[发明专利]一种变电站的网络风险监测方法及系统

权利要求书

1.一种变电站的网络风险监测方法，其特征在于，包括：

根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型，所述运维信息模型包括基础模型、安全特性模型、功能服务模型和性能约束模型，其中，所述基础模型为通过对专用设备、通用硬件的特征进行分析，生成反应资源和依赖关系的模型，所述安全特性模型为在所述基础模型中设定安全约束条件，并建立网络通信对流量静态、动态的约束条件形成的模型，所述功能服务模型为定义变电站监控系统的功能节点，建立功能节点之间的功能涵盖关系及依赖关联的模型，所述性能约束模型为定义功能节点对性能指标的要求阀值，建立功能节点对于性能数据流的关联关系的模型；

采集监控数据，所述监控数据包括网络设备的运行、性能、告警、日志、业务系统运行告警信息、站控层与数据网交换机的网络数据记录；

根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录；

通过 IEC61850-MMS 接口向主站上送异常信息与记录、监控数据；

接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理。

2.根据权利要求 1 所述的变电站的网络风险监测方法，其特征在于，所

述根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型的步骤包括：

根据 IEC61970 CIM 标准，通过对专用设备、通用硬件的特征进行分析， 生成反应资源和依赖关系的基础模型；

在所述基础模型中设定安全约束条件，并建立网络通信对流量静态、动态的约束条件，生成安全特性模型，其中，所述安全约束条件包括网络边界、内部区域、节点通信权限、节点安全；

定义变电站监控系统的功能节点，建立功能节点之间的功能涵盖关系及依赖关联，以生成功能服务模型；

定义功能节点对性能指标的要求阀值，建立功能节点对于性能数据流的关联关系，生成性能约束模型。

3.根据权利要求 1 所述的变电站的网络风险监测方法，其特征在于，所述根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录的步骤，包括：

根据安全特性模型，对设备 IP 进行白名单监测，识别 IP 的安全性越界、异常退出、连接数越限情况记录并生成告警；分析通信报文流量信息，识别非法通信流量；

对识别出的非法通信进行模式匹配，将网络数据与已知攻击特征和误用库进行比较来发现违背安全策略的入侵行为；

根据运维信息模型，统计正常使用时的带宽流量、网络突变、连接方向、访问次数、通信重连次数和延时，当统计值大于预设阈值时，判断有网络异常发生，记录并生成告警；

判断是否存在网络非法接入、非法互联，记录并生成告警；

对识别出的非法通信和网络异常的通信流量进行通信协议分析，以检测到应用层的攻击或程序缺陷，并记录、生成告警。

4.根据权利要求 1 所述的变电站的网络风险监测方法，其特征在于，所述接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理的步骤，包括：

接收主站的控制指令，判断控制指令类型；

当控制指令类型为白名单修订类型时，启动远程临时维护信息操作，修订白名单监测参数；

当控制指令类型为硬件开关控制类型时，启动前端装置硬件开关，接通用于远程维护的纵向加密认证装置网络接口，接收主站的遥控关闭硬件指令，对设备进行远程操作。