基于深度学习的电力工控流量应用层报文异常检测

准确可靠的电力工控流量异常检测方法是识别网络攻击和实现主动防御的关键手段，对于保证电网的安全稳定运行具有重要意义。文中针对现有电力工控流量异常检测方法存在的检测深度不足、攻击分类少、未知异常识别能力弱等问题，提出了一种基于飞蛾扑火优化(MFO)算法和一维卷积神经网络(1D-CNN)的电力工控流量应用层报文异常检测方法。首先，在深度协议解析的基础上对流量数据的应用层报文进行多维度特征提取；其次，利用随机森林算法计算特征重要度，剔除冗余特征；然后，训练所搭建的1D-CNN报文异常检测模型，并结合MFO算法进行超参数调优，提升模型性能；最后，利用Softmax分类器输出报文的异常检测结果。仿真结果验证了所提方法的有效性。     

提高数字化变电站关键报文传输可靠性方法研究

数字化变电站关键报文传输要求处理过程简单、时延小和具备一定的差错控制能力。以报文载体数据帧为研究对象,分析了关键报文的传输可靠性要求及其帧结构。依据报文帧的具体字段,分别分析了通过基于地址字段优化报文寻址、基于优先级字段设置减少时延、基于类型字段配置增加报文识别处理速度及基于内容字段的组成技术增加系统效率来保证报文传输可靠性的技术措施,展现了提高报文传输可靠性的途径与方法。结合基于以太网技术搭建的光纤过程层通信网络方案,说明了目前关键报文的传输可靠性满足数字化变电站的技术要求,可以满足实时性要求较高的技术应用。     

基于微型加密算法的IEC 61850-9-2LE报文加密方法

电力广域通信的发展使得电力采样数据大范围共享成为可能,但采样数据面临信息泄露和遭受恶意篡改的风险,经典的采样报文加密方法由于过大的运算耗时而难以在工程实践中应用。文中结合IEC 61850-9-2LE采样报文特点,提出一种针对采样报文关键内容进行微型加密算法(TEA)运算的加密方法,并利用循环冗余校验(CRC)验证码进行解密后的报文完整性检查。采用典型的电力系统嵌入式硬件平台进行定量的效率验证,所提方法加密含8个服务应用数据单元的IEC 61850-9-2LE报文信息仅耗时0.181 ms,满足电力实时报文传输处理时间4 ms的要求。     

提高数字化变电站关键报文传输可靠性方法研究

数字化变电站关键报文传输要求处理过程简单、时延小和具备一定的差错控制能力.以报文载体教据帧为研究对象,分析了关键报文的传输可靠性要求及其帧结构.依据报文帧的具体字段,分别分析了通过基于地址字段优化报文寻址、基于优先级字段设置减少时延、基于类型字段配置增加报文识别处理速度及基于内容字段的组成技术增加系统效率来保证报文传输可靠性的技术措施,展现了提高报文传输可靠性的途径与方法.结合基于以太网技术搭建的光纤过程层通信网络方案,说明了目前关键报文的传输可靠性满足数字化变电站的技术要求,可以满足实时性要求较高的技术应用.     

IEC 60870-5-103传输规约在中低压微机保护测控装置中应用

介绍了IEC 60870-5-103传输协议的参考模型与应用功能,指明了兼容范围、专用范围和通用分类服务3种信息交换方法的应用范围;结合变电站自动化系统中的中低压微机保护测控装置,把传输的信息分为公用、保护和测控3类,定义了上述不同信息采用的应用服务数据单元(ASDU)类型,说明了初始化过程与正常情况下的信息传输过程,分析了要求访问位(ACD)与1级数据传输的关系以及1级数据、2级数据的内容;给出了规约实现中的软件流程图、主要函数定义,针对固定帧长和可变帧长的报文,分析了报文解析和重发的机制,并针对不同类型的1级数据传输,提出了通过1级数据状态字控制的方法。     

ISO 15765机制在FlexRay网络中的研究与实现

FlexRay网络是新一代的车载通信网络,ISO 15765协议是当前汽车中使用最多的诊断协议,提出一种将ISO 15765机制应用于FlexRay网络的方法。基于FlexRay网络时分多址访问(TDMA)和柔性时分多址访问(FTDMA)的特点,通过分析静态段和动态段中有效载荷及数据帧传输时间,得到诊断报文的分段策略以及数据帧传输时必须满足的时延要求;针对FlexRay数据帧中不包含目的地址的情况,通过在帧有效载荷中增加表示地址的字段,实现诊断报文到FlexRay数据帧的映射。最后在CANoe上进行了仿真实验,验证了本方案的可行性。     

基于业务逻辑的电力业务报文攻击识别方法

针对电网测控终端的电力业务报文攻击极易造成电力一次设备误动,从而引发电力事故。电力业务报文攻击通常通过干扰正常业务逻辑达到攻击目的,已有攻击识别方法没有考虑业务逻辑,有效性比较差。因此,提出一种基于业务逻辑的电力业务报文攻击识别方法,该方法定义了电力业务逻辑状态链和黑白名单,将误用检测与异常检测方法相结合,基于业务逻辑黑白名单对业务的威胁度进行评估,并考虑电网时间风险与业务重要性,对威胁度进行修正,通过比较业务威胁度与安全阈值,实现对电力业务报文攻击的高效准确识别。给出了应用所提方法实现的一个攻击识别系统架构,并对实现后的系统进行了测试,验证了所提方法的有效性。     

基于模糊测试的GOOSE协议解析漏洞挖掘方法

现有工控协议模糊测试方法未考虑嵌入式终端系统特点,且对未采用传输控制协议/网际协议（TCP/IP）的工控协议研究较少。基于模糊测试提出一种通用面向对象变电站事件（GOOSE）协议解析漏洞挖掘方法。使用变异方式构造测试用例,给出基于GOOSE报文字段类型、抽象语法标记1（ASN.1）编码方式和比特翻转的3类变异策略;提出基于心跳报文和系统运行信息的终端异常监测方法。设计所提方法的实施系统架构和测试流程,在智能变电站实验室环境中,对某厂家嵌入式终端进行测试,发现2个未公开的GOOSE协议解析漏洞,验证所提方法的有效性,提出防范基于此类漏洞的畸形报文攻击的建议。     

适应变电站智能运维的智能协议转换方法

为了实现多源数据的融合应用,需要将采用不同数据交换协议的在线检测装置接入变电站智能运维诊断平台。针对这种实际需求,提出了一种具有"对方协议自动识别功能"和"自适应配置互转协议参数功能"的智能协议转换方法。通过判断数据帧的多个特殊字段,以初步确定报文遵循的数据交换协议。进而,试探数据帧的命令类型字段和校验码字段,以最终确定对方遵循的数据交换协议。通过"通信报文A—数据库—通信报文B"的相互转换模式,实现了"一对多"、"多对一"以及"多对多"的数据交换协议的相互转换。详细介绍了所提智能协议转换方法的实现方案及其技术细节。所提方法弥补了传统"一对一"协议转换器存在的不足,为各类在线检测装置接入变电站智能运维诊断平台提供了一种便捷方法。     

考虑双侧特征的电力信息物理系统异常检测方法

电力信息物理系统的主动异常检测能够弥补传统以隔离为主的防御手段的不足,实现对突破安全边界的攻击行为的检测。针对仅依靠信息侧通信特征的传统检测方法存在的高误报率及漏报率,文章计及电力系统状态对通信网络流量的影响,从信息-物理联合角度提出一种异常流量检测方法。该方法先通过数据驱动的通信行为特征异常检测方法实现异常流量初筛,同时提取异常流量对应物理侧特征,通过一种基于双侧特征的异常溯源方法区分故障流和攻击流,从而实现对攻击行为的准确检测。基于电力信息物理联合仿真平台实验构造了实验数据集,验证了所提方法能够在保证较高的攻击检测准确率的同时大幅降低误报率。     

电力物联网统一信息感知模型研究

本文提出一种基于云计算的电力物联网统一信息感知模型,通过将感知设备静态属性信息定义在应用层云端,减少实时传输数据的报文数,降低感知节点信息传输功耗,延长感知设备的生命周期。     

智能变电站过程层网络报文与流量分布计算方法

报文与流量分布的定量计算不仅能够对过程层网络组网方案进行评价,为设备选型提供量化依据,也能为网络异常保护提供判据和阈值整定。提出了过程层网络报文的描述与计算模型,包括过程层网络报文传输路径模型,设备输入流量计算模型,链路流量计算模型等。模型描述了过程层网络报文的整个传输行为,利用该模型能够在提取SCD文件中必要的计算要素的基础上,实现报文与流量分布的自动计算。并以典型110 kV变电站的过程层网络为例,并结合OPNET仿真对比,验证了该模型和方法的有效性。最后基于报文与流量计算方法,给出了网络异常保护的实现思路。     

工控网络异常行为的RST-SVM入侵检测方法

针对工业控制网络环境的复杂性和入侵检测要求的特殊性,提出了基于异常行为模式的入侵检测特征提取方法。以Modbus/TCP工业控制网络为检测对象,通过深度解析异常行为的操作模式,提取通信流量的入侵检测数据特征,同时,为了去除冗余的检测信息,利用粗糙集理论(RST)的方法进行检测特征的属性约简,最后结合支持向量机(SVM)算法的分类优点,并利用自适应遗传算法(AGA)进行模型参数优化,建立基于RST-SVM算法的自学习式入侵检测模型。根据实际的检测性能对检测特征和模型参数进行学习。研究表明,该方法降低了入侵检测模型的复杂度和检测时间,提高了对异常攻击行为的检测率,能够满足工控网络入侵检测高效性和实时性的要求。     

USB协议层

USB协议层描述了USB主机与USB设备交互时的语法和协议,从中定义了字段、包、事务和送传的结构,以及由字段到包、由包到事务、由事务到传送所组成的组织层次关系。协议同时还规范了数据链路的建立,正常或异常传送处理的动态过程。字段中分同步、包标识符、地址、帧号、数据和CRC校验等字段。包中分标记、帧起始、数据、握手4类包。事务中有批处理、控制、中断和同类4类事务。传送可分为控制、批处理、中断和同步4类传送。字段、包、事务和传送的命名和定义,实质上是为了满足不同需求的传送内容,在链路建立、数据传送及链路拆除的可靠执行中所采用的一系列保障措施。     

基于IEC 60870-5-104规约扩展的配电终端自描述功能实现方法研究

将IEC 61850标准运用到配电终端的建模中,使原本缺乏描述的数据具备描述信息。为了解决IEC 60870- 5-104协议不能传输终端描述信息的问题,分析了几种模型文件映射方法的优缺点,提出了利用104扩展协议传输描述信息的实现方法。参考IEC 60870-5-104规约的报文格式,设计用于传输装置自描述信息的报文,实现配电终端的自描述功能,并提出基于扩展104协议的终端描述信息更新机制。最终通过国电南瑞配电自动化系统试验论证了该方案的可行性。     

电力工控系统攻击威胁分析技术研究

随着信息化和工业化的深度融合以及物联网的快速发展,越来越多的信息技术被应用到工业领域,电力工控系统面临着网络攻击威胁。因此,必须针对电网工控系统的威胁进行有效的监测,才能及时发现可能存在的安全问题。通过对电力工控系统攻击威胁的分析,提出一种基于攻击树的电力工控安全的威胁模型。根据威胁模型,自下向上迭代地计算各个节点的威胁值,从而评估威胁风险等级。威胁值越大,威胁风险等级越高,并且通过电力工控系统中的嗅探实例验证了该方法的实用性。在威胁模型的基础上,设计了电力工控协议威胁识别与监测平台。     

基于特征抽取的电力工控系统入侵检测方法

随着电力工控系统内负荷终端的大量部署,系统遭受网络入侵的风险将极大提高。在将网络入侵检测技术应用于电力工控系统时,已开发的检测模型往往无法取得理想效果,而训练新的模型又将面临安全、隐私等原因造成的数据采集困难。因此,研究一种基于特征抽取的入侵检测方法,该方法通过堆叠稀疏自编码器结构提取抽象特征,以SVM(支持向量机)分类器为输出层实现入侵检测。在模型训练过程中引入迁移学习策略进行优化,经算例验证该方法能有效提升模型面向有限数量目标域内数据的检测效果和训练效率。     

对《电力负荷管理系统数据传输规约》内容的讨论

国家电网公司于2004年发布了<电力负荷管理系统数据传输规约-2004>,并待批成为国家电网公司企业标准和电力行业标准.文中指出这一协议分成应用层、链路层和物理层接口3个层次,但存在层次划分不够清晰、应用层中数据类定义不够明确和细致等缺陷,提出将协议划分为应用层、逻辑链路层、媒体访问控制层3个独立的层次.对于应用层设计,提出了由信息点、信息类和时间3个坐标组成三维信息模型,针对模型数据的读写操作形成协议的主要功能.     

智能变电站过程层交换机延时测量方案设计

智能变电站过程层网络SMV报文组网的传输方式已成为一种趋势。SMV报文组网的传输方式具有信息共享便捷的优势,但是SMV报文在网络交换设备交换机中传输的延时具有不确定性,这样就需要可靠的时钟源来进行同步,而且合并单元需要具备一定的守时能力。为了使SMV报文组网的传输方式不依赖外部时钟源,尝试对交换机进行改进,给出了一种基于FPGA的过程层SMV报文传输延时可测的交换机架构,提出了一种利用IEC 61850-9-2帧结构中Reserved字段测量并记录传输延时的方案。经过验证,该架构和方案可以准确地测量SMV报文在网络中传输的延时。     

对《电力负荷管理系统数据传输规约》内容的讨论

国家电网公司于2004年发布了《电力负荷管理系统数据传输规约—2004》，并待批成为国家电网公司企业标准和电力行业标准。文中指出这一协议分成应用层、链路层和物理层接口3个层次，但存在层次划分不够清晰、应用层中数据类定义不够明确和细致等缺陷，提出将协议划分为应用层、逻辑链路层、媒体访问控制层3个独立的层次。对于应用层设计，提出了由信息点、信息类和时间3个坐标组成三维信息模型，针对模型数据的读写操作形成协议的主要功能。