適用于數字化變電站間隔層SMV網絡攻擊分級檢測方法與流程

本發明涉及一種在數字化變電站間隔層下，對其SMV報文的網絡攻擊分級檢測的方法，屬于電力系統信息安全領域。

背景技術：

SMV(Sampled Measured Values)原始采樣報文，是電力系統一次側設備運行的真實反映；變電站對SMV傳輸實時性要求很高(不得超過4ms)，目前MU(Merging Unit)往往對SMV不加任何信息安全防護措施，因此存在虛假數據注入攻擊很大可能性；保護類SMV報文受到惡意篡改及重放，可能引起繼電保護系統誤動、拒動，導致重大安全事故；測控類SMV報文，是調控中心數據采集與監控系統SCADA/EMS狀態估計的主要依據，其受到惡意篡改及重放，可能導致SCADA/EMS做出錯誤甚至危險決策。

信息安全入侵檢測取證技術是指通過對比各個預定義的性能指標來對動態系統判斷、決策的一種理論與技術，被視為提高信息安全防御的前提，在各個領域都引起高度的重視。當系統受到未知類型的攻擊時，入侵檢測系統要盡量準確的定位攻擊位置，攻擊類型，并且能避免在清除軟件銷毀攻擊痕跡之前，存取受攻擊的證據，以幫助電網信息安全技術人員分析攻擊特點，盡早制定相應的防御策略，避免其他區域電網遭受類似攻擊。

近幾年，國內外專家學者在電力系統信息安全領域都做出了大量的貢獻。比較具有代表性的如：1)美國愛達荷州國家實驗室(Idaho Nation Laboratory)采用實際的智能電網發電、輸電裝置/系統和標準的工業軟件構建了SCADA信息安全測試系統/平臺NSTB(NationalSCADA TestBed)。2)美國亞利桑那大學(University of Arizona)利用OPNET網絡仿真軟件、Power World電力系統仿真軟件構建了用于異常檢測(如入侵檢測)研究的SCADA控制系統信息安全分析測試平臺/系統(testbed for analyzing security of SCADA control system,TASSCS)。3)歐洲CRUTIAL項目開發了兩個不同的智能電網信息安全測試平臺/系統,用于研究各種網絡攻擊所造成的影響。

近幾年國內在建立電力與信息聯合仿真平臺方面也做了大量工作，如2003年HopkinsonK.M.博士、J.S.Thorp教授和王曉茹博士聯合研發了電力和通信同步仿真平臺(EPOCHS)，以電力系統分析及仿真軟件PSCAD、PSS/E、PSLF等作為電力系統仿真工具，采用通信網絡仿真軟件NS2作為通信系統仿真工具，試圖模擬網絡攻擊的過程。同時近幾年中國南瑞集團公司、華中科技大學、東南大學等單位開展了一些聯合仿真平臺的初步研究，搭建電力系統仿真軟件和網絡仿真技術軟件包(OPNET)聯合仿真平臺，以試圖探索網絡攻擊的特征。

有鑒于此，本發明人對此進行研究，專門開發出一種適用于數字化變電站間隔層SMV網絡攻擊分級檢測方法，本案由此產生。

技術實現要素：

本發明的目的是提供一種適用于數字化變電站間隔層SMV網絡攻擊分級檢測方法。

為了實現上述目的，本發明的解決方案是：

一種適用于數字化變電站間隔層SMV網絡攻擊分級檢測方法，包括如下步驟：

步驟1.包解密：對MU經過數字簽名的SMV包進行數字簽名驗證，根據加密解密規則進行數據包處理；

步驟2.包過濾：根據SMV數據包MVC起始地址的不同，過濾出SMV數據包；

步驟3.包解析：剝離掉SMV數據包外層的MAC地址協議，提取出包中的數據，并把MAC地址和包數據發送到包異常檢測模塊；

步驟4.MAC地址異常檢測：所有到達入侵檢測模塊的MAC地址都要嚴格遵守預定義的地址接收表，一旦出現與地址庫中不匹配的MAC地址，則檢測指示器γ^MAC設置為true，立刻告警并丟棄數據；

步驟5.基于規范的入侵檢測：包括主要針對引發跳閘數據、不良數據、違反邏輯、超流量閥值告警等；

步驟6.基于歷史事件的數據檢測：檢測目前的采樣數據是否符合歷史事件的觸發條件，如過流、過壓、短路故障等歷史事件，若符合，則設置一次故障γ^lsft指示為true；然后檢查采樣數據是否符合某一次歷史網絡攻擊數據模型，若符合，則設置歷史入侵γ^lsit指示為true等。

步驟7.最后的檢測結果分類寫入正常事件日志、告警日志，對異常進行取證后保存；根據入侵數據進行異常評估指標ν_n計算；告警及入侵數據、異常評估指標ν_n將上送主站；或者進行就地告警顯示。

本發明所述的適用于數字化變電站間隔層SMV網絡攻擊分級檢測方法，設有MAC地址異常、SMV不良數據、數據包邏輯檢測、數據流量閥值異常、一次故障相似、網絡攻擊相似、上送SMV偽造、上送SMV篡改等多種異常狀態指示器，可方便快速定位攻擊形式以及可能的攻擊位置，以便快速告知調度側運行監控人員。

以下結合附圖及具體實施例對本發明做進一步詳細描述。

附圖說明

圖1為本實施例的基于規范的SMV數據檢測模塊框圖；

圖2為本實施例的SMV報文完整性和數字簽名認證過程流程圖。

具體實施方式

如圖1所示，一種適用于數字化變電站間隔層SMV網絡攻擊分級檢測方法，包括如下步驟：

步驟1.包解密：對MU經過數字簽名的SMV包進行數字簽名驗證，根據加密解密規則進行數據包處理；

步驟2.包過濾：由于GOOSE/SMV對實時性要求很高，GOOSE/SMV報文傳輸由應用層直接到數據鏈層，未使用UDP/TCP/IP協議，因此需要根據SMV數據包MVC起始地址的不同，過濾出SMV數據包；

步驟3.包解析：剝離掉SMV數據包外層的MAC地址協議，提取出包中的數據，并把MAC地址和包數據發送到包異常檢測模塊。

步驟4.MAC地址異常檢測：所有到達入侵檢測模塊的MAC地址都要嚴格遵守預定義的地址接收表，一旦出現與地址庫中不匹配的MAC地址，則檢測指示器γ^MAC設置為true，立刻告警并丟棄數據；

步驟5.基于規范的入侵檢測：包括主要針對引發跳閘數據、不良數據、違反邏輯、超流量閥值告警等；

步驟6.基于歷史事件的數據檢測：檢測目前的采樣數據是否符合歷史事件的觸發條件，如過流、過壓、短路故障等歷史事件，若符合，則設置一次故障γ^lsft指示為true；然后檢查采樣數據是否符合某一次歷史網絡攻擊數據模型，若符合，則設置歷史入侵γ^lsit指示為true等。

步驟7.最后的檢測結果分類寫入正常事件日志、告警日志，對異常進行取證后保存；根據入侵數據進行異常評估指標ν_n計算；告警及入侵數據、異常評估指標ν_n將上送主站；或者進行就地告警顯示。

本實施例所述的數字簽名，不僅可保證信息傳輸的完整性、鑒別認證發送者的身份及防止信息交換中出現抵賴行為，同時又能兼顧實時性及安全性，因而被認為是變電站站內通信的有效安全措施。由于整個SMV報文中最核心也是外界最想截獲的信息是每個應用服務數據單元(ASDU)后半部分的DataSet域中的每個電氣量前4B的數據，只要保證這部分信息的機密性，則SMV報文實質信息將不會泄露。因此為了減少加密運算耗時，只針對采用報文的關鍵內容進行數字簽名，這樣提高報文傳輸的實時性。本實施例采用SM2體系進行數字簽名認證，為減少耗時，采用基于華大信安SSM0901加密芯片進行硬件加密。通過定量的加密耗時計算以及OPNET軟件的傳輸延時仿真結果，最終證實結果滿足了IEC62351通信體系標準中的對SMV報文傳輸延時小于4ms的要求。

SMV閥值異常檢測算法：本實施例把SCADA/EMS中量測值狀態估計算法引入到本地SVDE中，進行本地二次狀態估計，符合信息的可驗證性特點。

以直流潮流為基礎的狀態估計模型來檢測不良數據檢測算法如下：

z＝Hx+e (1)

式中，量測矩陣H^m×n是一個常數雅克比矩陣，通常情況下傳感器量測值數目要大于狀態變量數目，即m＞n。x為待估計的狀態量，e為測量誤差。

狀態估計問題以冗余測量值為基礎，本文采用加權最小二乘法求解目標函數J(x)的最小值來獲得狀態估計結果，其表達式如下：

J(x)＝(z-Hx)^TW(z-Hx) (2)

式中w為與系統誤差相關的對角矩陣，最小二乘法求解的最小值得：

當(C為閥值)成立時，表明量測向量中含有不良數據，將量測向量中估計誤差最大的變量濾除，不良數據檢測狀態指示器γ^bl設為true，重新進行狀態估計，直到通過不良數據檢測為止。

SMV流量閥值異常檢測算法：SMV數據包閥值取決于采樣速率。在包過濾模塊，SMV數據包的MVC地址可以從01-0C-CD-04-00-00開始的，因此可以檢查其MVC地址來撲獲SMV數據包，記錄每秒數據包的數量和其他詳細的信息。在入侵檢測模塊，如果在1s內撲獲的數據包數量大于預定義的數據包閥值那么此異常將被寫入異常日志并產生告警，作為SMV包可能遭受DoS攻擊的判定依據。SMV數據包閥值異常檢測指示器γ^fz設置為true。SMV數據包閥值計算公式如下：

其中m是1s內合并單元的數量，是采樣幅值分辨率，f_i是第i個數據包的頻率，μ_sv是閥值計算誤差系數。

入侵檢測庫設計如下：

1)引發跳閘數據檢測：主要檢測包數據中是否含有引起繼電保護跳閘的過壓、過流等告警值。若檢測到此類數據，則記入告警日志，上送變電站綜自系統，以及調控主站。

2)SMV數據上送主站被篡改或偽造檢測：加密方式只是降低了SMV數據從MU到繼電保護裝置被篡改可能性，但是SMV通過遠動裝置到達主站有比較長的傳輸路徑，報文被篡改的可能性很大，同時也可能存在SMV數據偽造的可能；通過上發本地狀態估計值，同時接受主站發回的狀態估計值，并進行對比：①如果不配對，則表明測量原始SMV在廣域網傳輸過程中存在數據偽造，則置上送SMV偽造指示γ^SVfk為true；②兩值相差很大，則表明測量原始SMV在廣域網傳輸過程中存在數據篡改可能，則置上送SMV篡改指示γ^SVtp為true。

3)預定義邏輯檢測：數據包的發送和接收順序是符合一定的邏輯規范(比如數據包的序列號大小)的，對于不符合邏輯的數據包一旦檢測到，就將之丟棄，并設置邏輯檢測指示γ^lj為true，進行告警。

4)數據流量閥值異常：數據經過解析模塊進入入侵檢測模塊的速率是有一個預定義閥值；對于那些一直超過閥值的包，就有理由懷疑此MAC地址遭受到了DoS攻擊或者網絡風暴攻擊。

本實施例在入侵檢測庫設置了：①數字簽名驗證未通過γ^gj；②不良數據γ^bl；③邏輯檢測未通過γ^lj；④閥值異常γ^fz；⑤歷史一次故障相似γ^lsft；⑥歷史網絡攻擊相似γ^lsit；⑦上送SMV偽造γ^SVfk；⑧上送SMV篡改γ^SVtp；⑨MAC地址異常γ^MAC等9種異常指示器，并對其進行累計計數，用于過程層網絡攻擊的檢測狀態在線監控和歷史統計。

在線異常評估指標ν_n可以定義如下：

ν_n＝γ^gl∩γ^bl∩γ^lj∩γ^fz∩γ^lsft∩γ^lsit∩γ^MVfk∩γ^MVtp∩γ^MAC (5)

如果有某一項檢測結果異常，狀態指示器值為true，異常評估指標ν_n值為1，表示入侵檢測模塊存在異常入侵事件，智能裝置SVDE向站控主站、調控主站及自身外接LED顯示屏幕產生告警提示。如果異常評估指標ν_n值為0，則表示原始報文無異常入侵。

本實施例所述的適用于數字化變電站間隔層SMV網絡攻擊分級檢測方法，設有MAC地址異常、SMV不良數據、數據包邏輯檢測、數據流量閥值異常、一次故障相似、網絡攻擊相似、上送SMV偽造、上送SMV篡改等多種異常狀態指示器，可方便快速定位攻擊形式以及可能的攻擊位置，以便快速告知調度側運行監控人員。

上述實施例和圖式并非限定本發明的產品形態和式樣，任何所屬技術領域的普通技術人員對其所做的適當變化或修飾，皆應視為不脫離本發明的專利范疇。