一种变电站的网络风险监测方法及系统与流程

本发明涉及变电站管理控制领域，尤其涉及一种变电站的网络风险监测方法及系统。

背景技术：

变电站辅助监控通常包括如综自系统、远动系统、pmu、电量采集、保信子系统以及调度数据交换机、站控层交换机、防火墙、网络隔离装置、纵向加密认证装置等许多设备。通常各子系统独立运行，各子系统之间无法相互联动，在运维管理及网络安全上主要存在如下问题：

(1)缺少网络安全风险预警机制，一旦系统出现故障时，运维人员难以在大量网络数据中去及时发现原因。

(2)根据电力监控系统安全规定，变电站控制大区不能与互联网连接，最新病毒检测库无法直接更新，已有防毒措施在区内难以及时发挥作用。

(3)根据变电站安全规程，工作任务和安全措施并未对笔记本或移动存储接入有技术约束要求，同时也缺乏技术手段监视接入过程，一旦设备感染病毒，可能会导致网络风暴、设备异常等严重情况。

(4)现有内网监管平台侧重于对变电站安全设备事件采集、集中展现与实时告警，信息局限于事件层面，且海量信息对辅助分析网络风险根源作用有限。

技术实现要素：

本发明提供一种变电站的网络风险监测方法及系统，解决现有技术中变电站网络安全监控运维人员难以在大量网络数据中去及时发现原因，最新病毒检测库无法直接更新，未对笔记本或移动存储接入有技术约束要求的技术问题。

本发明的目的是通过以下技术方案实现的：

一种变电站的网络风险监测方法，包括：

根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型，所述运维信息模型包括基础模型、安全特性模型、功能服务模型和性能约束模型；

采集监控数据，所述监控数据包括网络设备的运行、性能、告警、日志、业务系统运行告警信息、站控层与数据网交换机的网络数据记录；

根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录；

通过iec61850-mms接口向主站上送异常信息与记录、监控数据；

接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理。

一种变电站的网络风险监测系统，包括：

模型生成模块，用于根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型，所述运维信息模型包括基础模型、安全特性模型、功能服务模型和性能约束模型；

采集监控模块，用于采集监控数据，所述监控数据包括网络设备的运行、性能、告警、日志、业务系统运行告警信息、站控层与数据网交换机的网络数据记录；

安全分析感知模块，用于根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录；

信息上送模块，用于通过iec61850-mms接口向主站上送异常信息与记录、监控数据；

安全维护管控模块，用于接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理。

本发明提供一种变电站的网络风险监测方法及系统，根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型；采集监控数据，所述监控数据包括网络设备的运行、性能、告警、日志、业务系统运行告警信息、站控层与数据网交换机的网络数据记录；根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录；通过iec61850-mms接口向主站上送异常信息与记录、监控数据；接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理。本发明基于变电站监控系统的运维信息模型能更为快速的发现故障，追溯故障的产生根源、定位故障的影响范围及预测故障的蔓延趋势。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可根据这些附图获得其他的附图。

图1为本发明实施例的一种变电站的网络风险监测方法的流程图；

图2为本发明实施例的运维信息模型的关联关系的示意图；

图3为本发明实施例的一种变电站的网络风险监测系统的结构图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，为一种变电站的网络风险监测方法，包括：

步骤101、根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型；

其中，所述运维信息模型包括基础模型、安全特性模型、功能服务模型和性能约束模型，如图2所示为运维信息模型的关联关系和特点，各模型的详细介绍如下：

基础模型在电力系统iec61970cim标准扩展方式建立，可防止系统孤岛产生，保护用户资源数据的充分利用。基础模型通过对变电站监视对象特征进行分析，形成资源和依赖关系模型，便于系统故障定位与分析；

安全特性模型按照变电站监控系统安全防护要求，在基础模型对象中设定网络边界、内部区域、节点通信权限、节点安全接入等约束条件，并建立网络通信对流量静态、动态约束条件以构成变电站白名单安全通信机制。

功能服务模型定义变电站监控系统的功能“逻辑块”节点，建立其与其它节点之间涵盖关系，并确定彼此之间的依赖关联，建立系统功能服务数据流模型，例如：主站遥测数据与远动装置、监控主机、测控装置等有关，数据流模型可定义相关通信规约、数据测点关系及通信模块等信息，依据该模型可迅速定位应用层故障位置，并列出可能的原因，以辅助维护人员排除故障。

性能约束模型变电站监控系统性能设计通常包含较大裕度，正常运行时cpu负荷率/内存容量/网络带宽等指标均在较低范围，核心逻辑块性能下降将导致整个系统异常，因此需要定义逻辑块等级及对性能指标的要求阀值，建立系统性能数据流关联模型。运维信息模型是一个多维多状态集合，它能更准确反映变电站系统运行状况。

步骤101具体可以包括：

步骤101-1、根据iec61970cim标准，通过对专用设备、通用硬件的特征进行分析，生成反应资源和依赖关系的基础模型；

步骤101-2、在所述基础模型中设定安全约束条件，并建立网络通信对流量静态、动态的约束条件，生成安全特性模型，其中，所述安全约束条件包括网络边界、内部区域、节点通信权限、节点安全；

步骤101-3、定义变电站监控系统的功能节点，建立功能节点之间的功能涵盖关系及依赖关联，以生成功能服务模型；

步骤101-4、定义功能节点对性能指标的要求阀值，建立功能节点对于性能数据流的关联关系，生成性能约束模型。

步骤102、采集监控数据，所述监控数据包括网络设备的运行、性能、告警、日志、业务系统运行告警信息、站控层与数据网交换机的网络数据记录；

其中，数据采集数据包括交换机、防火墙、二次安防等设备的运行、性能、告警、日志；业务系统运行告警信息；站控层与数据网交换机的网络数据记录。

步骤103、根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录；

其中，步骤103具体可以包括：

步骤103-1、根据安全特性模型，对设备ip进行白名单监测，识别ip的安全性越界、异常退出、连接数越限情况记录并生成告警；分析通信报文流量信息，识别非法通信流量；

步骤103-2、对识别出的非法通信进行模式匹配，将网络数据与已知攻击特征和误用库进行比较来发现违背安全策略的入侵行为；

步骤103-3、根据运维信息模型，统计正常使用时的带宽流量、网络突变、连接方向、访问次数、通信重连次数和延时，当统计值大于预设阈值时，判断有网络异常发生，记录并生成告警；

步骤103-4、判断是否存在网络非法接入、非法互联，记录并生成告警；

步骤103-4支持已设定网络主机发现usb接入并写入记录，支持发现网络非法接入、非法互联等状态检测，除临时维护情况下均会产生告警记录，在交换机提供snmp-oid及安全许可的前提下，可控制交换机相应网口开启与关闭，确保变电站监控系统的安全运行。

步骤103-5、对识别出的非法通信和网络异常的通信流量进行通信协议分析，以检测到应用层的攻击或程序缺陷，并记录、生成告警。

步骤104、通过iec61850-mms接口向主站上送异常信息与记录、监控数据；

步骤105、接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理。

其中，步骤105具体可以包括：

步骤105-1、接收主站的控制指令，判断控制指令类型；

步骤105-2、当控制指令类型为白名单修订类型时，启动远程临时维护信息操作，修订白名单监测参数；

步骤105-3、当控制指令类型为硬件开关控制类型时，启动前端装置硬件开关，接通用于远程维护的纵向加密认证装置网络接口，接收主站的遥控关闭硬件指令，对设备进行远程操作。

本发明提供一种变电站的网络风险监测方法，根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型；采集监控数据，所述监控数据包括网络设备的运行、性能、告警、日志、业务系统运行告警信息、站控层与数据网交换机的网络数据记录；根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录；通过iec61850-mms接口向主站上送异常信息与记录、监控数据；接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理。本发明基于变电站监控系统的运维信息模型能更为快速的发现故障，追溯故障的产生根源、定位故障的影响范围及预测故障的蔓延趋势。

本发明实施例还包括一种变电站的网络风险监测系统，如图3所示，包括：

模型生成模块310，用于根据专用设备、通用硬件、业务应用的运行信息，构建运维信息模型，所述运维信息模型包括基础模型、安全特性模型、功能服务模型和性能约束模型；

采集监控模块320，用于采集监控数据，所述监控数据包括网络设备的运行、性能、告警、日志、业务系统运行告警信息、站控层与数据网交换机的网络数据记录；

安全分析感知模块330，用于根据策略进行网络安全风险感知，对不同来源的告警信息进行综合分析，形成智能告警，生成异常信息与记录；

信息上送模块340，用于通过iec61850-mms接口向主站上送异常信息与记录、监控数据；

安全维护管控模块350，用于接收主站的控制指令，启动变电站硬节点开关，对变电站网络进行相应处理。

其中，所述模型生成模块310包括：

基础模型生成311，用于根据iec61970cim标准，通过对专用设备、通用硬件的特征进行分析，生成反应资源和依赖关系的基础模型；

安全特性模型生成单元312，用于在所述基础模型中设定安全约束条件，并建立网络通信对流量静态、动态的约束条件，生成安全特性模型，其中，所述安全约束条件包括网络边界、内部区域、节点通信权限、节点安全；

功能服务模型生成单元313，用于定义变电站监控系统的功能节点，建立功能节点之间的功能涵盖关系及依赖关联，以生成功能服务模型；

性能约束模型生成单元314，用于定义功能节点对性能指标的要求阀值，建立功能节点对于性能数据流的关联关系，生成性能约束模型。

所述安全分析感知模块330包括：

白名单监测单元331，用于根据安全特性模型，对设备ip进行白名单监测，识别ip的安全性越界、异常退出、连接数越限情况记录并生成告警；分析通信报文流量信息，识别非法通信流量；

模式匹配单元332，用于对识别出的非法通信进行模式匹配，将网络数据与已知攻击特征和误用库进行比较来发现违背安全策略的入侵行为；

网络异常检测单元333，用于根据运维信息模型，统计正常使用时的带宽流量、网络突变、连接方向、访问次数、通信重连次数和延时，当统计值大于预设阈值时，判断有网络异常发生，记录并生成告警；

非法接入检测单元334，用于判断是否存在网络非法接入、非法互联，记录并生成告警；

协议分析单元335，用于对识别出的非法通信和网络异常的通信流量进行通信协议分析，以检测到应用层的攻击或程序缺陷，并记录、生成告警。

所述安全维护管控模块350包括：

指令接收单元351，用于接收主站的控制指令，判断控制指令类型；

第一管控单元352，用于当控制指令类型为白名单修订类型时，启动远程临时维护信息操作，修订白名单监测参数；

第二管控单元353，用于当控制指令类型为硬件开关控制类型时，启动前端装置硬件开关，接通用于远程维护的纵向加密认证装置网络接口，接收主站的遥控关闭硬件指令，对设备进行远程操作。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来实施，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上对本发明进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。