CN117560196A

CN117560196A - 一种智慧变电站二次系统测试系统及方法

Info

Publication number: CN117560196A
Application number: CN202311524768.4A
Authority: CN
Inventors: 常政威; 蔡东升; 黄琦; 吴杰; 丁宣文; 张大伟; 王彦沣; 罗荣森; 蒲维; 马驰弈; 杨欢; 关泽祥
Original assignee: Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd; Chengdu Univeristy of Technology
Current assignee: Electric Power Research Institute of State Grid Sichuan Electric Power Co Ltd; Chengdu Univeristy of Technology
Priority date: 2023-11-14
Filing date: 2023-11-14
Publication date: 2024-02-13

Abstract

本发明公开一种智慧变电站二次系统测试系统及方法，涉及智能变电站通信安全领域。本发明中网络攻击模块建立智能变电站中所存在的网络攻击模型；异常流量生成模块根据网络攻击模块中网络攻击类型的流量特征生成异常流量，与正常流量并行传输；异常流量检测模块对网络中传输的流量进行检测，将待检测的系统状态特征与正常运行状态下的信息特征进行比较，快速筛选出异常流量并发出警告；网络安全评估模块分析智能变电站网络环境所面临的威胁、系统的脆弱性以及采用的安全控制措施等，量化网络攻击对网络性能的影响。本发明实现了对智能变电站网络异常流量的仿真，提高了智能变电站通信网络运行的可靠性和安全性。

Description

一种智慧变电站二次系统测试系统及方法

技术领域

本发明涉及智能变电站通信安全领域，特别是涉及一种智慧变电站二次系统测试系统及方法。

背景技术

智能变电站区别于传统变电站是IEC61850规约带来的变电站二次系统结构的变化。原有的站内实际接线由包含设备通信连接信息的SCD(Substation ConfigurationDescription)文件替代，电压电流等一次数据均就地采集，转换为数字量后通过IEC61850规约经由网络传输，二次系统设备的操作控制，装置的联闭锁等也都通过网络通信完成，也就是说，数据的传递及共享全部实现网络化。

为了应对智能变电站不断扩大的信息架构与网络规模，必须配备更多数量的传感器和智能设备。智能电子设备(Intelligent Electronic Device，IED)在变电站广泛应用，变电站功能运行呈现网络化，使变电站物理系统和信息系统紧密结合、相互配合，构成一个典型的信息物理系统。外界的网络攻击可以使传感器测量的信号或控制指令的信息完整性受到破坏，甚至被替换为虚假信息；另一种表现形式为注入大量无用信息以占用信息网络可用带宽，使系统网络传输性能大幅下降，致使正确信息不能实时传输，严重情况下可导致系统信息网络瘫痪，甚至会发生大范围停电事件。

根据被攻击对象类别分类，智能变电站的攻击行为可分为纯物理攻击、纯网络攻击、经由网络的物理攻击、通过物理的网络攻击等。攻击行为根据产生原因主要可分为：篡改数据的网络攻击(False Data Attack，FDA)以及拒绝服务攻击也可称为阻塞网络攻击(Network Jamming Attack，NJA)。

当智能变电站遭受网络攻击时，将严重影响网络性能，甚至会造成大范围停电。因此，如何检测变电站网络攻击的异常流量、对网络安全风险进行评估以及如何采取网络防御资源分配策略，以降低网络攻击对智能变电站造成的影响，成为本领域亟待解决的技术问题。

发明内容

为解决现有技术存在的上述问题，本发明提供了一种智慧变电站二次系统测试系统及方法。

为实现上述目的，本发明提供了如下方案：

一种智慧变电站二次系统测试系统，包括：

网络攻击模块，用于构建智能变电站通信网络中的网络攻击模型，并基于构建的所述网络攻击模型确定网络攻击流量特征；所述网络攻击模型包括虚假数据注入攻击和网络阻塞攻击；

异常流量生成模块，与所述网络攻击模块连接，用于基于网络攻击流量特征生成异常网络流量，并用于基于所述异常网络流量与正常网络流量生成变电站通信网络中的数据传输流量；

异常流量检测模块，与所述异常流量生成模块连接，用于监测所述数据传输流量得到变电站通信网络的异常情况；

网络安全评估模块，与所述异常流量检测模块连接，用于监控所述数据传输流量识别异常网络流量；当识别得到异常网络流量时，生成网络防御策略。

可选地，所述异常流量生成模块基于基于网络攻击流量特征生成异常网络流量的过程包括：

捕获正常流量的数据包，并解析所述正常流量的数据包的结构；所述正常流量的数据包的结构包括数据包大小、发送数据包间隔、源地址、目标地址、端口信息和协议信息；

修改解析得到的所述正常流量的数据包的结构，得到包含异常网络流量的数据包。

可选地，所述网络安全评估模块监控所述数据传输流量识别异常网络流量的过程包括：

捕获所述数据传输流量中所有的数据包，并对捕获得到的数据包进行分类，得到异常数据包和正常数据包；

分析所述异常数据包的属性；所述异常数据包的属性包括：数据包的源地址、目标地址、协议信息和端口信息；

基于所述异常数据包的属性确定与所述异常数据包对应的网络行为，当所述网络行为包含与正常网络行为不符的特征时，将与所述网络行为对应的异常数据包中的流量标记为异常网络流量。

可选地，所述异常流量检测模块用于比较监测的所述数据传输流量和预设的正常流量水平，得到比较结果，基于所述比较结果确定变电站通信网络的异常情况。

可选地，所述异常流量检测模块监测所述数据传输流量得到变电站通信网络的异常情况的过程包括：

根据正常流量的数据帧长度，检测监测的所述数据传输流量是否存在异常数据帧长度，如果存在，则确定为存在FDA攻击；

所述异常流量检测模块监测智能电子设备和路由器的性能指标，当所述性能指标超出设定值时，则确定为存在NJA攻击；所述性能指标包括数据包处理延迟和丢包率。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提供的系统中网络攻击模块、异常流量生成模块、异常流量检测模块和网络评估模块顺序相连，网络攻击模块建立智能变电站中所存在的网络攻击模型；异常流量生成模块根据网络攻击模块中网络攻击类型的流量特征生成异常流量，与正常流量并行传输；异常流量检测模块对网络中传输的流量进行检测，将待检测的系统状态特征与正常运行状态下的信息特征进行比较，快速筛选出异常流量并发出警告；网络安全评估模块分析智能变电站网络环境所面临的威胁、系统的脆弱性以及采用的安全控制措施等，量化网络攻击对网络性能的影响。本发明实现了对智能变电站网络异常流量的仿真，提高了智能变电站通信网络运行的可靠性和安全性。

进一步，本发明还提供了一种智慧变电站二次系统测试方法，应用于上述提供的的智慧变电站二次系统测试系统；所述方法包括：

构建智能变电站通信网络中的网络攻击模型；所述网络攻击模型包括虚假数据注入攻击和网络阻塞攻击；

基于构建的所述网络攻击模型确定网络攻击流量特征；

基于网络攻击流量特征生成异常网络流量；

基于所述异常网络流量与正常网络流量生成变电站通信网络中的数据传输流量；

监测所述数据传输流量得到变电站通信网络的异常情况；

监控所述数据传输流量识别异常网络流量，当识别得到异常网络流量时，生成网络防御策略。

可选地，基于网络攻击流量特征生成异常网络流量，具体包括：

可选地，监控所述数据传输流量识别异常网络流量，具体包括：

可选地，监测所述数据传输流量得到变电站通信网络的异常情况，具体包括：

因本发明提供的智慧变电站二次系统测试方法实现的技术效果与上述提供的系统实现的技术效果相同，故在此不再进行赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的智慧变电站二次系统测试系统的结构示意图；

图2为本发明提供的智慧变电站二次系统测试方法的流程图；

图3为本发明提供的智慧变电站二次系统测试系统的应用效果图。

附图标记说明：

1-网络攻击模块，2-异常流量生成模块，3-异常流量检测模块，4-网络评估模块，5-数据包大小，6-发包间隔。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得所有的其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种智慧变电站二次系统测试系统及方法，能够实现对智能变电站通信网络中异常流量的检测以及网络安全的评估，从而提高智能变电站通信网络的安全性能。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

实施例1

如图1所示，该实施例提供的智慧变电站二次系统测试系统，包括：网络攻击模块1、异常流量生成模块2、异常流量检测模块3和网络评估模块4。

网络攻击模块1用于构建智能变电站通信网络中的网络攻击模型，并基于构建的网络攻击模型确定网络攻击流量特征。网络攻击模型包括虚假数据注入攻击(False DataAttack，FDA)和网络阻塞攻击(Network Jamming Attack，NJA)。

异常流量生成模块2与网络攻击模块1连接。异常流量生成模块2包括数据包大小5和发包间隔6，其用于基于网络攻击流量特征生成异常网络流量，并用于基于异常网络流量与正常网络流量生成变电站通信网络中的数据传输流量，以对智能变电站通信网络安全产生威胁。

异常流量检测模块3与异常流量生成模块2连接。异常流量检测模块3用于监测数据传输流量得到变电站通信网络的异常情况。例如，该模块通过将实际传输流量与预设的正常流量水平相比较，检测到异常情况，如突然的流量增加或异常的数据包传输。

网络安全评估模块与异常流量检测模块3连接。用于监控数据传输流量识别异常网络流量。当识别得到异常网络流量时，生成网络防御策略。

在实际应用过程中，网络安全评估模块通过对数据包的源、目的地、协议、端口等信息进行分析来识别潜在的威胁。当检测到异常流量，系统将采取相应的措施，如阻止恶意流量的进入、隔离受到威胁的设备或发出警报通知管理员，对智能变电站的通信网络当前面临的风险进行综合判断，可量化网络攻击对网络性能的影响。

进一步，异常流量生成模块2基于基于网络攻击流量特征生成异常网络流量的过程包括：

捕获正常流量的数据包，并解析正常流量的数据包的结构。正常流量的数据包的结构包括数据包大小、发送数据包间隔、源地址、目标地址、端口信息和协议信息。

修改解析得到的正常流量的数据包的结构，得到包含异常网络流量的数据包。

进一步，网络安全评估模块监控数据传输流量识别异常网络流量的过程包括：

捕获数据传输流量中所有的数据包，并对捕获得到的数据包进行分类，得到异常数据包和正常数据包。

分析异常数据包的属性。异常数据包的属性包括：数据包的源地址、目标地址、协议信息和端口信息。

基于异常数据包的属性确定与异常数据包对应的网络行为，当网络行为包含与正常网络行为不符的特征时，将与网络行为对应的异常数据包中的流量标记为异常网络流量。

在实际应用过程中，网络评估模块4对检测到的异常流量进行分类和分析，以确定异常流量的性质和来源，具体步骤如下：

步骤1：明确网络攻击是FDA攻击、NJA攻击或其他类型攻击，以及攻击的具体目标(如智能电子设备、路由器或网络连接)，并提取攻击的特征和签名，这将有助于建立新的攻击模型和更容易识别相似的攻击。

步骤2：量化网络攻击对智能变电站通信网络性能和可用性的实际影响，具体涉及网络的带宽利用率、延迟、丢包率以及通信链路的稳定性等。若设备受到严重威胁则隔离设备，若设备受到轻微威胁则采取措施平抑网络异常流量。

步骤3：生成详细的日志记录，便于溯源和安全分析。

进一步，异常流量检测模块3用于比较监测的数据传输流量和预设的正常流量水平，得到比较结果，基于比较结果确定变电站通信网络的异常情况。

进一步，异常流量检测模块3监测数据传输流量得到变电站通信网络的异常情况的过程包括：

根据正常流量的数据帧长度，检测监测的数据传输流量是否存在异常数据帧长度，如果存在，则确定为存在FDA攻击。

异常流量检测模块3监测智能电子设备和路由器的性能指标，当性能指标超出设定值时，则确定为存在NJA攻击。性能指标包括数据包处理延迟和丢包率。

在实际应用过程中，针对传感器的异常流量检测，实时监测传感器数据流量，根据正常的数据帧长度，检测是否存在异常数据帧长度，超出正常范围的数据帧长度则表明可能存在FDA攻击，具体步骤如下：

步骤1：使用网络监测工具或传感器数据流量分析软件，实时捕获传感器数据的传输。

步骤2：检查每个数据帧的长度，将其与正常操作期间建立的数据帧长度基准进行比较。

步骤3：如果发现任何数据帧的长度超出了正常范围，触发警报，并记录异常情况以供后续分析。

针对智能电子设备和路由器的异常流量检测，监测智能电子设备和路由器的性能指标(数据包处理延迟、丢包率等)，异常延迟和高丢包率则表明可能存在NJA攻击，具体步骤如下：

步骤1：使用性能监测工具或设备，实时监测智能电子设备和路由器的性能参数。

步骤2：检查数据包的处理延迟，确保它们在正常操作期间的预期范围内。

步骤3：检查丢包率，若发现丢包率升高表明可能存在NJA攻击和网络问题。

步骤4：若性能参数异常，触发警报，并记录异常情况以进行进一步分析。

针对网络连接状态的异常流量检测，检测是否出现网络阻塞或通信链路中的异常数据包，并用于检测NJA攻击对网络连接的影响，具体步骤如下：

步骤1：实时监测网络连接的状态，包括链路的可用性和带宽利用率。

步骤2：检查网络连接中的数据包传输情况，包括异常的数据包数量和传输速率。

步骤3：如果发现网络连接状态异常，如带宽耗尽或传输链路阻塞，表明NJA攻击，触发警报。

进一步，网络攻击模型建模步骤如下：

步骤1：正常网络流量建模。在智能变电站正常运行时，针对传感器收集到的电气量，其数学模型表示为：

其中，S为传感器集合，C_i为传感器传递函数，s(k)为传感器的输入电气量，y_i(k)为传感器测量信号的输出量。

步骤2：异常网络流量FDA的建模。FDA通过向传感器发送虚假数据，会导致系统错误认为环境参数发生变化，从而触发不必要的操作或关闭系统的正常功能。基于正常流量，FDA的传感器数据传输数学模型表示为：

其中，C_is(k)为FDA攻击下的传感器输出，为FDA攻击量。

步骤3：异常网络流量NJA的建模。NJA诱因是网络拓扑脆弱、设备损坏或网络攻击。在NJA中，攻击者对变电站通信网络发起攻击，表现形式为降低网络的可用性，故引入NJA系数θ来表征网络攻击导致的网络可用性变化率。

其中，根据攻击目标类型不同，NJA分为三种攻击：(1)对IED的攻击。(2)对路由器的攻击。(3)对网络连接的攻击。

针对NJA对三种攻击目标的数学模型如下：

正常运行情况下智能电子设备IED的信息传输模型为：

IED_j(out)＝C_j·IED_j(in)，j∈D。

其中，D是IED的集合，C_j为IED信息传输函数，IED_j(in)为IED的输入信息，IED_j(out)为IED的输出信息。

当发生对IED的NJA攻击时，IED的信息传输模型变为：

IED_j(out)＝C_j·(1+θ_NJA)·IED_j(in)，j∈D。

其中，θ_NJA为对IED的NJA攻击系数。

进一步地，与对IED的NJA攻击类似，发生对路由器的NJA攻击时，路由器的信息传输模型为：

R_k(out)＝H_k·(1+θ_NJA)·R_k(in)，k∈R。

其中，R为路由器集合，H_k为路由器信息传输函数，R_k(in)为路由器的输入信息，R_k(out)为路由器的输出信息，θ_NJA为对路由器的NJA攻击系数。

进一步地，在针对NJA对网络连接进行攻击时，网络连接上的信息模型记为Packets(t)，发生对网络连接的NJA攻击时，网络连接上的信息模型为：

其中，θ_NJA为对网络连接的NJA攻击系数，t_NJA为网络攻击发生的时刻。

实施例2

该实施例提供了一种智慧变电站二次系统测试方法，应用于上述实施例1提供的的智慧变电站二次系统测试系统，包括异常流量的建模、生成、检测和评估。如图2所示，该方法的实现步骤包括：

步骤100：构建智能变电站通信网络中的网络攻击模型。网络攻击模型包括虚假数据注入攻击和网络阻塞攻击。

在实际应用过程中，网络攻击模型的构建采用网络攻击模块1完成。

步骤101：基于构建的网络攻击模型确定网络攻击流量特征。

步骤102：基于网络攻击流量特征生成异常网络流量。

在实际应用过程中，该步骤中异常网络流量的生成(即异常流量的建模)采用异常流量生成模块2完成，其主要是根据网络攻击模块1中网络攻击类型的流量特征(数据包大小、发送数据包间隔)来生成异常流量，与正常流量并行传输，对智能变电站通信网络安全产生威胁。

步骤103：基于异常网络流量与正常网络流量生成变电站通信网络中的数据传输流量。

步骤104：监测数据传输流量得到变电站通信网络的异常情况。

在实际应用过程中，该步骤中异常情况的识别(即异常情况的建模)采用异常流量检测模块3完成，其主要用于识别智能变电站中网络传输的异常流量且发出警告。监测位置包括：实时监测传感器数据流量，根据正常的数据帧长度，检测是否存在异常数据帧长度，超出正常范围的数据帧长度则表明可能存在FDA攻击。监测智能电子设备和路由器的性能指标，包括数据包处理延迟和丢包率，异常延迟和高丢包率则表明可能存在NJA攻击。监测网络连接的状态，以检测是否出现网络阻塞和通信链路中的异常数据包数量，可用来检测NJA攻击对网络连接的影响。

步骤105：监控数据传输流量识别异常网络流量，当识别得到异常网络流量时，生成网络防御策略。

在实际应用过程中，该步骤中异常网络流量的识别(即异常网络流量的建模)采用网络评估模块4完成，其主要用于进一步对检测到的异常流量进行分类和分析，以确定异常流量的性质和来源。具体的：

首先，明确网络攻击是FDA攻击、NJA攻击或其他类型攻击，以及攻击的具体目标(如智能电子设备、路由器或网络连接)，并提取攻击的特征和签名，这将有助于建立新的攻击模型和更容易识别相似的攻击。其次，量化网络攻击对智能变电站通信网络性能和可用性的实际影响，具体涉及网络的带宽利用率、延迟、丢包率以及通信链路的稳定性等。若设备受到严重威胁则隔离设备，若设备受到轻微威胁则采取措施平抑网络异常流量。最后，生成详细的日志记录，便于溯源和安全分析。其中，严重威胁指的是对网络或设备造成严重危害的威胁。这些危害包括：导致设备不可用或数据丢失、威胁生命安全或人身安全、对关键基础设施或关键业务造成破坏、泄露敏感信息或数据。轻微威胁指的是威胁的影响相对较小，对网络性能或安全性产生不利影响，但通常不至于引发灾难性后果。这些影响可能包括：临时的网络拥塞、一般性网络干扰、如暂时的延迟或临时丢包、未经授权的访问或恶意扫描，但未导致实际损害。

进一步，通过分析数据包的目的地IP地址，检测到异常流量指向特定的IP地址，明确攻击目标。对异常流量的模式进行分析，例如大量的连接尝试或频繁的数据包传输，帮助确定攻击目标。其他攻击在智能变电站中不常见，这里不考虑。

进一步，提取攻击的特征和签名的过程包括：

1.对异常流量的数据包进行解析，以了解其结构和内容。这包括数据包的头部信息、负载数据以及与协议有关的字段。

2.根据异常流量所使用的协议(如TCP、UDP、HTTP等)，深入分析协议的操作和消息格式。这将帮助确定是否存在协议规范之外的行为。

3.寻找异常流量中的特定特征，特征包括以下内容：

A、异常数据包大小：检查是否存在异常大或异常小的数据包。

B、异常的数据包结构：分析数据包头部和负载，查找不正常的数据格式、字段或标志。

C、异常的数据传输模式：识别异常的数据包发送频率、连接建立方式或数据传输行为。

进一步，量化网络攻击是通过网络评估模块4进行的，具体步骤如下：

1.明确网络攻击的类型以及攻击的具体目标，如智能电子设备、路由器或网络连接。

2.检测网络带宽的利用率，如果攻击导致网络拥塞，带宽利用率会急剧增加，从而降低网络性能。

3.检测网络延迟，攻击会导致网络响应时间延长，影响通信效率。

4.评估数据包丢失率，攻击会导致数据包丢失，从而降低数据传输质量。

5.分析通信链路的稳定性，检测到攻击时是否出现链路中断或不稳定。

实施例3

如图3所示，该实施例中，智能变电站是典型的“三层两网”结构，“三层”指的是过程层、间隔层、站控层，“两网”指是过程层网络和站控层网络。

更为具体地，过程层设备主要包括合并单元、断路器等，间隔层主要包括保护和控制装置，站控层主要包括站控主机和服务器等。

进一步地，不同的层级和不同的设备发送的报文协议也不同，分为MMS(Manufacturing Message Specification，制造报文规范)、SV(Sampled Value，采样值)、GOOSE(Generic Object Oriented Substation Event，面向通用对象的变电站事件)。

进一步地，如图3所示，在报文传输方面，由合并单元向保护和控制装置传输SV报文。由保护和控制装置向服务器和断路器传输GOOSE报文。断路器向服务器传输SV和GOOSE报文。服务器向站控层主机传输MMS报文。

在正常状态下，智能变电站中传感器测量信号的输出量y_i(k)(参照实施例1命名)数据帧长度在144字节到244字节之间。当网络攻击模块1模拟FDA攻击时，FDA攻击主要针对过程层与间隔间传输的SV报文和间隔层与站控层传输的MMS报文，(参照实施例1命名)数据帧长度远大于244字节，将会形成较大的数据量。异常流量生成模块2作用于合并单元、断路器以及路由器，改变数据包大小生成数据帧长度为1000字节的数据包，注入智能变电站的通信网络中，模拟FDA发生攻击时的流量特征。异常流量检测模块3实时监测合并单元、断路器以及路由器的数据流量，当检测到存在异常数据帧长度，则表明可能存在FDA攻击。网络评估模块4先识别出FDA攻击和确定攻击的具体目标，提取攻击的特征和签名，量化FDA攻击对智能变电站通信网络性能和可用性的实际影响，若设备受到严重威胁则隔离设备，若设备受到轻微威胁则采取措施平抑网络异常流量。

在正常状态下，IED_i(in)(参照实施例1命名)为智能电子设备的输入信息，实施例1中C_i为智能电子设备信息传输函数，表示智能电子设备对数据的处理能力，IED_i(out)(参照实施例1命名)为IED的输出信息。当网络攻击模块1模拟NJA攻击时，NJA攻击主要针对过程层与间隔间传输的SV报文、间隔层与站控层传输的MMS报文、设备间传输的GOOSE报文，异常流量生成模块2模拟通信网络中发生NJA时的特征，通过攻击智能电子设备、破坏路由协议，使通信过程产生延迟和不必要的阻塞。

NJA对智能电子设备进行攻击时，异常流量生成模块2引入对智能电子设备的攻击系数θ_NJA(参照实施例1命名)，使智能电子设备信息传输函数改变为C_i·(1+θ_NJA)(参照实施例1命名)。异常流量检测模块3监测智能电子设备性能指标，具体包括数据包处理延迟和丢包率，当检测到存在异常延迟和高丢包率则表明可能存在NJA攻击。网络评估模块4先识别出NJA攻击和确定攻击的具体目标，提取攻击的特征和签名，量化NJA攻击对智能变电站通信网络性能和可用性的实际影响，若设备受到严重威胁则隔离设备，若设备受到轻微威胁则采取措施平抑网络异常流量。

NJA对路由器进行攻击时，与上述智能电子设备类似，异常流量生成模块2引入对路由器的攻击系数θ_NJA(参照实施例1命名)，路由器的传输参数改变为H_i·(1+θ_NJA)(参照实施例1命名)。异常流量检测模块3监测网络连接的状态，具体包括网络阻塞和通信链路中的异常数据包数量，当检测到网络延时大且通信链路中的异常数据包数量多时，则表明可能存在NJA攻击。网络评估模块4先识别出NJA攻击和确定攻击的具体目标，提取攻击的特征和签名，量化NJA攻击对智能变电站通信网络性能和可用性的实际影响，若设备受到严重威胁则隔离设备，若设备受到轻微威胁则采取措施平抑网络异常流量。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种智慧变电站二次系统测试系统，其特征在于，包括：

2.根据权利要求1所述的智慧变电站二次系统测试系统，其特征在于，所述异常流量生成模块基于基于网络攻击流量特征生成异常网络流量的过程包括：

3.根据权利要求1所述的智慧变电站二次系统测试系统，其特征在于，所述网络安全评估模块监控所述数据传输流量识别异常网络流量的过程包括：

4.根据权利要求1所述的智慧变电站二次系统测试系统，其特征在于，所述异常流量检测模块用于比较监测的所述数据传输流量和预设的正常流量水平，得到比较结果，基于所述比较结果确定变电站通信网络的异常情况。

5.根据权利要求1所述的智慧变电站二次系统测试系统，其特征在于，所述异常流量检测模块监测所述数据传输流量得到变电站通信网络的异常情况的过程包括：

6.一种智慧变电站二次系统测试方法，其特征在于，应用于权利要求1-5任意一项所述的智慧变电站二次系统测试系统；所述方法包括：

基于构建的所述网络攻击模型确定网络攻击流量特征；

基于网络攻击流量特征生成异常网络流量；

监测所述数据传输流量得到变电站通信网络的异常情况；

7.根据权利要求6所述的智慧变电站二次系统测试方法，其特征在于，基于网络攻击流量特征生成异常网络流量，具体包括：

8.根据权利要求6所述的智慧变电站二次系统测试方法，其特征在于，监控所述数据传输流量识别异常网络流量，具体包括：

9.根据权利要求6所述的智慧变电站二次系统测试方法，其特征在于，监测所述数据传输流量得到变电站通信网络的异常情况，具体包括：