智能變電站網(wǎng)絡(luò)異常報(bào)文檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種智能變電站網(wǎng)絡(luò)異常報(bào)文檢測(cè)方法���,屬于電網(wǎng)信息安全檢測(cè)與防御技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002]隨著國內(nèi)新一代智能電網(wǎng)的發(fā)展���,智能變電站的推廣建設(shè),并逐步取代原有的常規(guī)變電站����。智能變電站利用網(wǎng)絡(luò)通信技術(shù)代替原有的點(diǎn)對(duì)點(diǎn)傳輸技術(shù),簡化了變電站的網(wǎng)絡(luò)配置�,提高了站內(nèi)設(shè)備的互操作性。但是網(wǎng)絡(luò)也為各種病毒木馬程序的傳播提供了便利���,為惡意程序?qū)ζ渌O(shè)備發(fā)動(dòng)攻擊提供了途徑���。因此需要對(duì)變電站網(wǎng)絡(luò)報(bào)文進(jìn)行檢測(cè),發(fā)現(xiàn)其中的異常行為并告警�。通常認(rèn)為變電站這邊封閉的工業(yè)控制系統(tǒng)不存在來自外部的威脅,因此目前缺乏針對(duì)變電站的異常檢測(cè)與主動(dòng)防御技術(shù)��。
[0003]由于各種異常行為(惡意攻擊��、病毒程序、非法訪問等)的傳播與破壞都需要利用網(wǎng)絡(luò)來完成��,所以對(duì)網(wǎng)絡(luò)報(bào)文深度分析是目前對(duì)網(wǎng)絡(luò)異常行為進(jìn)行監(jiān)測(cè)的主要手段之一�。變電站正式建成投運(yùn)之后,內(nèi)部的設(shè)備都是固定的且設(shè)備間的通信協(xié)議的類型也是固定的若干種��。任何其余協(xié)議的報(bào)文都可以視為異常報(bào)文��,存在產(chǎn)生信息安全問題的可能性�,需要給出告警輸出,以便引起變電站專業(yè)人員的關(guān)注�����,進(jìn)行問題的排查�。因此在對(duì)變電站固有協(xié)議制定規(guī)則的基礎(chǔ)上,通過對(duì)變電站報(bào)文與已有規(guī)則的關(guān)聯(lián)分析�,可實(shí)現(xiàn)對(duì)變電站網(wǎng)絡(luò)環(huán)境的異常檢測(cè)。
【發(fā)明內(nèi)容】
[0004]目的:為了克服現(xiàn)有技術(shù)中存在的不足��,解決現(xiàn)有智能變電站網(wǎng)絡(luò)安全監(jiān)控和異常行為檢測(cè)的不足等問題�,本發(fā)明提供一種智能變電站網(wǎng)絡(luò)異常報(bào)文檢測(cè)方法,解決現(xiàn)有技術(shù)中因沒有對(duì)變電站報(bào)文進(jìn)行實(shí)時(shí)分析�,進(jìn)而無法開展變電站網(wǎng)絡(luò)環(huán)境異常檢測(cè)的技術(shù)冋題。
[0005]技術(shù)方案:為解決上述技術(shù)問題�,本發(fā)明采用的技術(shù)方案為:
一種智能變電站網(wǎng)絡(luò)異常報(bào)文檢測(cè)方法��,包括如下步驟:
步驟一:通過對(duì)變電站中工業(yè)控制協(xié)議以及設(shè)備特有協(xié)議的分析��,為每種協(xié)議分別制定報(bào)文規(guī)則����;
步驟二:配置變電站交換機(jī)鏡像端口�����,從交換機(jī)鏡像端口接入變電站網(wǎng)絡(luò)�����;
步驟三:從交換機(jī)鏡像端口捕獲變電站實(shí)時(shí)報(bào)文信息�,解析捕獲的報(bào)文�����,過濾掉空?qǐng)?bào)文����,提取得到報(bào)文的頭信息和內(nèi)容;
步驟四:將分析之后報(bào)文信息與報(bào)文規(guī)則進(jìn)行匹配�����,檢測(cè)并存儲(chǔ)異常報(bào)文信息,并利用WEB端技術(shù)輸出告警信息:檢測(cè)得到的異常報(bào)文和報(bào)文的詳細(xì)信息�。
[0006]步驟一中所述制定報(bào)文規(guī)則包括如下步驟:
步驟Ia:獲取變電站正常運(yùn)行時(shí)接入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備;
步驟Ib:獲取每個(gè)網(wǎng)絡(luò)設(shè)備通信使用的網(wǎng)絡(luò)協(xié)議��,相同的協(xié)議只需獲取一次�; 步驟Ic:參考各自協(xié)議的制定標(biāo)準(zhǔn),根據(jù)協(xié)議的端口�����、地址�����、長度�����、內(nèi)容特征���,為每個(gè)協(xié)議制定一種或多種報(bào)文規(guī)則�;
步驟Id:增加常見協(xié)議的報(bào)文規(guī)則�,增加的協(xié)議是設(shè)備間進(jìn)行路由發(fā)現(xiàn)時(shí)所需的通用網(wǎng)絡(luò)協(xié)議�����。
[0007]步驟二中配置變電站交換機(jī)鏡像端口����,從交換機(jī)鏡像端口接入變電站網(wǎng)絡(luò)�,要求保證從鏡像端口能夠?qū)崟r(shí)捕獲到所有經(jīng)過交換機(jī)報(bào)文的副本,并且報(bào)文內(nèi)容具有完整性�。
[0008]步驟三中解析捕獲實(shí)時(shí)報(bào)文信息具體包括如下步驟:
步驟3a:從交換機(jī)鏡像端口獲取報(bào)文;
步驟3b:過濾掉無內(nèi)容的TCP協(xié)議的控制報(bào)文�,包括:ACK確認(rèn)報(bào)文、FIN結(jié)束報(bào)文����、RES復(fù)位報(bào)文���、SYN同步報(bào)文�����;
步驟3c:從報(bào)文中提取以下信息:源IP地址����、目的IP地址、源端口號(hào)�、目的端口號(hào)、源Mac地址�、目的Mac地址、長度���、內(nèi)容���;對(duì)于一些Mac層協(xié)議的報(bào)文,前4個(gè)字段為空���。
[0009]步驟四中異常報(bào)文的檢測(cè)包括如下步驟:
步驟4a:對(duì)于任意一個(gè)報(bào)文�,如果此報(bào)文不與任何一個(gè)規(guī)則匹配���,那么此報(bào)文被標(biāo)記為異常報(bào)文����,否則此報(bào)文是正常的報(bào)文����;
步驟4b:將異常報(bào)文信息保存到數(shù)據(jù)庫中;
步驟4c:利用WEB技術(shù),讀取數(shù)據(jù)庫中的異常報(bào)文信息�,在客戶端告警輸出。
[0010]有益效果:本發(fā)明提供的智能變電站網(wǎng)絡(luò)異常報(bào)文檢測(cè)方法�����,與現(xiàn)有技術(shù)相比����,本發(fā)明所達(dá)到的有益效果是:利用了變電站網(wǎng)絡(luò)封閉性與協(xié)議固定性的特點(diǎn),通過制定變電站報(bào)文規(guī)則��、提取實(shí)時(shí)報(bào)文信息��、解析報(bào)文內(nèi)容�、規(guī)則匹配這一系列流程,給出了較為可靠��、準(zhǔn)確的變電站異常報(bào)文識(shí)別方法�,并最終實(shí)現(xiàn)變電站網(wǎng)絡(luò)異常信息實(shí)時(shí)告警輸出����,輔助專業(yè)人員開展智能變電站信息安全的分析工作。解決現(xiàn)有技術(shù)中因缺乏對(duì)智能變電站異常報(bào)文識(shí)別導(dǎo)致無法發(fā)現(xiàn)變電站中的潛在風(fēng)險(xiǎn)�,進(jìn)而無法判斷智能變電站安全風(fēng)險(xiǎn)的技術(shù)問題。
【附圖說明】
[0011]圖1是本發(fā)明的總體流程����;
圖2是規(guī)則制定流程����;
圖3是規(guī)則匹配流程���。
【具體實(shí)施方式】
[0012]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步描述����。以下實(shí)施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案�����,而不能以此來限制本發(fā)明的保護(hù)范圍���。
[0013]如圖1所示����,一種智能變電站異常報(bào)文檢測(cè)方法����,具體包括如下步驟:
步驟一:在某個(gè)變電站中,獲得變電站中所有存在的網(wǎng)絡(luò)協(xié)議并為每個(gè)協(xié)議制定規(guī)則。如圖2所示���,是規(guī)則制定流程圖�,具體的規(guī)則制定步驟如下:
步驟Ia:初始化空的規(guī)則集合���,并獲取變電站所有網(wǎng)絡(luò)的設(shè)備(直接或間接與交換機(jī)相連的設(shè)備)�����。
[0014]步驟Ib:遍歷所有設(shè)備��,對(duì)于每個(gè)設(shè)備獲取該設(shè)備的所有網(wǎng)絡(luò)協(xié)議�。
[0015]步驟Ic:遍歷該設(shè)備的所有網(wǎng)絡(luò)協(xié)議�����,對(duì)于任意一個(gè)協(xié)議���,如果規(guī)則集合中不存在該協(xié)議的規(guī)則����,則在規(guī)則集合中增加該協(xié)議的規(guī)則��。某個(gè)協(xié)議根據(jù)不同類型的報(bào)文可以的產(chǎn)生多個(gè)規(guī)則(如為請(qǐng)求報(bào)文和響應(yīng)報(bào)文制定不同的規(guī)則)����。每條規(guī)則包含以下4個(gè)方面的特征:端口、地址�、報(bào)文長度、報(bào)文內(nèi)容���。如果協(xié)議的某個(gè)方面無法提取特征����,則該方面的特征為null�,如Mac層協(xié)議的報(bào)文不具備端口號(hào),則端口的特征為null��。其中���,端口是指報(bào)文具有特定源或目的端口 ��;地址是指廣播類協(xié)議的報(bào)文目的地址在特定的范圍內(nèi)�����;報(bào)文長度是指報(bào)文內(nèi)容具有固定長度或長度在某個(gè)范圍內(nèi)���;報(bào)文內(nèi)容是指報(bào)文內(nèi)容中某些字段的取值是固定的���,這