CN114513342B - 一种智能变电站通信数据安全监测方法及*** - Google Patents
一种智能变电站通信数据安全监测方法及*** Download PDFInfo
- Publication number
- CN114513342B CN114513342B CN202210077767.9A CN202210077767A CN114513342B CN 114513342 B CN114513342 B CN 114513342B CN 202210077767 A CN202210077767 A CN 202210077767A CN 114513342 B CN114513342 B CN 114513342B
- Authority
- CN
- China
- Prior art keywords
- security
- configuration file
- configuration
- message
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种智能变电站通信数据安全监测方法及***,所述方法包括:基于变电站全站SCD配置文件及安全要求生成数据安全监测规则配置文件、安全监测策略配置文件和交换机转发配置文件;将数据安全监测规则配置文件、安全监测策略配置文件下发至安全监测设备,将安全监测策略配置文件和交换机转发配置文件下发至变电站网络交换机;响应于从安全监测设备和变电站网络交换机接收到其上送的安全事件信息,进行告警展示、信息记录处理和控制。本发明通过全站SCD配置信息生成安全监测依据,实时对通信数据进行安全监测检查,并进行安全事件控制及告警,提高智能变电站通信网络安全,保障智能变电站保护控制和自动化监控***的可靠稳定运行。
Description
技术领域
本发明涉及电力***自动化控制和网络通信技术领域,具体涉及一种智能变电站通信数据安全监测方法及***。
背景技术
随着智能变电站技术的逐步推广,基于数据信息网络化传输的监控***正逐步取代基于二次电缆硬连接的传统模式。目前智能变电站网络在逻辑上由站控层网络、间隔层网络和过程层网络组成,物理上配置两层,即站控层和过程层。站内自动化设备根据IEC61850标准进行统一建模,应用基于IEC61850定义的统一的数据接口模型,通过站控层MMS(Manufacturing Message Specification,制造报文规范)网交换设备及过程层GOOSE(Generic Object Oriented Substation Event,面向通用对象的变电站事件)、SV(Sampled Value,采样值)网交换设备实现信息共享与交互。而当前智能变电站内业务报文处于明文传输,站内通信没有进行网络攻击和攻击防护的部署。
随着网络安全严峻态势出现,变电站在电网安全中所处的重要位置,需要进行变电站内数据通信的安全监测及安全防护。
发明内容
发明目的:针对现有技术的不足,本发明提供一种智能变电站通信数据安全监测***及方法,实现变电站内数据通信的安全监测及安全防护。
技术方案:为了实现上述发明目的,本发明采用如下技术方案:
一种智能变电站通信数据安全监测方法,包括以下步骤:
基于变电站全站SCD配置文件及安全要求生成数据安全监测规则配置文件、安全监测策略配置文件和交换机转发配置文件;
将数据安全监测规则配置文件、安全监测策略配置文件下发至安全监测设备,将安全监测策略配置文件和交换机转发配置文件下发至变电站网络交换机;
响应于接收到从安全监测设备和变电站网络交换机上送的安全事件信息,对安全事件信息进行告警展示、信息记录处理,其中安全监测设备上送的安全事件信息是所述安全监测设备按数据安全监测规则配置信息实时监测网络上的业务数据报文,并按配置的安全监测策略进行数据报文监测处理及上报的安全事件;变电站网络交换机上送的安全事件信息是所述变电站网络交换机根据安全监测策略配置信息和交换机转发配置信息,实时监测网络接入设备情况、物理链路状态、数据流量信息,按安全监测策略配置信息处理并上报的安全事件。
作为优选,数据安全监测规则配置文件的生成方法包括:
读取SCD配置文件内容,读取配置界面输入的安全检查参数,所述安全检查参数包括业务报文检查字段、检查深度、业务报文类型范围、终端设备网络参数;
基于SCD配置文件解析提取出终端设备网络参数,基于由SCD配置文件解析提取的终端设备网络参数和配置界面输入的终端设备网络参数提取出所有变电站终端设备网络参数;基于SCD配置文件解析提取出IED设备goose/sv业务订阅关系、业务数据项的定义信息、业务数据发送周期;基于配置界面输入的安全检查参数解析出安全规则信息,所述安全规则信息包括以下一项或多项:业务流量带宽范围、报文检查规则、终端设备接入规则、网络参数范围规则、二层业务应用检查规则、三层业务应用检查规则;
根据所述安全规则信息、所有变电站终端设备网络参数以及IED设备goose/sv业务订阅关系、业务数据项的定义信息、业务数据发送周期生成数据安全监测规则配置文件,数据安全监测规则配置文件的内容包括以下至少一项:变电站业务报文描述和报文检查策略配置。
作为优选,安全监测策略配置文件的生成方法包括:
读取SCD配置文件内容,读取配置界面输入的安全策略参数,所述安全策略参数包括安全事件、归并参数、安全事件上报策略、异常非法事件对应处理动作;
基于SCD配置文件解析提取出IED设备goose/sv业务订阅关系、业务数据项的定义信息、网络连接关系、终端网络参数,基于配置界面输入的安全策略参数解析出安全策略信息,所述安全策略信息包括以下一项或多项:超限值流量处理、异常报文处理、非法接入设备处理、非法报文处理、非法及异常报文溯源;
根据所述安全策略信息和IED设备goose/sv业务订阅关系、业务数据项的定义信息、网络连接关系、终端网络参数生成安全监测策略配置文件,安全监测策略配置文件的内容包括以下至少一项:告警定义、事件定义、告警及事件归并配置、异常报文处理策略配置、流量告警阈值、超限值流量处理策略配置、非法接入设备处理策略配置、非法报文处理策略配置、非法及异常报文溯源策略配置。
异常报文处理策略、超限值流量处理策略包括:告警、丢弃、限速、转发、记录;非法接入设备处理策略包括:告警、设备信息记录、接入端口阻断;非法报文处理策略包括:告警、丢弃、限速、重定向、记录。
作为优选,交换机转发配置文件的生成方法包括:
读取SCD配置文件内容,读取配置界面输入的转发安全参数,所述转发安全参数包括转发安全事件及动作、转发安全事件上报条件;
基于SCD配置文件解析提取出IED设备goose/sv业务订阅关系、网络连接关系、终端网络参数,基于配置界面输入的转发安全参数解析出转发安全策略信息,转发安全策略信息包括:流量告警策略、超限值流量处理策略、报文异常处理策略、非法接入设备处理策略、非法报文处理策略、网络拓扑变化策略;其中超限值流量处理策略和报文异常处理策略包括:告警、丢弃、限速、转发、记录;非法接入设备处理策略包括:告警、设备信息记录、接入端口阻断;非法报文处理策略包括:告警、丢弃、限速、重定向、记录;
根据所述转发安全策略信息和IED设备goose/sv业务订阅关系、网络连接关系、终端网络参数生成交换机转发配置文件,交换机转发配置文件内容包括以下至少一项:转发表配置、转发表查找异常策略配置、业务流策略配置、接口连接的终端信息、未知流量策略配置、异常报文策略配置、网络拓扑变更策略。
作为优选,安全监测设备上报安全事件的方法包括:安全监测设备根据数据安全监测规则配置文件的规则对变电站业务报文进行检测,当变电站二层业务报文MAC地址、业务应用序号、业务报文数据项不满足二层业务检查配置规则时为非法报文;当变电站三层业务报文MAC地址、IP地址、端口号、业务报文数据项不满足三层业务检查配置规则时为非法报文,根据安全监测策略配置文件进行告警展示、信息记录处理,其中二层业务检查配置规则包含合法MAC地址、SCD配置的组播MAC地址、合法业务应用序号、组播MAC和业务应用序号对应关系、数据项合法范围、合法报文类型;三层业务检查配置规则包含报文地址异常、合法报文地址、合法端口号、业务报文数据项范围、合法报文类型。
作为优选,变电站网络交换机上报安全事件的方法包括:变电站网络交换机实时采集进入接口的报文,根据交换机转发配置文件进行报文的转发和过滤;对报文流量进行硬件统计,当报文流量超过配置流量阈值时认定发生了安全事件;终端设备接入时,终端信息不在合法设备列表里时认定为安全事件;网络拓扑变更时,变更拓扑不在合法拓扑列表时认定为安全事件;出现非法报文时认定为安全事件;出现的安全事件根据安全监测策略配置文件进行告警展示、信息记录处理。
作为优选,所述方法还包括:响应于接收到从安全监测设备和变电站网络交换机上送的安全事件信息,向变电站网络交换机下发安全策略指令,变电站网络交换机基于下发的安全策略指令对指定报文数据流执行安全策略动作,所述安全策略动作包括流量抑制、丢弃、记录存储、重定向中的一种或多种。
本发明还提供一种智能变电站通信数据安全监测***,包括:
安全监测主控***模块,用于基于变电站全站SCD配置文件及安全要求生成数据安全监测规则配置文件、安全监测策略配置文件和交换机转发配置文件,并将数据安全监测规则配置文件、安全监测策略配置文件下发至安全监测设备,将安全监测策略配置文件和交换机转发配置文件下发至变电站网络交换机,以及用于响应于接收到从安全监测设备和变电站网络交换机上送的安全事件信息,对安全事件信息进行告警展示、信息记录处理;
安全监测设备,用于按数据安全监测规则配置信息实时监测网络上的业务数据报文,并按配置的安全监测策略进行数据报文监测处理及上报安全事件;
变电站网络交换机,用于根据安全监测策略配置信息和交换机转发配置信息,实时监测网络接入设备情况、物理链路状态、数据流量信息,按安全监测策略配置信息处理安全事件并上报。
本发明还提供一种计算机设备,包括:
一个或多个处理器;
存储器;以及
一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述程序被处理器执行时实现如上所述的智能变电站通信数据安全监测方法的步骤。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的智能变电站通信数据安全监测方法的步骤。
有益效果:本发明基于全站SCD配置文件和安全要求和提取信息,生成安全监测依据,根据安全策略实时监测智能变电站通信网络的数据合法性,实时对通信网络上的非法报文进行捕获记录、溯源及告警。通过网络安全监测设备和变电站网络交换机,能够实时监测变电站通信业务数据报文、网络终端设备接入情况、网络链路运行情况,识别异常攻击报文和异常网络工况并按安全策略进行异常处理。本发明对于提高智能变电站通信网络安全,保障智能变电站保护控制和自动化监控***的可靠稳定运行具有促进作用。
附图说明
图1为根据本发明实施例的智能变电站通信数据安全监测***结构框图;
图2为根据本发明实施例的智能变电站通信数据安全监测方法中配置文件生成流程图。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明。
如图1所示,一种智能变电站通信数据安全监测***,包括;安全监测主控***模块、安全监测设备、变电站网络交换机。安全监测主控***模块部署在服务器主机上,通过MMS接口或snmp管理接口连接安全监测设备及变电站网络交换机。安全监测设备是专用网络报文分析设备,接收并识别数据安全监测规则配置文件、安全监测策略配置文件信息,实时监测所有变电站业务报文,安全监测设备的全部功能也可以作为功能模块部署在交换机上。安全监测设备也称为安全监测装置、网络安全监测装置或网络安全监测设备,在本发明描述中可以互换地使用。安全监测设备可按不同组网原则分布式布置。例如,安全监测设备可部署在中心交换机接口上,过程层业务报文的所有数据流通过组播地址引流给安全监测设备,站控层业务报文通过交换机复制重定向给安全监测设备。安全监测设备也可作为变电站交换机的网络安全监测功能模块,集成在变电站交换机设备上,由交换机实现智能变电站通信数据安全监测***的网络安全监测装置功能。
变电站网络交换机上运行独立的安全监控模块,接收主控模块下发的安全策略指令、安全策略配置及转发配置信息;变电站网络交换机实时采集安全策略定义的网络监控信息,包括终端接入事件、终端设备信息、链路状态、链路统计信息等信息,对识别出的安全事件进行记录及告警上报;响应安全策略指令,对指定的异常报文数据流进行抑制。
变电站业务报文包括IEC61850定义的MMS报文、GOOSE报文、SV报文,但不限于IEC61850报文。
基于该智能变电站通信数据安全监测***的通信数据安全监测方法,包括以下步骤:
1)在安全监测主控***模块上,通过加载变电站全站SCD配置文件、设置安全规则要求,生成数据安全监测规则配置文件、安全监测策略配置文件和交换机转发配置文件。
2)安全监测主控***模块向交换机下发安数据全监测规则配置文件、安全监测策略配置文件、交换机转发配置文件给变电站交换机。在本实施例中,安全监测设备功能作为功能模块部署在交换机上,由交换机实现安全监测设备功能;
3)变电站交换机按数据安全监测规则配置信息实时监测网络上的业务数据报文,并按配置的安全监测策略进行数据报文监测处理及上报安全事件;变电站网络交换机根据安全监测策略配置信息和交换机转发配置信息,实时监测网络接入设备情况、物理链路状态、数据流量信息等信息,按安全监测策略配置信息处理安全事件并上报。
4)变电站安全监测主控***模块接收网络安全监测设备和变电站网络交换机上送的安全事件信息,对安全事件信息进行告警展示、信息记录等处理。变电站安全监测主控***模块下发防护策略给变电站网络交换机,变电站网络交换机按下发的安全策略指令对指定非法报文数据流进行安全策略动作执行,策略动作包括流量抑制、丢弃、记录存储、重定向等。
在本发明实施例中,在安全监测主控***模块上,通过配置管理工具基于全站的SCD配置文件、用户应用的安全法规及企业安全规范,生成数据安全监测规则配置文件、安全监测策略配置文件和交换机转发配置文件。
数据安全监测规则配置文件内容包括变电站所有业务报文数据字段描述信息、报文数据字段检查范围、数据报文分析检查深度、业务报文范围等规则配置。如图2,在安全监测主控***模块上,加载全站SCD配置文件,并在安全监测主控***模块配置生成界面设置业务报文检查字段、检查深度、业务报文类型范围、终端网络参数等安全检查参数,由安全监测主控***模块配置文件生成功能按SCD配置文件内容和配置参数,由SCD文件和配置输入的终端网络参数解析提取出终端设备网络参数,终端网络参数包括设备名、IP地址、MAC地址;由SCD文件解析提取出IED设备goose/sv业务订阅关系、业务数据项的定义信息、业务数据发送周期,由配置输入的安全检查参数解析安全策略信息,根据上述解析提取的中间数据信息,分析计算后生成数据安全监测规则配置文件,内容包括:变电站业务报文描述和报文检查策略配置,数据安全监测规则配置文件内容及格式的示例如下,其中!--开头的文字表示注释,是对本段代码的含义的说明:
/>
安全监测策略配置文件内容包括安全事件归并配置、安全事件上送配置、异常报文规则及动作配置、安全事件记录配置等策略信息。如图2,在安全监测控制***模块上,同数据安全监测规则配置文件生成步骤,首先加载全站SCD配置文件,并在安全监测控制***模块配置生成界面设置安全事件、归并参数、安全事件上报策略、异常非法事件对应动作处理等安全策略参数,由安全监测主控***模块配置文件生成功能按SCD配置文件内容和配置参数,其中由SCD配置文件解析提取出IED设备goose/sv业务订阅关系、业务数据项的定义信息、网络连接关系、终端网络参数,根据配置输入的安全策略参数解析安全策略信息,根据上述解析提取的中间数据信息,分析计算后生成安全监测策略配置文件,主要内容有:告警定义、事件定义、告警及事件归并配置、异常处理策略配置等信息,安全监测策略配置文件内容及格式的示例如下,其中!--开头的文字表示注释,是对本段代码的含义的说明:
/>
/>
/>
交换机转发配置文件内容包括装置MAC地址信息、装置所连接端口信息、组播转发信息、告警设置信息等配置信息。这里装置指的是交换机所连接的IED设备。如图2,在安全监测主控***模块上,同数据安全监测规则配置文件生成步骤,首先加载全站SCD配置文件,并在安全监测主控***模块配置生成界面设置转发安全事件动作、转发安全事件上报等安全策略参数,由安全监测主控***模块配置文件生成功能按SCD配置文件内容和配置参数,其中由SCD配置文件解析提取出IED设备goose/sv业务订阅关系、网络连接关系、终端网络参数,根据配置输入的安全策略参数解析安全策略信息,根据上述解析提取的中间数据信息,分析计算后生成交换机转发配置文件,内容包括:转发表表及对应流策略配置、接口连接的终端信息、未知流量策略配置等,交换机转发配置文件内容及格式的示例如下,其中!--开头的文字表示注释,是对本段代码的含义的说明:
/>
/>
/>
由安全监测主控***模块把生成的配置文件下发给网络安全监测装置和变电站网络交换机;网络安全监测装置按数据安全监测规则配置、安全监测策略配置实时监控变电站网络业务报文,并对安全事件进行上报告警。如上所述,所述网络安全监测装置是专用网络报文分析设备或者作为功能模块集成在变电站交换机中,接收并识别数据安全监测规则配置文件、安全监测策略配置文件信息,实时监测所有变电站业务报文,识别出非法报文后,按策略记录报文、丢弃、告警等操作。
例如,网络安全监测装置或集成了网络安全监测装置功能的交换机,识别出源mac地址没有在安全配置文件内,或源/目的mac是安全配置文件内指定非法地址范围内时,即为非法报文;goose/sv报文内的appid不在配置文件内时为非法报文、目的mac和appid不对应时为非法报文等等,识别出非法报文后,按策略进行处置,如对非法报文进行记录、告警、丢弃、重定向转发、阻断非法报文发送装置的物理链路等动作即为对应策略动作。按安全监测规则配置文件识别出非法报文,按安全监测策略配置文件对对应的非法报文事件进行策略动作执行。触发了安全监测规则配置文件内的规则的报文为非法报文。
在本发明的实施方式中,由变电站网络交换机安全监控模块执行安全策略指令、安全策略配置及转发配置信息,运行在交换机上的独立安全监控模块,实时采集安全策略定义的网络监控信息,包括终端接入事件、终端设备信息、链路状态、链路统计信息等信息;对识别出的安全事件进行记录及告警上报;响应安全策略指令,对指定的异常报文数据流进行策略动作,策略动作包括带宽限制、报文丢弃、报文采集记录。
交换机实时采集进入接口的报文,由交换机上的多核cpu对采集的报文按安全监测规则配置文件的规则进行解析检测,任何规则内对应字段不满足配置要求,都是非法异常报文;交换机硬件芯片对报文流量进行硬件统计,任何超过配置流量阈值的报文流属于安全事件之一,安全事件包括:异常流量、业务流超时中断、终端设备接入网络、物理链路异常等;安全事件都是已知并且可以分类归并,对应的处理策略按事件级别进行设定,例如,终端设备接入网络,属于高级别安全事件,需要立即告警上报并阻断设备接入的端口;物理链路中断属于高级别安全事件,需要立即告警上报;业务流量突发根据用户定义的按级别,对突发超过阈值流量进行丢弃并告警上报,或仅丢弃超阈值流量不告警。策略动作的确定是按用户、企业、行业的网络安全要求来确定。
在本发明的实施方式中,安全监测主控***模块是集成在后台监控***或网络安全监控***里;在***调试、SCD配置变更时,按安全法规和安全技术规范基于SCD生成数据安全监控规则、安全监控策略和交换机转发配置,并下发给网络安全监测设备及交换机,即时生效安全配置并监测运行。在***运行时,安全监测主控***模块实时接收网络安全监测设备和变电站网络交换机的安全事件信息,对安全事件信息进行分析处理、实时显示告警,并根据处理结果向交换机下发异常报文抑制策略指令。
电网公司规范要求的过程层网络只允许goose/sv报文传输,但存在有用户要求通信网络里仅白名单(有转发表的报文)数据转发,其他报文丢弃等需求,此外对于如DOS攻击防御、非法报文还应进行过滤。而目前没有专门针对网络传输的安全规范要求,都是穿插在各种不同规范里的,如电力行业标准、企业标准、省公司或地市公司要求等。本发明通过基于全站的SCD配置文件、用户应用的安全法规及企业安全规范通过配置管理工具自动解析生成安全监测依据,实时对通信数据进行安全监测检查,并按安全策略向***主控进行安全事件控制及告警,提高智能变电站通信网络安全,保障智能变电站保护控制和自动化监控***的可靠稳定运行。
本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种智能变电站通信数据安全监测方法,其特征在于,所述方法包括:
基于变电站全站SCD配置文件及安全要求生成数据安全监测规则配置文件、安全监测策略配置文件和交换机转发配置文件;
将数据安全监测规则配置文件、安全监测策略配置文件下发至安全监测设备,将安全监测策略配置文件和交换机转发配置文件下发至变电站网络交换机;
响应于接收到从安全监测设备和变电站网络交换机上送的安全事件信息,对安全事件信息进行告警展示、信息记录处理,其中安全监测设备上送的安全事件信息是所述安全监测设备按数据安全监测规则配置信息实时监测网络上的业务数据报文,并按配置的安全监测策略进行数据报文监测处理及上报的安全事件;变电站网络交换机上送的安全事件信息是所述变电站网络交换机根据安全监测策略配置信息和交换机转发配置信息,实时监测网络接入设备情况、物理链路状态、数据流量信息,按安全监测策略配置信息处理并上报的安全事件;
其中安全监测策略配置文件的生成方法包括:
读取SCD配置文件内容,读取配置界面输入的安全策略参数,所述安全策略参数包括安全事件、归并参数、安全事件上报策略、异常非法事件对应处理动作;
基于SCD配置文件解析提取出IED设备goose/sv业务订阅关系、业务数据项的定义信息、网络连接关系、终端网络参数,基于配置界面输入的安全策略参数解析出安全策略信息,所述安全策略信息包括以下一项或多项:超限值流量处理、异常报文处理、非法接入设备处理、非法报文处理、非法及异常报文溯源;
根据所述安全策略信息和IED设备goose/sv业务订阅关系、业务数据项的定义信息、网络连接关系、终端网络参数生成安全监测策略配置文件,安全监测策略配置文件的内容包括以下至少一项:告警定义、事件定义、告警及事件归并配置、异常报文处理策略配置、流量告警阈值、超限值流量处理策略配置、非法接入设备处理策略配置、非法报文处理策略配置、非法及异常报文溯源策略配置。
2.根据权利要求1所述的智能变电站通信数据安全监测方法,其特征在于,数据安全监测规则配置文件的生成方法包括:
读取SCD配置文件内容,读取配置界面输入的安全检查参数,所述安全检查参数包括业务报文检查字段、检查深度、业务报文类型范围、终端设备网络参数;
基于SCD配置文件解析提取出终端设备网络参数,基于由SCD配置文件解析提取的终端设备网络参数和配置界面输入的终端设备网络参数提取出所有变电站终端设备网络参数;基于SCD配置文件解析提取出IED设备goose/sv业务订阅关系、业务数据项的定义信息、业务数据发送周期;基于配置界面输入的安全检查参数解析出安全规则信息,所述安全规则信息包括以下一项或多项:业务流量带宽范围、报文检查规则、终端设备接入规则、网络参数范围规则、二层业务应用检查规则、三层业务应用检查规则;
根据所述安全规则信息、所有变电站终端设备网络参数以及IED设备goose/sv业务订阅关系、业务数据项的定义信息、业务数据发送周期生成数据安全监测规则配置文件,数据安全监测规则配置文件的内容包括以下至少一项:变电站业务报文描述和报文检查策略配置。
3.根据权利要求1所述的智能变电站通信数据安全监测方法,其特征在于,异常报文处理策略、超限值流量处理策略包括:告警、丢弃、限速、转发、记录;非法接入设备处理策略包括:告警、设备信息记录、接入端口阻断;非法报文处理策略包括:告警、丢弃、限速、重定向、记录。
4.根据权利要求1所述的智能变电站通信数据安全监测方法,其特征在于,交换机转发配置文件的生成方法包括:
读取SCD配置文件内容,读取配置界面输入的转发安全参数,所述转发安全参数包括转发安全事件及动作、转发安全事件上报条件;
基于SCD配置文件解析提取出IED设备goose/sv业务订阅关系、网络连接关系、终端网络参数,基于配置界面输入的转发安全参数解析出转发安全策略信息,转发安全策略信息包括:流量告警策略、超限值流量处理策略、报文异常处理策略、非法接入设备处理策略、非法报文处理策略、网络拓扑变化策略;其中超限值流量处理策略和报文异常处理策略包括:告警、丢弃、限速、转发、记录;非法接入设备处理策略包括:告警、设备信息记录、接入端口阻断;非法报文处理策略包括:告警、丢弃、限速、重定向、记录;
根据所述转发安全策略信息和IED设备goose/sv业务订阅关系、网络连接关系、终端网络参数生成交换机转发配置文件,交换机转发配置文件内容包括以下至少一项:转发表配置、转发表查找异常策略配置、业务流策略配置、接口连接的终端信息、未知流量策略配置、异常报文策略配置、网络拓扑变更策略。
5.根据权利要求1所述的智能变电站通信数据安全监测方法,其特征在于,安全监测设备上报安全事件的方法包括:安全监测设备根据数据安全监测规则配置文件的规则对变电站业务报文进行检测,当变电站二层业务报文MAC地址、业务应用序号、业务报文数据项不满足二层业务检查配置规则时为非法报文;当变电站三层业务报文MAC地址、IP地址、端口号、业务报文数据项不满足三层业务检查配置规则时为非法报文,根据安全监测策略配置文件进行告警展示、信息记录处理,其中二层业务检查配置规则包含合法MAC地址、SCD配置的组播MAC地址、合法业务应用序号、组播MAC和业务应用序号对应关系、数据项合法范围、合法报文类型;三层业务检查配置规则包含报文地址异常、合法报文地址、合法端口号、业务报文数据项范围、合法报文类型。
6.根据权利要求1所述的智能变电站通信数据安全监测方法,其特征在于,变电站网络交换机上报安全事件的方法包括:变电站网络交换机实时采集进入接口的报文,根据交换机转发配置文件进行报文的转发和过滤;对报文流量进行硬件统计,当报文流量超过配置流量阈值时认定发生了安全事件;终端设备接入时,终端信息不在合法设备列表里时认定为安全事件;网络拓扑变更时,变更拓扑不在合法拓扑列表时认定为安全事件;出现非法报文时认定为安全事件;出现的安全事件根据安全监测策略配置文件进行告警展示、信息记录处理。
7.根据权利要求1所述的智能变电站通信数据安全监测方法,其特征在于,所述方法还包括:响应于接收到从安全监测设备和变电站网络交换机上送的安全事件信息,向变电站网络交换机下发安全策略指令,变电站网络交换机基于下发的安全策略指令对指定报文数据流执行安全策略动作,所述安全策略动作包括流量抑制、丢弃、记录存储、重定向中的一种或多种。
8.一种智能变电站通信数据安全监测***,其特征在于,包括:
安全监测主控***模块,用于基于变电站全站SCD配置文件及安全要求生成数据安全监测规则配置文件、安全监测策略配置文件和交换机转发配置文件,并将数据安全监测规则配置文件、安全监测策略配置文件下发至安全监测设备,将安全监测策略配置文件和交换机转发配置文件下发至变电站网络交换机,以及用于响应于接收到从安全监测设备和变电站网络交换机上送的安全事件信息,对安全事件信息进行告警展示、信息记录处理;
安全监测设备,用于按数据安全监测规则配置信息实时监测网络上的业务数据报文,并按配置的安全监测策略进行数据报文监测处理及上报安全事件;
变电站网络交换机,用于根据安全监测策略配置信息和交换机转发配置信息,实时监测网络接入设备情况、物理链路状态、数据流量信息,按安全监测策略配置信息处理安全事件并上报;
其中安全监测策略配置文件的生成方法包括:
读取SCD配置文件内容,读取配置界面输入的安全策略参数,所述安全策略参数包括安全事件、归并参数、安全事件上报策略、异常非法事件对应处理动作;
基于SCD配置文件解析提取出IED设备goose/sv业务订阅关系、业务数据项的定义信息、网络连接关系、终端网络参数,基于配置界面输入的安全策略参数解析出安全策略信息,所述安全策略信息包括以下一项或多项:超限值流量处理、异常报文处理、非法接入设备处理、非法报文处理、非法及异常报文溯源;
根据所述安全策略信息和IED设备goose/sv业务订阅关系、业务数据项的定义信息、网络连接关系、终端网络参数生成安全监测策略配置文件,安全监测策略配置文件的内容包括以下至少一项:告警定义、事件定义、告警及事件归并配置、异常报文处理策略配置、流量告警阈值、超限值流量处理策略配置、非法接入设备处理策略配置、非法报文处理策略配置、非法及异常报文溯源策略配置。
9.一种计算机设备,其特征在于,包括:
一个或多个处理器;
存储器;以及
一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述程序被处理器执行时实现如权利要求1-7中任一项所述的智能变电站通信数据安全监测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的智能变电站通信数据安全监测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210077767.9A CN114513342B (zh) | 2022-01-24 | 2022-01-24 | 一种智能变电站通信数据安全监测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210077767.9A CN114513342B (zh) | 2022-01-24 | 2022-01-24 | 一种智能变电站通信数据安全监测方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114513342A CN114513342A (zh) | 2022-05-17 |
| CN114513342B true CN114513342B (zh) | 2023-08-04 |
Family
ID=81550070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210077767.9A Active CN114513342B (zh) | 2022-01-24 | 2022-01-24 | 一种智能变电站通信数据安全监测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114513342B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826790B (zh) * | 2022-06-30 | 2022-11-15 | 浪潮电子信息产业股份有限公司 | 一种区块链监测方法、装置、设备及存储介质 |
| CN118041693B (zh) * | 2024-04-11 | 2024-07-23 | 国网浙江省电力有限公司杭州市富阳区供电公司 | 一种交换机的安全防御方法、***、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013118889A1 (ja) * | 2012-02-10 | 2013-08-15 | 株式会社 東芝 | 変電所自動化システム及び端末の自動認識方法 |
| CN103326469A (zh) * | 2013-06-14 | 2013-09-25 | 广东电网公司电力科学研究院 | 智能变电站goose通信状态监测方法及监测设备 |
| CN107947367A (zh) * | 2017-12-07 | 2018-04-20 | 国网四川省电力公司技能培训中心 | 一种保护设备在线监测与智能诊断*** |
| CN110224894A (zh) * | 2019-06-18 | 2019-09-10 | 国网四川省电力公司内江供电公司 | 一种智能变电站过程层网络监测管理*** |
| CN110768846A (zh) * | 2019-10-31 | 2020-02-07 | 国网四川省电力公司阿坝供电公司 | 一种智能变电站网络安全防护*** |
| CN111882194A (zh) * | 2020-07-21 | 2020-11-03 | 国家电网有限公司 | 一种智能变电站继电保护状态监测及诊断*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9998443B2 (en) * | 2016-02-22 | 2018-06-12 | International Business Machines Corporation | Retrospective discovery of shared credentials |
-
2022
- 2022-01-24 CN CN202210077767.9A patent/CN114513342B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013118889A1 (ja) * | 2012-02-10 | 2013-08-15 | 株式会社 東芝 | 変電所自動化システム及び端末の自動認識方法 |
| CN103326469A (zh) * | 2013-06-14 | 2013-09-25 | 广东电网公司电力科学研究院 | 智能变电站goose通信状态监测方法及监测设备 |
| CN107947367A (zh) * | 2017-12-07 | 2018-04-20 | 国网四川省电力公司技能培训中心 | 一种保护设备在线监测与智能诊断*** |
| CN110224894A (zh) * | 2019-06-18 | 2019-09-10 | 国网四川省电力公司内江供电公司 | 一种智能变电站过程层网络监测管理*** |
| CN110768846A (zh) * | 2019-10-31 | 2020-02-07 | 国网四川省电力公司阿坝供电公司 | 一种智能变电站网络安全防护*** |
| CN111882194A (zh) * | 2020-07-21 | 2020-11-03 | 国家电网有限公司 | 一种智能变电站继电保护状态监测及诊断*** |
Non-Patent Citations (1)
| Title |
|---|
| 《基于神经网络的电力终端安全监测及信息攻击检测策略研究》;张睿智;《信息科技》(第2021年第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114513342A (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114513342B (zh) | 一种智能变电站通信数据安全监测方法及*** | |
| US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| CN109271793B (zh) | 物联网云平台设备类别识别方法及*** | |
| CN111600898A (zh) | 基于规则引擎的安全告警生成方法、装置及*** | |
| CN111885012A (zh) | 基于多种网络设备信息采集的网络态势感知方法及*** | |
| CN109150869B (zh) | 一种交换机信息采集分析***及方法 | |
| CN104063473A (zh) | 一种数据库审计监测***及其方法 | |
| CN104506507A (zh) | 一种sdn网络的蜜网安全防护***及方法 | |
| CN114567463B (zh) | 一种工业网络信息安全监测与防护*** | |
| CN114363044B (zh) | 一种分层告警方法、***、存储介质和终端 | |
| CN110224865A (zh) | 一种基于流式处理的日志告警*** | |
| CN102546274A (zh) | 一种通信业务中的告警监控方法及设备 | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN112350846B (zh) | 一种智能变电站的资产学习方法、装置、设备及存储介质 | |
| CN112702333B (zh) | 数据安全检测方法及装置 | |
| CN116614277A (zh) | 基于机器学习与异常行为分析的网络******与方法 | |
| CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN104660552A (zh) | 一种wlan网络入侵检测*** | |
| CN113671909A (zh) | 一种钢铁工控设备安全监测***和方法 | |
| CN113271303A (zh) | 一种基于行为相似性分析的僵尸网络检测方法及*** | |
| CN114785613B (zh) | 一种基于自动编排处理安全告警事件的方法及*** | |
| CN103365963B (zh) | 数据库稽核***合规性快速检验方法 | |
| CN111935063A (zh) | 一种终端设备异常网络访问行为监测***及方法 | |
| CN101388794A (zh) | 一种定位网络管理***异常事件的方法和*** | |
| CN116257021A (zh) | 一种工控***智能网络安全态势监测预警平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |