一種基于繼電保護與安全自動裝置時間協同拒動的網絡攻擊檢測方法，是在繼電保護與安全自動裝置上電運行后，通過繼電保護與安全自動裝置的測試儀增設的時鐘加速調整模塊，使繼電保護與安全自動裝置的系統時鐘進行連續每隔一固定時段加快相同時段的調整，同時在每次調整后給繼電保護與安全自動裝置輸入故障信號，檢測繼電保護與安全自動裝置在該故障信號下是否發出相應的控制指令，以檢測繼電保護與安全自動裝置是否含有時間協同拒動邏輯炸彈。本方法解決了繼電保護與安全自動裝置無法檢測時間協同拒動邏輯炸彈的問題，通過本方法可檢測出繼電保護與安全自動裝置中潛藏的時間協同拒動邏輯炸彈，能提高電力系統的網絡安全防護能力。

技術領域

本發明涉及一種繼電保護與安全自動裝置的安全防護方法，具體涉及一種基于繼電保護與安全自動裝置時間協同拒動的網絡攻擊檢測方法。

背景技術

作為現代社會的關鍵性基礎設施，電力系統是國家級網絡對抗的重要目標。電力系統在日常的運行中難免會發生故障，繼電保護與安全自動裝置能反應電氣設備的故障和不正常工作狀態并快速、有選擇地動作，將故障設備從系統中切除，保證正常故障設備繼續正常運行，將事故限制在最小范圍，提高系統運行的可靠性，最大限度地保證向用戶安全、連續供電。繼電保護與安全自動裝置的拒動對電力設備及電網穩定運行有著巨大的危害。檢測發現繼電保護與安全自動裝置潛在的軟、硬件缺陷，檢驗其工作性能，保證裝置的正確動作，避免繼電保護與安全自動裝置在故障和擾動時拒動，是設備廠商和電網公司必須解決的問題。

目前，以電力系統等關鍵性基礎設施為目標的惡意軟件攻擊受到高度關注。電力系統網絡安全防護措施極為嚴密，一般攻擊方很難滲透入侵。具有豐富資源的敵對組織制作的惡意軟件可利用零日漏洞進行傳播和選擇性攻擊，可以在繼電保護與安全自動裝置生產、安裝和調試過程中植入惡意軟件。電力系統對廠商接入主要依賴病毒軟件檢測，但病毒檢測依賴于已有的病毒代碼特征庫，病毒代碼特征庫中沒有利用零日漏洞的新興病毒的特征代碼，因此傳統的病毒檢測等安全防護手段不能有效監測與防范利用零日漏洞的新興病毒的攻擊，如敵對組織在繼電保護與安全自動裝置中埋藏時間邏輯炸彈，將會在約定時刻造成攻擊破壞。2002年，南京某公司在全國各電網安裝的100余臺故障錄波器就曾發生過因觸發時間邏輯炸彈而在約定時間閉鎖錄波功能、不能正常使用的案件。由于繼電保護與安全自動化裝置直接涉及電網的保護控制，如果在繼電保護與安全自動裝置中埋藏時間邏輯炸彈，可能造成大量繼電保護與安全自動裝置在特定時間之后不能正確地執行保護與控制功能，在電網發生故障或擾動時拒動，將會擴大事故范圍，造成災難性的后果，其中：

電力系統在短路故障時，故障點所在線路將產生明顯高于正常負荷電流的故障電流，故障點流過的故障電流也會明顯拉低故障點近鄰的母線節點電壓。繼電保護與安全自動化裝置在監測到達到預定閾值的過電流、低電壓以及伴隨低電壓的過電流時，會動作切除被保護設備，以隔離故障、保障設備安全。潛伏于繼電保護與安全自動裝置中的時間同步邏輯炸彈，可在到達預定時間后閉鎖繼電保護與安全自動裝置的控制功能，在電網發生故障擾動時，使繼電保護與安全自動裝置不能動作與預設的過電流、低電壓以及伴隨低電壓的過電流。

電力系統在故障擾動下可能出現頻率偏高/偏低的情況，電網頻率明顯偏離50hZ工作頻率時，除功率不平衡威脅電網安全外，還可能導致電機工作異常，損毀電機。為保障電網與電力設備安全，繼電保護與安全自動裝置會根據預設的動作頻率，在檢測到電網頻率達到預設頻率時執行切機(高頻切除發電機)切負荷(低頻時切除負荷)等控制指令，在保護設備的同時恢復電網的功率平衡，保障電網安全。潛伏于繼電保護與安全自動裝置中的時間同步邏輯炸彈，可在到達預定時間后閉鎖繼電保護與安全自動裝置的控制功能，在電網發生故障擾動時，使繼電保護與安全自動裝置不能動作與預設的頻率。

目前，繼電保護與安全自動裝置的型式試驗、例行試驗、驗收試驗和鑒定試驗主要進行功能性試驗和可靠性測試，對于繼電保護與安全自動裝置在網絡安全方面的測試與檢驗則相對簡單，主要測試有否安全漏洞、是否亂發數據包以及在系統網絡風暴時是否會誤動或拒動，卻無檢測邏輯炸彈的方法與系統。

發明內容