一种对IEC61850数字变电站SMV报文的入侵检测的方法技术

技术编号:15794924 阅读:180 留言:0更新日期:2017-07-10 10:27
本发明专利技术公开了一种对IEC61850数字变电站SMV报文的入侵检测的方法,方法主要有三个步骤组成,SMV报文的快速过滤及数据结构化、SMV帧报文的数据单元的多级关联检测、SMV报文的危害性评估;本发明专利技术目的在于解决现有技术中IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。

【技术实现步骤摘要】
一种对IEC61850数字变电站SMV报文的入侵检测的方法
本专利技术属于IEC61850数字变电站安全领域,采用报文模板匹配技术实现SMV报文数据结构化还原呈现,通过对报文的上下文多级关联分析技术,实现一种对IEC61850智能变电站中的SMV数据报文的入侵检测的方法。
技术介绍
IEC61850是基于通用网络通信平台的变电站自动化系统的国际标准,它可以实现变电站自动化系统产品的互操作性和协议转换。采用IEC61850标准可使变电站自动化设备具备自描述、自诊断和即插即用的特性,很大程度上使数字变电站系统的集成变得简单,减少了变电站自动化系统的开支。IEC61850标准也使得智能电网的网络形态正从过去的封闭系统走向半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时,也带来了智能变电站的安全上的隐患。其中IEC61850数字变电站采用的基于开放标准的网络技术之上,导致系统的安全性降低。具体表现为IEC61850协议本身并没有考虑任何安全措施,一旦攻击者绕过物理防护,直接进入调度中心和变电站网络,可直接通过通信协议实现对智能变电站设备的控制。IEC62351协议标准实现了对IEC61850协议的安全加固,使得IEC61850协议具有了这些基本的安全功能。这种加固主要包括:1,通过通过数字签名,提供节点的双向身份认证;2,通过加密,提供传输层认证、加密密钥的机密性;3,通过加密,提供传输层及以上层次消息的机密性,防止窃听;4,通过消息鉴别码,提供传输层及以上层次消息的完整性;5,通过定义传输序列号有效性,防止传输层的重放和欺骗。由此可见,IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上,而在实际生产环境中这些安全加固方法无法适用于的IEC61850中的SMV实时性要求极高的报文。SMV(SampledMeasuredValue)采样测量值,是一种用于实时传输数字采样信息的服务。IEC61850数字变电站中常用SMV服务来传递各类测量模拟量,比如变电站中各相电流电压的数值,数字变电站中的各类测量数据都以明文形式传送,很容易被修改或注入非法的SMV报文,而非法的变电站测量数据会引起主站发出错误的操作指令,引起数字变电站的智能设备的错误动作。所以,SMV报文的安全性变得非常重要,而由于SMV报文的实时性要求高的特点,因此IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成,需要重新寻找一套针对智能设备间SMV明文传输的报文安全加固和入侵检测解决方案,来保护智能变电站的安全运行。
技术实现思路
本专利技术提供一种对IEC61850数字变电站SMV报文的入侵检测的实现方法,目的在于解决现有技术中IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。本专利技术通过以下技术方案实现:一种对IEC61850数字变电站SMV报文的入侵检测的方法,其特征在于:所述实现方法包括如下步骤;1)SMV报文的快速过滤及数据结构化:SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文,并对SMV报文内容进行数据结构化处理;2)SMV帧报文的数据单元的多级关联检测:SMV通过快速过滤和数据结构化提取完成后,按照多级检测项依次检测报文中的若干数据单元项,以完成对SMV帧报文数据的安全合规性检测;3)SMV报文的危害性评估:根据SMV报文安全性的检测方法,可将数字变电站的SMV报文的安全性分为三个级别,安全级别“0”为可信,代表经过多级检测过的SMV报文数据未包含任何威胁隐患,数字变电站的SMV报文安全级别为“0”级;安全级别“-1”代表数字变电站中有可疑的SMV报文存在,单位时间SMV帧报文数量检测项中检测到当前报文流量超过或小于基准流量的30%,而帧报文其它级的检测都通过时,则数字变电站的报文安全级别为“-1”,有可疑SMV帧报文存在;安全级别“-2”代表变电站存在不可信的SMV报文,当前数字变电站的SMV帧报文集只通过单位时间流量范围的检测,其它各级别帧报文检测项的任意一项都未通过,则此数字变电站的SMV报文安全级别为“-2”,存在非合规报文。本专利技术进一步技术改进方案是:所述步骤2中多级检测项包括如下部分,1)SMV报文的以太网络类型及源目标MAC地址;2)单位时间的SMV帧报文数量检测;3)报文采样计数器检测;4)SMV帧报文数据集中的标识的一致性检测。本专利技术的效益是通过对IEC61850-SMV报文的结构和广播通讯机制的研究,总结出SMV报文在通讯过程中的可信状态下报文中相关数据项所应遵循的规则,从而建立起可疑和不可信SMV帧报文的入侵检测的机制及方法,从而确保数字变电站中各智能设备间的SMV报文的安全可信。具体来说,本专利技术具有如下效果:一、本专利技术提供了IEC61850-SMV报文的模板格式的定义方法,采用模式树的匹配技术,能够快速从各类协议报文中提取SMV类型报文,并在模式匹配过程中完成报文内容数据提取的结构化处理,缩短了从报文类型识别到数据提取的过程;二、本专利技术对完成结构化处理的报文数据,设立了多级和关联的数据检测项,防止各种形式的入侵报文的注入和非法篡改。其中一级检测是对报文中的源和目标的物理地址采用报文协议可信匹配机制,通过预先定义接收SMV帧报文中智能设备的可信源,完成对非可信设备报文的过滤;三、本专利技术建立了SMV帧报文内部数据项的关联合规检测机制,例如,SMV帧报文中的采样计数器的检测和应用协议单元中数据集的标识一致性检测,能够及时发现常见的各种类型的SMV报文的暴力入侵、注入和篡改;四、本专利技术实现单位时间SMV帧报文流量的检测,通过建立单位时间SMV帧流量的基准值,设置了三类流量检测方式:一、单位时间未见SMV报文,通讯被中断或报文被截断攻击;二、单位时间的SMV帧报文流量倍数高于流量基准值,存在DDOS攻击;三、单位时间帧报文流量高于或小于基准流量的某个百分比,帧报文中存在报文注入与盗劫。附图说明图1、IEC61850-SMV通信协议栈示意图;图2、IEC61850-SMV报文帧结构示意图;图3、IEC61850-SMV报文入侵检测方法流程。具体实施方式本专利技术提供了一种对IEC61850数字变电站中用于在智能设备间(IED)传输IEC61850数字变电站中传输各类模拟测量的SMV报文的安全、合规检测方法,通过本专利技术能够快速检测出存在非合规隐患的各类SMV数据报文。由图1、2可见SMV服务的通信协议栈由应用层、传输层、网络层、数据链路层和物理层组成,传输层和网络层均为空。这样可以缩短SMV报文的长度,减少传输的延时,满足数字变电站中测量数据的实时传输的要求。应用层定义了IEC61850-SMV报文的应用协议单元(APDU),表示层遵循ASN.1BER对APDU进行编码,数据链路层基于ISO/IEC8802-3标准设置报文的传输优先级、以太网类型、组播地址等。因为IEC61850协议只定义了在变电站网络中智能设备(IED)和应用客户端的通信协议,没有考虑协议的安全性,即使后面推出的IE本文档来自技高网
...
一种对IEC61850数字变电站SMV报文的入侵检测的方法

【技术保护点】
一种对IEC61850数字变电站SMV报文的入侵检测的方法,其特征在于:所述实现方法包括如下步骤;1)SMV报文的快速过滤及数据结构化:SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文,并对SMV报文内容进行数据结构化处理;2)SMV帧报文的数据单元的多级关联检测:SMV通过快速过滤和数据结构化提取完成后,按照多级检测项依次检测报文中的若干数据单元项,以完成对SMV帧报文数据的安全合规性检测;3)SMV报文的危害性评估:根据SMV报文安全性的检测方法,可将数字变电站的SMV报文的安全性分为三个级别,安全级别“0”为可信,代表经过多级检测过的SMV报文数据未包含任何威胁隐患,数字变电站的SMV报文安全级别为“0”级;安全级别“‑1”代表数字变电站中有可疑的SMV报文存在,单位时间SMV帧报文数量检测项中检测到当前报文流量超过或小于基准流量的30%,而帧报文其它级的检测都通过时,则数字变电站的报文安全级别为“‑1”,有可疑SMV帧报文存在;安全级别“‑2”代表变电站存在不可信的SMV报文,当前数字变电站的SMV帧报文集只通过单位时间流量范围的检测,其它各级别帧报文检测项的任意一项都未通过,则此数字变电站的SMV报文安全级别为“‑2”,存在非合规报文。...

【技术特征摘要】
1.一种对IEC61850数字变电站SMV报文的入侵检测的方法,其特征在于:所述实现方法包括如下步骤;1)SMV报文的快速过滤及数据结构化:SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文,并对SMV报文内容进行数据结构化处理;2)SMV帧报文的数据单元的多级关联检测:SMV通过快速过滤和数据结构化提取完成后,按照多级检测项依次检测报文中的若干数据单元项,以完成对SMV帧报文数据的安全合规性检测;3)SMV报文的危害性评估:根据SMV报文安全性的检测方法,可将数字变电站的SMV报文的安全性分为三个级别,安全级别“0”为可信,代表经过多级检测过的SMV报文数据未包含任何威胁隐患,数字变电站的SMV报文安全级别为“0”级;安全级别“-...

【专利技术属性】
技术研发人员:刘建戈吕兵罗坤金鑫
申请(专利权)人:国网江苏省电力公司淮安供电公司国网江苏省电力公司涟水县供电公司南京风城云码软件技术有限公司国家电网公司
类型:发明
国别省市:江苏,32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1