CN106685928A - 适用于数字化变电站间隔层smv网络攻击分级检测方法 - Google Patents

Abstract

本发明公开一种适用于数字化变电站间隔层SMV网络攻击分级检测方法，包括包解密步骤、包过滤步骤、包解析步骤、MAC地址异常检测步骤、基于规范的入侵检测步骤、基于历史事件的数据检测步骤，最后的检测结果分类写入正常事件日志、告警日志，对异常进行取证后保存；根据入侵数据进行异常评估指标计算；告警及入侵数据、异常评估指标将上送主站；或者进行就地告警显示。本发明所述的适用于数字化变电站间隔层SMV网络攻击分级检测方法，设有MAC 地址异常、SMV 不良数据、数据包逻辑检测、数据流量阀值异常、一次故障相似、网络攻击相似、上送SMV 伪造、上送SMV 篡改等多种异常状态指示器，可方便快速定位攻击形式以及可能的攻击位置，以便快速告知调度侧运行监控人员。

Description

适用于数字化变电站间隔层SMV网络攻击分级检测方法

技术领域

本发明涉及一种在数字化变电站间隔层下，对其SMV报文的网络攻击分级检测的方法，属于电力***信息安全领域。

背景技术

SMV(Sampled Measured Values)原始采样报文，是电力***一次侧设备运行的真实反映；变电站对SMV传输实时性要求很高(不得超过4ms)，目前MU(Merging Unit)往往对SMV不加任何信息安全防护措施，因此存在虚假数据注入攻击很大可能性；保护类SMV报文受到恶意篡改及重放，可能引起继电保护***误动、拒动，导致重大安全事故；测控类SMV报文，是调控中心数据采集与监控***SCADA/EMS状态估计的主要依据，其受到恶意篡改及重放，可能导致SCADA/EMS做出错误甚至危险决策。

信息安全入侵检测取证技术是指通过对比各个预定义的性能指标来对动态***判断、决策的一种理论与技术，被视为提高信息安全防御的前提，在各个领域都引起高度的重视。当***受到未知类型的攻击时，入侵检测***要尽量准确的定位攻击位置，攻击类型，并且能避免在清除软件销毁攻击痕迹之前，存取受攻击的证据，以帮助电网信息安全技术人员分析攻击特点，尽早制定相应的防御策略，避免其他区域电网遭受类似攻击。

近几年，国内外专家学者在电力***信息安全领域都做出了大量的贡献。比较具有代表性的如：1)美国爱达荷州国家实验室(Idaho Nation Laboratory)采用实际的智能电网发电、输电装置/***和标准的工业软件构建了SCADA信息安全测试***/平台NSTB(NationalSCADA TestBed)。2)美国亚利桑那大学(University of Arizona)利用OPNET网络仿真软件、Power World电力***仿真软件构建了用于异常检测(如入侵检测)研究的SCADA控制***信息安全分析测试平台/***(testbed for analyzing security ofSCADA control system,TASSCS)。3)欧洲CRUTIAL项目开发了两个不同的智能电网信息安全测试平台/***,用于研究各种网络攻击所造成的影响。

近几年国内在建立电力与信息联合仿真平台方面也做了大量工作，如2003年HopkinsonK.M.博士、J.S.Thorp教授和王晓茹博士联合研发了电力和通信同步仿真平台(EPOCHS)，以电力***分析及仿真软件PSCAD、PSS/E、PSLF等作为电力***仿真工具，采用通信网络仿真软件NS2作为通信***仿真工具，试图模拟网络攻击的过程。同时近几年中国南瑞集团公司、华中科技大学、东南大学等单位开展了一些联合仿真平台的初步研究，搭建电力***仿真软件和网络仿真技术软件包(OPNET)联合仿真平台，以试图探索网络攻击的特征。

有鉴于此，本发明人对此进行研究，专门开发出一种适用于数字化变电站间隔层SMV网络攻击分级检测方法，本案由此产生。

发明内容

本发明的目的是提供一种适用于数字化变电站间隔层SMV网络攻击分级检测方法。

为了实现上述目的，本发明的解决方案是：

一种适用于数字化变电站间隔层SMV网络攻击分级检测方法，包括如下步骤：

步骤1.包解密：对MU经过数字签名的SMV包进行数字签名验证，根据加密解密规则进行数据包处理；

步骤2.包过滤：根据SMV数据包MVC起始地址的不同，过滤出SMV数据包；

步骤3.包解析：剥离掉SMV数据包外层的MAC地址协议，提取出包中的数据，并把MAC地址和包数据发送到包异常检测模块；

步骤4.MAC地址异常检测：所有到达入侵检测模块的MAC地址都要严格遵守预定义的地址接收表，一旦出现与地址库中不匹配的MAC地址，则检测指示器γ^MAC设置为true，立刻告警并丢弃数据；

步骤5.基于规范的入侵检测：包括主要针对引发跳闸数据、不良数据、违反逻辑、超流量阀值告警等；

步骤6.基于历史事件的数据检测：检测目前的采样数据是否符合历史事件的触发条件，如过流、过压、短路故障等历史事件，若符合，则设置一次故障γ^lsft指示为true；然后检查采样数据是否符合某一次历史网络攻击数据模型，若符合，则设置历史入侵γ^lsit指示为true等。

步骤7.最后的检测结果分类写入正常事件日志、告警日志，对异常进行取证后保存；根据入侵数据进行异常评估指标ν_n计算；告警及入侵数据、异常评估指标ν_n将上送主站；或者进行就地告警显示。

本发明所述的适用于数字化变电站间隔层SMV网络攻击分级检测方法，设有MAC地址异常、SMV不良数据、数据包逻辑检测、数据流量阀值异常、一次故障相似、网络攻击相似、上送SMV伪造、上送SMV篡改等多种异常状态指示器，可方便快速定位攻击形式以及可能的攻击位置，以便快速告知调度侧运行监控人员。

以下结合附图及具体实施例对本发明做进一步详细描述。

附图说明

图1为本实施例的基于规范的SMV数据检测模块框图；

图2为本实施例的SMV报文完整性和数字签名认证过程流程图。

具体实施方式

如图1所示，一种适用于数字化变电站间隔层SMV网络攻击分级检测方法，包括如下步骤：

步骤1.包解密：对MU经过数字签名的SMV包进行数字签名验证，根据加密解密规则进行数据包处理；

步骤2.包过滤：由于GOOSE/SMV对实时性要求很高，GOOSE/SMV报文传输由应用层直接到数据链层，未使用UDP/TCP/IP协议，因此需要根据SMV数据包MVC起始地址的不同，过滤出SMV数据包；

步骤3.包解析：剥离掉SMV数据包外层的MAC地址协议，提取出包中的数据，并把MAC地址和包数据发送到包异常检测模块。

步骤4.MAC地址异常检测：所有到达入侵检测模块的MAC地址都要严格遵守预定义的地址接收表，一旦出现与地址库中不匹配的MAC地址，则检测指示器γ^MAC设置为true，立刻告警并丢弃数据；

步骤5.基于规范的入侵检测：包括主要针对引发跳闸数据、不良数据、违反逻辑、超流量阀值告警等；

步骤6.基于历史事件的数据检测：检测目前的采样数据是否符合历史事件的触发条件，如过流、过压、短路故障等历史事件，若符合，则设置一次故障γ^lsft指示为true；然后检查采样数据是否符合某一次历史网络攻击数据模型，若符合，则设置历史入侵γ^lsit指示为true等。

步骤7.最后的检测结果分类写入正常事件日志、告警日志，对异常进行取证后保存；根据入侵数据进行异常评估指标ν_n计算；告警及入侵数据、异常评估指标ν_n将上送主站；或者进行就地告警显示。

本实施例所述的数字签名，不仅可保证信息传输的完整性、鉴别认证发送者的身份及防止信息交换中出现抵赖行为，同时又能兼顾实时性及安全性，因而被认为是变电站站内通信的有效安全措施。由于整个SMV报文中最核心也是外界最想截获的信息是每个应用服务数据单元(ASDU)后半部分的DataSet域中的每个电气量前4B的数据，只要保证这部分信息的机密性，则SMV报文实质信息将不会泄露。因此为了减少加密运算耗时，只针对采用报文的关键内容进行数字签名，这样提高报文传输的实时性。本实施例采用SM2体系进行数字签名认证，为减少耗时，采用基于华大信安SSM0901加密芯片进行硬件加密。通过定量的加密耗时计算以及OPNET软件的传输延时仿真结果，最终证实结果满足了IEC62351通信体系标准中的对SMV报文传输延时小于4ms的要求。

SMV阀值异常检测算法：本实施例把SCADA/EMS中量测值状态估计算法引入到本地SVDE中，进行本地二次状态估计，符合信息的可验证性特点。

以直流潮流为基础的状态估计模型来检测不良数据检测算法如下：

z＝Hx+e (1)

式中，量测矩阵H^m×n是一个常数雅克比矩阵，通常情况下传感器量测值数目要大于状态变量数目，即m＞n。x为待估计的状态量，e为测量误差。

状态估计问题以冗余测量值为基础，本文采用加权最小二乘法求解目标函数J(x)的最小值来获得状态估计结果，其表达式如下：

J(x)＝(z-Hx)^TW(z-Hx) (2)

式中w为与***误差相关的对角矩阵，最小二乘法求解的最小值得：

当(C为阀值)成立时，表明量测向量中含有不良数据，将量测向量中估计误差最大的变量滤除，不良数据检测状态指示器γ^bl设为true，重新进行状态估计，直到通过不良数据检测为止。

SMV流量阀值异常检测算法：SMV数据包阀值取决于采样速率。在包过滤模块，SMV数据包的MVC地址可以从01-0C-CD-04-00-00开始的，因此可以检查其MVC地址来扑获SMV数据包，记录每秒数据包的数量和其他详细的信息。在入侵检测模块，如果在1s内扑获的数据包数量大于预定义的数据包阀值那么此异常将被写入异常日志并产生告警，作为SMV包可能遭受DoS攻击的判定依据。SMV数据包阀值异常检测指示器γ^fz设置为true。SMV数据包阀值计算公式如下：

其中m是1s内合并单元的数量，是采样幅值分辨率，f_i是第i个数据包的频率，μ_sv是阀值计算误差系数。

入侵检测库设计如下：

1)引发跳闸数据检测：主要检测包数据中是否含有引起继电保护跳闸的过压、过流等告警值。若检测到此类数据，则记入告警日志，上送变电站综自***，以及调控主站。

2)SMV数据上送主站被篡改或伪造检测：加密方式只是降低了SMV数据从MU到继电保护装置被篡改可能性，但是SMV通过远动装置到达主站有比较长的传输路径，报文被篡改的可能性很大，同时也可能存在SMV数据伪造的可能；通过上发本地状态估计值，同时接受主站发回的状态估计值，并进行对比：①如果不配对，则表明测量原始SMV在广域网传输过程中存在数据伪造，则置上送SMV伪造指示γ^SVfk为true；②两值相差很大，则表明测量原始SMV在广域网传输过程中存在数据篡改可能，则置上送SMV篡改指示γ^SVtp为true。

3)预定义逻辑检测：数据包的发送和接收顺序是符合一定的逻辑规范(比如数据包的序列号大小)的，对于不符合逻辑的数据包一旦检测到，就将之丢弃，并设置逻辑检测指示γ^lj为true，进行告警。

4)数据流量阀值异常：数据经过解析模块进入入侵检测模块的速率是有一个预定义阀值；对于那些一直超过阀值的包，就有理由怀疑此MAC地址遭受到了DoS攻击或者网络风暴攻击。

本实施例在入侵检测库设置了：①数字签名验证未通过γ^gj；②不良数据γ^bl；③逻辑检测未通过γ^lj；④阀值异常γ^fz；⑤历史一次故障相似γ^lsft；⑥历史网络攻击相似γ^lsit；⑦上送SMV伪造γ^SVfk；⑧上送SMV篡改γ^SVtp；⑨MAC地址异常γ^MAC等9种异常指示器，并对其进行累计计数，用于过程层网络攻击的检测状态在线监控和历史统计。

在线异常评估指标ν_n可以定义如下：

ν_n＝γ^gl∩γ^bl∩γ^lj∩γ^fz∩γ^lsft∩γ^lsit∩γ^MVfk∩γ^MVtp∩γ^MAC (5)

如果有某一项检测结果异常，状态指示器值为true，异常评估指标ν_n值为1，表示入侵检测模块存在异常入侵事件，智能装置SVDE向站控主站、调控主站及自身外接LED显示屏幕产生告警提示。如果异常评估指标ν_n值为0，则表示原始报文无异常入侵。

本实施例所述的适用于数字化变电站间隔层SMV网络攻击分级检测方法，设有MAC地址异常、SMV不良数据、数据包逻辑检测、数据流量阀值异常、一次故障相似、网络攻击相似、上送SMV伪造、上送SMV篡改等多种异常状态指示器，可方便快速定位攻击形式以及可能的攻击位置，以便快速告知调度侧运行监控人员。

上述实施例和图式并非限定本发明的产品形态和式样，任何所属技术领域的普通技术人员对其所做的适当变化或修饰，皆应视为不脱离本发明的专利范畴。

Claims (1)

1.一种适用于数字化变电站间隔层SMV网络攻击分级检测方法，其特征在于包括如下步骤：

步骤1.包解密：对MU经过数字签名的SMV包进行数字签名验证，根据加密解密规则进行数据包处理；

步骤2.包过滤：根据SMV数据包MVC起始地址的不同，过滤出SMV数据包；

步骤3.包解析：剥离掉SMV数据包外层的MAC地址协议，提取出包中的数据，并把MAC地址和包数据发送到包异常检测模块；

步骤4.MAC地址异常检测：所有到达入侵检测模块的MAC地址都要严格遵守预定义的地址接收表，一旦出现与地址库中不匹配的MAC地址，则检测指示器γ^MAC设置为true，立刻告警并丢弃数据；

步骤5.基于规范的入侵检测：包括主要针对引发跳闸数据、不良数据、违反逻辑、超流量阀值告警等；

步骤6.基于历史事件的数据检测：检测目前的采样数据是否符合历史事件的触发条件，如过流、过压、短路故障等历史事件，若符合，则设置一次故障γ^lsft指示为true；然后检查采样数据是否符合某一次历史网络攻击数据模型，若符合，则设置历史入侵γ^lsit指示为true等。

步骤7.最后的检测结果分类写入正常事件日志、告警日志，对异常进行取证后保存；根据入侵数据进行异常评估指标ν_n计算；告警及入侵数据、异常评估指标ν_n将上送主站；或者进行就地告警显示。