一种汽轮机网络安全实时在线监测系统及方法技术方案

本发明专利技术属于汽轮机网络安全保护技术领域，具体涉及一种汽轮机网络安全实时在线监测方法及系统，包括综合分析模块、控制单元监测模块和网络流量监测模块，通过镜像数据采集、基于主动监控算法同步采集实时和模拟数据，经过网络数据获取步骤、网络数据异常分析步骤、系统运算结果监控步骤、关联分析步骤和综合分析步骤结合网络数据异常和系统数据异常的结合分析，实现对汽轮机网络安全实时在线监测。实现对汽轮机网络安全实时在线监测。实现对汽轮机网络安全实时在线监测。

【技术实现步骤摘要】
一种汽轮机网络安全实时在线监测系统及方法


[0001]本专利技术属于汽轮机网络安全保护
，具体涉及一种汽轮机网络安全实时在线监测方法及系统。

技术介绍

[0002]在火力发电过程中，汽轮机是主要的控制对象之一。汽轮机控制保护系统实现了汽轮机的控制和保护功能，其主要包括汽轮机控制系统和汽轮机保护系统两大部分。汽轮机控制系统具体指电厂集散控制系统(DCS)的汽轮机控制单元、汽轮机数字电液控制系统(DEH)，汽轮机保护系统具体指汽轮机危急遮断跳闸系统(ETS)、汽轮机安全监视系统(TSI)。
[0003]其中，汽轮机控制系统的主要功能是采集汽轮机运行参数(压力、温度、转速、功率等等)并控制汽轮机进汽阀门(主汽阀、调节阀)开度，保证汽轮机在给定参数下受控运行；汽轮机保护系统的主要功能是检测汽轮机的运行参数(转速、振动、油压、温度等等)是否超过限值，当超过限值时及时关闭汽轮机进汽阀门，以保证汽轮机在不受控状态下的安全停机。
[0004]现有的技术方案中广泛采用一体化的DCS来覆盖DCS汽轮机控制单元、DEH和ETS的所有功能，一体化的DCS系统主要由DPU控制单元和I/O卡件构成，DPU控制单元中运行汽轮机的主要控制逻辑，I/O卡件实现DPU中控制逻辑对应的物理信号输入和输出。
[0005]目前，汽轮机控制保护系统主要采用基于计算机技术和网络通信技术的数字化控制技术，通过特殊的软硬件设计以保证系统运行的可靠性、实时性，降低系统故障的概率，对系统自身的安全性设计尚有不足，特别是软件设计层面存在脆弱性风险。
[0006]随着工业互联网技术的不断发展，工业控制系统不再是物理隔离的孤立系统，日益严峻的网络安全风险成为汽轮机控制保护系统需要面对的问题。一旦遭受网络攻击，汽轮机控制保护系统将存在系统失效、系统失控的可能性，并有可能进一步改变汽轮机运行状态，从而导致严重的生产安全事故。特别是采用了同一型号并且网络互通的一体化DCS，存在控制系统和保护系统同时瘫痪失效的可能性。
[0007]当前判断针对汽轮机控制保护系统是否遭遇网络攻击的主要方法是基于网络流量的分析以及利用植入到控制系统内部的监控软件，以上两种方法的存在的问题主要包括：
[0008]1、基于网络流量分析的方法缺少对控制系统自身状态的分析，不能有效证明网络攻击下控制保护系统是否真正失控，同时，存在误报警现象，误导现场工作人员实施不恰当的应急响应预案，因此在实际工程中应用难度较大；
[0009]2、植入监控软件的方法虽然能弥补基于网络流量分析方法的不足，但需要对控制系统的内部增加新软件并修改原有配置，若控制系统厂商不配合，该方法在工程实施上几乎不可能实现。另外，独立使用植入监控软件的方法无法有效区分。
[0010]因此，有必要在现有的汽轮机控制保护系统软硬件结构不变的基础上，采用新的
控制系统监测方法，并结合网络流量监测，实现具有实际工程价值且易于实施的综合监测分析方法，聚焦于可能导致汽轮机安全事故的网络安全事件。

技术实现思路

[0011]本专利技术的目的在于针对现有技术中存在的问题，提供一种在不对原有汽轮机控制保护系统植入其它软件程序的基础上，结合成熟的网络流量采集方法，对汽轮机控制保护系统的网络安全进行综合的监测，能够发现对汽轮机正常运行造成不良影响的严重网络安全事件，并有效区分非网络安全导致的系统故障和不严重的网络安全事件。
[0012]为实现上述目的，本专利技术的技术方案这种汽轮机网络安全实时在线监测系统，其特征在于：包括综合分析模块、控制单元监测模块，和接入系统网络、并对系统网络中的汽轮机控制保护系统的以太网流量数据包进行镜像采集、并分析出网络异常事件的网络流量监测模块；
[0013]所述系统网络中的汽轮机控制保护系统包括若干的现场控制站，现场控制站包括DPU控制单元，所述控制单元监测模块与现场控制站连接用于采集DPU控制单运算结果；
[0014]还包括与所述DPU控制单元的控制逻辑或控制算法相同、设置标准模拟环境中用于模拟所述DPU控制单元在正常工作状态下运行的DPU模拟单元，所述系统网络在每一个运算周期同时向所述DPU控制单元和DPU模拟单元发送随机数，触发所述DPU控制单元和DPU模拟单元同步进行实时运算和模拟运算；并通过所述控制单元监测模块获取所述DPU控制单元的实时运算结果和DPU模拟单元的模拟运算结果进行比对分析出DPU控制单元异常事件；
[0015]所述综合分析模块采集所述网络异常事件和DPU控制单元异常事件进行关联分析。
[0016]所述现场控制站包括被监测汽轮机控制保护系统的DPU控制单元、控制网和物理I/O接口，所述控制单元监测模块通过所述物理I/O接口连接至所述控制网，并通过所述DPU控制单元连入所述系统网络；所述物理I/O接口包括输入型I/O卡件和输出型I/O卡件；所述控制单元监测模块通过物理I/O接口经控制网获取所述DPU控制单元的运算结果。
[0017]所述系统网络中还连接有若干工程师站和操作员站，所述工程师站和操作员站通过系统网络向现场控制站中的DPU控制单元获取或发生指令。
[0018]对应的，本专利技术还提供了一种对应上述系统的监测方法技术方案，具体的，一种汽轮机网络安全实时在线监测方法，其特征在于，包括以下步骤：
[0019]网络数据获取步骤，通过基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量数据包；
[0020]网络数据异常分析步骤，基于规则集为黑名单和白名单结合的规则匹配方法，对所述以太网流量数据包中的已知网络攻击特征和网络协议特征进行分析；当所述以太网流量数据包中的任一或多个报文符合所述规则匹配方法中的任一规则，则报告并记录网络异常事件；
[0021]系统运算结果监控步骤，通过物理I/O接口接入被监测汽轮机控制保护系统，采用主动监测算法、通过物理I/O接口将每个运算周期的不同随机数传递给被监测汽轮机控制保护系统的DPU控制单元，再通过目标系统的物理I/O接口采集所述DPU控制单元在正常工作环境下的实时运算结果，以及DPU控制单元在理想模拟环境下的参考运算结果；并将实时
运算结果与DPU控制单元在标准模拟环境中以与在正常工作状态下相同控制逻辑或控制算法运行时得到的标准运算结果进行比对误差计算，若比对误差超过人工设定的误差阈值则判定为DPU控制单元异常，并记录和上报DPU异常事件；
[0022]关联分析步骤，通过独立的综合分析模块/装置/系统，基于时间轴对所述网络数据异常分析步骤中的网络异常事件和所述系统运算结果监控步骤中的DPU异常事件进行关联分析，具体的，是以所述网络异常事件发生的时间点为基础，对应检查其后若干分钟内的DPU异常事件进行关联，以及以所述DPU异常事件发生的时间点为基础，对应检查前若干分钟内的网络异常事件进行关联；两种分析策略同时运行，保证网络安全事件或控制单元异常信息无漏报。
[0023]综合分析步骤，根据所述关联分析步骤的分析结果，判断网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种汽轮机网络安全实时在线监测系统，其特征在于：包括综合分析模块、控制单元监测模块，和接入系统网络、并对系统网络中的汽轮机控制保护系统的以太网流量数据包进行镜像采集、并分析出网络异常事件的网络流量监测模块；所述系统网络中的汽轮机控制保护系统包括若干的现场控制站，现场控制站包括DPU控制单元，所述控制单元监测模块与现场控制站连接用于采集DPU控制单运算结果；还包括与所述DPU控制单元的控制逻辑或控制算法相同、设置标准模拟环境中用于模拟所述DPU控制单元在正常工作状态下运行的DPU模拟单元，所述系统网络在每一个运算周期同时向所述DPU控制单元和DPU模拟单元发送随机数，触发所述DPU控制单元和DPU模拟单元同步进行实时运算和模拟运算；并通过所述控制单元监测模块获取所述DPU控制单元的实时运算结果和DPU模拟单元的模拟运算结果进行比对分析出DPU控制单元异常事件；所述综合分析模块采集所述网络异常事件和DPU控制单元异常事件进行关联分析。2.如权利要求1所述的一种汽轮机网络安全实时在线监测系统，其特征在于：所述现场控制站包括被监测汽轮机控制保护系统的DPU控制单元、控制网和物理I/O接口，所述控制单元监测模块通过所述物理I/O接口连接至所述控制网，并通过所述DPU控制单元连入所述系统网络；所述物理I/O接口包括输入型I/O卡件和输出型I/O卡件；所述控制单元监测模块通过物理I/O接口经控制网获取所述DPU控制单元的运算结果；所述系统网络中还连接有若干工程师站和操作员站，所述工程师站和操作员站通过系统网络向现场控制站中的DPU控制单元获取或发生指令。3.一种汽轮机网络安全实时在线监测方法，其特征在于，包括以下步骤：网络数据获取步骤，通过基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量数据包；网络数据异常分析步骤，基于规则集为黑名单和白名单结合的规则匹配方法，对所述以太网流量数据包中的已知网络攻击特征和网络协议特征进行分析；当所所述以太网流量数据包中的任一或多个报文符合所述规则匹配方法中的任一规则，则报告并记录网络异常事件；系统运算结果监控步骤，通过物理I/O接口接入被监测汽轮机控制保护系统，采用主动监测算法、通过物理I/O接口将每个运算周期的不同随机数传递给被监测汽轮机控制保护系统的DPU控制单元，再通过目标系统的物理I/O接口采集所述DPU控制单元在正常工作环境下的实时运算结果，以及DPU控制单元在理想模拟环境下的参考运算结果；并将实时运算结果与DPU控制单元在标准模拟环境中以与在正常工作状态下相同控制逻辑或控制算法运行时得到的标准运算结果进行比对误差计算，若比对误差超过人工设定的误差阈值则判定为DPU控制单元异常，并记录和上报DPU异常事件；关联分析步骤，基于时间轴对所述网络数据异常分析步骤中的网络异常事件和所述系统运算结果监控步骤中的DPU异常事件进行关联分析，具体的，是以所述网络异常事件发生的时间点为基础，对应检查其后若干分钟内的DPU异常事件进行关联，以及以所述DPU异常事件发生的时间点为基础，对应检查前若干分钟内的网络异常事件进行关联。综合分析步骤，根据所述关联分析步骤的分析结果，判断网络异常事件和DPU异常事件对应的网络安全事件是否会对汽轮机本体安全产生影响。4.如权利要求3所述的一种汽轮机网络安全实时在线监测方法，其特征在于：所述系统
运算结果监控步骤中，通过随机数生成器在每个运算周期内均生成一个随机数x(t)并发送...

【专利技术属性】
技术研发人员：袁晓舒，桑梓，刘丝丝，杨波，
申请(专利权)人：中国东方电气集团有限公司，
类型：发明
国别省市：