[发明专利]一种对IEC61850数字变电站GOOSE报文的入侵检测的方法

权利要求书

1.一种对IEC61850数字变电站GOOSE报文的入侵检测的方法，其特征在于：所述方法包括如下步骤；

1）GOOSE报文的快速过滤及数据结构化：GOOSE报文的快速过滤及数据结构化机制是为了从IEC61850数字变电站中网络里各类报文中迅速提取出需要进行检测的GOOSE报文和对GOOSE报文内容进行数据结构化处理；

2）GOOSE报文的数据单元的多级关联检测：GOOSE报文通过快速过滤和数据结构化提取完成后，多级关联检测需要依次检测报文中的单元数据项，以完成对GOOSE数据包报文的合规性检测；

3）GOOSE报文的危害性评估：根据多级关联检测的方法将GOOSE的报文分为三个安全级别，安全级别“0”为可信，代表该GOOSE报文数据未包含任何威胁隐患，通过报文多级关联检测的报文归为“0”级；安全级别“-1”代表可疑报文，包含失序报文和非合规报文，其中所述失序报文是所述检测的方法中的报文状态和序列数检测所检出的，所述非合规报文是所述检测的方法中的报文时间检测所检测出来的；安全级别“-2”代表不可信报文，此类报文包含未通过数据项检测的报文，未通过数据项检测和报文状态及序列数检测的报文，未通过数据项检测和报文时间项检测的报文；

GOOSE报文过滤数据提取采用基于报文模板的多模式匹配，一次报文扫描完成GOOSE报文数据项的识别和数据的结构化处理；

所述GOOSE报文模板由多个数据项模板单元组成，每个数据项模板单元定义在两个“@”标识符之间，数据项模板单元由四部分组成，每部分彼此以“：”隔开；第一部分为所述单元数据项对应源报文的原始数据类型；第二部分为所述单元数据项在源报文中的数据长度，数据项长度不定时缺省为空；第三部分为所述单元数据项结构化后的数据类型；第四部分为所述数据项模板单元对应单元数据项的名称；

所述多模式匹配采用多模式树模板匹配技术，所述多模式树为根据GOOSE报文模板建立一棵模式匹配树，树的节点为所述数据项模板单元，每个所述数据项模板单元定义GOOSE报文的单元数据项的匹配模式；

GOOSE报文的数据单元的多级关联检测中的单元数据项检测包括GOOSE报文中的应用协议单元数据项检测。

2.根据权利要求1所述的一种对IEC61850数字变电站GOOSE报文的入侵检测的方法，其特征在于：所述2）中GOOSE数据包报文的合规性检测包括如下部分，1）GOOSE报文的以太网络类型及源目标MAC地址检测；2）GOOSE报文的变化序号及顺序序列号检测；3）GOOSE报文的时间检测。