專利名稱::電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控方法
技術(shù)領(lǐng)域:
:本發(fā)明屬于電力電子
技術(shù)領(lǐng)域:
,特別是涉及一種電站自動(dòng)化系統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控方法。
背景技術(shù):
:隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,變電站、電廠、電網(wǎng)調(diào)度中心、用戶等之間進(jìn)行的數(shù)據(jù)交換也越來越多,現(xiàn)代化電力系統(tǒng)在考慮基礎(chǔ)電力設(shè)施的安全性和可靠性外,越來越需要加強(qiáng)對(duì)于信息安全性的考慮。電力生產(chǎn)自動(dòng)化水平的提高導(dǎo)致大量遠(yuǎn)程控制、監(jiān)視等事件通信,對(duì)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)分為四個(gè)安全工作區(qū)實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)。在2003年以前,四個(gè)區(qū)之間的隔離都是通過防火墻來實(shí)現(xiàn)的。如圖l所示,通過防火墻隔離的各個(gè)安全區(qū),在網(wǎng)絡(luò)上通常是通過開放相應(yīng)的服務(wù)端口來實(shí)現(xiàn)應(yīng)用程序的通訊,開放了的端口一般無法對(duì)其傳送的內(nèi)容進(jìn)行進(jìn)一步的檢測(cè),當(dāng)服務(wù)器端口出現(xiàn)安全漏洞后除了對(duì)相應(yīng)應(yīng)用程序進(jìn)行修補(bǔ)外別無他法。此外以網(wǎng)絡(luò)為主要傳播途徑的病毒、黑客也日益猖獗,加上構(gòu)成電力系統(tǒng)的智能裝置及各種應(yīng)用系統(tǒng)都沒有安全內(nèi)核,應(yīng)用系統(tǒng)普遍采用Windows平臺(tái),數(shù)據(jù)通信規(guī)約的公開化,從而使電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)存在較大的安全隱患。有數(shù)據(jù)顯示,國內(nèi)監(jiān)控系統(tǒng)已多次發(fā)生病毒和"邏輯炸彈"等事件,這些病毒占用計(jì)算機(jī)系統(tǒng)大量資源、偽造調(diào)度報(bào)文、影響相關(guān)電力軟件正常工作,直接造成電力自動(dòng)化的控制系統(tǒng)死機(jī)、錄波器頻發(fā)故障、監(jiān)控系統(tǒng)異常等情況的發(fā)生,從而導(dǎo)致停電事故的頻發(fā),影響電力系統(tǒng)的安全生產(chǎn)。由此可見,電力系統(tǒng)的信息安全問題不容忽視。隨著變電站無人值守技術(shù)的發(fā)展,出現(xiàn)了越來越多的集控站應(yīng)用模式,變電站遠(yuǎn)程操作控制技術(shù)的應(yīng)用是一種必然的趨勢(shì)。目前,網(wǎng)絡(luò)數(shù)據(jù)安全主要基于以下幾個(gè)方面的因素來考慮。1)控制系統(tǒng)和通信規(guī)約目前電力系統(tǒng)的實(shí)時(shí)運(yùn)行系統(tǒng)很少采用加密或安全認(rèn)證,許多控制系統(tǒng)不具備入侵識(shí)別能力。2)遠(yuǎn)程數(shù)據(jù)訪問模式隨著控制系統(tǒng)遠(yuǎn)程應(yīng)用功能技術(shù)的發(fā)展,越來越多的RTU、變電站、發(fā)電廠開放了各種直接、間接的遠(yuǎn)程應(yīng)用功能,而與各種控制系統(tǒng)的遠(yuǎn)程聯(lián)結(jié)很少采取加密措施,也不具備電子安全認(rèn)證能力。此外,系統(tǒng)供應(yīng)商會(huì)在電力用戶不知情的情況下安裝遠(yuǎn)程進(jìn)入功能。3)專用軟件操作系統(tǒng)電站自動(dòng)化系統(tǒng)通常采用專用的操作系統(tǒng),對(duì)于新系統(tǒng)的用戶接口基本上是基于Windows或Unix系統(tǒng),因此,會(huì)將安全漏洞暴露給攻擊者,尤其對(duì)于大量采用Windows操作系統(tǒng)的應(yīng)用軟件,其安全漏洞是非常明顯的。4)海量數(shù)據(jù)傳輸問題電站網(wǎng)絡(luò)承受的海量數(shù)據(jù)傳輸?shù)貌坏接行Э刂疲娏?shù)據(jù)沒有經(jīng)過有效的過濾處理,造成非重要數(shù)據(jù)占用有限帶寬資源,影響實(shí)時(shí)性高的重要數(shù)據(jù)的傳輸。綜上,目前電力系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)安全漏洞非常明顯,且不具備電子安全認(rèn)證能力,存在較大的隱患。
發(fā)明內(nèi)容針對(duì)現(xiàn)有技術(shù)存在的上述不足,本發(fā)明的目的是提供一種能實(shí)現(xiàn)對(duì)電站數(shù)據(jù)網(wǎng)絡(luò)的信息安全和網(wǎng)絡(luò)可靠性的實(shí)時(shí)監(jiān)視,主動(dòng)對(duì)數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行診斷,并在網(wǎng)絡(luò)傳輸異常情況下發(fā)出告警的電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控方法。本發(fā)明的目的是這樣實(shí)現(xiàn)的一種電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控方法,其特征在于,它是在現(xiàn)有電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上,利用Snort檢測(cè)引擎實(shí)現(xiàn)對(duì)電站自動(dòng)化數(shù)據(jù)網(wǎng)絡(luò)的監(jiān)視,引擎嵌入的規(guī)約包括CDT、IEC-60870-101以及IEC-61850在內(nèi)的通信規(guī)約,利用所述規(guī)約自身的幀格式建立引擎匹配條件;具體步驟包括a)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀內(nèi)容進(jìn)行監(jiān)控。電站數(shù)據(jù)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀信息都是按照固定的標(biāo)準(zhǔn)規(guī)約來約定的,因此,數(shù)據(jù)幀信息都將滿足相應(yīng)傳輸規(guī)約的幀格式,以電站數(shù)據(jù)傳輸?shù)囊?guī)約格式為基準(zhǔn),滿足規(guī)約格式的信息允許其繼續(xù)流通,不滿足規(guī)約格式的信息則進(jìn)行隔離,從而保證了數(shù)據(jù)幀內(nèi)容的可靠性和信息的安全性;b)對(duì)電站數(shù)據(jù)采集網(wǎng)絡(luò)的實(shí)時(shí)流量進(jìn)行監(jiān)測(cè)。由于電站數(shù)據(jù)采集網(wǎng)絡(luò)傳遞的信息具有周期性且數(shù)據(jù)包大小相同,所以各個(gè)時(shí)段的網(wǎng)絡(luò)流量也應(yīng)該是相同的,以此為前提,若發(fā)現(xiàn)網(wǎng)絡(luò)流量異常,則說明網(wǎng)絡(luò)上有異常數(shù)據(jù)傳遞,電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控裝置將給出告警信息。當(dāng)網(wǎng)絡(luò)經(jīng)上述判據(jù)診斷后,確認(rèn)為網(wǎng)絡(luò)異常后,將主動(dòng)發(fā)出告警信息,對(duì)具有管理功能的交換機(jī)發(fā)出指令,關(guān)斷與其通信的端口,實(shí)現(xiàn)安全隔離。進(jìn)一步,所述步驟a)中,對(duì)電站數(shù)據(jù)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀內(nèi)容進(jìn)行監(jiān)控的方法為由網(wǎng)絡(luò)監(jiān)視模塊結(jié)果統(tǒng)計(jì)得出網(wǎng)絡(luò)數(shù)據(jù)幀的平均數(shù)據(jù)傳輸頻率為f,監(jiān)視模塊設(shè)定一個(gè)計(jì)數(shù)器,每捕獲一個(gè)數(shù)據(jù)幀則計(jì)數(shù)器自動(dòng)加1,經(jīng)時(shí)間T后自動(dòng)為0,并重新開始計(jì)數(shù)。其中,r=卡則在時(shí)間段t內(nèi),第N-l個(gè)數(shù)據(jù)幀和第N個(gè)數(shù)據(jù)幀對(duì)應(yīng)的計(jì)數(shù)值分別為采樣計(jì)數(shù)值ml、m2;則通過以下判據(jù)來判斷網(wǎng)絡(luò)數(shù)據(jù)幀是否丟失;若ml+1^m2則數(shù)據(jù)幀傳輸不正常;若網(wǎng)絡(luò)幀符合上述任何一個(gè)條件,則說明數(shù)據(jù)幀丟失,發(fā)出報(bào)警信息。進(jìn)一步,所述步驟b)中,對(duì)電站數(shù)據(jù)采集網(wǎng)絡(luò)的實(shí)時(shí)流量進(jìn)行監(jiān)測(cè)的方法,具體為設(shè)定統(tǒng)計(jì)流量的單位時(shí)間值為、,n次隨機(jī)抽樣網(wǎng)絡(luò)傳輸正常情況下的流量測(cè)量值在時(shí)間tl內(nèi)的交換機(jī)流量分別為&、F2、F3……Fn,并求取均值為F,其表達(dá)式如下若在^時(shí)間內(nèi)統(tǒng)計(jì)交換機(jī)實(shí)際輸出流量為Fa;出現(xiàn)流量不穩(wěn)定的時(shí)間ty;進(jìn)一步設(shè)定流量閾值A(chǔ)F,以及流量不穩(wěn)定時(shí)間閾值A(chǔ)t;若<formula>formulaseeoriginaldocumentpage5</formula><formula>formulaseeoriginaldocumentpage5</formula>則網(wǎng)絡(luò)流量異常報(bào)警。相比現(xiàn)有技術(shù),本發(fā)明具有如下有益效果電站數(shù)據(jù)網(wǎng)絡(luò)是通過防火墻來實(shí)現(xiàn)其與外部因特網(wǎng)隔離的,網(wǎng)絡(luò)內(nèi)部的各個(gè)安全工作區(qū)的隔離也是通過防火墻來實(shí)現(xiàn)?,F(xiàn)有的防火墻技術(shù)不能完全有效的抵御來自網(wǎng)絡(luò)的病毒、黑客攻擊,不能檢查應(yīng)用層的數(shù)據(jù),因此無法對(duì)數(shù)據(jù)信息內(nèi)容進(jìn)行監(jiān)控防護(hù),而且防火墻的設(shè)置將導(dǎo)致信息傳輸產(chǎn)生明顯延時(shí),從而使電力數(shù)據(jù)的實(shí)時(shí)性要求得不到很好的滿足。本發(fā)明能夠?qū)﹄娬緮?shù)據(jù)網(wǎng)絡(luò)傳輸?shù)男畔?nèi)容進(jìn)行監(jiān)控,能夠明確區(qū)分病毒與合法信息,有效的監(jiān)控電站內(nèi)各個(gè)計(jì)算機(jī)網(wǎng)絡(luò)工作區(qū)之間的信息交換;由于本發(fā)明選用簡(jiǎn)化的Li皿x操作系統(tǒng)以及嵌入式的硬件,信息的處理速度快,延時(shí)短,能夠滿足電力數(shù)據(jù)實(shí)時(shí)性的要求;此外采用簡(jiǎn)化的Linux操作系統(tǒng),該操作平臺(tái)具有安全性高、不易受到攻擊的特點(diǎn),較常規(guī)的Windows操作系統(tǒng)顯得更為安全可靠;本發(fā)明亦能對(duì)傳輸網(wǎng)絡(luò)進(jìn)行監(jiān)控,實(shí)現(xiàn)對(duì)數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行診斷,這是防火墻技術(shù)所不具備的功能。本發(fā)明方法能夠?qū)崿F(xiàn)對(duì)電站數(shù)據(jù)網(wǎng)絡(luò)的信息安全和網(wǎng)絡(luò)可靠性的實(shí)時(shí)監(jiān)視,主動(dòng)對(duì)數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行診斷,并在網(wǎng)絡(luò)傳輸異常情況下發(fā)出告警直至閉鎖端口,解決了電站內(nèi)數(shù)據(jù)網(wǎng)絡(luò)通信的信息安全與可靠性瓶頸問題。圖1為現(xiàn)有電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)圖。圖2為本發(fā)明提供的CDT規(guī)約的匹配判斷流程圖。圖3為本發(fā)明提供的IEC-60870-101規(guī)約的匹配判斷流程圖。圖4為本發(fā)明提供的IEC-61850規(guī)約的匹配判斷流程圖。具體實(shí)施例方式以下結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明?!N電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控方法,它是在現(xiàn)有電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上,利用Snort檢測(cè)引擎實(shí)現(xiàn)對(duì)電站自動(dòng)化數(shù)據(jù)網(wǎng)絡(luò)的監(jiān)視,引擎嵌入的規(guī)約包括CDT、IEC-60870-101以及IEC-61850在內(nèi)的通信規(guī)約,利用所述規(guī)約自身的幀格式建立引擎匹配條件。本發(fā)明使用的監(jiān)控裝置運(yùn)行平臺(tái)采用Sis550CPU作為處理器,選用ICOP公司的Vortex6082作為集成主板,內(nèi)存配置為128MB板載,硬盤選用32MBDOM電子盤。該裝置選用精簡(jiǎn)的Li皿x操作系統(tǒng),采用Snort入侵檢測(cè)系統(tǒng)(IDS)完成對(duì)非法數(shù)據(jù)的檢測(cè)。Snort是一個(gè)基于libpc即庫的網(wǎng)絡(luò)數(shù)據(jù)包嗅探器,可以作為一個(gè)基于網(wǎng)絡(luò)和誤用的輕量級(jí)入侵檢測(cè)系統(tǒng)?;赟nort技術(shù)的入侵檢測(cè)的思想是研究分析網(wǎng)絡(luò)入侵行為,提煉出其特征值,并按照規(guī)范寫成檢測(cè)規(guī)則,多個(gè)檢測(cè)規(guī)則形成一個(gè)規(guī)則數(shù)據(jù)庫,運(yùn)用概率抽樣,從網(wǎng)絡(luò)中捕獲的數(shù)據(jù)包,按照規(guī)則逐一匹配,從而完成入侵的預(yù)警或記錄入侵檢測(cè)引擎,并利用實(shí)時(shí)報(bào)警功能,將報(bào)警信息發(fā)往sys21og、ServerMessageBlock(SMB)、WinPopupMessages或單獨(dú)的alert文件。Snort對(duì)入侵規(guī)則進(jìn)行匹配的過程是首先依照規(guī)則文件建立規(guī)則語法樹,其次對(duì)從網(wǎng)絡(luò)上捕獲的每一條數(shù)據(jù)報(bào)文和自身建立的規(guī)則樹進(jìn)行匹配,若發(fā)現(xiàn)存在一條規(guī)則匹配該報(bào)文,就表示檢測(cè)到一個(gè)攻擊,然后按照規(guī)定的動(dòng)作進(jìn)行處理,若搜索完所有的規(guī)則都沒有找到匹配的規(guī)則則視該報(bào)文正常,本裝置由以下軟件系統(tǒng)來實(shí)現(xiàn)1.精簡(jiǎn)Linux操作系統(tǒng)的建立從ftp.kernel,org下載最新的內(nèi)核kernel—2.6.16.14.tar.gz(工作時(shí)最新內(nèi)核)解壓tar-jxvfkernel-2.6.16.14.tar.gz配置Makeme皿config在"CoreNetfilterConfiguration,,選項(xiàng)中:CONFIG——NETFILTER——NETLINK==yCONFIG——NETFILTER——NETLINK_QUEUE=yCONFIG——NETFILTER——NETLINK_LOG=yCONFIG——NETFILTER——XTABLES==yCONFIG——NETFILTER——XT—JARGET—CLASSIFY=yCONFIG——NETFILTER——XT—JARGET—CON薩RK=yCONFIG——NETFILTER——XT—_TARGET_MARK=yCONFIG——NETFILTER——XT—_TARGET_NFQUEUE=yCONFIG——NETFILTER——XT—_TARGET_NOTRACK=yCONFIG——NETFILTER——XT—_MATCH——COMMENT=yCONFIG——NETFILTER——XT—_MATCH——CONNBYTES=yCONFIG——NETFILTER——XT—_MATCH——CON薩RK=yCONFIG——NETFILTER——XT—_MATCH——CONNTRACK=yCONFIG——NETFILTER——XT—_MATCH——DCCP=yCONFIG——NETFILTER——XT—_MATCH——HELPER=yCONFIG——NETFILTER——XT—_MATCH——LENGTH=yCONFIG——NETFILTER——XT—_MATCH——L皿T=yCONFIG——NETFILTER——XT—_MATCH——MAC=yCONFIG——NETFILTER——XT—_MATCH——MARK=yCONFIG——NETFILTER——XT—_MATCH——PHYSDEV=yCONFIG——NETFILTER——XT—_MATCH——PKTTYPE=yCONFIG——NETFILTER——XT—_MATCH——REALM=yCONFIG——NETFILTER——XT—_MATCH——SCTP=yCONFIG——NETFILTER——XT—_MATCH——STATE=yCONFIG——NETFILTER——XT—_MATCH——STRING=yCONFIG_NETFILTER—XT_MATCH_TCPMSS=y在"IP:NetfilterConfiguration"項(xiàng)中有以下設(shè)置IP——NF_—CONNTRACK=yIP—_NF—_CT—ACCT=yIP—_NF——CONNTRACK——MARK=yIP—_NF——CONNTRACK——EVENTS二IPNFCONNTRACKNETLINK=y#CONFIG—IP—NF—CT—PROTO—SCTPisnotsetCONFIG—IP—NF—FTP=y#CONFIG_IP_NF_IRCisnotset#CONFIG_IP_NF_NETBIOS_NSisnotset#CONFIG_IP_NF—TFTPisnotset#CONFIG_IP—NF—AMANDAisnotset#CONFIG_IP_NF—PPTPisnotsetCONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG_CONFIG_CONFIG_CONFIG_CONFIG_CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIG—CONFIGIP-—NF_—QUEUE=yIP-—NF_—IPTABLES=yIP-—NF_—MATCH—IPRANGE=yIP——NF——MATCH_MULTIPORT=yIP——NF——MATCH_TOS=yIP——NF——MATCH—RECENT=yIP——NF——MATCH—ECN=yIP——NF_—MATCH—DSCP=yIP——NF—_MATCH_AH_ESP=yIP——NF——MATCH_TTL=yIP——NF——MATCH_OWNER=yIP——NF——MATCH_ADDRTYPE=yIP——NF——MATCH—HASHL皿T=yIP—_NF—_MATCH_POLICY=yIP—_NF—_FILTER=yIP—_NF—_TARGET_REJECT=yIP—_NF—JARGET—LOG=yIP—_NF__TARGET—ULOG=y-IP-—NF—_TARGET_TCPMSS=y-IP-—NF——NAT=y-IP-—NF——NAT_NEEDED=y-IP-—NF——TARGET—MASQUERADE=y-IP-—NF——TARGET—REDIRECT=y-IP-—NF_—TARGET_NETMAP=y-IP-—NF_—TARGET—SAME=y#CONFIG_IP_NF_NAT_SNMP_BASICisnotsetC0NFIG_—IP——NF—_NAT_FTP=yC0NFIG_—IP——NF——MANGLE=yC0NFIG_—IP——NF——TARGET—TOS=yC0NFIG_—IP——NF——TARGET—ECN=yC0NFIG_—IP——NF——TARGET—DSCP=yC0NFIG_—IP——NF——TARGET—TTL=yC0NFIG_—IP——NF——TARGET_CLUSTERIPC0NFIG_—IP——NF——RAW=yC0NFIG_—IP——NF——ARPTABLES=y#CONFIG_IP_NF_ARPFILTERisnotset#CONFIG_IP_NF_ARP_MANGLEisnotset內(nèi)核主要配置成Iptables防火墻,來實(shí)行網(wǎng)絡(luò)層的數(shù)據(jù)過濾。2.利用Snort建立CDT、IEC-60870-101和IEC-61850規(guī)約的匹配規(guī)則Snort檢測(cè)引擎嵌入了包括CDT、IEC-60870-101以及最新的IEC-61850在內(nèi)的大量通信規(guī)約,滿足這些通信規(guī)約的數(shù)據(jù)與病毒有著截然的區(qū)別。下面對(duì)檢測(cè)引擎中嵌入的規(guī)約及如何辨識(shí)數(shù)據(jù)是否為合法數(shù)據(jù)進(jìn)行說明。①CDT(循環(huán)式遠(yuǎn)動(dòng)規(guī)約)CDT規(guī)定了電網(wǎng)數(shù)據(jù)采集與監(jiān)控系統(tǒng)中循環(huán)式遠(yuǎn)動(dòng)規(guī)約的功能、幀結(jié)構(gòu)、信息字結(jié)構(gòu)和傳輸規(guī)則等,采用可變幀長度、多種幀類別循環(huán)傳送、變位遙信優(yōu)先發(fā)送、重要遙測(cè)量更新循環(huán)時(shí)間較短,區(qū)分循環(huán)量、隨機(jī)量和插入量采用不同形式傳送信息,以滿足電網(wǎng)調(diào)度安全監(jiān)控系統(tǒng)對(duì)遠(yuǎn)動(dòng)信息的實(shí)時(shí)性和可靠性的要求。CDT幀結(jié)構(gòu)包括同步字、控制字及多個(gè)信息字。同步字按通道傳送順序分為3組EB90H,即1110、1011、1001、0000,并寫入串口??刂谱钟煽刂谱止?jié)、幀類別、信息字?jǐn)?shù)、源站址、目的站址、效驗(yàn)碼組成。Snort通過查找自身配置信息來識(shí)別CDT規(guī)約,具體流程如圖2所示。如果Iptable-jQueue獲取的數(shù)據(jù)包信息是由CDT規(guī)約封裝的,那么該數(shù)據(jù)包里面的幀格式將符合CDT規(guī)約對(duì)幀格式的定義。對(duì)該數(shù)據(jù)包進(jìn)行匹配判定將按照同步字、控制字、幀類別、源站地址和目標(biāo)站地址進(jìn)行匹配。若檢測(cè)獲取的幀頭部數(shù)據(jù)為3組EB90H即1110、1011、1001、0000,則第一步匹配成功,繼續(xù)進(jìn)入下一步對(duì)控制字匹配的判斷;若控制字與"OF"相"與"后的結(jié)果為"1",則該控制字匹配成功,反之則返回匹配不成功;匹配成功后繼續(xù)進(jìn)行對(duì)其幀類別、源站地址和目標(biāo)站地址的判斷。整個(gè)匹配過程表示如下base_ptr=start_ptr;〃設(shè)置起始指針if(btd->not_flag)〃測(cè)試是否有非標(biāo)志{if(Obase_ptr!=Oxeb)||(氺(base_ptr+l)!=0x90)||(氺(base_ptr+2)!=Oxeb)||(氺(base_ptr+3)!=0x90)||(氺(base_ptr+4)!=Oxeb)||(氺(base_ptr+5)!=0x90)){〃判斷是否是eb90eb90eb90return1;〃同步頭不匹配,返回1,表示not_fag測(cè)試為真:0138]:0139]:0140]:0141]:0142]:0143]:0144]:0145]:0146]:0147]:0148]:0149]:0150]return0;//返回0表示not_fag領(lǐng)lji式為假;if((*(base_ptr+6)&&0x0f)!if(0(base_ptr+6)!=return1;//返回1表示not—fag領(lǐng)lj試為真(氺(base_ptr+7)!0(base_ptr+9)!O(base_ptr+10)!return1;〃控制字格式不匹配btd->ctrl_byte)||〃控制字不匹配=btd->frame_byte)||〃幀類型字不匹配=btd->src_st)II〃源地址字不匹配=btd->des_st))〃目的地址字不匹配1)〃測(cè)試控制字符是否匹配②IEC-60870-101IEC-60870-101是國際上通行遠(yuǎn)動(dòng)、保護(hù)相關(guān)通信規(guī)約,在我國普及程度很高。該規(guī)約在物理層采用ITU-T建議,定義了控制站和被控制站的數(shù)據(jù)電路終端設(shè)備(DCE)和數(shù)據(jù)終端設(shè)備(DTE)之間的接口,在所要求的介質(zhì)上提供了二進(jìn)制對(duì)稱無記憶傳輸,以保證在鏈路層定義的組編碼的高級(jí)數(shù)據(jù)完整性;鏈路層采用明確的鏈路規(guī)約控制信息(LPCI)的鏈路傳輸處理過程,此鏈路處理過程將應(yīng)用服務(wù)數(shù)據(jù)單元(ASDUS)當(dāng)作鏈路用戶數(shù)據(jù)來傳輸。鏈路層采用幀格式的方式來提供所需的數(shù)據(jù)完整性、高效性以及傳輸?shù)谋憷?;IEC-60870-101應(yīng)用層未采用明確的應(yīng)用規(guī)約控制信息(APCI),它隱含在應(yīng)用服務(wù)數(shù)據(jù)單元的數(shù)據(jù)單元標(biāo)識(shí)符以及所采用的鏈路服務(wù)類型中。圖3描述了Snort對(duì)101匹配過程若幀的第一個(gè)起始字節(jié)為E5H、10H和68H中的任何一個(gè)數(shù),則通過第一步對(duì)幀起始字節(jié)的匹配檢驗(yàn);若為E5H,由于該幀結(jié)構(gòu)為單字節(jié),則直接返回匹配成功;若起始字節(jié)為IOH,將判斷其控制域、地址域及結(jié)束字是否正確;若起始字為68H,將判斷幀的數(shù)據(jù)結(jié)構(gòu)、控制域、地址域及結(jié)束字是否都全部正確;正確則返回匹配成功,反之則不匹配。base_ptr=start_ptr;〃設(shè)置起始指針if(btd->not_flag)〃測(cè)試是否有非標(biāo)志:0155]:0156]:0157]:0158]:0159]:0160]:0161]:0162]:0163]:0164]:0165]if((氺base—ptr!0x10)(*(base_ptr+l)!=0x49)||〃控制域不匹配(*(base_ptr+2)!=btd->src_st)||〃RTU地址不匹配(*(base_ptr+2)!=0x16〃結(jié)束字不匹配{return1;〃返回1表示not_fag測(cè)試為真}if(0(base_ptr=0x68)(*(base_ptr+l)!=src_zl)H〃判斷字符長度(*(base_ptr+2)!=0x49)||〃幀類型字不匹配(*(base_ptr+3)!=btd->src_st)||〃RTU地址不匹配(*(base_ptr+4)!=0x16〃結(jié)束字不匹配{return1;〃返回1表示not_fag測(cè)試為真}return0;//返回0表示not_fag測(cè)試為假;IEC-61850IEC-61850標(biāo)準(zhǔn)是目前變電站自動(dòng)化領(lǐng)域統(tǒng)一的、權(quán)威的標(biāo)準(zhǔn)體系,是數(shù)字化變電站實(shí)現(xiàn)無縫通信和互操作性的基礎(chǔ)。在數(shù)字化變電站內(nèi),GOOSE(通用變電站狀態(tài)事件)報(bào)文、GSE(通用變電站時(shí)間)信息和SAV(采樣值)采用以太網(wǎng)進(jìn)行傳輸,傳輸內(nèi)容的格式滿足以太網(wǎng)幀結(jié)構(gòu),IEC-61850中詳細(xì)定義了IS0/IEC8802-3以太網(wǎng)幀格式。該以太網(wǎng)幀格式與病毒和其它幀信息在幀格式的定義上有較大的區(qū)別,通過對(duì)信息幀的格式進(jìn)行逐一的辨識(shí),從而可以區(qū)分出數(shù)字化變電站的信息和非數(shù)字化變電站信息。本裝置在區(qū)分這兩組信息的區(qū)別時(shí)主要考慮了滿足IEC61850的以太網(wǎng)幀的四項(xiàng)條件,即頭MAC地址的標(biāo)注、優(yōu)先級(jí)標(biāo)志、以太網(wǎng)類型和APDU(應(yīng)用協(xié)議數(shù)據(jù)單元),通過對(duì)上述四項(xiàng)內(nèi)容進(jìn)行判別達(dá)到辨識(shí)是否為合法幀信息的目的。幀格式中的頭MAC地址規(guī)定了幀的目標(biāo)地址和源地址,通過辨識(shí)MAC地址的方式可以很容易的區(qū)分出該數(shù)據(jù)幀信息是否是合法的信息。如果MAC地址是電站的地址,即是合法的地址,則進(jìn)一步對(duì)以太網(wǎng)類型值進(jìn)行判別。IEC61850-8-1G00SE報(bào)文、IEC61850-8-lGSE管理報(bào)文以及IEC61850-9-2中的采樣值信息在以太網(wǎng)中的以太網(wǎng)類型值分別是88-B8、88-B9和88_BA,對(duì)應(yīng)的APPID值(應(yīng)用標(biāo)志)分別為00、00和01,如果幀信息既滿足相應(yīng)的類型值又滿足類型值所對(duì)應(yīng)的APPID值,那么對(duì)該幀信息繼續(xù)進(jìn)行下步判別,檢驗(yàn)其APDU(應(yīng)用協(xié)議數(shù)據(jù)單元)是否合法。具體的判別流程見圖4。3.網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)異常的診斷判據(jù)網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)異常的診斷的基本思想通過網(wǎng)絡(luò)監(jiān)聽抓包獲取電站網(wǎng)絡(luò)的數(shù)據(jù)流量,建立網(wǎng)絡(luò)的數(shù)據(jù)流量檢測(cè)判據(jù),當(dāng)數(shù)據(jù)流量異常,滿足該判據(jù)時(shí),則判定網(wǎng)絡(luò)出現(xiàn)故障。電站網(wǎng)絡(luò)上的固定數(shù)據(jù)節(jié)點(diǎn)包括電流互感器、電壓互感器、數(shù)字電度表、開關(guān)智能單元、繼電保護(hù)裝置等設(shè)備,這些設(shè)備周期性地收發(fā)數(shù)據(jù),具有較大的確定性,因此其數(shù)據(jù)傳輸具有一定的規(guī)律性。通過在網(wǎng)絡(luò)交換機(jī)上連接一個(gè)監(jiān)聽計(jì)算機(jī),對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行實(shí)時(shí)、不間斷的偵聽,建立網(wǎng)絡(luò)的數(shù)據(jù)流量規(guī)律。對(duì)于電站數(shù)據(jù)傳輸中那些數(shù)據(jù)10流量具有較大波動(dòng)、不確定的數(shù)據(jù),如電站的監(jiān)控?cái)?shù)據(jù)、管理數(shù)據(jù)以及與遠(yuǎn)方調(diào)度間的遠(yuǎn)動(dòng)數(shù)據(jù)等,這些數(shù)據(jù)流量具有較大的不確定性,難以在較短的時(shí)間內(nèi)建立數(shù)據(jù)網(wǎng)絡(luò)流量規(guī)律,但是通過一定時(shí)間的信息積累,仍可建立此信息的數(shù)據(jù)網(wǎng)絡(luò)流量規(guī)律。通過兩種方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)視①數(shù)據(jù)幀的監(jiān)測(cè)假設(shè)網(wǎng)絡(luò)監(jiān)視模塊結(jié)果統(tǒng)計(jì)得出網(wǎng)絡(luò)數(shù)據(jù)幀的平均數(shù)據(jù)傳輸頻率為f,監(jiān)視模塊設(shè)定一個(gè)計(jì)數(shù)器,每捕獲一個(gè)數(shù)據(jù)幀則計(jì)數(shù)器自動(dòng)加1,經(jīng)時(shí)間T后自動(dòng)為0,并重新開始計(jì)數(shù)。其中,N丄則在時(shí)間段t內(nèi),第N-l個(gè)數(shù)據(jù)幀和第N個(gè)數(shù)據(jù)幀對(duì)應(yīng)的計(jì)數(shù)值分別為采樣計(jì)數(shù)值ml、m2;則通過以下判據(jù)來判斷網(wǎng)絡(luò)數(shù)據(jù)幀是否丟失。若ml+l#m2則數(shù)據(jù)幀傳輸不正常。若網(wǎng)絡(luò)幀符合上述任何一個(gè)條件,則說明數(shù)據(jù)幀丟失,需發(fā)出報(bào)警信息。②網(wǎng)絡(luò)流量監(jiān)視設(shè)定統(tǒng)計(jì)流量的單位時(shí)間值為、,n次隨機(jī)抽樣網(wǎng)絡(luò)傳輸正常情況下的賴值在時(shí)間、內(nèi)的交換機(jī)流量分別為巳、F2、F3……Fn,并求取均值為F,其表達(dá)式如下F-丄t《若在^時(shí)間內(nèi)統(tǒng)計(jì)交換機(jī)實(shí)際輸出流量為Fa;出現(xiàn)流量不穩(wěn)定的時(shí)間ty。進(jìn)一步設(shè)定流量閾值A(chǔ)F,以及流量不穩(wěn)定時(shí)間閾值A(chǔ)t。若,-fJ>afty>At則網(wǎng)絡(luò)流量異常報(bào)警。當(dāng)網(wǎng)絡(luò)經(jīng)上述判據(jù)診斷后,確認(rèn)為網(wǎng)絡(luò)異常后,將主動(dòng)發(fā)出告警信息,對(duì)具有管理功能的交換機(jī)發(fā)出指令,關(guān)斷與其通信的端口,實(shí)現(xiàn)安全隔離。最后需要說明的是,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制技術(shù)方案,盡管申請(qǐng)人參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,那些對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本技術(shù)方案的宗旨和范圍,均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。1權(quán)利要求電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控方法,其特征在于,它是在現(xiàn)有電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上,利用Snort檢測(cè)引擎實(shí)現(xiàn)對(duì)電站自動(dòng)化數(shù)據(jù)網(wǎng)絡(luò)的監(jiān)視,引擎嵌入的規(guī)約包括CDT、IEC-60870-101以及IEC-61850在內(nèi)的通信規(guī)約,利用所述規(guī)約自身的幀格式建立引擎匹配條件;其實(shí)現(xiàn)步驟包括a)對(duì)電站數(shù)據(jù)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀內(nèi)容進(jìn)行監(jiān)控以電站數(shù)據(jù)傳輸?shù)囊?guī)約格式為基準(zhǔn),滿足規(guī)約格式的信息允許其繼續(xù)流通,不滿足規(guī)約格式的信息則進(jìn)行隔離;b)對(duì)電站數(shù)據(jù)采集網(wǎng)絡(luò)的實(shí)時(shí)流量進(jìn)行監(jiān)測(cè)若發(fā)現(xiàn)網(wǎng)絡(luò)流量異常,電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控裝置將給出告警信息;當(dāng)網(wǎng)絡(luò)經(jīng)上述判據(jù)診斷后,確認(rèn)為網(wǎng)絡(luò)異常后,將主動(dòng)發(fā)出告警信息,對(duì)具有管理功能的交換機(jī)發(fā)出指令,關(guān)斷與其通信的端口,實(shí)現(xiàn)安全隔離。2.根據(jù)權(quán)利要求1所述的電站自動(dòng)化數(shù)據(jù)網(wǎng)絡(luò)安全的監(jiān)控方法,其特征在于,所述步驟a)中,對(duì)電站數(shù)據(jù)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀內(nèi)容進(jìn)行監(jiān)控的方法,具體為由網(wǎng)絡(luò)監(jiān)視模塊結(jié)果統(tǒng)計(jì)得出網(wǎng)絡(luò)數(shù)據(jù)幀的平均數(shù)據(jù)傳輸頻率為f,監(jiān)視模塊設(shè)定一個(gè)計(jì)數(shù)器,每捕獲一個(gè)數(shù)據(jù)幀則計(jì)數(shù)器自動(dòng)加l,經(jīng)時(shí)間T后自動(dòng)為O,并重新開始計(jì)數(shù)。其中,<formula>formulaseeoriginaldocumentpage2</formula>則在時(shí)間段t內(nèi),第N-l個(gè)數(shù)據(jù)幀和第N個(gè)數(shù)據(jù)幀對(duì)應(yīng)的計(jì)數(shù)值分別為采樣計(jì)數(shù)值ml、m2;則通過以下判據(jù)來判斷網(wǎng)絡(luò)數(shù)據(jù)幀是否丟失;若ml+1#m2則數(shù)據(jù)幀傳輸不正常;若網(wǎng)絡(luò)幀符合上述任何一個(gè)條件,則說明數(shù)據(jù)幀丟失,發(fā)出報(bào)警信息。3.根據(jù)權(quán)利要求1所述的電站自動(dòng)化數(shù)據(jù)網(wǎng)絡(luò)安全的監(jiān)控方法,其特征在于,所述步驟b)中,對(duì)電站數(shù)據(jù)采集網(wǎng)絡(luò)的實(shí)時(shí)流量進(jìn)行監(jiān)測(cè)的方法,具體為設(shè)定統(tǒng)計(jì)流量的單位時(shí)間值為n次隨機(jī)抽樣網(wǎng)絡(luò)傳輸正常情況下的流量測(cè)量值在時(shí)間^內(nèi)的交換機(jī)流量分別為……Fn,并求取均值為F,其表達(dá)式如下若在^時(shí)間內(nèi)統(tǒng)計(jì)交換機(jī)實(shí)際輸出流量為Fa;出現(xiàn)流量不穩(wěn)定的時(shí)間ty;進(jìn)一步設(shè)定流量閾值A(chǔ)F,以及流量不穩(wěn)定時(shí)間閾值A(chǔ)t;若<formula>formulaseeoriginaldocumentpage2</formula>則網(wǎng)絡(luò)流量異常報(bào)警。全文摘要本發(fā)明提供一種電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控方法,它是在現(xiàn)有電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上,利用Snort檢測(cè)引擎實(shí)現(xiàn)對(duì)電站自動(dòng)化數(shù)據(jù)網(wǎng)絡(luò)的監(jiān)視,引擎嵌入的規(guī)約包括CDT、IEC-60870-101以及IEC-61850在內(nèi)的通信規(guī)約,利用所述規(guī)約自身的幀格式建立引擎匹配條件;通過以下兩種方式來實(shí)現(xiàn)網(wǎng)絡(luò)安全的監(jiān)控。a.對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀內(nèi)容進(jìn)行監(jiān)控,以電站數(shù)據(jù)傳輸?shù)囊?guī)約格式為基準(zhǔn),滿足規(guī)約格式的信息允許其繼續(xù)流通,不滿足規(guī)約格式的信息則進(jìn)行隔離;b.對(duì)電站數(shù)據(jù)采集網(wǎng)絡(luò)的實(shí)時(shí)流量進(jìn)行監(jiān)測(cè),若發(fā)現(xiàn)網(wǎng)絡(luò)流量異常,則說明網(wǎng)絡(luò)上有異常數(shù)據(jù)傳遞,電站自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)控裝置將給出告警信息。本發(fā)明解決了電站內(nèi)數(shù)據(jù)通信的信息安全與可靠性等瓶頸問題。文檔編號(hào)H02J13/00GK101728869SQ200910191450公開日2010年6月9日申請(qǐng)日期2009年11月10日優(yōu)先權(quán)日2009年11月10日發(fā)明者李小秋,熊小伏,陳星田申請(qǐng)人:重慶大學(xué);深圳市康必達(dá)控制技術(shù)有限公司