智能變電站網(wǎng)絡(luò)異常報文檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種智能變電站網(wǎng)絡(luò)異常報文檢測方法�����,屬于電網(wǎng)信息安全檢測與防御技術(shù)領(lǐng)域���。
【背景技術(shù)】
[0002]隨著國內(nèi)新一代智能電網(wǎng)的發(fā)展�,智能變電站的推廣建設(shè),并逐步取代原有的常規(guī)變電站����。智能變電站利用網(wǎng)絡(luò)通信技術(shù)代替原有的點對點傳輸技術(shù),簡化了變電站的網(wǎng)絡(luò)配置�,提高了站內(nèi)設(shè)備的互操作性。但是網(wǎng)絡(luò)也為各種病毒木馬程序的傳播提供了便利��,為惡意程序?qū)ζ渌O(shè)備發(fā)動攻擊提供了途徑�。因此需要對變電站網(wǎng)絡(luò)報文進(jìn)行檢測,發(fā)現(xiàn)其中的異常行為并告警�����。通常認(rèn)為變電站這邊封閉的工業(yè)控制系統(tǒng)不存在來自外部的威脅��,因此目前缺乏針對變電站的異常檢測與主動防御技術(shù)�����。
[0003]由于各種異常行為(惡意攻擊���、病毒程序、非法訪問等)的傳播與破壞都需要利用網(wǎng)絡(luò)來完成�,所以對網(wǎng)絡(luò)報文深度分析是目前對網(wǎng)絡(luò)異常行為進(jìn)行監(jiān)測的主要手段之一。變電站正式建成投運之后�����,內(nèi)部的設(shè)備都是固定的且設(shè)備間的通信協(xié)議的類型也是固定的若干種。任何其余協(xié)議的報文都可以視為異常報文���,存在產(chǎn)生信息安全問題的可能性����,需要給出告警輸出����,以便引起變電站專業(yè)人員的關(guān)注,進(jìn)行問題的排查��。因此在對變電站固有協(xié)議制定規(guī)則的基礎(chǔ)上���,通過對變電站報文與已有規(guī)則的關(guān)聯(lián)分析�����,可實現(xiàn)對變電站網(wǎng)絡(luò)環(huán)境的異常檢測��。
【發(fā)明內(nèi)容】
[0004]目的:為了克服現(xiàn)有技術(shù)中存在的不足�,解決現(xiàn)有智能變電站網(wǎng)絡(luò)安全監(jiān)控和異常行為檢測的不足等問題,本發(fā)明提供一種智能變電站網(wǎng)絡(luò)異常報文檢測方法����,解決現(xiàn)有技術(shù)中因沒有對變電站報文進(jìn)行實時分析,進(jìn)而無法開展變電站網(wǎng)絡(luò)環(huán)境異常檢測的技術(shù)冋題���。
[0005]技術(shù)方案:為解決上述技術(shù)問題��,本發(fā)明采用的技術(shù)方案為:
一種智能變電站網(wǎng)絡(luò)異常報文檢測方法��,包括如下步驟:
步驟一:通過對變電站中工業(yè)控制協(xié)議以及設(shè)備特有協(xié)議的分析��,為每種協(xié)議分別制定報文規(guī)則���;
步驟二:配置變電站交換機鏡像端口,從交換機鏡像端口接入變電站網(wǎng)絡(luò)��;
步驟三:從交換機鏡像端口捕獲變電站實時報文信息�����,解析捕獲的報文���,過濾掉空報文,提取得到報文的頭信息和內(nèi)容;
步驟四:將分析之后報文信息與報文規(guī)則進(jìn)行匹配��,檢測并存儲異常報文信息����,并利用WEB端技術(shù)輸出告警信息:檢測得到的異常報文和報文的詳細(xì)信息。
[0006]步驟一中所述制定報文規(guī)則包括如下步驟:
步驟Ia:獲取變電站正常運行時接入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備���;
步驟Ib:獲取每個網(wǎng)絡(luò)設(shè)備通信使用的網(wǎng)絡(luò)協(xié)議�,相同的協(xié)議只需獲取一次��; 步驟Ic:參考各自協(xié)議的制定標(biāo)準(zhǔn)�,根據(jù)協(xié)議的端口、地址�����、長度���、內(nèi)容特征�,為每個協(xié)議制定一種或多種報文規(guī)則����;
步驟Id:增加常見協(xié)議的報文規(guī)則����,增加的協(xié)議是設(shè)備間進(jìn)行路由發(fā)現(xiàn)時所需的通用網(wǎng)絡(luò)協(xié)議����。
[0007]步驟二中配置變電站交換機鏡像端口,從交換機鏡像端口接入變電站網(wǎng)絡(luò)�,要求保證從鏡像端口能夠?qū)崟r捕獲到所有經(jīng)過交換機報文的副本,并且報文內(nèi)容具有完整性���。
[0008]步驟三中解析捕獲實時報文信息具體包括如下步驟:
步驟3a:從交換機鏡像端口獲取報文�;
步驟3b:過濾掉無內(nèi)容的TCP協(xié)議的控制報文����,包括:ACK確認(rèn)報文、FIN結(jié)束報文�����、RES復(fù)位報文��、SYN同步報文����;
步驟3c:從報文中提取以下信息:源IP地址、目的IP地址��、源端口號�����、目的端口號�、源Mac地址、目的Mac地址�����、長度��、內(nèi)容�;對于一些Mac層協(xié)議的報文,前4個字段為空�。
[0009]步驟四中異常報文的檢測包括如下步驟:
步驟4a:對于任意一個報文,如果此報文不與任何一個規(guī)則匹配�����,那么此報文被標(biāo)記為異常報文���,否則此報文是正常的報文��;
步驟4b:將異常報文信息保存到數(shù)據(jù)庫中����;
步驟4c:利用WEB技術(shù),讀取數(shù)據(jù)庫中的異常報文信息�,在客戶端告警輸出。
[0010]有益效果:本發(fā)明提供的智能變電站網(wǎng)絡(luò)異常報文檢測方法�����,與現(xiàn)有技術(shù)相比���,本發(fā)明所達(dá)到的有益效果是:利用了變電站網(wǎng)絡(luò)封閉性與協(xié)議固定性的特點����,通過制定變電站報文規(guī)則�����、提取實時報文信息��、解析報文內(nèi)容��、規(guī)則匹配這一系列流程�����,給出了較為可靠����、準(zhǔn)確的變電站異常報文識別方法,并最終實現(xiàn)變電站網(wǎng)絡(luò)異常信息實時告警輸出�,輔助專業(yè)人員開展智能變電站信息安全的分析工作。解決現(xiàn)有技術(shù)中因缺乏對智能變電站異常報文識別導(dǎo)致無法發(fā)現(xiàn)變電站中的潛在風(fēng)險��,進(jìn)而無法判斷智能變電站安全風(fēng)險的技術(shù)問題����。
【附圖說明】
[0011]圖1是本發(fā)明的總體流程;
圖2是規(guī)則制定流程����;
圖3是規(guī)則匹配流程。
【具體實施方式】
[0012]下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步描述��。以下實施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案�����,而不能以此來限制本發(fā)明的保護(hù)范圍����。
[0013]如圖1所示�,一種智能變電站異常報文檢測方法�����,具體包括如下步驟:
步驟一:在某個變電站中�����,獲得變電站中所有存在的網(wǎng)絡(luò)協(xié)議并為每個協(xié)議制定規(guī)則��。如圖2所示����,是規(guī)則制定流程圖,具體的規(guī)則制定步驟如下:
步驟Ia:初始化空的規(guī)則集合����,并獲取變電站所有網(wǎng)絡(luò)的設(shè)備(直接或間接與交換機相連的設(shè)備)。
[0014]步驟Ib:遍歷所有設(shè)備�,對于每個設(shè)備獲取該設(shè)備的所有網(wǎng)絡(luò)協(xié)議。
[0015]步驟Ic:遍歷該設(shè)備的所有網(wǎng)絡(luò)協(xié)議�,對于任意一個協(xié)議,如果規(guī)則集合中不存在該協(xié)議的規(guī)則,則在規(guī)則集合中增加該協(xié)議的規(guī)則�����。某個協(xié)議根據(jù)不同類型的報文可以的產(chǎn)生多個規(guī)則(如為請求報文和響應(yīng)報文制定不同的規(guī)則)�����。每條規(guī)則包含以下4個方面的特征:端口����、地址����、報文長度、報文內(nèi)容�����。如果協(xié)議的某個方面無法提取特征�,則該方面的特征為null,如Mac層協(xié)議的報文不具備端口號����,則端口的特征為null。其中,端口是指報文具有特定源或目的端口 ���;地址是指廣播類協(xié)議的報文目的地址在特定的范圍內(nèi)����;報文長度是指報文內(nèi)容具有固定長度或長度在某個范圍內(nèi)����;報文內(nèi)容是指報文內(nèi)容中某些字段的取值是固定的,這