(国网安徽省电力公司检修公司安徽230000)
摘要:本文利用智能变电站相对封闭的特点,提出一种智能变电站网络报文异常检测方法,实时捕获系统内部的网络报文,通过对变电站配置文件、历史网络流量信息和设备固有服务的分析,实现了对智能变电站内部各种恶意攻击的检测与预警,为提升电力工控系统信息安全防护水平提供依据。在下一步的工作中,可以结合变电站实际业务,提高异常检测的效率。
关键词:智能变电站;网络异常;分析方法
1网络异常报文检测总体思路
网络报文异常检测的一般流程为:
①从智能变电站站控层交换机的镜像端口实时捕获系统内的网络报文并提取报文的基本信息;②基于变电站配置文件,建立IP地址和MAC地址的对应规则,并进行异常设备检测;③通过获取一段时间内的网络流量信息并结合历史流量信息,进行异常流量检测;④通过获取实时网络报文并进行协议匹配,进行异常协议检测。
2网络异常报文检测具体实现
①地址规则:智能变电站内有固定的设备,且每个设备的MAC地址和对应的IP地址也是固定的,出现未知的IP和MAC地址视为异常情况。
②流量规则:智能变电站网络内的单个设备单位时间内的发送流量,以及任意2个设备之间单位时间内的通信流量都在一定的范围内,流量过大和过小都视为异常情况。
③协议规则:电力工控系统内部允许出现的网络协议是有限的(公开的电力工控协议、通用网络协议和设备厂家的私有协议),每个报文属于特定的协议,出现其他未知协议的报文视为异常情况。
从智能变电站中捕获报文,假设时间T内(单位为s)捕获报文的集合为ST,集合中的每个报文p使用8个字段表示如下:
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网 琼ICP备2021005105号
