本發(fā)明公開了一種通信異常檢測方法、裝置、電子設備及存儲介質，方法包括：接收網(wǎng)絡報文，并篩選出網(wǎng)絡報文中的IEC61850協(xié)議報文；確定IEC61850協(xié)議報文的報文類型、源設備和目標設備；判斷源設備的網(wǎng)絡訪問行為是否存在攻擊行為且目標設備是否為工控設備；攻擊行為包括端口掃描攻擊或ARP欺騙攻擊；當確定源設備的網(wǎng)絡訪問行為存在攻擊行為且目標設備為工控設備時，則根據(jù)報文類型確定源設備的通信異常類型。本方法利用源設備歷史的攻擊行為判斷源設備和工控設備之間是否存在通信風險，進而可結合報文類型準確判定源設備的通信異常類型，能夠對基于IEC61850協(xié)議的異常通信進行有效檢測和防護。

技術領域

本發(fā)明涉及智能變電站領域，特別涉及一種通信異常檢測方法、裝置、電子設備及計算機可讀存儲介質。

背景技術

在智能變電站系統(tǒng)中，智能裝置之間的通信主要依靠IEC61850協(xié)議實現(xiàn)，由于智能裝置之間的關聯(lián)緊密，一旦某個智能裝置遭到惡意攻擊，將會影響整個智能變電站內的通信。然而在相關技術中，僅根據(jù)IEC61850協(xié)議的網(wǎng)絡報文特征難以判定智能裝置存在通信異常。

因此，如何有效對IEC61850協(xié)議報文進行通信異常檢測，是本領域技術人員需要面對的技術問題。

發(fā)明內容

本發(fā)明的目的是提供一種通信異常檢測方法、裝置、電子設備及計算機可讀存儲介質，可利用源設備的網(wǎng)絡訪問行為邊界判斷源設備和工控設備之間是否存在通信風險，進而可結合報文類型準確判定源設備的通信異常類型，能夠對基于IEC61850協(xié)議的異常通信進行有效檢測和防護。

為解決上述技術問題，本發(fā)明提供一種通信異常檢測方法，包括：

接收網(wǎng)絡報文，并篩選出所述網(wǎng)絡報文中的IEC61850協(xié)議報文；

確定所述IEC61850協(xié)議報文的報文類型、源設備和目標設備；

判斷所述源設備的網(wǎng)絡訪問行為是否存在攻擊行為且所述目標設備是否為工控設備；所述攻擊行為包括端口掃描攻擊或ARP欺騙攻擊；

當確定所述源設備的網(wǎng)絡訪問行為存在攻擊行為且所述目標設備為所述工控設備時，則根據(jù)所述報文類型確定所述源設備的通信異常類型。

可選地，所述根據(jù)所述報文類型確定所述源設備的通信異常類型，包括：

若所述報文類型為TCP連接報文，則判定所述通信異常類型為異常連接所述工控設備，并將所述源設備標記為異常設備及輸出表示所述異常連接所述工控設備的攻擊告警；

若所述報文類型為遙信報文或遙控報文且所述源設備為所述異常設備，則判定所述通信異常類型為異常控制所述工控設備，并輸出從所述IEC61850協(xié)議報文中提取的開關名稱及表示所述異常控制所述工控設備的攻擊告警。

可選地，在篩選出所述網(wǎng)絡報文中的IEC61850協(xié)議報文之前，還包括：

確定所述網(wǎng)絡報文中的源設備及對應的網(wǎng)絡訪問行為；

利用預設網(wǎng)絡訪問行為表對所述網(wǎng)絡訪問行為進行驗證，確定所述網(wǎng)絡訪問行為是否為所述攻擊行為；所述預設網(wǎng)絡訪問行為表中包含監(jiān)聽范圍內的源設備和目標設備原有的網(wǎng)絡訪問行為；

若是，則將所述網(wǎng)絡訪問行為標記為所述源設備的攻擊行為。

可選地，所述利用預設網(wǎng)絡訪問行為表對所述網(wǎng)絡訪問行為進行驗證，確定所述網(wǎng)絡訪問行為是否為所述攻擊行為，包括：

確定接收所述網(wǎng)絡報文的時間點，并將所述時間點及所述網(wǎng)絡訪問行為記錄于網(wǎng)絡訪問行為表中；

當所述網(wǎng)絡報文使用的網(wǎng)絡端口為IEC61850協(xié)議的服務端口時，判斷所述網(wǎng)絡訪問行為是否處于所述預設網(wǎng)絡訪問行為表中；