本發(fā)明公開了一種對(duì)IEC61850數(shù)字變電站GOOSE報(bào)文的入侵檢測(cè)的方法，方法主要有三個(gè)步驟組成，GOOSE報(bào)文快速過濾及數(shù)據(jù)結(jié)構(gòu)化、GOOSE報(bào)文的多級(jí)關(guān)聯(lián)檢測(cè)、GOOSE報(bào)文的危害評(píng)估；本發(fā)明提供一種對(duì)IEC61850數(shù)字變電站GOOSE報(bào)文的入侵檢測(cè)的實(shí)現(xiàn)方法，目的在于解決現(xiàn)有技術(shù)中IEC61850標(biāo)準(zhǔn)中的GOOSE報(bào)文的安全加固在實(shí)際應(yīng)用中通常無法通過IEC62351的加密和數(shù)字驗(yàn)證的方法來完成。

技術(shù)領(lǐng)域

本發(fā)明屬于IEC61850數(shù)字變電站安全領(lǐng)域，采用報(bào)文模板匹配技術(shù)完成GOOSE數(shù)據(jù)包數(shù)據(jù)的結(jié)構(gòu)化呈現(xiàn)還原，通過報(bào)文數(shù)據(jù)項(xiàng)的上下文多級(jí)關(guān)聯(lián)分析技術(shù)，實(shí)現(xiàn)一種對(duì)IEC61850智能變電站中的GOOSE數(shù)據(jù)報(bào)文的入侵檢測(cè)方法。

背景技術(shù)

IEC61850是基于通用網(wǎng)絡(luò)通信平臺(tái)的變電站自動(dòng)化系統(tǒng)的國際標(biāo)準(zhǔn)，它可以實(shí)現(xiàn)變電站自動(dòng)化系統(tǒng)產(chǎn)品的互操作性和協(xié)議轉(zhuǎn)換。采用IEC61850標(biāo)準(zhǔn)可使變電站自動(dòng)化設(shè)備具備自描述、自診斷和即插即用的特性，很大程度上使數(shù)字變電站系統(tǒng)的集成變得簡(jiǎn)單，減少了變電站自動(dòng)化系統(tǒng)的開支。

IEC61850標(biāo)準(zhǔn)也使得智能電網(wǎng)的網(wǎng)絡(luò)形態(tài)正從過去的封閉系統(tǒng)走向半封閉和逐漸開放。這個(gè)變化過程加速了變電站智能化的進(jìn)程的同時(shí)，也帶來了智能變電站的安全上的隱患。其中IEC61850數(shù)字變電站采用的基于開放標(biāo)準(zhǔn)的網(wǎng)絡(luò)技術(shù)之上，導(dǎo)致系統(tǒng)的安全性降低。具體表現(xiàn)為IEC61850協(xié)議本身并沒有考慮任何安全措施，一旦攻擊者繞過物理防護(hù)，直接進(jìn)入調(diào)度中心和變電站網(wǎng)絡(luò)，可直接通過通信協(xié)議實(shí)現(xiàn)對(duì)智能變電站設(shè)備的控制。

IEC62351協(xié)議標(biāo)準(zhǔn)實(shí)現(xiàn)了對(duì)IEC61850協(xié)議的安全加固，使得IEC61850協(xié)議具有了這些基本的安全功能。這種加固主要包括：1，通過通過數(shù)字簽名,提供節(jié)點(diǎn)的雙向身份認(rèn)證；2，通過加密，提供傳輸層認(rèn)證、加密密鑰的機(jī)密性；3，通過加密，提供傳輸層及以上層次消息的機(jī)密性，防止竊聽；4，通過消息鑒別碼，提供傳輸層及以上層次消息的完整性；5，通過定義傳輸序列號(hào)有效性，防止傳輸層的重放和欺騙。由此可見，IEC62351協(xié)議對(duì)IEC61850協(xié)議的安全性加固是建立在加密和信息的數(shù)字驗(yàn)證基礎(chǔ)之上，而在實(shí)際生產(chǎn)環(huán)境中這些安全加固方法無法適用于的IEC61850中的GOOSE實(shí)時(shí)性要求極高的報(bào)文。

通用面向?qū)ο蟮淖冸娬臼录礼OOSE服務(wù)是IEC61850提供的一個(gè)重要服務(wù)模型，為IEC61850數(shù)字變電站中各類IED智能設(shè)備提供了一種快速且高效的網(wǎng)絡(luò)通訊方式。任何一IED智能設(shè)備通過以太網(wǎng)與其它IED設(shè)備相連，可通過GOOSE協(xié)議以訂閱方式接收數(shù)據(jù)，也可以發(fā)布方式向其它IED設(shè)備提供數(shù)據(jù)。GOOSE傳輸是一種實(shí)時(shí)應(yīng)用，主要傳輸間隔閉鎖信號(hào)跳閘信號(hào)。根據(jù)IEC61850協(xié)議規(guī)定，GOOSE信息響應(yīng)時(shí)間標(biāo)準(zhǔn)規(guī)定在4ms以內(nèi)，而目前通常的IED設(shè)備采用的都是低功耗的CPU，這類CPU的計(jì)算功能并不是很強(qiáng)大，而對(duì)GOOSE報(bào)文的加解密和數(shù)字認(rèn)證過程會(huì)極大地占用IED設(shè)備的CPU的使用時(shí)間，導(dǎo)致IED設(shè)備的運(yùn)行效率極度下降，使得IED設(shè)備對(duì)GOOSE報(bào)文的響應(yīng)時(shí)間無法在4ms內(nèi)完成，從而影響了整個(gè)數(shù)字變電站的正常運(yùn)行。

由于GOOSE報(bào)文的實(shí)時(shí)性要求高的特點(diǎn)，因此IEC61850標(biāo)準(zhǔn)中的GOOSE報(bào)文的安全加固在實(shí)際應(yīng)用中通常無法通過IEC62351的加密和數(shù)字驗(yàn)證的方法來完成，需要重新尋找一套適合目前各類智能變電站實(shí)際情況的GOOSE報(bào)文安全加固和入侵檢測(cè)解決方案，來保護(hù)智能變電站的安全運(yùn)行。

發(fā)明內(nèi)容

本發(fā)明提供一種對(duì)IEC61850數(shù)字變電站GOOSE報(bào)文的入侵檢測(cè)的實(shí)現(xiàn)方法，目的在于解決現(xiàn)有技術(shù)中IEC61850標(biāo)準(zhǔn)中的GOOSE報(bào)文的安全加固在實(shí)際應(yīng)用中通常無法通過IEC62351的加密和數(shù)字驗(yàn)證的方法來完成。

本發(fā)明通過以下技術(shù)方案實(shí)現(xiàn)：

一種對(duì)IEC61850數(shù)字變電站GOOSE報(bào)文的入侵檢測(cè)的方法，其特征在于：所述實(shí)現(xiàn)方法包括如下步驟；