果不大于设定的阈值时,判断解析数据为正常。
为了形象地描述数据异常检测,其稳定控制预测模型可表示为:
Figure DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE029
其中,
Figure 840893DEST_PATH_IMAGE010
为构建的稳定控制预测模型,
Figure DEST_PATH_IMAGE030
为稳定控制预测模型预测的所有t时刻的稳态值,
Figure DEST_PATH_IMAGE031
为稳定控制预测模型预测的t时刻的第i个规定字段的行为特征变量稳态值,
Figure DEST_PATH_IMAGE032
为第i个规定字段的行为特征变量,
Figure DEST_PATH_IMAGE033
为数据异常检测阈值,R为偏离度
Figure 904533DEST_PATH_IMAGE015
与数据异常检测阈值的比较结果。
S4、当判断协议数据流为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块。
在优选实施例中,电网工业控制系统当中的通信数据不仅具有周期性,而且网络上的大部分功能性操作产生于某一时间段内,同一事件状态往往在每个工作周期内处于同一时间段J内,针对时间因素对于稳定控制预测模型建立的影响,通过建立状态的时间概率函数F(jm)计算解析流量,让稳定控制预测模型根据时间段来自适应改变信息量参数,更加智能的分析电网工业控制系统网络当中场景状态。
对于规定的一个通信状态的在预测时刻jm的解析流量Im通过下式计算,其中Cj0代表该规定通信状态在j0时刻发生的次数;Cjm表示该规定通信状态在jm时刻发生的次数,j0和jm均在同一时间段J内,j0为起始时刻。
Figure 792242DEST_PATH_IMAGE016
Figure DEST_PATH_IMAGE034
则考虑规定通信状态在j0时刻发生的次数的稳定控制预测模型可表示为:
Figure DEST_PATH_IMAGE035
Figure DEST_PATH_IMAGE036
其中,
Figure DEST_PATH_IMAGE037
为构建考虑规定通信状态在jm时刻发生的次数的稳定控制预测模型,
Figure DEST_PATH_IMAGE038
为稳定控制预测模型预测的所有jm时刻的稳态值,
Figure DEST_PATH_IMAGE039
为数据异常检测阈值,
Figure 433177DEST_PATH_IMAGE023
为偏离度
Figure DEST_PATH_IMAGE040
与数据异常检测阈值与解析流量乘积的比较结果。
本发明还提出了一种基于协议解析的电网工业控制系统,包括:采集模块、解析模块、监测模块、终端模块、控制器、上位机。
采集模块,用于实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流。
在优选实施例中,采集模块采用Libpcap函数对控制器与上位机之间通信产生的协议数据流进行捕获。
采集模块的整体架构为了便于维护和功能扩展,采用了模块化的设计,整个系统由5种模块组成,分别为用户接口模块(UIM)、数据包捕获模块(PCM)、优先级队列模块(PQM)、数据包处理模块(PPM)以及监听模块(RMM),5种模块之间的关系如图3所示。
如图3所示采集模块的整体架构中各模块的功能如下:
用户接口模块(UIM)是Http服务器,提供网关的管理接口,通过Web与用户交互,功能包括监视网关运行状态,统计网关运行数据并呈现给用户,根据用户提供的过滤规则和路由规则创建工作进程,改变运行参数,清理不必要的工作进程等。
数据包捕获模块(PCM)根据用户提供的参数(监听接口、过滤规则)进行数据包捕获,而后将数据包提供给PQM模块进行处理。
优先级队列模块(PQM)将来自PCM的数据包根据事先指定的规则进行分类,分别放入不同的优先级队列,同时负责将当前队列中优先级最高的数据包提交给PPM模块。
数据包处理模块(PPM)根据用户指定的路由规则,将来自PQM的数据包重新打包成适合在短波网络中传输的数据帧,通过相应的短波电台发出去。
监听模块(RMM)接收从控制器一侧发来的数据包,并将数据包重新打包成MAC帧,发送至相应的网口。如果接收到的是链路控制信息,则通知PPM模块改变输出帧的长度或速率。
为兼顾速率和稳定性,网关采用了多进程和多线程混合的策略,在图3中,每一个虚线框是一个工作组,由于工作组内各模块之间有频繁的数据交互,因此采用线程实现各模块,使各个模块共享地址空间,从而减少数据拷贝,而各个工作组之间几乎不需要有数据交互,所以更适合用进程来实现,以达到一定程度的隔离,使得当一个工作组出现故障时,可以被重点或重启,而不会影响其他工作组的正常工作。
解析模块对获取的协议数据流进行周期性解析并封装上报。
监测模块对封装上报的解析结果进行解封装,对解封装后的协议数据流的规定字段的行为特征进行监测,判断协议数据流是否存在异常,当判断解析数据为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块。
终端模块,实现监测结果的存储与在线显示。
监测结果当中分别会将监测模块监测到的数据异常分为以下几类:
(1)未知信道,表示协议数据流来自一个新的IP连接;
(2)未知状态,表示协议数据流为场景中没有出现过的状态;
(3)未知转移,表示协议数据流的转移状态有误;
(4)信息量衰减,表示协议数据流状态转移信息量衰减过大;
(5)内存操作异常,表示协议数据流当中操作内存的数据首次出现。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如,固态硬盘(sol地址 state disk,SSD))等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (8)

1.基于协议解析的电网工业控制方法,其特征在于,包括如下步骤:
S1、实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流;
S2、对获取的协议数据流进行周期性解析,并封装上报;
S3、对封装上报的解析结果进行解封装,对解封装后的协议数据流的规定字段的行为特征进行监测,判断协议数据流是否存在异常;
S4、当判断协议数据流为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块。
2.根据权利要求1所述的基于协议解析的电网工业控制方法,其特征在于,步骤S3中,构建稳定控制预测模型,将选定时刻的实际封装上报的协议数据流与经所述稳定控制预测模型预测的稳态值进行偏离度计算;当计算结果大于设定的阈值时,则判定协议数据流出现异常行为。
3.根据权利要求2所述的基于协议解析的电网工业控制方法,其特征在于,首先对解封装后的协议数据流中规定字段的行为特征进行测取,用集合
Figure DEST_PATH_IMAGE001
表示t时刻的k个规定字段的行为特征变量;
Figure DEST_PATH_IMAGE002
表示第i个规定字段的行为特征变量;
用集合
Figure DEST_PATH_IMAGE003
表示在测取时间窗口长度N内采集的所有规定字段的行为特征变量的集合,构建稳定控制数据集,获取该稳定控制数据集延迟两个周期测取点
Figure DEST_PATH_IMAGE004
和延迟两个周期测取点
Figure DEST_PATH_IMAGE005
得到行为特征变量,以构建稳定控制预测模型的输入输出行为特征变量集;
稳定控制预测模型的输入行为特征变量集表示为:
Figure DEST_PATH_IMAGE007
其中,N为测取时间窗口的长度,下标t-2表示延迟两个周期,下标t-1表示延迟一个周期;
稳定控制预测模型的输出行为特征变量集表示为:
Figure DEST_PATH_IMAGE008
4.根据权利要求3所述的基于协议解析的电网工业控制方法,其特征在于,所述稳定控制预测模型表示为:
Figure DEST_PATH_IMAGE009
Figure DEST_PATH_IMAGE010
其中,
Figure DEST_PATH_IMAGE011
为构建的稳定控制预测模型,
Figure DEST_PATH_IMAGE012
为稳定控制预测模型预测的t时刻的稳态值,
Figure DEST_PATH_IMAGE013
为稳定控制预测模型预测的t时刻的第i个规定字段的行为特征变量稳态值,
Figure DEST_PATH_IMAGE014
为第i个规定字段的行为特征变量,
Figure DEST_PATH_IMAGE015
为数据异常检测阈值,R为偏离度
Figure DEST_PATH_IMAGE016
与数据异常检测阈值的比较结果。
5.根据权利要求3所述的基于协议解析的电网工业控制方法,其特征在于,对于一个通信状态的在预测时刻jm的解析流量Im通过下式计算,
Figure DEST_PATH_IMAGE017
Figure DEST_PATH_IMAGE018
其中F(jm)为时间概率函数,Cj0代表该通信状态在j0时刻发生的次数;Cjm表示该通信状态在jm时刻发生的次数,j0和jm均在同一时间段J内,j0为起始时刻;
则考虑该通信状态在jm时刻发生的次数的稳定控制预测模型表示为:
Figure DEST_PATH_IMAGE019
Figure DEST_PATH_IMAGE020
其中,
Figure DEST_PATH_IMAGE021
为构建考虑规定通信状态在j0时刻发生的次数的稳定控制预测模型,
Figure DEST_PATH_IMAGE022
为稳定控制预测模型预测的所有jm时刻的稳态值,
Figure 853420DEST_PATH_IMAGE015
为数据异常检测阈值,
Figure DEST_PATH_IMAGE023
为偏离度
Figure DEST_PATH_IMAGE024
与数据异常检测阈值
Figure 491600DEST_PATH_IMAGE015
与解析流量Im乘积的比较结果。
6.根据权利要求1所述的基于协议解析的电网工业控制方法,其特征在于,所述步骤S2中,对接收到的协议数据流进行项目匹配,以对协议数据流的协议类型进行识别;读取所述协议数据流协议类型对应的协议代号,读取与所述协议代号对应的报文特征库;根据与所述协议数据流协议类型对应的报文特征库中的报文特征匹配规则,对所述协议数据流进行报文特征匹配;获得与匹配到的报文特征对应的匹配规则地址,以及匹配到的报文特征的起点偏置位置和终点偏置位置,封装到数据结构。
7.根据权利要求6所述的基于协议解析的电网工业控制方法,其特征在于,当与所述协议代号对应的报文特征库不存在时,对报文特征库进行更新,建立与所述协议代号对应的协议类型对应的报文特征库;将所述协议的报文特征段和报文特征段长度作为匹配特征,建立报文特征库,在完成所述报文特征匹配后,将报文特征匹配结果进行封装上报。
8.基于协议解析的电网工业控制系统,其特征在于,用于实现如权利要求1-7任意一项所述的电网工业控制方法,包括:采集模块、解析模块、监测模块、终端模块、控制器和上位机;
所述采集模块用于实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流;
所述解析模块用于对获取的协议数据流进行周期性解析并封装上报;
所述监测模块对封装上报的解析结果进行解封装,对解封装后的协议数据流的规定字段的行为特征进行监测,判断协议数据流是否存在异常,当判断解析数据为异常时,则终止电网工业控制系统的控制过程、报警和记录日志,并将报警信息和日志信息传至终端模块;
所述终端模块用于对所述监测模块的监测结果进行存储与在线显示。
CN202211106746.1A 2022-09-13 2022-09-13 基于协议解析的电网工业控制系统及控制方法 Active CN115190191B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211106746.1A CN115190191B (zh) 2022-09-13 2022-09-13 基于协议解析的电网工业控制系统及控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211106746.1A CN115190191B (zh) 2022-09-13 2022-09-13 基于协议解析的电网工业控制系统及控制方法

Publications (2)

Publication Number Publication Date
CN115190191A true CN115190191A (zh) 2022-10-14
CN115190191B CN115190191B (zh) 2022-11-29

Family

ID=83524823

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211106746.1A Active CN115190191B (zh) 2022-09-13 2022-09-13 基于协议解析的电网工业控制系统及控制方法

Country Status (1)

Country Link
CN (1) CN115190191B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604016A (zh) * 2022-10-31 2023-01-13 北京安帝科技有限公司(Cn) 一种行为特征链模型的工控异常行为监测方法和系统
CN115630530A (zh) * 2022-12-07 2023-01-20 北京鼎诚鸿安科技发展有限公司 电网数值融合建模平台与方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150095008A1 (en) * 2013-01-18 2015-04-02 Inspur Electronic Information Industry Co., Ltd Extension cache coherence protocol-based multi-level coherency domain simulation verification and test method
CN106502234A (zh) * 2016-10-17 2017-03-15 重庆邮电大学 基于双轮廓模型的工业控制系统异常检测方法
US20180041528A1 (en) * 2016-08-04 2018-02-08 Cisco Technology, Inc. Joint anomaly detection across iot devices
CN107769972A (zh) * 2017-10-25 2018-03-06 武汉大学 一种基于改进的lstm的电力通信网设备故障预测方法
CN108418807A (zh) * 2018-02-05 2018-08-17 浙江大学 一种工业控制系统主流协议实现与监测解析平台
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN109600258A (zh) * 2018-12-10 2019-04-09 英赛克科技(北京)有限公司 工业协议报文记录装置及方法
US20210105293A1 (en) * 2019-10-07 2021-04-08 Booz Allen Hamilton Inc. Methods and systems for anomaly detection in a networked control system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150095008A1 (en) * 2013-01-18 2015-04-02 Inspur Electronic Information Industry Co., Ltd Extension cache coherence protocol-based multi-level coherency domain simulation verification and test method
US20180041528A1 (en) * 2016-08-04 2018-02-08 Cisco Technology, Inc. Joint anomaly detection across iot devices
CN106502234A (zh) * 2016-10-17 2017-03-15 重庆邮电大学 基于双轮廓模型的工业控制系统异常检测方法
CN107769972A (zh) * 2017-10-25 2018-03-06 武汉大学 一种基于改进的lstm的电力通信网设备故障预测方法
CN108418807A (zh) * 2018-02-05 2018-08-17 浙江大学 一种工业控制系统主流协议实现与监测解析平台
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN109600258A (zh) * 2018-12-10 2019-04-09 英赛克科技(北京)有限公司 工业协议报文记录装置及方法
US20210105293A1 (en) * 2019-10-07 2021-04-08 Booz Allen Hamilton Inc. Methods and systems for anomaly detection in a networked control system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张明等: "一种电力工控网络指令异常分析方法", 《南京理工大学学报》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604016A (zh) * 2022-10-31 2023-01-13 北京安帝科技有限公司(Cn) 一种行为特征链模型的工控异常行为监测方法和系统
CN115604016B (zh) * 2022-10-31 2023-06-23 北京安帝科技有限公司 一种行为特征链模型的工控异常行为监测方法和系统
CN115630530A (zh) * 2022-12-07 2023-01-20 北京鼎诚鸿安科技发展有限公司 电网数值融合建模平台与方法

Also Published As

Publication number Publication date
CN115190191B (zh) 2022-11-29

Similar Documents

Publication Publication Date Title
CN115190191B (zh) 基于协议解析的电网工业控制系统及控制方法
CN111262722B (zh) 一种用于工业控制系统网络的安全监测方法
CN105024877B (zh) 一种基于网络行为分析的Hadoop恶意节点检测系统
CN111245848B (zh) 一种分层依赖关系建模的工控入侵检测方法
CN101309179B (zh) 一种基于主机活跃性和通信模式分析实时异常流量检测方法
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
JP2014060722A (ja) 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
US10540612B2 (en) Technique for validating a prognostic-surveillance mechanism in an enterprise computer system
CN106470206B (zh) 适用于异质网络架构的异常预测方法及系统
CN112688946B (zh) 异常检测特征的构造方法、模块、存储介质、设备及系统
US20210105293A1 (en) Methods and systems for anomaly detection in a networked control system
CN114710369B (zh) 一种异常数据检测方法、装置、计算机设备及存储介质
Dong et al. Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM
CN112463422A (zh) 物联网故障运维方法、装置、计算机设备及存储介质
Zhong et al. Anomaly detection and sampling cost control via hierarchical GANs
Wang et al. Recent advances in machine learning-based anomaly detection for industrial control networks
CN113778054B (zh) 一种针对工业控制系统攻击的双级检测方法
CN116975938B (zh) 一种产品制造过程中的传感器数据处理方法
WO2022115419A1 (en) Method of detecting an anomaly in a system
CN111490976B (zh) 一种面向工控网络的动态基线管理与监测方法
CN115333915A (zh) 一种面向异构主机的网络管控系统
CN102118272A (zh) 一种网络边界异常监控方法
Peng et al. Anomaly detection based on multiple streams clustering for train real-time ethernet
CN117640748B (zh) 跨平台设备信息采集系统
Hormann et al. Analysis of Security Events in Industrial Networks Using Self-Organizing Maps by the Example of Log4j.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant