本發(fā)明涉及一種在數(shù)字化變電站間隔層下，對其SMV報文的網(wǎng)絡(luò)攻擊分級檢測的方法，屬于電力系統(tǒng)信息安全領(lǐng)域。

背景技術(shù)：

SMV(Sampled Measured Values)原始采樣報文，是電力系統(tǒng)一次側(cè)設(shè)備運行的真實反映；變電站對SMV傳輸實時性要求很高(不得超過4ms)，目前MU(Merging Unit)往往對SMV不加任何信息安全防護措施，因此存在虛假數(shù)據(jù)注入攻擊很大可能性；保護類SMV報文受到惡意篡改及重放，可能引起繼電保護系統(tǒng)誤動、拒動，導(dǎo)致重大安全事故；測控類SMV報文，是調(diào)控中心數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA/EMS狀態(tài)估計的主要依據(jù)，其受到惡意篡改及重放，可能導(dǎo)致SCADA/EMS做出錯誤甚至危險決策。

信息安全入侵檢測取證技術(shù)是指通過對比各個預(yù)定義的性能指標來對動態(tài)系統(tǒng)判斷、決策的一種理論與技術(shù)，被視為提高信息安全防御的前提，在各個領(lǐng)域都引起高度的重視。當系統(tǒng)受到未知類型的攻擊時，入侵檢測系統(tǒng)要盡量準確的定位攻擊位置，攻擊類型，并且能避免在清除軟件銷毀攻擊痕跡之前，存取受攻擊的證據(jù)，以幫助電網(wǎng)信息安全技術(shù)人員分析攻擊特點，盡早制定相應(yīng)的防御策略，避免其他區(qū)域電網(wǎng)遭受類似攻擊。

近幾年，國內(nèi)外專家學者在電力系統(tǒng)信息安全領(lǐng)域都做出了大量的貢獻。比較具有代表性的如：1)美國愛達荷州國家實驗室(Idaho Nation Laboratory)采用實際的智能電網(wǎng)發(fā)電、輸電裝置/系統(tǒng)和標準的工業(yè)軟件構(gòu)建了SCADA信息安全測試系統(tǒng)/平臺NSTB(NationalSCADA TestBed)。2)美國亞利桑那大學(University of Arizona)利用OPNET網(wǎng)絡(luò)仿真軟件、Power World電力系統(tǒng)仿真軟件構(gòu)建了用于異常檢測(如入侵檢測)研究的SCADA控制系統(tǒng)信息安全分析測試平臺/系統(tǒng)(testbed for analyzing security of SCADA control system,TASSCS)。3)歐洲CRUTIAL項目開發(fā)了兩個不同的智能電網(wǎng)信息安全測試平臺/系統(tǒng),用于研究各種網(wǎng)絡(luò)攻擊所造成的影響。

近幾年國內(nèi)在建立電力與信息聯(lián)合仿真平臺方面也做了大量工作，如2003年HopkinsonK.M.博士、J.S.Thorp教授和王曉茹博士聯(lián)合研發(fā)了電力和通信同步仿真平臺(EPOCHS)，以電力系統(tǒng)分析及仿真軟件PSCAD、PSS/E、PSLF等作為電力系統(tǒng)仿真工具，采用通信網(wǎng)絡(luò)仿真軟件NS2作為通信系統(tǒng)仿真工具，試圖模擬網(wǎng)絡(luò)攻擊的過程。同時近幾年中國南瑞集團公司、華中科技大學、東南大學等單位開展了一些聯(lián)合仿真平臺的初步研究，搭建電力系統(tǒng)仿真軟件和網(wǎng)絡(luò)仿真技術(shù)軟件包(OPNET)聯(lián)合仿真平臺，以試圖探索網(wǎng)絡(luò)攻擊的特征。

有鑒于此，本發(fā)明人對此進行研究，專門開發(fā)出一種適用于數(shù)字化變電站間隔層SMV網(wǎng)絡(luò)攻擊分級檢測方法，本案由此產(chǎn)生。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是提供一種適用于數(shù)字化變電站間隔層SMV網(wǎng)絡(luò)攻擊分級檢測方法。

為了實現(xiàn)上述目的，本發(fā)明的解決方案是：

一種適用于數(shù)字化變電站間隔層SMV網(wǎng)絡(luò)攻擊分級檢測方法，包括如下步驟：

步驟1.包解密：對MU經(jīng)過數(shù)字簽名的SMV包進行數(shù)字簽名驗證，根據(jù)加密解密規(guī)則進行數(shù)據(jù)包處理；

步驟2.包過濾：根據(jù)SMV數(shù)據(jù)包MVC起始地址的不同，過濾出SMV數(shù)據(jù)包；

步驟3.包解析：剝離掉SMV數(shù)據(jù)包外層的MAC地址協(xié)議，提取出包中的數(shù)據(jù)，并把MAC地址和包數(shù)據(jù)發(fā)送到包異常檢測模塊；

步驟4.MAC地址異常檢測：所有到達入侵檢測模塊的MAC地址都要嚴格遵守預(yù)定義的地址接收表，一旦出現(xiàn)與地址庫中不匹配的MAC地址，則檢測指示器γ^MAC設(shè)置為true，立刻告警并丟棄數(shù)據(jù)；

步驟5.基于規(guī)范的入侵檢測：包括主要針對引發(fā)跳閘數(shù)據(jù)、不良數(shù)據(jù)、違反邏輯、超流量閥值告警等；

步驟6.基于歷史事件的數(shù)據(jù)檢測：檢測目前的采樣數(shù)據(jù)是否符合歷史事件的觸發(fā)條件，如過流、過壓、短路故障等歷史事件，若符合，則設(shè)置一次故障γ^lsft指示為true；然后檢查采樣數(shù)據(jù)是否符合某一次歷史網(wǎng)絡(luò)攻擊數(shù)據(jù)模型，若符合，則設(shè)置歷史入侵γ^lsit指示為true等。

步驟7.最后的檢測結(jié)果分類寫入正常事件日志、告警日志，對異常進行取證后保存；根據(jù)入侵數(shù)據(jù)進行異常評估指標ν_n計算；告警及入侵數(shù)據(jù)、異常評估指標ν_n將上送主站；或者進行就地告警顯示。

本發(fā)明所述的適用于數(shù)字化變電站間隔層SMV網(wǎng)絡(luò)攻擊分級檢測方法，設(shè)有MAC地址異常、SMV不良數(shù)據(jù)、數(shù)據(jù)包邏輯檢測、數(shù)據(jù)流量閥值異常、一次故障相似、網(wǎng)絡(luò)攻擊相似、上送SMV偽造、上送SMV篡改等多種異常狀態(tài)指示器，可方便快速定位攻擊形式以及可能的攻擊位置，以便快速告知調(diào)度側(cè)運行監(jiān)控人員。

以下結(jié)合附圖及具體實施例對本發(fā)明做進一步詳細描述。

附圖說明

圖1為本實施例的基于規(guī)范的SMV數(shù)據(jù)檢測模塊框圖；

圖2為本實施例的SMV報文完整性和數(shù)字簽名認證過程流程圖。

具體實施方式

如圖1所示，一種適用于數(shù)字化變電站間隔層SMV網(wǎng)絡(luò)攻擊分級檢測方法，包括如下步驟：

步驟1.包解密：對MU經(jīng)過數(shù)字簽名的SMV包進行數(shù)字簽名驗證，根據(jù)加密解密規(guī)則進行數(shù)據(jù)包處理；

步驟2.包過濾：由于GOOSE/SMV對實時性要求很高，GOOSE/SMV報文傳輸由應(yīng)用層直接到數(shù)據(jù)鏈層，未使用UDP/TCP/IP協(xié)議，因此需要根據(jù)SMV數(shù)據(jù)包MVC起始地址的不同，過濾出SMV數(shù)據(jù)包；

步驟3.包解析：剝離掉SMV數(shù)據(jù)包外層的MAC地址協(xié)議，提取出包中的數(shù)據(jù)，并把MAC地址和包數(shù)據(jù)發(fā)送到包異常檢測模塊。

步驟4.MAC地址異常檢測：所有到達入侵檢測模塊的MAC地址都要嚴格遵守預(yù)定義的地址接收表，一旦出現(xiàn)與地址庫中不匹配的MAC地址，則檢測指示器γ^MAC設(shè)置為true，立刻告警并丟棄數(shù)據(jù)；

步驟5.基于規(guī)范的入侵檢測：包括主要針對引發(fā)跳閘數(shù)據(jù)、不良數(shù)據(jù)、違反邏輯、超流量閥值告警等；

步驟6.基于歷史事件的數(shù)據(jù)檢測：檢測目前的采樣數(shù)據(jù)是否符合歷史事件的觸發(fā)條件，如過流、過壓、短路故障等歷史事件，若符合，則設(shè)置一次故障γ^lsft指示為true；然后檢查采樣數(shù)據(jù)是否符合某一次歷史網(wǎng)絡(luò)攻擊數(shù)據(jù)模型，若符合，則設(shè)置歷史入侵γ^lsit指示為true等。

步驟7.最后的檢測結(jié)果分類寫入正常事件日志、告警日志，對異常進行取證后保存；根據(jù)入侵數(shù)據(jù)進行異常評估指標ν_n計算；告警及入侵數(shù)據(jù)、異常評估指標ν_n將上送主站；或者進行就地告警顯示。

本實施例所述的數(shù)字簽名，不僅可保證信息傳輸?shù)耐暾?、鑒別認證發(fā)送者的身份及防止信息交換中出現(xiàn)抵賴行為，同時又能兼顧實時性及安全性，因而被認為是變電站站內(nèi)通信的有效安全措施。由于整個SMV報文中最核心也是外界最想截獲的信息是每個應(yīng)用服務(wù)數(shù)據(jù)單元(ASDU)后半部分的DataSet域中的每個電氣量前4B的數(shù)據(jù)，只要保證這部分信息的機密性，則SMV報文實質(zhì)信息將不會泄露。因此為了減少加密運算耗時，只針對采用報文的關(guān)鍵內(nèi)容進行數(shù)字簽名，這樣提高報文傳輸?shù)膶崟r性。本實施例采用SM2體系進行數(shù)字簽名認證，為減少耗時，采用基于華大信安SSM0901加密芯片進行硬件加密。通過定量的加密耗時計算以及OPNET軟件的傳輸延時仿真結(jié)果，最終證實結(jié)果滿足了IEC62351通信體系標準中的對SMV報文傳輸延時小于4ms的要求。

SMV閥值異常檢測算法：本實施例把SCADA/EMS中量測值狀態(tài)估計算法引入到本地SVDE中，進行本地二次狀態(tài)估計，符合信息的可驗證性特點。

以直流潮流為基礎(chǔ)的狀態(tài)估計模型來檢測不良數(shù)據(jù)檢測算法如下：

z＝Hx+e (1)

式中，量測矩陣H^m×n是一個常數(shù)雅克比矩陣，通常情況下傳感器量測值數(shù)目要大于狀態(tài)變量數(shù)目，即m＞n。x為待估計的狀態(tài)量，e為測量誤差。

狀態(tài)估計問題以冗余測量值為基礎(chǔ)，本文采用加權(quán)最小二乘法求解目標函數(shù)J(x)的最小值來獲得狀態(tài)估計結(jié)果，其表達式如下：

J(x)＝(z-Hx)^TW(z-Hx) (2)

式中w為與系統(tǒng)誤差相關(guān)的對角矩陣，最小二乘法求解的最小值得：

當(C為閥值)成立時，表明量測向量中含有不良數(shù)據(jù)，將量測向量中估計誤差最大的變量濾除，不良數(shù)據(jù)檢測狀態(tài)指示器γ^bl設(shè)為true，重新進行狀態(tài)估計，直到通過不良數(shù)據(jù)檢測為止。

SMV流量閥值異常檢測算法：SMV數(shù)據(jù)包閥值取決于采樣速率。在包過濾模塊，SMV數(shù)據(jù)包的MVC地址可以從01-0C-CD-04-00-00開始的，因此可以檢查其MVC地址來撲獲SMV數(shù)據(jù)包，記錄每秒數(shù)據(jù)包的數(shù)量和其他詳細的信息。在入侵檢測模塊，如果在1s內(nèi)撲獲的數(shù)據(jù)包數(shù)量大于預(yù)定義的數(shù)據(jù)包閥值那么此異常將被寫入異常日志并產(chǎn)生告警，作為SMV包可能遭受DoS攻擊的判定依據(jù)。SMV數(shù)據(jù)包閥值異常檢測指示器γ^fz設(shè)置為true。SMV數(shù)據(jù)包閥值計算公式如下：

其中m是1s內(nèi)合并單元的數(shù)量，是采樣幅值分辨率，f_i是第i個數(shù)據(jù)包的頻率，μ_sv是閥值計算誤差系數(shù)。

入侵檢測庫設(shè)計如下：

1)引發(fā)跳閘數(shù)據(jù)檢測：主要檢測包數(shù)據(jù)中是否含有引起繼電保護跳閘的過壓、過流等告警值。若檢測到此類數(shù)據(jù)，則記入告警日志，上送變電站綜自系統(tǒng)，以及調(diào)控主站。

2)SMV數(shù)據(jù)上送主站被篡改或偽造檢測：加密方式只是降低了SMV數(shù)據(jù)從MU到繼電保護裝置被篡改可能性，但是SMV通過遠動裝置到達主站有比較長的傳輸路徑，報文被篡改的可能性很大，同時也可能存在SMV數(shù)據(jù)偽造的可能；通過上發(fā)本地狀態(tài)估計值，同時接受主站發(fā)回的狀態(tài)估計值，并進行對比：①如果不配對，則表明測量原始SMV在廣域網(wǎng)傳輸過程中存在數(shù)據(jù)偽造，則置上送SMV偽造指示γ^SVfk為true；②兩值相差很大，則表明測量原始SMV在廣域網(wǎng)傳輸過程中存在數(shù)據(jù)篡改可能，則置上送SMV篡改指示γ^SVtp為true。

3)預(yù)定義邏輯檢測：數(shù)據(jù)包的發(fā)送和接收順序是符合一定的邏輯規(guī)范(比如數(shù)據(jù)包的序列號大小)的，對于不符合邏輯的數(shù)據(jù)包一旦檢測到，就將之丟棄，并設(shè)置邏輯檢測指示γ^lj為true，進行告警。

4)數(shù)據(jù)流量閥值異常：數(shù)據(jù)經(jīng)過解析模塊進入入侵檢測模塊的速率是有一個預(yù)定義閥值；對于那些一直超過閥值的包，就有理由懷疑此MAC地址遭受到了DoS攻擊或者網(wǎng)絡(luò)風暴攻擊。

本實施例在入侵檢測庫設(shè)置了：①數(shù)字簽名驗證未通過γ^gj；②不良數(shù)據(jù)γ^bl；③邏輯檢測未通過γ^lj；④閥值異常γ^fz；⑤歷史一次故障相似γ^lsft；⑥歷史網(wǎng)絡(luò)攻擊相似γ^lsit；⑦上送SMV偽造γ^SVfk；⑧上送SMV篡改γ^SVtp；⑨MAC地址異常γ^MAC等9種異常指示器，并對其進行累計計數(shù)，用于過程層網(wǎng)絡(luò)攻擊的檢測狀態(tài)在線監(jiān)控和歷史統(tǒng)計。

在線異常評估指標ν_n可以定義如下：

ν_n＝γ^gl∩γ^bl∩γ^lj∩γ^fz∩γ^lsft∩γ^lsit∩γ^MVfk∩γ^MVtp∩γ^MAC (5)

如果有某一項檢測結(jié)果異常，狀態(tài)指示器值為true，異常評估指標ν_n值為1，表示入侵檢測模塊存在異常入侵事件，智能裝置SVDE向站控主站、調(diào)控主站及自身外接LED顯示屏幕產(chǎn)生告警提示。如果異常評估指標ν_n值為0，則表示原始報文無異常入侵。

本實施例所述的適用于數(shù)字化變電站間隔層SMV網(wǎng)絡(luò)攻擊分級檢測方法，設(shè)有MAC地址異常、SMV不良數(shù)據(jù)、數(shù)據(jù)包邏輯檢測、數(shù)據(jù)流量閥值異常、一次故障相似、網(wǎng)絡(luò)攻擊相似、上送SMV偽造、上送SMV篡改等多種異常狀態(tài)指示器，可方便快速定位攻擊形式以及可能的攻擊位置，以便快速告知調(diào)度側(cè)運行監(jiān)控人員。

上述實施例和圖式并非限定本發(fā)明的產(chǎn)品形態(tài)和式樣，任何所屬技術(shù)領(lǐng)域的普通技術(shù)人員對其所做的適當變化或修飾，皆應(yīng)視為不脫離本發(fā)明的專利范疇。