[发明专利]基于IEC61850 SV报文运行态势模型的入侵检测方法和系统

说明书

本发明涉及智能电网安全技术领域，公开了一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统，通过收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据，将这些数据提供给机器学习算法训练学习，采用机器学习技术，对正常的SV数据报文的电网行为的学习，构建出该电网系统的基于SV报文测量值的数据合规模型。利用SV报文的测量值数据构建出的数据合规模型，用于检测IEC61850系统的异常SV报文，实现对各类入侵行为的实时检测。与现有技术相比，本发明解决了IEC62351在实际使用过程中的局限性和不适用性。

技术领域

本发明涉及智能电网安全技术领域，具体涉及一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统。

背景技术

IEC61850是基于通用网络通信平台的变电站自动化系统的国际标准，它可以实现变电站自动化系统产品的互操作性和协议转换。采用IEC61850标准可使变电站自动化设备具备自描述、自诊断和即插即用的特性，很大程度上使数字变电站系统的集成变得简单，减少了变电站自动化系统的开支。

IEC61850标准也使得智能电网的网络形态正从过去的封闭系统走向半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时，也带来了智能变电站的安全上的隐患。其中IEC61850数字变电站采用的基于开放标准的网络技术之上，导致系统的安全性降低。具体表现为IEC61850协议本身并没有考虑任何安全措施，一旦攻击者绕过物理防护，直接进入调度中心和变电站网络，可直接通过通信协议实现对智能变电站设备的控制。

IEC62351协议标准实现了对IEC61850协议的安全加固，使得IEC61850协议具有了这些基本的安全功能。这种加固主要包括：1、通过数字签名，提供节点的双向身份认证；2、通过加密，提供传输层认证、加密密钥的机密性；3、通过加密，提供传输层及以上层次消息的机密性，防止窃听；4、通过消息鉴别码，提供传输层及以上层次消息的完整性；5、通过定义传输序列号有效性，防止传输层的重放和欺骗。由此可见，IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上，而在实际生产环境中这些安全加固方法无法适用于的IEC61850中的SV实时性要求极高的报文。

SV(Sampled Measured Value)报文中的采样测量值，是一种用于实时传输数字采样信息的服务。IEC61850数字变电站中常用SV服务来传递各类测量模拟量，比如变电站中各相电流电压的数值。数字变电站中的各类测量数据都以明文形式传送，很容易被修改或注入非法的SV报文，而非法的变电站测量数据会引起主站发出错误的操作指令，引起数字变电站的智能设备的错误动作。所以SV报文的安全性变得非常重要，而由于SV报文的实时性要求高的特点，因此IEC61850标准中的SV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成，需要重新寻找一套针对智能设备间SV明文传输的报文安全加固和入侵检测解决方案，来保护智能变电站的安全运行。

发明内容

发明目的：针对现有技术中存在的问题，本发明提供一种基于IEC61850 SV报文运行态势模型的入侵检测方法和系统，解决了IEC62351在实际使用过程中的局限性和不适用性，采用机器学习技术，通过对正常的SV数据报文的电网行为的学习，建立SV报文行为的合规行为模型，利用SV合规行为模型，实时检测SV数据报文的异常行为，实现对各类入侵行为的实时检测。

技术方案：本发明提供了一种基于IEC61850 SV报文运行态势模型的入侵检测方法，包括如下步骤：

步骤1：SV报文采集还原，将二进制SV报文流转换为可被解析的帧结构的SV报文；

步骤2：收集一定时间段智能变电站系统中各位置SV报文中的各类测量值数据，将所述数据提供给机器学习算法训练学习，构建基于SV报文测量值的数据合规模型；

步骤3：利用所述数据合规模型实现对当前运行的智能变电站中产生的SV报文异常入侵检测。