一种继电保护远程运维入侵预防与检测方法和系统

技术领域

本发明属于继电保护运维技术领域，涉及一种继电保护远程运维入侵预防与检测方法和系统。

背景技术

随着国内电网行业信息化和智能化水平的不断提升，对电力监控系统网络安全防护提出了更高的要求，促进了安全防护技术的不断向前发展。电力监控系统网络安全的技术人员逐渐发现基于黑名单机制的恶意代码防护设备无法对新型的病毒，提出将白名单的防御应用到恶意代码防护措施上，并在电网企业开始了试点应用。

网络安全可从区域上分为边界安全和设备本体安全(本质安全)。现有技术中，国内在边界安全上主要还是遵从安全分区、网络专用、纵向认证、横向隔离的防护措施。本体安全方面，二次系统本质安全能力不足。设备本质安全方面存在重功能轻防护，操作系统和应用漏洞多、安全策略缺失，通信协议健壮性不足、缺乏加密和认证，存在危险服务和系统未最小化裁剪，操作系统未国产化等问题。在设备远程运维的本质安全方面，智能变电站的新设备得到广泛的应用，对于站内二次设备的运维工作变得更加复杂，目前大多数的运维主站系统主要解决功能的问题，安全方面的考虑相对不足。一旦安全防护被突破将会给整个电网的运行带来不可估量的损失。

当前，本质安全为电力系统研究的热点，主要研究方面包括建立设备的本体安全能力，设备硬件及基础组件实现自主可控，从硬件和软件层面全面提升设备的内生安全；建立健全网络协议健壮性，并且具备访问控制、数据保密、记录审计等安全防护措施；开展站内通信协议的自主可控以替代MMS通信的相关操作及技术规范的编写工作；开展可信计算在主机设备中的研究和验证。针对继电保护远程运维的本质安全关键技术，目前还缺少深入的研究，尤其涉及一种继电保护远程运维入侵预防与检测方案更是未见报道。

近年来各类系统的安全入侵事件通常发生在网络通信交互环节，而继电保护远程运维依赖于网络通信实现，因此网络通信安全是保障继电保护远程运维安全的需重点研究内容之一，在保证远程运维业务顺畅的同时，需要针对继电保护远程运维中所需使用的网络通信环节进行深入分析，找出安全薄弱点并进行必要的防护和安全加固措施，从而保证业务安全。目前电网调度运维业务均基于独立的通信业务专网运行，物理上与公网隔离，并执行了较为严格的网络管理制度，从外部发起网络攻击和入侵可能性较小，因此防范继电保护远程运维的入侵行为首先要研究如何保证通信行为的可信性，即把研究重点放到入侵行为通信报文的特征研究和操作安全认证方向。

发明内容

为解决现有技术中存在的不足，本发明提供一种继电保护远程运维入侵预防与检测方法和系统，在继电保护远程运维系统中应用多级检测与阻断来预防和检测入侵风险，提升继电保护远程运维网络本质安全水平。

为了实现上述目标，本发明采用如下技术方案：

一种继电保护远程运维入侵预防与检测方法，对经过二次设备、子站、通道和主站传输的继电保护远程运维网络报文进行网络入侵预防与检测，所述方法包括以下步骤：

步骤1、主站与子站进行双向身份安全认证，安全认证通过后进行报文传输，实现未经过安全认证直接进行报文传输的入侵行为的预防；

步骤2、基于报文合法性专家规则，对传输的报文进行通信对象合法性、报文格式合法性、报文业务逻辑合法性检查，实现相应的网络入侵行为实时检测；

步骤3、基于行为模式知识库对报文进行行为模式分析与检测认证，实现报文行为模式合法性检测。

本发明进一步包括以下优选方案：

优选地，步骤1中，主站和子站之间，采用调度数字证书进行双向身份安全认证，采用国密SM2算法进行报文加密传输，具体的：

调度数字证书系统为主站和子站分别签发标识其身份的数字证书，基于安全认证协议进行安全认证，在双向身份安全认证通过后进行报文传输，主站和子站通过密钥协商机制生成加密密钥，对此后传输的业务报文进行加密处理。

优选地，步骤2中，预先对二次设备、子站、通道和主站的网络入侵行为进行检测分析，提取各种入侵行为的报文特征，结合专家经验，形成报文合法性检测专家规则。

优选地，步骤2中，通信对象合法性的检查内容包括IP地址白名单检测、会话登录与认证情况检测。

优选地，步骤2中，报文格式合法性的检查内容包括校验码、报文帧长度、帧计数和帧顺序。

优选地，步骤2中，报文业务逻辑合法性的检查内容包括：规约规则业务逻辑合法性检测、遥控流程业务逻辑合法性检测、远方修改定值业务逻辑合法性检测；

其中，规约规则业务逻辑合法性检测指检测规约数据交互流程上的合理性；

遥控流程业务逻辑合法性检测指检测遥控流程是否符合业务逻辑规范；

远方修改定值业务逻辑合法性检测指检测远方修改定值流程是否符合修改定值的流程步骤要求。

优选地，步骤3中，预先对主站和子站之间的报文群行为进行统计分析，生成行为模式知识库，具体为：

收集主、子站通信报文，对报文群行为模式进行多维度统计分析，得出各维度的限值或特征，生成行为模式知识库。

优选地，所述维度包括报文通信量、报文流量的时间分布、特定时段的报文特征、报文的类型分布、不同规约的子站报文特点、不同类型变电站报文特点和报文错误次数；

其中，报文通信量包括指定长度时间段的报文数据量的最小值、最大值和平均值；

报文流量的时间分布是指报文在特定时间段的流量分布特点；

特定时段的报文特征包括工作日、节假日、事故发生时、事故高发季、检修工作日的报文特征；

报文的类型分布是指不同类别的报文数量及流量分布情况；

所述报文的类型包括总召换、周期、突发数据、召唤命令和修改命令类型；

不同规约的子站报文特点包括61850规约子站、103规约子站和智能录波器的报文特点；

不同类型变电站报文特点包括普通厂站、发电厂和换流器站报文特点；

报文错误次数即指变电站错误报文次数。

优选地，步骤3中，通过检测认证的报文为合法报文，表示通过入侵检测，否则为非法报文，给出告警信息或阻断，包括：

监视实际的特定时段的报文通信量并与统计的报文量进行比较，超出门槛值限制认为为非法报文；

监测特定时段的报文类型并与统计的报文类型分布进行比较，不一致或不一致的次数或时长超过门槛值认为为非法报文，如非工作时段出现下行修改报文；

针对变电站、规约进行报文通信量、报文类型监测，并与门槛值进行比较，如出现不一致或不一致次数或时长超出限制，认为为非法报文。

一种继电保护远程运维入侵预防与检测系统，用于实现所述继电保护远程运维入侵预防与检测方法，所述系统包括：

安全认证与传输模块，用于主站与子站进行双向身份安全认证，安全认证通过后进行报文传输，实现未经过安全认证直接进行报文传输的入侵行为的预防；

入侵行为检测模块，用于基于报文合法性专家规则，对传输的报文进行通信对象合法性、报文格式合法性、报文业务逻辑合法性检查，实现相应的网络入侵行为实时检测；

行为模式分析与检测认证模块，用于基于行为模式知识库对报文进行行为模式分析与检测认证，实现报文行为模式合法性检测。

本发明的有益效果在于，与现有技术相比，对经过二次设备、子站、通道和主站传输的继电保护远程运维网络报文进行网络入侵预防与检测，包括：主站与子站进行双向身份安全认证，安全认证通过后进行报文传输；基于报文合法性专家规则，对传输的报文进行通信对象合法性、报文格式合法性、报文业务逻辑合法性检查，实现相应的网络入侵行为实时检测；基于行为模式知识库对报文进行行为模式分析与检测认证。可有效提升继电保护远程运维网络本质安全水平。

附图说明

图1是本发明继电保护远程运维入侵预防与检测流程图；

图2是本发明实施例中主子站安全认证及加密传输过程；

图3是本发明实施例中继电保护远程运维网络报文合法性规则；

图4是本发明实施例中继电保护远程运维网络报文行为模式分析图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明的技术方案进行清楚、完整地描述。本申请所描述的实施例仅仅是本发明一部分的实施例，而不是全部实施例。基于本发明精神，本领域普通技术人员在没有作出创造性劳动前提下所获得的有所其它实施例，都属于本发明的保护范围。

如图1所示，本发明的实施例1提供了一种继电保护远程运维入侵预防与检测方法，对经过二次设备、子站、通道和主站传输的继电保护远程运维网络报文进行网络入侵预防与检测，在本发明优选但非限制性的实施方式中，所述方法包括以下步骤1-3：

步骤1、主站与子站进行双向身份安全认证，安全认证通过后进行报文传输，实现未经过安全认证直接进行报文传输的入侵行为的预防，如图2所示；

进一步优选地，主站和子站之间，采用调度数字证书进行双向身份安全认证，采用国密SM2算法进行报文加密传输，具体的：

调度数字证书系统为主站和子站分别签发标识其身份的数字证书，基于安全认证协议进行安全认证，在双向身份安全认证通过后进行报文传输。主站和子站通过密钥协商机制生成加密密钥，对此后传输的业务报文进行加密处理。进一步：

未经过双向身份安全认证，直接传输的业务报文为非法报文；

接收的数据在经过解密后，结合业务报文解析对报文进行合法性检测，不符合报文规范(继电保护远程运维61850主子站规约、继电保护远程运维103主子站规约)的报文为非法报文。

步骤2、基于报文合法性专家规则，对传输的报文进行通信对象合法性、报文格式合法性、报文业务逻辑合法性检查，实现相应的网络入侵行为实时检测，如图3所示；

可以理解的是，入侵防范与检测的步骤绝大部分都是串行的，步骤2中的通信对象合法性、报文格式合法性、……，这些应该也是串行的，例如对象检测不合法的话，直接就阻断该报文了，不会再到报文格式合法性检查；

进一步优选地，预先对二次设备、子站、通道和主站的网络入侵行为进行检测分析，提取各种入侵行为的报文特征，结合专家经验，形成报文合法性检测专家规则。

其中提取方式包括：

通过通信规约规范提取报文格式合法性规则，如帧长度校验、校验和校验、帧计数校验、帧顺序校验、报文的交互逻辑等；

通过行业规范、操作流程对业务功能、专家知识的要求，提取报文的业务操作流程规则，如遥控流程业务逻辑合法性、远方修改定值业务逻辑合法性等。

1、通信对象合法性的检查内容包括IP地址白名单检测、会话登录与认证情况检测等。

若某一检查内容不合法，则表示该内容为入侵行为，例如，“IP地址白名单检测”，其含义为检测是否存在“IP地址不在白名单内的IP发起对本TCP服务端的连接”，若存在，则为非法连接。

具体实施时，认为IP地址不在白名单内、未经过会话登录与认证、或连接断开达到频繁连接断开阈值的情况均为通信对象不合法。具体的：

发起连接的TCP客户端IP地址不在服务端是白名单内时，该连接为通信对象不合法的连接；

未经过会话登录与认证，即进行传输的报文，为通信对象不合法报文。

2、报文格式合法性的检查内容包括校验码、报文帧长度、帧计数和帧顺序。

报文格式不合法的情况包括校验错误、报文帧长度不正确、帧计数错误和帧顺序不合法等。具体情况如下：

1)校验错误

a)在部分规约报文中，定义了校验字段，并定义校验的计算规则；

b)发送端在发送报文时，按照规则计算本帧报文校验值，并填写入校验字段；

c)接收端接收到完整报文帧后，读取本帧中校验字段，并按照校验计算规则重新计算校验值，将这两个数据进行比较，可以判断本帧报文在通信过程中是否合法。

如103规约中的校验和规则，校验和不一致的报文均为非法报文；

2)报文帧长度不正确

a)在每帧报文中，定义报文帧长度字段；

b)发送端在发送报文时，计算本帧报文长度，并填写入本帧报文长度字段；

c)接收端接收到报文后，按照本帧中报文长度字段截取报文帧，如截取完毕后续报文和报文起始字符不一致，则可判断报文帧长度不正确。

如103主子站规约中的报文帧长度检验规则，如果接收数据帧的实际长度与帧头中的报文长度不一致，则认为是非法报文；

3)帧计数错误

a)在每帧报文中，定义报文帧计数字段；

b)通信双方连接正常后，发送端按照累加规则计算帧计数，并填写入每条发送的帧计数字段；

c)接收端接收报文帧后，读取帧计数字段，并将上一帧报文中的计数字段按照累加规则计算，将这两个数据进行比较，可以判断本帧报文在通信过程中帧计数是否合法。

如103规约中的帧计数器校验规则，如果连续两帧报文的帧计数器未按照规约要求进行轮换，则认为后帧报文为非法报文；

4)帧顺序不合法：未严格按照通信规约要求的交互过程进行数据通信。如103主子站规约中的帧序号校验规则，如果前后两帧报文中控制域的帧序号未顺序增长，则认为后帧报文为非法报文。

3、报文业务逻辑合法性的检查内容包括：规约规则业务逻辑合法性检测、遥控流程业务逻辑合法性检测、远方修改定值业务逻辑合法性检测。具体的：

规约规则业务逻辑合法性检测指检测规约数据交互流程上的合理性，如建立61850规约建立TCP连接后未进行初始化、通信恢复后长时间未收到总召唤命令。

遥控流程业务逻辑合法性检测指检测遥控流程是否符合业务逻辑规范，如增强型控制命令未发预令直接发正令。

远方修改定值业务逻辑合法性检测指检测远方修改定值流程是否符合修改定值的流程步骤要求。

步骤3、基于行为模式知识库对报文进行行为模式分析与检测认证，实现报文行为模式合法性检测，通过检测认证的报文为合法报文，表示通过入侵检测，否则为非法报文，给出告警信息或阻断。

进一步优选地，如图4所示，预先对主站和子站之间的报文群行为进行统计分析，生成行为模式知识库，具体为：

预先对主站和子站之间的报文群行为进行统计分析，生成行为模式知识库，具体为：收集主、子站通信报文，对报文群行为模式的分析有多个维度，应尽可能多挖掘出反映报文合法性特征的维度，并进行多维度统计分析，得出各维度的限值或特征，生成行为模式知识库。

所述维度包括报文通信量、报文流量的时间分布、特定时段的报文特征、报文的类型分布、不同规约的子站报文特点、不同类型变电站报文特点和报文错误次数；以报文类型分布为例，远程运维系统晚上一般不会有遥控命令报文。

其中，报文通信量包括指定长度时间段(可多种)的报文数据量的最小值、最大值和平均值；

报文流量的时间分布是指报文在某个时间段或特定时间段(如：每天、每周或每月等)的流量分布特点；

特定时段的报文特征包括工作日、节假日、事故发生时、事故高发季、检修工作日等的报文特征；

报文的类型分布是指不同类别的报文数量及流量分布情况；

所述报文的类型包括总召换、周期、突发(事件、告警或简报等)数据、各类召唤命令和修改命令等；

其中，1)总召唤一般是15分钟或者30分钟，并且是由主站端发起的，不同主站的总召唤周期一般来说是固定的，如果检测到总召唤周期有变化或总召唤过于频繁，则认为存在非法入侵；可以考虑在子站端来进行检测的，不同主站的总召唤周期；

2)周期：子站端设置，可以认为每个子站都不一样，但设置好以后就不会变，在主站端来统计、检测；

3)突发数据主要考虑遥信变位、事件、告警，由主站端统计、检测。只能根据过往报文统计最大值、平均值，据此来进行检测；

4)召唤命令一般较少(每站每分钟应不超过10次)，非工作时段应没有手工召唤命令；

5)修改命令一般较少(每站每分钟应不超过2次，修改定值命令每小时应不超过30次)，非工作时段应无修改命令；

不同规约的子站报文特点包括61850规约子站、103规约子站和智能录波器等的报文特点；

不同类型变电站报文特点包括普通变电站、发电厂和换流器站报文特点；

报文错误次数即指变电站错误报文次数。

通过检测认证的报文为合法报文，表示通过入侵检测，否则为非法报文，给出告警信息或阻断。具体为：

监视实际的特定时段的报文通信量并与统计的报文量进行比较，超出门槛值限制认为为非法报文；

监测特定时段的报文类型并与统计的报文类型分布进行比较，不一致或不一致的次数或时长超过门槛值认为为非法报文，如非工作时段出现下行修改报文。

针对变电站、规约进行报文通信量、报文类型监测，并与门槛值进行比较，如出现不一致或不一致次数或时长超出限制，认为为非法报文。如某个变电站的某类报文的报文量大大超出该子站的统计数据，则认为该变电站的该类型报文为非法报文。

本发明的一种继电保护远程运维入侵预防与检测系统，用于实现上述的继电保护远程运维入侵预防与检测方法，所述系统包括：

安全认证与传输模块，用于主站与子站进行双向身份安全认证，安全认证通过后进行报文传输，实现未经过安全认证直接进行报文传输的入侵行为的预防；

入侵行为检测模块，用于基于报文合法性专家规则，对传输的报文进行通信对象合法性、报文格式合法性、报文业务逻辑合法性检查，实现相应的网络入侵行为实时检测；

行为模式分析与检测认证模块，用于基于行为模式知识库对报文进行行为模式分析与检测认证，实现报文行为模式合法性检测。

本发明的有益效果在于，与现有技术相比，对经过二次设备、子站、通道和主站传输的继电保护远程运维网络报文进行网络入侵预防与检测，包括：主站与子站进行双向身份安全认证，安全认证通过后进行报文传输；基于报文合法性专家规则，对传输的报文进行通信对象合法性、报文格式合法性、报文业务逻辑合法性检查，实现相应的网络入侵行为实时检测；基于行为模式知识库对报文进行行为模式分析与检测认证。可有效提升继电保护远程运维网络本质安全水平。

本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其它自由传播的电磁波、通过波导或其它传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其它设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。