(国网河南省电力公司电力科学研究院 郑州 450052)
摘要:本文旨在建立针对智能变电站的通信网实时分析与主动防御系统,解决在变电站通信控制系统中流量的实时分析、指纹提取以及入侵检测问题。同时实现流量和设备攻击行为的监测,网络设备异常、系统脆弱点的定位,并及时阻断攻击源,保障电网的安全稳定运行。
关键词:智能变电站;通信网;实时分析;主动防御
1.智能变电站通信网实时分析与主动防御系统设计
1.1通信网流量实时分析机制的建立
智能变电站过程层网络信息流的故障特征有:(1)信息流流量区别于网络正常运行时的信息流流量,而不一定引起网络过载等特征;(2)由于网络规划设计及设备选型不合理引起的网络容量不足、负荷过载等问题。
(1)二次终端设备的信息流异常行为状态分析
通过动态解析GOOSE、SV和MMS报文和分析流量特性,利用信息流的自相似特性,采用方差估计、周期图、Whittle最大似然估计以及小波分析等方法,检测过流量、低流量、报文不连续和报文错误等异常状态,判定二次终端设备是否处于异常行为状态。
(2)通信网信息流动态转发性能状态的异常检测
目前,智能变电站信息流通用交换技术采用基于优先级的端口服务单级队列调度策略。在基于IEC 61850的智能变电站中,间隔层中的不同转发路径受到排队策略、交换路径的影响,转发延迟的不同会影响二次设备和时钟同步设备的正常工作。为此,需构建信息流动态转发性能状态的异常检测技术,该技术通过自学习通信网的策略配置和动态探测流量变化,建立逼近于真实流量负载参量的数学模型,以实时研判和定位通信网中存在的异常状态。
1.2 通信网指纹提取与入侵防御机制
通信网指纹提取机制对变电站控制网络中的设备信息、网络通信等进行收集、形成变电站控制系统特征指纹,并依据该指纹建立防火墙规则,对于网络中可能的入侵行为进行监视,对攻击行为进行阻断。
1.2.1 通信网及终端设备指纹提取技术
通过对IEC 61850规约报文、SCD文件的解析,获取用于描述智能变电站全部IED设备、通信配置和变电站拓扑结构等段落内容,其中Access Point标明IEC 61850的转发路径标识。基于上述信息,采用如下步骤识别通信网拓扑结构:
1)解析SCD获得IP或组播地址和IED间的对应关系,存储到IP地址表和组播地址表,对于接入站控层网络交换机的IED,解析并存储IED名称及IP地址,而对于接入过程层网络交换机的IED,解析并存储IED名称及组播地址;
2)解析TCP/IP报文,获取源MAC和IP地址或目的MAC和IP地址,解析GOOSE及SV报文,获取源MAC地址和目的MAC地址(组播地址)表;
3)通过SNMP从交换机上获取标准管理信息库(MIB-II),解析MIB-II中的 “dotldTpFdbTable”表(RFC 4188定义)的OID值,进一步来获取交换机的MAC地址转发表;
4)以MAC地址为外键匹配上述二维表,生成IED拓扑表,完成交换机与所连接IED的拓扑。
1.2.2 通信网入侵防御系统
数据挖掘技术对海量的审计记录或网络流量数据进行智能挖掘处理以发现入侵行为的模式,具有智能性好、自动化程度高、可扩展性强等优点,采用误用检测和异常检测两种检测方法的混合入侵检测模型,试图克服单独由误用检测或异常检测构建的所包含的缺陷,可通过攻击特征降维技术来实现。
基于簇中心距离和的特征提取方法:该方法计算数据集中单个数据样本与一定数量簇中心的距离之和,来代替数据样本的原始特征信息。基于类中心和距离函数,进一步采用K-means算法对簇中心里包含m个n维向量的数据集进行划分,具体采用的划分方法步骤如下:
2.结语
本文建立了针对变电站二次设备的通信网流量实时分析机制,用于分析、检测基于IEC 61850、SV、MMS的信息流或通信网转发性能的异常状态或异常行为,并建立针对变电站二次设备的通信网指纹提取与入侵防御机制,用于识别通信网内恶意流量或攻击,判定通信终端的脆弱点,实现针对未知攻击准确、高效的入侵检测功能,发现安全隐患并及时阻断攻击源,保障电网的安全稳定运行。
参考文献:
[1]徐成斌与孙一民,数字化变电站过程层 GOOSE 通信方案.电力系统自动化,2007.31(19):第91-94页.
[2]Stiliadis,D.and A.Varma,Latency-rate servers:a general model for analysis of traffic scheduling algorithms.IEEE/ACM Transactions on Networking(ToN),1998.6(5):p.611-624.
[3]任雁铭等,基于嵌入式以太网的变电站自动化系统通信网络.电力系统自动化,2001.25(17):第36-38页.
[4]方晓洁,季夏轶与卢志刚,基于OPNET的数字化变电站继电保护通信网络仿真研究.电力系统保护与控制,2010(23):第137-140页
[5]樊陈等,智能变电站过程层组网方案分析.电力系统自动化,2011.35(18):第67-71页.
[6]周邺飞与徐石明,智能变电站数据中心初探.电力系统自动化,2011.35(18):第57-61页.
[7]欧阳帆等,智能变电站通信网络阻塞故障及其防范措施分析.电网技术,2011.35(11):第7-11页.
[8]张志丹等,基于虚拟局域网的变电站综合数据流分析与通信网络仿真.电网技术,2011.35(5):第204-209页.
[9]刘自发与张建华,基于改进多组织粒子群体优化算法的配电网络变电站选址定容.中国电机工程学报,2007.27(1):第105-111页.
作者简介:
陈岑(1990.8-),女,河南许昌人,中国科学技术大学电子科学与技术专业硕士,单位:国网河南省电力公司电力科学研究院,研究方向:电力工控信息安全。
论文作者:陈岑,郭志民,吕卓
论文发表刊物:《电力设备》2017年第20期
论文发表时间:2017/11/17
标签:变电站论文; 通信网论文; 流量论文; 智能论文; 地址论文; 异常论文; 报文论文; 《电力设备》2017年第20期论文;