本發(fā)明公開了一種基于傳統(tǒng)變電站配置文件和IEC103協(xié)議流量的安全審計(jì)方法，包括以下步驟：步驟(1)，根據(jù)傳統(tǒng)變電站的配置文件的格式規(guī)范，編寫IEC103協(xié)議解析引擎；步驟(2)，將傳統(tǒng)變電站的站控層、間隔層之間網(wǎng)絡(luò)的交換機(jī)配置鏡像功能，以獲取傳統(tǒng)變電站控制層的全息流量，通過IEC103協(xié)議解析引擎對傳統(tǒng)變電站控制層的全息流量進(jìn)行深度解析，獲取傳統(tǒng)變電站站內(nèi)設(shè)備之間的通訊和控制的邏輯關(guān)系；步驟(3)，建立傳統(tǒng)變電站的安全行為基線，對傳統(tǒng)變電站控制網(wǎng)絡(luò)的實(shí)時(shí)通訊進(jìn)行解析判斷，獲取傳統(tǒng)變電站異常行為。本發(fā)明的方法能夠?qū)崿F(xiàn)對傳統(tǒng)變電站可能出現(xiàn)的安全風(fēng)險(xiǎn)進(jìn)行全方位多角度的記錄和分析，最終實(shí)現(xiàn)對傳統(tǒng)變電站的安全審計(jì)。

技術(shù)領(lǐng)域

本發(fā)明涉及一種基于傳統(tǒng)變電站配置文件和IEC103協(xié)議流量的安全審計(jì)方法及系統(tǒng)。

背景技術(shù)

傳統(tǒng)變電站的配置文件是對變電站設(shè)備及其連接情況的描述文件，存儲(chǔ)了傳統(tǒng)變電站現(xiàn)場設(shè)備IP/MAC地址與設(shè)備實(shí)際名稱之間的對應(yīng)關(guān)系，同時(shí)存儲(chǔ)了傳統(tǒng)變電站不同層級的設(shè)備信息，這些信息對傳統(tǒng)變電站的業(yè)務(wù)審計(jì)起到了十分關(guān)鍵的作用。

傳統(tǒng)變電站具有進(jìn)行數(shù)據(jù)分析和取證的網(wǎng)絡(luò)分析儀，目前在傳統(tǒng)變電站場景下主要使用網(wǎng)絡(luò)分析儀進(jìn)行分析及告警。網(wǎng)絡(luò)分析儀檢測的對象如下：(1)IEC103協(xié)議報(bào)文；(2)UDP/TCP/ICMP/SNMP協(xié)議報(bào)文。網(wǎng)絡(luò)分析儀主要實(shí)現(xiàn)在線通訊監(jiān)視(各種異常告警)，通訊信息記錄及分析，波形還原及異常告警(人機(jī)界面告警及硬接點(diǎn)輸出告警)，數(shù)據(jù)檢索及提取(按照時(shí)間段、報(bào)文類型、報(bào)文特征條件檢索并提取報(bào)文列表)，數(shù)據(jù)轉(zhuǎn)換(導(dǎo)出CAP格式或者COMTRADE格式)。

但是，網(wǎng)絡(luò)分析儀只能對后臺機(jī)和測控裝置之間的網(wǎng)絡(luò)通信報(bào)文進(jìn)行提取，對涉及采樣及跳閘過程給出告警，缺乏基于變電站配置文件與IEC103協(xié)議網(wǎng)絡(luò)報(bào)文相結(jié)合的實(shí)時(shí)監(jiān)控分析以及給出安全方面告警信息。

目前，在電力系統(tǒng)中，對各設(shè)備及其控制網(wǎng)絡(luò)的安全審計(jì)方法主要采用基于DPI(Deep Packet Inspection，深度包檢測)的業(yè)務(wù)識別方法。所謂“深度”是和普通的報(bào)文層次相比較而言，“普通報(bào)文檢測”僅分析IP包的4層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而DPI除了對前面的層次分析外，還增加了應(yīng)用層分析，識別各種應(yīng)用以及內(nèi)容。DPI的技術(shù)關(guān)鍵是高效的識別網(wǎng)絡(luò)中的各種應(yīng)用，通過對應(yīng)用流中的數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行檢測，從而確定數(shù)據(jù)報(bào)文的真正應(yīng)用。

但是，目前市場上的變電站安全審計(jì)系統(tǒng)一般僅適用于智能變電站，缺少適用于大量傳統(tǒng)變電站的安全審計(jì)功能。因此，如何結(jié)合傳統(tǒng)變電站的業(yè)務(wù)特點(diǎn)，針對傳統(tǒng)變電站中常用的IEC103協(xié)議進(jìn)行深度解析，提出一種能深度解析傳統(tǒng)變電站的配置文件和IEC103協(xié)議的安全審計(jì)方法及系統(tǒng)，是目前亟待解決的問題。

發(fā)明內(nèi)容

本發(fā)明目的在于彌補(bǔ)現(xiàn)有的傳統(tǒng)變電站中，缺乏針對IEC103協(xié)議簇網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)監(jiān)控分析以及安全方面告警信息給出的技術(shù)短板，現(xiàn)提供一種基于傳統(tǒng)變電站配置文件和IEC103協(xié)議流量的安全審計(jì)方法及系統(tǒng)。

根據(jù)本發(fā)明的第一方面，提供了一種基于傳統(tǒng)變電站配置文件和IEC103協(xié)議流量的安全審計(jì)方法。

在一些可選實(shí)施例中，所述方法包括以下步驟：

步驟(1)，根據(jù)傳統(tǒng)變電站的配置文件的格式規(guī)范，編寫IEC103協(xié)議解析引擎；

步驟(2)，將傳統(tǒng)變電站的站控層、間隔層之間網(wǎng)絡(luò)的交換機(jī)配置鏡像功能，以獲取傳統(tǒng)變電站控制層的全息流量，通過IEC103協(xié)議解析引擎對傳統(tǒng)變電站控制層的全息流量進(jìn)行深度解析，獲取傳統(tǒng)變電站站內(nèi)設(shè)備之間的通訊和控制的邏輯關(guān)系；

步驟(3)，根據(jù)傳統(tǒng)變電站站內(nèi)設(shè)備之間的通訊和控制關(guān)系，建立傳統(tǒng)變電站的安全行為基線；基于該安全行為基線，對傳統(tǒng)變電站控制網(wǎng)絡(luò)的實(shí)時(shí)通訊進(jìn)行解析判斷，獲取傳統(tǒng)變電站異常行為。