一種基于SCD解析的智能變電站安全審計方法,本發明公開了一種基于SCD解析的智能變電站安全審計方法，包括的步驟是：步驟1),將智能變電站的站控層、間隔層、過程層的交換機旁路連接在智能變電站監控系統網絡的安全審計系統的服務器上，將網絡安全審計系統與業務場景進行融合，解析智能變電站SCD文件作為業務場景的入口；步驟2)將SCD文件解析后的數據入庫，與通過網絡流量解析獲得的數據文件進行關聯，建立專屬于智能變電站場景的業務行為基線；步驟3)基于業務行為基線，診斷資產、路徑錯誤這些專屬于智能變電站場景的業務并進行告警。本發明方案深度解析IEC 61850協議簇，對智能變電站場景下可能發生的安全風險進行全方位多角度的安全分析。實現對智能變電站的安全審計。

技術領域

本發明涉及一種基于SCD解析的智能變電站安全審計方法。

背景技術

SCD(substation configuration description)即全站系統配置文件是變電站IEC61850標準中的重要組成部分。SCD文件存儲了變電站現場設備IP地址與設備實際名稱之間的對應關系，同時存儲了變電站的不同層級的資產信息，這些信息對智能變電站的業務審計起到了十分關鍵的作用。

智能變電站具有進行數據分析和取證的網絡分析儀，目前在智能變電站場景下主要使用網絡分析儀進行分析及告警。

網絡分析儀檢測的對象如下：

i.SV采樣值報文(傳輸電流、電壓的測量值)

ii.面向通用對象的變電站事件(GOOSE)報文(傳輸控制命令和狀態信息)

iii.基于制造報文規范MMS協議報文(后臺與保護、測控設備之間的數據讀寫、目錄列表上送、事件列表上送服務)

iv.PTP1588對時報文

網絡分析儀主要實現在線通訊監視(各種異常告警)；通訊信息記錄及分析(鏈路，MMS，GOOSE,SV報文進行分析)；波形還原及異常告警(人機界面告警及硬接點輸出告警)；數據檢索及提取(按照時間段、報文類型、報文特征(如異常標記、APPID)條件檢索并提取報文列表)；數據轉換(導出CAP格式或者COMTRADE格式)

但是網絡分析儀只能對后臺機和測控裝置之間的網絡通信報文進行提取，對涉及采樣及跳閘過程給出告警，而缺乏針對IEC 61850協議簇網絡報文的實時監控分析以及安全方面告警信息的給出。

目前，針對智能變電站各資產的網絡安全審計主要采用基于DPI的業務識別方法，DPI意為Deep Packet Inspection，即深度包檢測。所謂“深度”是和普通的報文層次相比較而言，“普通報文檢測”僅分析IP包的4層以下的內容，包括源地址、目的地址、源端口、目的端口以及協議類型，而DPI除了對前面的層次分析外，還增加了應用層分析，識別各種應用以及內容。DPI的技術關鍵是高效的識別網絡中的各種應用。通過對應用流中的數據報文內容進行檢測，從而確定數據報文的真正應用。

推廣到智能變電站的網絡審計應用，除了對智能變電站站控層后臺機、遠動裝置以及間隔層測控保護裝置的源地址、目的地址、源端口、目的端口、協議類型進行行為審計解析外，還未針對智能變電站全站通訊協議IEC 61850協議簇進行深度的應用解析，實現針對智能變電站網絡通訊協議的DPI深度包的檢測。

結合智能變電站的業務特點，急需一套能深度解析IEC 61850協議簇，能充分解析智能變電站SCD文件的基礎上進行行為基線的安全審計；并對智能變電站場景下可能發生的安全風險進行全方位多角度的安全分析的審計系統。

發明內容

本發明的一個目的在于彌補現有的智能變電站中，缺乏針對IEC 61850協議簇網絡報文的實時監控分析以及安全方面告警信息給出的技術短板。為實現上述目的，現提供