CN114124478A - 电力***工控流量异常检测方法及*** - Google Patents

电力***工控流量异常检测方法及*** Download PDF

Info

Publication number
CN114124478A
CN114124478A CN202111311047.6A CN202111311047A CN114124478A CN 114124478 A CN114124478 A CN 114124478A CN 202111311047 A CN202111311047 A CN 202111311047A CN 114124478 A CN114124478 A CN 114124478A
Authority
CN
China
Prior art keywords
message
abnormal
judging
protocol
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111311047.6A
Other languages
English (en)
Other versions
CN114124478B (zh
Inventor
刘绚
王文博
宋宇飞
张博
于宗超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202111311047.6A priority Critical patent/CN114124478B/zh
Publication of CN114124478A publication Critical patent/CN114124478A/zh
Application granted granted Critical
Publication of CN114124478B publication Critical patent/CN114124478B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

本发明公开了一种电力***工控流量异常检测方法及***,对实时采集到的流量数据进行网络层流量特征的异常检测;提取出每一帧流量数据的应用层报文,依据报文协议类型进行字段级解析并在报文字段层面进行异常检测;最后建立各类电力业务的正常行为模型,实现基于业务模型的异常检测。本发明克服了现有电力工控流量异常检测方法侧重于网络层流量统计分析,缺乏对于电力业务逻辑深入考虑的不足,提升了电力工控流量数据异常检测的准确性与可靠性。

Description

电力***工控流量异常检测方法及***
技术领域
本发明涉及电力***信息安全技术领域,特别是一种电力***工控流量异常检测方法及***。
背景技术
随着智能电网的快速发展,电力***已经由传统的物理***转变为了融合新型信息技术的信息物理***。电力工控***是电力信息物理***的重要组成部分,其通过大量通信协议传输报文信息使电网的运行控制更加便捷与灵活,但同时面临着报文窃取、篡改、拒绝服务等安全隐患,因此如何有效的对电力工控***进行异常行为监测对电力工控***的安全稳定运行具有重要意义。
电力工控流量异常检测作为电力工控***安全防护的重要技术手段之一,能够识别各类网络攻击行为,并发出告警信号而进行网络防御。但是现有的电力工控流量异常检测方法是在网络层根据流量统计特征进行检测,不能有效的针对攻击行为的应用层特征进行异常检测,无法有效实现电力工控***的异常行为监测。因此,亟需发明一种新的电力***工控流量异常行为监测方法,提升对于未知攻击行为的辨识能力,保障电力***的安全可靠运行。
发明内容
本发明所要解决的技术问题是,针对现有技术不足,提供一种电力***工控流量异常检测方法及***,有效解决现有检测方法不能针对电力业务在应用层的异常行为进行检测的局限性,提升电力工控***流量信息传输的安全性和可靠性。
为解决上述技术问题,本发明所采用的技术方案是:一种电力***工控流量异常检测方法,其特征在于,包括以下步骤:
S1、实时捕获电力***工控流量数据包,获取当前帧流量数据的时间戳、源、目的IP及字节数,并提取出应用层报文;
S2、根据正常流量数据计算网络层流量特征指标阈值,并根据步骤S1中获取的流量数据时间戳、源、目的IP及字节数计算网络层流量特征指标,若某流量特征指标大于对应的阈值,则判定流量数据异常,否则进入步骤S3;
S3、对步骤S1提取出的应用层报文按照报文所属协议对报文的应用规约控制单元、应用服务数据单元中各字段进行解析,获取报文长度字段、报文控制域1-4字段、类型标识、传送原因的具体数值;
S4、根据步骤S3解析后的报文长度字段、控制域1-4字段、类型标识、传送原因的具体数值进行相应字段特征的异常检测,若报文的关联字段不符合正常业务逻辑或者单个字段的数值超出协议规定范围,则判定报文异常。
本发明全面考虑了电力工控流量数据在网络层、应用层的异常情况,建立了电力工控流量数据的网络层流量特征、应用层报文的字段特征以及业务特征异常检测模型,克服了现有异常检测方法侧重于网络层流量统计分析的局限性,提升了电力工控***流量信息传输的安全性和可靠性。
步骤S2中,以流量特征指标在单位时间内的最大值作为网络层流量特征指标阈值;其中,流量特征指标包括源IP信息熵、目的IP信息熵、大包数量、小包数量、流量均值、流量方差、平均流量、峰值流量。
本发明通过将实时的网络层流量特征指标与相应的阈值进行比较,能够有效识别出电力工控流量数据在网络层的异常情况,提升了电力工控***对于网络层攻击的检测与防御能力。
步骤S4的具体实现过程包括:
1)针对实时捕获的IEC 60870-5-104协议报文,检测报文理论长度与报文实际长度是否相等,若不相等,则判定IEC 60870-5-104协议报文异常,否则进入步骤2);
2)检测报文实际长度是否超出IEC 60870-5-104协议所规定的最大报文长度,若超出,则判定IEC 60870-5-104协议报文异常,否则进入步骤3);
3)检测IEC 60870-5-104协议报文的类型标识、传送原因字段值是否在协议规定范围内,若超出协议规定范围,则判定IEC 60870-5-104协议报文异常,否则进入步骤4);
4)检测报文控制域1的最低位[bit0]是否为1、控制域3的最低位[bit0]是否为1,若否,则判定IEC 60870-5-104协议报文异常,否则进入步骤5);
5)检测IEC 60870-5-104协议的U帧报文是否异常,所述U帧报文包括测试、停止和开启功能,若控制域1中三个功能出现个数大于1或控制域2、控制域4的字段值不为0,则判定U帧报文异常。
本发明基于单帧报文的字段特征进行报文单字段阈值、单字段内部耦合逻辑、多字段关联逻辑的异常检测,克服了现有报文异常检测方法只能针对报文格式进行简单畸形校验的不足。
还包括:
S5、建立遥测、遥信、遥控业务的正常业务行为模型,对解析后的报文进行基于业务模型的异常检测,若报文不符合正常的业务行为模型,则判定报文异常。
步骤S5的具体实现过程包括:
若报文为遥测业务,则根据IEC 60870-5-104协议分析遥测业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常;
若报文为遥信业务,则根据IEC 60870-5-104协议分析遥信业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常;
若报文为遥控业务,则根据IEC 60870-5-104协议分析遥控业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常。
本发明根据IEC 60870-5-104协议规范建立了电力业务的正常行为模型,利用业务模型对电力工控流量数据进行异常检测,实现了电力工控流量数据在电力业务层面异常行为的精准识别,提升了电力工控流量异常监测的准确性。
若报文为遥测业务,则根据IEC 60870-5-104协议分析遥测业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常的具体实现过程包括:
I)若公式
Figure BDA0003341808990000031
不成立,则判定报文异常,否则进入步骤II);其中,P为流量数据的应用层报文,PRM表示IEC 60870-5-104协议的遥测报文,COT(PRM)表示报文的传送原因字段值;01表示周期、循环;02表示背景扫描;03表示突发;20表示响应总召唤;
II)若公式
Figure BDA0003341808990000032
不成立,则判定报文异常,否则进入步骤III);其中,IOA(PRM)表示报文的信息体地址,H表示数值为16进制;
III)若公式
Figure BDA0003341808990000033
不成立,则判定报文异常,否则进入步骤IV);其中,QU(PRM)表示遥测报文的品质描述词,OV表示品质描述词的溢出标志,IV表示品质描述词的有效标志,SB表示品质描述词的取代标志,NT表示品质描述词的刷新标志;
IV)若公式
Figure BDA0003341808990000041
不成立,则判定报文异常,否则进入步骤V);其中,TYP_BYTE(PRM)表示类型标识所表示的每个信息体数据字节数,QU_BYTE(PRM)j表示第j个信息体数据的长度,m表示报文信息体数据的个数;
V)若公式RMV(i)∈[RMV(i)min,RMV(i)max]不成立,则判定报文异常,否则进入步骤VI);其中,RMV(i)表示第i号遥测值,RMV(i)min表示根据正常流量统计得出的遥测值下边界,RMV(i)max表示根据正常流量统计得出的遥测值上边界;
VI)若公式
Figure BDA0003341808990000042
不成立,则判定报文异常,否则将该当前帧流量数据判定为正常流量,返回步骤S1继续下一帧流量数据的异常检测;其中,RMV1(i)表示第i号遥测当前值,RMV2(i)表示上送RMV1(i)的遥测设备上一次传送的遥测值。
本发明针对遥测业务的特征建立正常行为模型,依据正常业务模型对遥测报文进行单字段阈值、多字段耦合逻辑、遥测值阈值、遥测值死区的异常检测,实现了遥测数据异常情况的全面检测,减少了因遥测数据错误上送而影响主站监视和控制功能的正常执行事件的发生。
本发明中,若报文为遥信业务,则根据IEC 60870-5-104协议分析遥信业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常的具体实现过程包括:
i)若公式
Figure BDA0003341808990000043
不成立,则判定报文异常,否则进入步骤ii);其中,PRS表示IEC 60870-5-104协议的遥信报文,COT(PRS)表示报文的传送原因字段值;01表示周期、循环;02表示背景扫描;20表示响应总召唤;
ii)若公式
Figure BDA0003341808990000051
不成立,则判定报文异常,否则进入步骤iii);IOA(PRS)表示报文的信息体地址;
iii)若公式
Figure BDA0003341808990000052
不成立,则判定报文异常,否则进入步骤iv);PD-RS表示IEC 60870-5-104协议的单点遥信报文,SPI(PD-RS)表示报文品质描述词的SPI位的值;
iv)若公式
Figure BDA0003341808990000053
不成立,则判定报文异常,否则进入步骤v);PS-RS表示IEC 60870-5-104协议的双点遥信报文,DPI(PS-RS)表示报文品质描述词的DPI位的值;
v)若公式
Figure BDA0003341808990000054
不成立,则判定报文异常,否则进入步骤vii);RSV1(PRS)、RSV2(PRS)分别表示同一信息体地址遥信数据本帧和上一帧的遥信状态;
vi)若公式
Figure BDA0003341808990000055
不成立,则判定报文异常,否则将当前帧流量数据判定为正常流量,返回步骤S1继续下一帧流量数据的异常检测;t为统计遥信变位数量的时间段,RSV_SUM为t时间内遥信变位总数,RSV_MAX为根据正常流量统计出的时间t内遥信变位阈值。
本发明针对遥信业务的特征建立正常行为模型,依据正常业务模型对遥信报文进行单字段阈值、多字段耦合逻辑、遥信变位逻辑、遥信变位阈值的异常检测,实现了遥信报文异常情况的全面检测,能够有效防范因遥信报文的恶意注入、篡改而影响主站调度与决策事件的发生。
若报文为遥控业务,则根据IEC 60870-5-104协议分析遥控业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常的具体实现过程包括:
a)若公式
Figure BDA0003341808990000056
不成立,则判定报文异常,否则进入步骤b);其中,PRC表示IEC 60870-5-104协议的遥控报文,COT(PRC)表示报文的传送原因字段值;06表示激活,07表示激活确认,08表示停止激活,09表示停止激活确认,10表示激活终止;
b)若公式
Figure BDA0003341808990000061
不成立,则判定报文异常,否则进入步骤c);其中,IOA(PRC)表示报文的信息体地址;
c)若公式
Figure BDA0003341808990000062
不成立,则判定报文异常,否则进入步骤d);其中,PD-RC表示IEC 60870-5-104协议的单点遥控报文,SPI(PD-RC)表示报文品质描述词的SPI位的值;若公式
Figure BDA0003341808990000063
不成立,则判定报文异常,否则进入步骤d);其中,PS-RC表示IEC 60870-5-104协议的双点遥控报文,DPI(PS-RC)表示报文品质描述词的DPI位的值;
d)若公式PRC1→PRC2→PRC3→PRC4不成立,则判定报文异常,否则进入步骤e);其中,PRC1表示遥控选择指令,PRC2表示遥控选择确认指令,PRC3表示遥控执行指令,PRC4表示遥控执行确认指令;
e)若公式
Figure BDA0003341808990000064
不成立,则判定报文异常,否则进入步骤f);t为统计遥控指令数量的时间段,RCV_SUM为t时间内遥控指令总数,RCV_MAX为根据正常流量统计出的t时间内遥控指令数量阈值;
f)若遥控指令在执行过程中出现遥信变位,则立即停止执行遥控指令,若继续执行遥控指令,则判定报文异常。
本发明针对遥控业务的特征建立正常行为模型,依据正常业务模型对遥控报文进行单字段阈值、多字段耦合逻辑、遥控执行逻辑、遥控指令阈值、业务关联逻辑的异常检测,实现了遥控报文异常情况的全面检测,能够有效防范因遥控报文的恶意拦截、注入、篡改而导致的设备开断、投入切除异常事件的发生。
作为一个发明构思,本发明还提供了一种计算机***,包括存储器、处理器及存储在存储器上的计算机程序;所述处理器执行所述计算机程序,以实现本发明上述方法的步骤。
作为一个发明构思,本发明还提供了一种计算机程序产品,包括计算机程序/指令;其特征在于,该计算机程序/指令被处理器执行时实现本发明上述方法的步骤。
与现有技术相比,本发明所具有的有益效果为:
(1)本发明全面考虑了电力工控流量数据在网络层、应用层的异常情况,建立了电力工控流量数据的网络层流量特征、应用层报文的字段特征以及业务特征异常检测模型,克服了现有异常检测方法侧重于网络层流量统计分析的局限性。
(2)本发明通过对电力工控流量数据的应用层报文进行单字段阈值、单字段内部耦合逻辑、多字段关联逻辑的异常检测,克服了现有报文异常检测方法只能针对报文格式进行简单畸形校验的不足。
(3)本发明根据IEC通信协议规范建立了电力业务的正常行为模型,利用业务模型对电力工控流量数据进行异常检测,实现了电力工控流量数据在电力业务层面异常行为的精准识别,提升了电力工控流量异常监测的准确性。
附图说明
图1是本发明实施例中的异常检测流程图。
图2是本发明实施例中电力***工控流量异常行为监测***的结构示意图。
图3是本发明实施例中网络层流量特征异常检测模块的***单元图。
图4是本发明实施例中基于字段特征的异常检测模块***单元图。
图5是本发明实施例中基于业务模型的异常检测模块***单元图。
具体实施方式
图1为本发明实施例提供的电力***工控流量异常检测方法的流程图,具体实施步骤如下:
步骤S1:利用交换机镜像端口实时捕获流量数据包,获取当前帧流量数据的时间戳、源、目的IP及字节数,,并提取出应用层报文;
步骤S2:根据正常流量数据计算网络层流量特征指标阈值,并根据步骤S1中获取的流量数据时间戳、源、目的IP及字节数计算网络层流量特征指标,如果某流量特征指标大于对应的阈值,则判定流量数据异常,否则进入步骤S3;
步骤S3:对步骤S1提取出的应用层报文按照报文所属协议对报文的应用规约控制单元、应用服务数据单元中各字段进行解析,获取报文长度字段、报文控制域1-4字段、类型标识、传送原因等字段的具体数值;
步骤S4:根据步骤S3解析后的报文长度字段、控制域1-4字段、类型标识、传送原因的具体数值进行相应字段特征的异常检测,如果报文的关联字段不符合正常业务逻辑或者单个字段数值超出协议规定范围,则判定报文异常;
步骤S5:建立遥测、遥信、遥控业务的正常业务行为模型,对步骤S3解析后的应用层报文进行基于业务模型的异常检测,如果报文不符合正常的业务行为模型,则判定报文异常。
进一步的,步骤S2的具体执行方法如下:
S2-1:根据正常流量数据计算源IP信息熵、目的IP信息熵、大包数量、小包数量、流量均值、流量方差、平均流量、峰值流量等流量特征指标的阈值,以流量特征指标在单位时间内的最大值作为阈值,单位时间取值为60秒。信息熵计算公式如下:
Figure BDA0003341808990000081
其中k为源IP或目的IP的总个数,
Figure BDA0003341808990000082
为各个源IP或目的IP出现的概率,
Figure BDA0003341808990000083
为源IP信息熵或目的IP信息熵。
平均流量计算公式如下:
Figure BDA0003341808990000084
其中,Δt为时间间隔,n该段时间间隔内流量数据总帧数,xα为单帧流量数据的字节数,K为平均流量,单位为b/s。
流量均值计算公式如下:
Figure BDA0003341808990000085
其中,n为单位时间内流量数据总帧数,M为流量均值。
流量方差计算公式如下:
Figure BDA0003341808990000086
其中,s2为流量方差。S2-2:根据步骤S1中获取的当前帧流量数据时间戳、源、目的IP及字节数等网络层信息计算单位时间内相应的流量特征指标值,如果流量特征指标值超出S2-1中所计算出的流量特征指标的阈值,则判定流量数据异常,否则进入步骤S3。
进一步的,步骤S4包括:
S4-1:针对实时捕获的IEC 60870-5-104协议报文,检测报文理论长度与报文实际长度是否相等,如果不相等,即违反公式(5),则判定为异常,否则进入步骤S4-2。
Figure BDA0003341808990000091
其中,P为流量数据的应用层报文,PIEC104表示IEC 60870-5-104协议报文,THE(PIEC104)表示根据报文长度字段计算出的理论报文长度,LEN(PIEC104)表示报文实际字符串长度。
S4-2:检测报文实际长度是否超出IEC 60870-5-104协议所规定的最大报文长度,如果超出,即违反公式(6),则判定为异常,否则进入步骤S4-3。
Figure BDA0003341808990000092
其中,LEN(PIEC104)max表示协议所规定的最大报文长度。
S4-3:检测报文的类型标识、传送原因字段值是否在协议规定范围内,如果超出协议规定范围,即违反公式(7)则判定为异常,否则进入步骤S4-4。
Figure BDA0003341808990000093
其中,FIE(PIEC104)表示报文类型标识或传送原因字段值,FIE(PIEC104)min表示协议规定的字段最小值,FIE(PIEC104)max表示协议规定的字段最大值。
S4-4:检测报文控制域1的最低位[bit0]是否为1、控制域3的最低位[bit0]是否为1,如果不是则判定为异常,否则进入步骤S4-5。
S4-5:检测IEC 60870-5-104协议的U帧报文是否异常。U帧报文有三个功能,测试、停止和开启,在一个U帧报文中只可能存在其中的一种,如果控制域1中三个功能出现个数大于1或控制域2、控制域4的字段值不为0,则判定U帧报文异常。
进一步的,步骤S5包括:
S5-1:根据报文的类型标识字段判断报文所属具体远动业务,如果报文为遥测业务,则进入步骤S5-2进行异常检测;如果报文为遥信业务,则进入步骤S5-3进行异常检测;如果报文为遥控业务,则进入步骤S5-4进行异常检测。类型标识所对应远动业务如下表所示:
类型标识 远动业务
09、0a、0b、0c、0d、0e、15 遥测
01、03、14 遥信
2d、2e、3a、3b 遥控
S5-2:根据IEC 60870-5-104协议分析遥测业务的特征,并建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,如果不符合正常业务行为模型,则判定异常。
S5-3:根据IEC 60870-5-104协议分析遥信业务的特征,并建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,如果不符合正常业务行为模型,则判定异常。
S5-4:根据IEC 60870-5-104协议分析遥控业务的特征,并建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,如果不符合正常业务行为模型,则判定异常。
进一步的,步骤S5-2包括:
S5-2-1:建立遥测业务的传送原因字段正常模型。遥测业务传送原因只有01(周期、循环)、02(背景扫描)、03(突发)、20(响应总召唤)这4种,如果违反式(8),则判定为异常,否则进入步骤S5-2-2。
Figure BDA0003341808990000101
其中,PRM表示IEC 60870-5-104协议的遥测报文,COT(PRM)表示报文的传送原因字段值。
S5-2-2:建立遥测业务的信息体地址字段正常模型。遥测报文的信息体地址范围在[4001H-6000H]之间,如果违反式(9),则判定异常,否则进入步骤S5-2-3。
Figure BDA0003341808990000102
其中,IOA(PRM)表示报文的信息体地址,H表示数值为16进制。
S5-2-3:建立遥测业务的品质参数描述词字段正常模型。遥测数据的品质描述词各标志位有固定的逻辑,如果其违反式(10)则判定为异常,否则进入步骤S5-2-4。
Figure BDA0003341808990000103
其中,QU(PRM)表示遥测报文的品质描述词,OV表示品质描述词的溢出标志,IV表示品质描述词的有效标志,SB表示品质描述词的取代标志,NT表示品质描述词的刷新标志。
S5-2-4:建立遥测业务报文类型标识与信息体数据字段关联正常模型。遥测报文的类型标识决定每一个信息体数据的字节数,如果前后字节数不一致,即违反式(11),则判定异常,否则进入步骤S5-2-5。
Figure BDA0003341808990000111
其中,TYP_BYTE(PRM)表示类型标识所表示的每个信息体数据字节数,QU_BYTE(PRM)j表示第j个信息体数据的长度,m表示报文信息体数据的个数。
S5-2-5:建立遥测业务的遥测值正常范围模型。根据正常流量的统计结果可得遥测值具有上下边界范围,如果超出阈值,即违反式(12)则判定异常,否则进入步骤S5-2-6。
RMV(i)∈[RMV(i)min,RMV(i)max] (12)
其中,RMV(i)表示第i号遥测值,RMV(i)min表示根据正常流量统计得出的遥测值下边界,RMV(i)max表示根据正常流量统计得出的遥测值上边界。
S5-2-6:建立遥测业务的遥测值死区正常模型。电力***远动通信规约要求遥测数据的死区为2‰,即遥测值变化率在2‰内不进行上送,如果遥测值的上送违反式(13)则判定异常,否则将当前帧流量数据判定为正常流量,返回步骤S1继续下一帧流量数据的异常检测。
Figure BDA0003341808990000112
其中,RMV1(i)表示第i号遥测当前值,RMV2(i)表示上送RMV1(i)的遥测设备上一次传送的遥测值。
进一步的,步骤S5-3包括:
S5-3-1:建立遥信业务的传送原因字段正常模型。遥信业务传送原因只有01(周期、循环)、03(突发)、20(响应总召唤)这3种,如果违反式(14),则判定为异常,否则进入步骤S5-3-2。
Figure BDA0003341808990000113
其中,PRS表示IEC 60870-5-104协议的遥信报文,COT(PRS)表示报文的传送原因字段值。
S5-3-2:建立遥信业务的信息体地址字段正常模型。遥信报文的信息体地址范围在[0001H-4000H]之间,如果违反式(15),则判定异常,否则进入步骤S5-3-3。
Figure BDA0003341808990000121
其中,IOA(PRS)表示报文的信息体地址。
S5-3-3:建立遥信业务的遥信类型与品质关联模型。如果报文为单点遥信,其品质描述词的SPI位只会有两个值0和1,如违反公式(16),则判定异常,否则进入步骤S5-3-4。
Figure BDA0003341808990000122
其中,PD-RS表示IEC 60870-5-104协议的单点遥信报文,SPI(PD-RS)表示报文品质描述词的SPI位的值。
如果报文为双点遥信,其品质描述词的DPI位只会有4个值0、1、2、3,如违反公式(17),则判定异常,否则进入步骤S5-3-4。
Figure BDA0003341808990000123
其中,PS-RS表示IEC 60870-5-104协议的双点遥信报文,DPI(PS-RS)表示报文品质描述词的DPI位的值。
S5-3-4:建立遥信业务的遥信变位逻辑正常模型。在正常通信过程中,同一信息体地址的遥信变位为由开(0)到合(1)或由合(1)到开(0),如果出现连续的开(0)或合(1),即违反式(18),则判定异常,否则进入步骤S5-3-5。
Figure BDA0003341808990000124
其中,RSV1(PRS)、RSV2(PRS)分别表示同一信息体地址遥信数据本帧和上一帧的遥信状态。
S5-3-5:建立遥信业务的遥信变位阈值正常模型。正常情况下,电力***处于稳定运行状态,遥信变位数量较少,如果短时间内出现大量遥信变位,即违反式(19),则判定异常,否则将当前帧流量数据判定为正常流量,返回步骤S1继续下一帧流量数据的异常检测。
Figure BDA0003341808990000131
其中,t为统计遥信变位数量的时间段,RSV_SUM为t时间内遥信变位总数,RSV_MAX为根据正常流量统计出的时间t内遥信变位阈值。
进一步的,步骤S5-4包括:
S5-4-1:建立遥控业务的传送原因字段正常模型。遥控业务传送原因只有06(激活)、07(激活确认)、08(停止激活)、09(停止激活确认)、10(激活终止)这3种,如果违反式(20),则判定为异常,否则进入步骤S5-4-2。
Figure BDA0003341808990000132
其中,PRC表示IEC 60870-5-104协议的遥控报文,COT(PRC)表示报文的传送原因字段值。
S5-4-2:建立遥控业务的信息体地址字段正常模型。遥控报文的信息体地址范围在[6001H-6100H]之间,如果违反式(21),则判定异常,否则进入步骤S5-4-3。
Figure BDA0003341808990000133
其中,IOA(PRC)表示报文的信息体地址。
S5-4-3:建立遥控业务的遥控类型与品质关联模型。如果报文为单点遥控,其品质描述词的SPI位只会有两个值0和1,如违反公式(22),则判定异常,否则进入步骤S5-4-4。
Figure BDA0003341808990000134
其中,PD-RC表示IEC 60870-5-104协议的单点遥控报文,SPI(PD-RC)表示报文品质描述词的SPI位的值。
如果报文为双点遥控,其品质描述词的DPI位只会有4个值0、1、2、3,如违反公式(23),则判定异常,否则进入步骤S5-4-4。
Figure BDA0003341808990000135
其中,PS-RC表示IEC 60870-5-104协议的双点遥控报文,DPI(PS-RC)表示报文品质描述词的DPI位的值。
S5-4-4:建立遥控业务的遥控执行逻辑正常模型。正常的遥控执行过程为遥控选择、遥控选择确认、遥控执行、遥控执行确认,如果不为该过程,即违反式(24)则判定异常,否则进入步骤S5-4-5。
PRC1→PRC2→PRC3→PRC4 (24)
其中,PRC1表示遥控选择指令,PRC2表示遥控选择确认指令,PRC3表示遥控执行指令,PRC4表示遥控执行确认指令。
S5-4-5:建立遥控业务的遥控指令阈值正常模型。正常情况下,电力***处于稳定运行状态,遥控指令数量很少,如果短时间内出现大量遥控指令,即违反式(25),则判定异常。
Figure BDA0003341808990000141
其中,t为统计遥控指令数量的时间段,RCV_SUM为t时间内遥控指令总数,RCV_MAX为根据正常流量统计出的t时间内遥控指令数量阈值。
S5-4-6:建立遥控业务与遥信业务关联模型。遥控指令在执行过程中如果出现遥信变位,必须立即停止执行遥控指令,如果继续执行遥控指令,则判定异常。
本发明依托海量电力工控流量数据,通过提取流量数据网络层信息以及应用层报文,根据各流量特征指标在网络层面上的统计特征进行异常检测,其次通过对报文按照协议格式进行字段级解析,获取报文各字段的具体数值。最后在应用层报文字段特征层面以及业务模型层面进行异常检测,实现了电力工控流量异常行为的精准监测,确保电力工控***的安全、可靠运行。
图2为本发明实施例提供的电力***工控流量异常行为监测***的结构示意图,该***适用于执行本发明任意实施例提供的方法,包括:流量数据获取模块100,网络层流量特征异常检测模块200,应用层报文解析模块300,基于字段特征的异常检测模块400,基于业务模型的异常检测模块500。
所述的流量数据获取模块100,用于镜像采集流量数据,获取流量数据的时间戳,源、目的IP以及字节数,并提取出应用层报文。
所述的网络层流量特征异常检测模块200,用于根据正常流量数据确定各流量特征指标阈值,并依据阈值对实时采集到的流量数据进行网络层流量特征异常检测。
所述的应用层报文解析模块300,用于对应用层报文按照协议格式对进行字段级解析,获取报文各字段的具体数值。
所述的基于字段特征的异常检测模块400,用于对应用层报文在字段特征层面进行异常检测。
所述的基于业务模型的异常检测模块500,用于对应用层报文在业务模型层面进行异常检测。
所述流量数据获取模块100输出端与所述网络层流量特征异常检测模块200输入端相连,用于输入流量数据的时间戳,源、目的IP以及字节数以及所提取的应用层报文。
所述网络层流量特征异常检测模块200的输出端与应用层报文解析模块300输入端相连,用于输入该帧流量数据的应用层报文。
所述应用层报文解析模块300的输出端与所述的基于字段特征的异常检测模块400输入端相连,用于输入应用层报文的解析结果。
所述基于字段特征的异常检测模块400的输出端与所述的基于业务模型的异常检测模块500输入端相连,用于输入应用层报文的解析结果。
如图3,进一步的,网络层流量特征异常检测模块200包括:数据获取单元201,网络层流量特征指标构建单元202,网络层流量特征异常检测单元203。
所述数据获取单元201的输出端与所述网络层流量特征指标构建单元202输入端相连,用于输入流量数据的时间戳,源、目的IP以及字节数以及应用层报文。
所述网络层流量特征指标构建单元202的输出端与网络层流量特征异常检测单元203的输入端相连,用于输入流量特征指标的阈值。
在一个实施例中,数据获取单元201,读取流量数据的源、目的IP以及字节数以及应用层报文,该单元将所读取信息传递给网络层流量特征指标构建单元202、网络层流量特征异常检测单元203。
所述网络层流量特征指标构建单元202,用于构建网络层流量特征指标。
在一个实施例中,根据正常流量数据统计出所有流量特征指标的阈值,该单元将流量特征指标的阈值传递给第二计算单元203。
所述网络层流量特征异常检测单元203,用于在网络层面对流量数据进行网络层流量特征异常检测。
在一个实施例中,将实时采集的流量数据进行各流量特征指标计算,并将结果与其阈值比较,如果大于阈值则判定异常。如无异常,该单元将流量数据的应用层报文作为网络层流量特征异常检测模块200的输出端。如出现异常,该单元将对应异常内容作为网络层流量特征异常检测模块200的输出端。
如图4,进一步的,所述基于字段特征的异常检测模块400包括:数据获取单元401,第一检测单元402,第二检测单元403,第三检测单元404,第四检测单元405,第五检测单元406。
所述数据获取单元401的输出端与所述第一检测单元402输入端相连,用于输入应用层报文及其解析结果。
所述第一检测单元402的输出端与第二检测单元403的输入端相连,所述第二检测单元403的输出端与第三检测单元404的输入端相连,所述第三检测单元404的输出端与第四检测单元405的输入端相连,所述第四检测单元405的输出端与第五检测单元406的输入端相连。
在一个实施例中,数据获取单元401,读取流量数据中IEC 60870-5-104协议的应用层报文及其解析结果,该单元将所读取信息传递给第一检测单元402、第二检测单元403、第三检测单元404、第四检测单元405,第五检测单元406。
所述第一检测单元402,用于检测报文理论长度与报文实际长度是否相等,如果不相等,则判定为异常。
所述第二检测单元403,用于检测报文实际长度是否超出IEC 60870-5-104协议所规定的最大报文长度,如果超出,则判定为异常。
所述第三检测单元404,用于检测报文的类型标识、传送原因字段是否在协议规定范围内,如果超出规定范围,则判定为异常。
所述第四检测单元405,用于检测报文控制域1的最低位[bit0]是否为1、控制域3的最低位[bit0]是否为1,如果不是则判定为异常。
所述第五检测单元406,用于检测U帧报文是否异常。U帧报文有三个功能,测试、停止和开启,在一个U帧报文中只可能存在其中的一种,如果控制域1中三个功能出现个数大于1或控制域2、控制域4字段值不为0则判定异常。
如图5,进一步的,所述基于业务模型的异常检测模块500包括:数据获取单元501,第一检测单元502,第二检测单元503,第三检测单元504。
所述数据获取单元501的输出端与所述第一检测单元502输入端相连,用于输入报文所属具体远动业务。
所述第一检测单元502的输出端与第二检测单元503的输入端相连,所述第二检测单元503的输出端与第三检测单元504的输入端相连。
在一个实施例中,数据获取单元501,获取报文所属具体远动业务,该单元将读取信息传递给第一检测单元502、第二检测单元503、第三检测单元504。
所述第一检测单元502,用于检测遥测业务中出现的异常情况。
在一个实施例中,根据IEC 60870-5-104协议分析遥测业务的特征,并建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,如果不符合正常业务行为模型,则判定异常,该单元将异常结果作为基于业务模型的异常检测模块500的输出端。
所述第二检测单元503,用于检测遥信业务中出现的异常情况。
在一个实施例中,根据IEC 60870-5-104协议分析遥信业务的特征,并建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,如果不符合正常业务行为模型,则判定异常,该单元将异常结果作为基于业务模型的异常检测模块500的输出端。
所述第三检测单元504,用于检测遥控业务中出现的异常情况。
在一个实施例中,根据IEC 60870-5-104协议分析遥控业务的特征,并建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,如果不符合正常业务行为模型,则判定异常,该单元将异常结果作为基于业务模型的异常检测模块500的输出端。

Claims (10)

1.一种电力***工控流量异常检测方法,其特征在于,包括以下步骤:
S1、实时捕获电力***工控流量数据包,获取当前帧流量数据的时间戳、源、目的IP及字节数,并提取出应用层报文;
S2、根据正常流量数据计算网络层流量特征指标阈值,并根据步骤S1中获取的流量数据时间戳、源、目的IP及字节数计算网络层流量特征指标,若某流量特征指标大于对应的阈值,则判定流量数据异常,否则进入步骤S3;
S3、对步骤S1提取出的应用层报文按照报文所属协议对报文的应用规约控制单元、应用服务数据单元中各字段进行解析,获取报文长度字段、报文控制域1-4字段、类型标识、传送原因的具体数值;
S4、根据步骤S3解析后的报文长度字段、控制域1-4字段、类型标识、传送原因的具体数值进行相应字段特征的异常检测,若报文的关联字段不符合正常业务逻辑或者单个字段的数值超出协议规定范围,则判定报文异常。
2.根据权利要求1所述的电力***工控流量异常检测方法,其特征在于,步骤S2中,以流量特征指标在单位时间内的最大值作为网络层流量特征指标阈值;其中,流量特征指标包括源IP信息熵、目的IP信息熵、大包数量、小包数量、流量均值、流量方差、平均流量、峰值流量。
3.根据权利要求1所述的电力***工控流量异常检测方法,其特征在于,步骤S4的具体实现过程包括:
1)针对实时捕获的IEC 60870-5-104协议报文,检测报文理论长度与报文实际长度是否相等,若不相等,则判定IEC 60870-5-104协议报文异常,否则进入步骤2);
2)检测报文实际长度是否超出IEC 60870-5-104协议所规定的最大报文长度,若超出,则判定IEC 60870-5-104协议报文异常,否则进入步骤3);
3)检测IEC 60870-5-104协议报文的类型标识、传送原因字段值是否在协议规定范围内,若超出协议规定范围,则判定IEC 60870-5-104协议报文异常,否则进入步骤4);
4)检测报文控制域1的最低位[bit0]是否为1、控制域3的最低位[bit0]是否为1,若否,则判定IEC 60870-5-104协议报文异常,否则进入步骤5);
5)检测IEC 60870-5-104协议的U帧报文是否异常,所述U帧报文包括测试、停止和开启功能,若控制域1中三个功能出现个数大于1或控制域2、控制域4的字段值不为0,则判定U帧报文异常。
4.根据权利要求1所述的电力***工控流量异常检测方法,其特征在于,还包括:
S5、建立遥测、遥信、遥控业务的正常业务行为模型,对解析后的报文进行基于业务模型的异常检测,若报文不符合正常的业务行为模型,则判定报文异常。
5.根据权利要求4所述的电力***工控流量异常检测方法,其特征在于,步骤S5的具体实现过程包括:
若报文为遥测业务,则根据IEC 60870-5-104协议分析遥测业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常;
若报文为遥信业务,则根据IEC 60870-5-104协议分析遥信业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常;
若报文为遥控业务,则根据IEC 60870-5-104协议分析遥控业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常。
6.根据权利要求5所述的电力***工控流量异常检测方法,其特征在于,若报文为遥测业务,则根据IEC 60870-5-104协议分析遥测业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常的具体实现过程包括:
I)若公式
Figure FDA0003341808980000021
不成立,则判定报文异常,否则进入步骤II);其中,P为流量数据的应用层报文,PRM表示IEC 60870-5-104协议的遥测报文,COT(PRM)表示报文的传送原因字段值;01表示周期、循环;02表示背景扫描;03表示突发;20表示响应总召唤;
II)若公式
Figure FDA0003341808980000022
不成立,则判定报文异常,否则进入步骤III);其中,IOA(PRM)表示报文的信息体地址,H表示数值为16进制;
III)若公式
Figure FDA0003341808980000023
不成立,则判定报文异常,否则进入步骤IV);其中,QU(PRM)表示遥测报文的品质描述词,OV表示品质描述词的溢出标志,IV表示品质描述词的有效标志,SB表示品质描述词的取代标志,NT表示品质描述词的刷新标志;
IV)若公式
Figure FDA0003341808980000031
不成立,则判定报文异常,否则进入步骤V);其中,TYP_BYTE(PRM)表示类型标识所表示的每个信息体数据字节数,QU_BYTE(PRM)j表示第j个信息体数据的长度,m表示报文信息体数据的个数;
V)若公式RMV(i)∈[RMV(i)min,RMV(i)max]不成立,则判定报文异常,否则进入步骤VI);其中,RMV(i)表示第i号遥测值,RMV(i)min表示根据正常流量统计得出的遥测值下边界,RMV(i)max表示根据正常流量统计得出的遥测值上边界;
VI)若公式
Figure FDA0003341808980000032
不成立,则判定报文异常,否则将当前帧流量数据判定为正常流量,返回步骤S1继续下一帧流量数据的异常检测;其中,RMV1(i)表示第i号遥测当前值,RMV2(i)表示上送RMV1(i)的遥测设备上一次传送的遥测值。
7.根据权利要求5所述的电力***工控流量异常检测方法,其特征在于,若报文为遥信业务,则根据IEC 60870-5-104协议分析遥信业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常的具体实现过程包括:
i)若公式
Figure FDA0003341808980000033
不成立,则判定报文异常,否则进入步骤ii);其中,PRS表示IEC 60870-5-104协议的遥信报文,COT(PRS)表示报文的传送原因字段值;01表示周期、循环;02表示背景扫描;20表示响应总召唤;
ii)若公式
Figure FDA0003341808980000034
不成立,则判定报文异常,否则进入步骤iii);IOA(PRS)表示报文的信息体地址;
iii)若公式
Figure FDA0003341808980000041
不成立,则判定报文异常,否则进入步骤iv);PD-RS表示IEC 60870-5-104协议的单点遥信报文,SPI(PD-RS)表示报文品质描述词的SPI位的值;
iv)若公式
Figure FDA0003341808980000042
不成立,则判定报文异常,否则进入步骤v);PS-RS表示IEC 60870-5-104协议的双点遥信报文,DPI(PS-RS)表示报文品质描述词的DPI位的值;
v)若公式
Figure FDA0003341808980000043
不成立,则判定报文异常,否则进入步骤vii);RSV1(PRS)、RSV2(PRS)分别表示同一信息体地址遥信数据本帧和上一帧的遥信状态;
vi)若公式
Figure FDA0003341808980000044
不成立,则判定报文异常,否则将当前帧流量数据判定为正常流量,返回步骤S1继续下一帧流量数据的异常检测;t为统计遥信变位数量的时间段,RSV_SUM为t时间内遥信变位总数,RSV_MAX为根据正常流量统计出的时间t内遥信变位阈值。
8.根据权利要求5所述的电力***工控流量异常检测方法,其特征在于,若报文为遥控业务,则根据IEC 60870-5-104协议分析遥控业务的特征,建立正常业务行为模型,依据所建立的正常业务行为模型进行异常检测,若不符合正常业务行为模型,则判定报文异常的具体实现过程包括:
a)若公式
Figure FDA0003341808980000045
不成立,则判定报文异常,否则进入步骤b);其中,PRC表示IEC 60870-5-104协议的遥控报文,COT(PRC)表示报文的传送原因字段值;06表示激活,07表示激活确认,08表示停止激活,09表示停止激活确认,10表示激活终止;
b)若公式
Figure FDA0003341808980000046
不成立,则判定报文异常,否则进入步骤c);其中,IOA(PRC)表示报文的信息体地址;
c)若公式
Figure FDA0003341808980000051
不成立,则判定报文异常,否则进入步骤d);其中,PD-RC表示IEC 60870-5-104协议的单点遥控报文,SPI(PD-RC)表示报文品质描述词的SPI位的值;若公式
Figure FDA0003341808980000052
不成立,则判定报文异常,否则进入步骤d);PS-RC表示IEC 60870-5-104协议的双点遥控报文,DPI(PS-RC)表示报文品质描述词的DPI位的值;
d)若公式PRC1→PRC2→PRC3→PRC4不成立,则判定报文异常,否则进入步骤e);其中,PRC1表示遥控选择指令,PRC2表示遥控选择确认指令,PRC3表示遥控执行指令,PRC4表示遥控执行确认指令;
e)若公式
Figure FDA0003341808980000053
不成立,则判定报文异常,否则进入步骤f);t为统计遥控指令数量的时间段,RCV_SUM为t时间内遥控指令总数,RCV_MAX为根据正常流量统计出的t时间内遥控指令数量阈值;
f)若遥控指令在执行过程中出现遥信变位,则立即停止执行遥控指令,若继续执行遥控指令,则判定报文异常。
9.一种计算机***,包括存储器、处理器及存储在存储器上的计算机程序;其特征在于,所述处理器执行所述计算机程序,以实现权利要求1~8之一所述方法的步骤。
10.一种计算机程序产品,包括计算机程序/指令;其特征在于,该计算机程序/指令被处理器执行时实现权利要求1~8之一所述方法的步骤。
CN202111311047.6A 2021-11-08 2021-11-08 电力***工控流量异常检测方法及*** Active CN114124478B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111311047.6A CN114124478B (zh) 2021-11-08 2021-11-08 电力***工控流量异常检测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111311047.6A CN114124478B (zh) 2021-11-08 2021-11-08 电力***工控流量异常检测方法及***

Publications (2)

Publication Number Publication Date
CN114124478A true CN114124478A (zh) 2022-03-01
CN114124478B CN114124478B (zh) 2023-05-09

Family

ID=80381074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111311047.6A Active CN114124478B (zh) 2021-11-08 2021-11-08 电力***工控流量异常检测方法及***

Country Status (1)

Country Link
CN (1) CN114124478B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760103A (zh) * 2022-03-21 2022-07-15 广州大学 一种工业控制***异常检测***、方法、设备及存储介质
CN114938287A (zh) * 2022-04-02 2022-08-23 湖南大学 一种融合业务特征的电力网络异常行为检测方法及装置
CN115955414A (zh) * 2023-03-13 2023-04-11 广东电网有限责任公司佛山供电局 一种配网自动化终端遥控异常分析方法及相关装置
CN116112271A (zh) * 2023-02-13 2023-05-12 山东云天安全技术有限公司 一种会话数据处理方法、电子设备及存储介质
CN116318872A (zh) * 2023-02-13 2023-06-23 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质
CN117118709A (zh) * 2023-08-25 2023-11-24 国网山东省电力公司泰安供电公司 一种电力***的异常流量预警方法、***、设备及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281293A (zh) * 2013-03-22 2013-09-04 南京江宁台湾农民创业园发展有限公司 一种基于多维分层相对熵的网络流量异常检测方法
CN104486101A (zh) * 2014-11-28 2015-04-01 国家电网公司 一种在线电力远动iec104传输异常检测方法
US20170195462A1 (en) * 2015-12-01 2017-07-06 Radiflow Ltd. Network security agent
CN106982235A (zh) * 2017-06-08 2017-07-25 江苏省电力试验研究院有限公司 一种基于iec 61850的电力工业控制网络入侵检测方法及***
CN109167796A (zh) * 2018-09-30 2019-01-08 浙江大学 一种基于工业scada***的深度包检测平台
CN110401624A (zh) * 2018-04-25 2019-11-01 全球能源互联网研究院有限公司 源网荷***交互报文异常的检测方法及***
CN111163043A (zh) * 2018-11-08 2020-05-15 全球能源互联网研究院有限公司 一种源网荷***实时交互协议深度解析方法和***

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281293A (zh) * 2013-03-22 2013-09-04 南京江宁台湾农民创业园发展有限公司 一种基于多维分层相对熵的网络流量异常检测方法
CN104486101A (zh) * 2014-11-28 2015-04-01 国家电网公司 一种在线电力远动iec104传输异常检测方法
US20170195462A1 (en) * 2015-12-01 2017-07-06 Radiflow Ltd. Network security agent
CN106982235A (zh) * 2017-06-08 2017-07-25 江苏省电力试验研究院有限公司 一种基于iec 61850的电力工业控制网络入侵检测方法及***
CN110401624A (zh) * 2018-04-25 2019-11-01 全球能源互联网研究院有限公司 源网荷***交互报文异常的检测方法及***
CN109167796A (zh) * 2018-09-30 2019-01-08 浙江大学 一种基于工业scada***的深度包检测平台
CN111163043A (zh) * 2018-11-08 2020-05-15 全球能源互联网研究院有限公司 一种源网荷***实时交互协议深度解析方法和***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
周伯阳等: "基于多尺度低秩模型的电力无线接入网异常流量检测方法", 《电子学报》 *
王海翔等: "基于业务逻辑的电力业务报文攻击识别方法", 《电力自动化设备》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760103A (zh) * 2022-03-21 2022-07-15 广州大学 一种工业控制***异常检测***、方法、设备及存储介质
CN114760103B (zh) * 2022-03-21 2023-10-31 广州大学 一种工业控制***异常检测***、方法、设备及存储介质
CN114938287A (zh) * 2022-04-02 2022-08-23 湖南大学 一种融合业务特征的电力网络异常行为检测方法及装置
CN114938287B (zh) * 2022-04-02 2023-09-05 湖南大学 一种融合业务特征的电力网络异常行为检测方法及装置
CN116112271A (zh) * 2023-02-13 2023-05-12 山东云天安全技术有限公司 一种会话数据处理方法、电子设备及存储介质
CN116318872A (zh) * 2023-02-13 2023-06-23 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质
CN116318872B (zh) * 2023-02-13 2023-10-27 山东云天安全技术有限公司 一种通过报文确定异常会话的方法、电子设备及存储介质
CN116112271B (zh) * 2023-02-13 2024-02-20 山东云天安全技术有限公司 一种会话数据处理方法、电子设备及存储介质
CN115955414A (zh) * 2023-03-13 2023-04-11 广东电网有限责任公司佛山供电局 一种配网自动化终端遥控异常分析方法及相关装置
CN115955414B (zh) * 2023-03-13 2023-05-23 广东电网有限责任公司佛山供电局 一种配网自动化终端遥控异常分析方法及相关装置
CN117118709A (zh) * 2023-08-25 2023-11-24 国网山东省电力公司泰安供电公司 一种电力***的异常流量预警方法、***、设备及介质

Also Published As

Publication number Publication date
CN114124478B (zh) 2023-05-09

Similar Documents

Publication Publication Date Title
CN114124478B (zh) 电力***工控流量异常检测方法及***
US11343116B2 (en) Method and system for detecting and defending against abnormal traffic of in-vehicle network based on information entropy
CN106656627A (zh) 一种基于业务的性能监控和故障定位的方法
CN110324323B (zh) 一种新能源厂站涉网端实时交互过程异常检测方法及***
CN114362368B (zh) 智能变电站网络流量异常行为监测方法与***
CN107241224A (zh) 一种变电站的网络风险监测方法及***
CN105429977A (zh) 基于信息熵度量的深度包检测设备异常流量监控方法
CN111478893B (zh) 一种慢速http攻击的检测方法
CN114938287B (zh) 一种融合业务特征的电力网络异常行为检测方法及装置
CN110929896A (zh) 一种***设备的安全分析方法及装置
Dong et al. Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM
CN114444096B (zh) 一种基于数据分析的网络数据储存加密检测***
CN113778054B (zh) 一种针对工业控制***攻击的双级检测方法
CN110011966B (zh) 一种智能变电站过程层网络流量异常检测方法
CN117456707B (zh) 一种智能母线槽温湿度异常预警方法及装置
CN117560196A (zh) 一种智慧变电站二次***测试***及方法
CN115766471B (zh) 一种基于组播流量的网络业务质量分析方法
CN114825607A (zh) 继电保护信息处理***攻击行为监测方法及装置
CN114785617A (zh) 一种5g网络应用层异常检测方法及***
CN114745152A (zh) 基于iec61850 goose报文运行态势模型的入侵检测方法和***
CN102118272A (zh) 一种网络边界异常监控方法
CN113542221B (zh) 智能变电站的传感器数据被篡改的判断方法、***、电子设备及存储介质
CN108322362A (zh) 一种传输网中业务传输质量的监控方法、电子设备及存储介质
Dai et al. A microgrid controller security monitoring model based on message flow
CN116820896B (zh) 一种基于物理信号的非侵入式工控终端异常检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant