[发明专利]一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统

说明书

本发明公开了一种基于传统变电站配置文件和IEC103协议流量的安全审计方法，包括以下步骤：步骤(1)，根据传统变电站的配置文件的格式规范，编写IEC103协议解析引擎；步骤(2)，将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能，以获取传统变电站控制层的全息流量，通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析，获取传统变电站站内设备之间的通讯和控制的逻辑关系；步骤(3)，建立传统变电站的安全行为基线，对传统变电站控制网络的实时通讯进行解析判断，获取传统变电站异常行为。本发明的方法能够实现对传统变电站可能出现的安全风险进行全方位多角度的记录和分析，最终实现对传统变电站的安全审计。

技术领域

本发明涉及一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统。

背景技术

传统变电站的配置文件是对变电站设备及其连接情况的描述文件，存储了传统变电站现场设备IP/MAC地址与设备实际名称之间的对应关系，同时存储了传统变电站不同层级的设备信息，这些信息对传统变电站的业务审计起到了十分关键的作用。

传统变电站具有进行数据分析和取证的网络分析仪，目前在传统变电站场景下主要使用网络分析仪进行分析及告警。网络分析仪检测的对象如下：(1)IEC103协议报文；(2)UDP/TCP/ICMP/SNMP协议报文。网络分析仪主要实现在线通讯监视(各种异常告警)，通讯信息记录及分析，波形还原及异常告警(人机界面告警及硬接点输出告警)，数据检索及提取(按照时间段、报文类型、报文特征条件检索并提取报文列表)，数据转换(导出CAP格式或者COMTRADE格式)。

但是，网络分析仪只能对后台机和测控装置之间的网络通信报文进行提取，对涉及采样及跳闸过程给出告警，缺乏基于变电站配置文件与IEC103协议网络报文相结合的实时监控分析以及给出安全方面告警信息。

目前，在电力系统中，对各设备及其控制网络的安全审计方法主要采用基于DPI(Deep Packet Inspection，深度包检测)的业务识别方法。所谓“深度”是和普通的报文层次相比较而言，“普通报文检测”仅分析IP包的4层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而DPI除了对前面的层次分析外，还增加了应用层分析，识别各种应用以及内容。DPI的技术关键是高效的识别网络中的各种应用，通过对应用流中的数据报文内容进行检测，从而确定数据报文的真正应用。

但是，目前市场上的变电站安全审计系统一般仅适用于智能变电站，缺少适用于大量传统变电站的安全审计功能。因此，如何结合传统变电站的业务特点，针对传统变电站中常用的IEC103协议进行深度解析，提出一种能深度解析传统变电站的配置文件和IEC103协议的安全审计方法及系统，是目前亟待解决的问题。

发明内容

本发明目的在于弥补现有的传统变电站中，缺乏针对IEC103协议簇网络报文的实时监控分析以及安全方面告警信息给出的技术短板，现提供一种基于传统变电站配置文件和IEC103协议流量的安全审计方法及系统。

根据本发明的第一方面，提供了一种基于传统变电站配置文件和IEC103协议流量的安全审计方法。

在一些可选实施例中，所述方法包括以下步骤：

步骤(1)，根据传统变电站的配置文件的格式规范，编写IEC103协议解析引擎；

步骤(2)，将传统变电站的站控层、间隔层之间网络的交换机配置镜像功能，以获取传统变电站控制层的全息流量，通过IEC103协议解析引擎对传统变电站控制层的全息流量进行深度解析，获取传统变电站站内设备之间的通讯和控制的逻辑关系；

步骤(3)，根据传统变电站站内设备之间的通讯和控制关系，建立传统变电站的安全行为基线；基于该安全行为基线，对传统变电站控制网络的实时通讯进行解析判断，获取传统变电站异常行为。