软件定义的网络中基于时间的网络操作简档的制作方法

本公开涉及软件定义的网络。更具体地，本公开涉及基于精确时间窗口在预定义的网络业务流(networktrafficflow)/网络操作简档(networkoperationprofile)之间切换。

附图简述

本文书面的公开描述了非限制性且非穷举的说明性实施例。本公开参考在下面描述的附图中描绘的某些这样的说明性实施例。

图1图示了电力传输和分配系统的简化单线图的示例，其中，各种设备经由软件定义的网络(sdn)进行通信。

图2图示了具有两个网络操作简档的联网设备，其中至少一个网络操作简档包括基于时间的网络流规则。

图3a图示了存储了两个基于精确时间输入来实现的网络操作简档的联网设备。

图3b图示了具有第二网络操作简档的联网设备，即使sdn控制器离线，第二网络操作简档也基于精确时间输入进行选择。

图4a图示了具有多个联网设备的sdn，其中至少一个联网设备正在实现第一网络操作简档，该第一网络操作简档禁用经由人机界面(hmi)的工程访问。

图4b图示了sdn，其中至少一个联网设备基于精确时间输入实现第二网络操作简档，其中第二网络操作简档启用工程访问。

图5a图示了具有基于精确时间输入的状态可选择的八个网络操作简档的联网设备。

图5b图示了具有基于精确时间输入的变化而选择的不同网络操作简档的联网设备。

图6图示了用于在与基于时间的网络操作简档相关联的两个网络流之间进行选择的方法的示例的流程图。

图7图示了用于响应于触发事件，以基于时间的规则为基础评估通信的方法的一般示例的流程图。

图8图示了用于响应于触发事件，以基于时间的规则为基础评估通信的方法的特定示例的流程图。

详细描述

电力分配和传输系统包括各种监测和保护设备。各种各样的通信和联网技术可以使得在电力分配或传输系统中能够实现保护和监测功能。其中，通信和联网设备可以促进信息交换、控制指令的传输，并且使得数据采集成为可能。电力分配或传输内的一些通信可能是对时间敏感的。例如，如果迅速实现，则保护动作可能会挽救生命或装备。

电力分配和传输系统的关键基础设施受到保护，以防止物理和电子入侵(intrusion)。例如，电力系统(以及其中的控制、监测和保护设备)可能会受到网络攻击。一些系统可以结合软件定义的网络(sdn)技术来调节将数据储存器、控制设备、监测设备、保护设备、人机接口和/或其他电子装备互连的网络上的通信。使用sdn可提供各种各样的数据安全和网络控制选项，包括但不限于默认拒绝(deny-by-default)安全、延迟保证、确定性输送能力、故障转移规划、容错、路径可靠性分析等。

网络工程师或其他信息技术(it)技术人员可以使用sdn流控制器(例如，在通用计算机上运行的软件应用)来对联网设备进行编程。适用于本文描述的系统和方法的联网设备的示例包括但不限于：交换机、集线器、中继器、网关、路由器、网桥、调制解调器、无线接入点和线路驱动器。如本文所使用的，术语“联网设备”在上下文允许的情况下还可以包括各种各样的混合联网设备，诸如多层交换机、协议转换器、终端适配器、桥接路由器、代理服务器、防火墙设备、网络地址转换器、多路复用器、网络接口控制器等。因此，虽然在本文中使用网络交换机作为示例来描述系统和方法的许多原理，但是应当理解，这些原理可以适用于许多其他联网设备类型。

在一些实施例中，网络工程师使用sdn控制器或sdn流控制器来动态编程一个或更多个联网设备。网络工程师可以利用sdn控制器来定义将要由一个或更多个连接的联网设备实现的网络操作简档。其中，网络操作简档可以定义网络上允许哪些数据类型、网络上各种设备之间的数据路由、某些设备和/或数据类型的优先级、网络上允许哪些设备通信、允许哪些设备与哪些其他设备通信等。

如上所述，网络工程师可以使用sdn控制器用特定的网络操作简档对联网设备进行编程。一旦被编程，即使sdn控制器离线或断开连接，联网设备也可以继续实现所定义的网络操作简档。当需要或期望改变时，网络工程师可以使用sdn控制器来修改网络操作简档或为联网设备定义新的网络操作简档。在一些实施例中，网络工程师可以使用sdn控制器实时修改网络操作简档，而不会扰乱网络上的数据流。

在定义网络操作简档时，通常会在安全性、可访问性和/或可用性之间取得平衡。例如，网络交换机可以用网络操作简档来编程，该网络操作简档禁止从物理接入控制器(诸如人机界面(hmi))到配电系统的继电器的远程登录(telnet)通信。禁用与继电器的远程登录通信可能会提高安全性，但也会妨碍被授权的操作员轻松访问继电器。根据上述实施例，网络工程师可以临时修改网络交换机的网络操作简档，以允许被授权的操作员经由远程登录通信与继电器进行交互。

也就是说，可以通过使用sdn流控制器(诸如在通用计算机上运行的软件应用)来手动启用远程登录通信。这种过程可能需要多个用户，花费大量时间，需要对一个或更多个联网设备进行重新编程，和/或在重新编程时和当被授权的操作员完成而返回到初始编程时都很麻烦并且容易受到人为错误的影响。

在控制系统环境中，各种智能电子设备(ied)被自动操作，以在sdn上相互通信。在各种实施例中，系统可以确定sdn上的ied之间的机器对机器通信业务(traffic)的基准状态。一些ied可能在小的抖动窗口内，以定义的间隔发送控制系统分组(packet)数据。例如，主设备可以连续地或周期性地(例如，经由dnp3请求)激励监测设备来请求信息。从监测设备接收的信息可用于保护、监测和/或更新仪表板或hmi上的信息。在这样的实施例中，主设备和监测设备之间的通信可以在一致的基础上发生，并且监视系统可以监测这样的通信，并且在sdn上建立数十个甚至数百个ied之间的通信的基准预期。

在一些实施例中，sdn交换机内的联网设备可以用流规则来编程，该流规则包括用于接受符合所建立的基准的标称分组转发的精确时间条件。系统可以为多个时段中的每一个建立基准。每个时段可以用年、小时、分钟、秒或几分之一秒来定义。例如，某些网络业务可预期是在一天中的某些时间期间，但不会在一天中的其他时间期间。因此，第一基准可用于一天的一部分，并且第二基准可用于一天的第二部分。如果网络业务在给定时间段内偏离预期基准，则联网设备可以被配置成丢弃分组、复制并且转发到监视控制器、进行增强的分组检查以检测威胁、和/或向监视系统和/或操作员提供警报。

作为特定的示例，scada控制器可以每两秒钟轮询一次监测设备。如果在1秒或15秒处观察到轮询，则相关联的网络分组可被标记为异常，并如上所述被仔细检查或处理。更普遍地，系统可以将在给定时间段内偏离已建立的基准的网络业务识别为可能的欺骗注入分组，其值得进行额外的分析。

在一些实施例中，sdn控制器可以被配置成在特定时间修改一个或更多个联网设备的网络操作简档。然而，这种方法编程耗时、麻烦和/或要求sdn控制器始终可操作并且连接到联网设备。在一些实施例中，可能希望联网设备保持完全功能性，并且即使当sdn控制器断开连接时，也能够实现所有网络流及其改变。

因此，本公开包括与联网设备相关的附加系统和方法，其独立于sdn控制器，允许基于以下一项或更多项，在两个或更多个存储的网络操作简档之间切换：(i)存活时间(timetolive)，(ii)总体时间窗口，以及(iii)精确时间窗口。存活时间(ttl)方法允许编程的网络操作简档(或其子部分)被编程为运行定义量的时间，直到到期为止。但是，ttl流规则可能不包括具有未来开始时间的时间段。而是，ttl方法通常由连接的控制器实时编程，以开始运行直到到期时间。

在各种实施例中，根据总体时间窗口和精确时间窗口定义的网络流可以至少部分地基于建立的针对给定时间段的网络业务基准。系统可以建立针对给定时间窗口的基准或“正常”业务流，该给定时间窗口根据各种各样可测量和/或可识别的网络通信特性中的任意一种来定义，包括但不限于：在时间窗口期间通信的设备的数量、在时间窗口期间通信的设备的类型、在时间窗口期间通信的特定设备、在时间窗口期间使用的协议、总数据速率、平均数据速率等。对于总体时间窗口，系统可以建立在几分钟、几小时、几天、几周甚至几个月的时间段期间的基准特性。对于精确时间窗口，系统可以建立在几分钟、几秒钟甚至几分之一秒内的时间段期间的基准特性。

在一些实施例中，系统可以基于测量的数据来确定基准特性。例如，网络通信特性可以在对应于总体时间窗口或精确时间窗口的时间段期间被测量。在一些实施例中，来自多个时段的多个测量结果可以一起取平均值。在其他实施例中，网络上各种设备和/或协议的等级、规格和/或配置设置可用于建立基准。例如，指示网络上的scada控制器被配置成每两秒轮询一次的信息可以被结合到基准确定中。

使用基准方法，联网设备可以针对两个或更多个(精确的或总体的)时间窗口用不同网络操作简档来编程。不同的网络操作简档之中的每一个可以至少部分地基于已建立的基准网络特性。联网设备可以在不同的网络操作简档之间无缝切换，而不会使网络中断或分组丢失。网络操作简档可替代地或附加地包括与已建立的基准无关的配置设置。在一些实施例中，用精确时间窗口定义的网络操作简档可以嵌入或嵌套在用总体时间窗口定义的网络操作简档内。

例如，对于对应于20:00时刻直到05:00时刻的总体时间窗口，可以定义第一网络操作简档。对于05:00时刻直到20:000时刻的总体时间窗口，可以定义第二网络操作简档。第一网络操作简档可以限制或增强对来自hmi的通信的分组检查，该hmi被假定为在晚上无人值守。第二网络操作简档对应于传统的工作时间，并且可能会放松对来自hmi的通信的限制。

基于精确时间窗口的附加网络操作简档可以在定义在精确时间窗口中的第一和/或第二网络操作简档的实现期间实现。例如，联网设备的简档选择模块可以基于精确时间输入(pti)来实现与scada控制器相关联的网络操作简档，以确保在预期的两秒间隔处接收到轮询和响应。来自scada控制器或相关联的监测设备的、偏离预期的通信可能会被仔细检查、发送到入侵检测系统、转发到报警系统和/或从网络中丢弃。

联网设备可以使用各种各样的协议(诸如精确时间协议(ptp)、网络时间协议(ntp)、全球定位系统(gps)信号、同步光网络(sonet)输入等等)中的任何一种来接收精确时间输入。精确时间输入可用于实现由精确时间窗口定义的网络操作简档。在一些实施例中，联网设备可以包括提供精确时间信号的内部时钟。可以通过外部精确时间输入来进行一次、周期性和/或连续地校准内部时钟。

联网设备可以利用预先时间输入来执行附加功能，诸如低延迟路径识别、提供新的网络流、满足服务质量(qos)要求、实现实时保护方案等。

作为另一个特定示例，网络工程师可以使用sdn控制器来配置具有两个不同网络操作简档的网络交换机。两个不同的网络操作简档存储在联网设备的存储器中，用于在精确时间窗口期间选择性地实现。联网设备可以经由定时输入(例如，经由ptp或ntp输入)接收精确时间。然后，可将sdn控制器与网络交换机断开连接。

第一网络操作简档可以阻止网络上的远程登录通信，而第二网络操作简档可以允许网络上的远程登录通信。可以默认实现第一网络操作简档，以通过阻止远程登录通信来提供增强的网络安全性。但是，允许远程登录通信的第二网络操作简档可以在预定义的精确时间窗口期间自动实现。例如，维护更新可能会安排在每月的第四个星期日02:00时刻到04:00时刻之间。网络交换机可以使用精确时间输入来无缝地在每第四个星期日的那两个小时实现第二网络操作简档，之后，网络交换机复原到第一网络操作简档。

如本文所使用的，网络操作简档可以定义各种各样的网络元素中的任何网络元素。例如，网络操作简档可以定义：端口转发配置、设备特权、用户特权、负载平衡、网络地址转换处理、业务路由、业务优先级、分组大小、允许的协议、虚拟局域网变化、冗余路由、端口镜像、业务分段、数据记录配置、服务质量设置、选择性虚拟局域网配置、端口聚合、端口访问控制列表(pacl)、虚拟访问控制列表(vacl)、环形拓扑和其他联网设备设置。

联网设备设置的排列和组合太多，无法穷举地将它们全部列出。因此，本公开包括几个示例，并且理解到更多的组合是可能的。此外，网络操作简档的变化也可以基于被配置的联网设备的类型而显著变化。例如，受管理的交换机的网络操作简档可能不包括dhcp设置，而路由器的网络操作简档可能包括dhcp设置。类似地，防火墙或边缘路由器设备的网络操作简档可能包括与中继器不同的网络操作简档设置。入侵检测系统的网络操作简档可以包括与基准比较和复杂分析功能相关的各种设置，而未受管理的网络交换机可以包括相对简单的配置设置。

适用于网络操作简档的特定设置很大程度上取决于被配置的联网设备的类型，并且这将被本领域技术人员所理解。不管可用和适用的配置设置如何，本文描述的系统和方法通过允许这些设备存储两个或更多个网络操作简档来修改这些设备的功能，该两个或更多个网络操作简档与开始实现和结束实现的时间窗口相关联。提供给联网设备的精确时间输入确保基于时间的网络操作简档在指定的时间窗口期间实现。

作为另一个示例，网络交换机的简档选择模块可以在第一时间窗口期间实现第一网络操作简档。第一网络操作简档可以阻止某些通信协议，限制某些设备之间的通信，并且具有定义的端口转发表。简档选择模块可以基于精确时间输入在第二时间窗口期间实现第二网络操作简档。例如，第二网络操作简档可以使网络交换机创建两个虚拟局域网(vlan)，允许一些先前禁用的通信协议，和/或允许先前被阻止的在两个设备之间的通信。简档选择模块可以用硬件、固件和/或软件来实现。

在一些实施例中，单个网络操作简档可以利用精确时间输入来监测网络通信流。如上所述，网络操作简档可以阐述对dnp3轮询请求和响应的基准预期。如果网络通信流偏离所建立的基准预期，则可以向操作员或监视系统发出警报、可以阻止通信和/或可以将网络的状态改变为不同的网络操作简档，该不同的网络操作简档更具限制性以提供增强的安全性。

短语“与...连接”和“与...进行通信”指在两个或更多个组件之间的任何形式的交互，包括机械、电、磁和电磁交互。即使两个组件彼此不直接接触，以及即使在两个组件之间可能存在中间设备，这两个组件也可以彼此连接。

如本文中所使用的，术语“ied”可指监测、控制、自动操作和/或保护系统内的受监测装备的任何基于微处理器的设备。例如，这样的设备可包括远程终端单元、差动继电器、距离继电器、方向继电器、馈电继电器、过流继电器、电压调节器控制设备、电压继电器、断路器故障继电器、发电机继电器、电动机继电器、自动化控制器、间隔控制器(baycontroller)、计量表、重合器控件(reclosercontrol)、通信处理器、计算平台、可编程逻辑控制器(plc)、可编程自动化控制器、输入和输出模块、电动机驱动器等。ied可连接到网络，且网络上的通信可通过包括但不限于多路复用器、路由器、集线器、网关、防火墙和交换机的联网设备来促进。此外，联网设备和通信设备可并入ied中或与ied进行通信。术语“ied”可以可交换地用来描述单独的ied或包括多个ied的系统。

可与本文中所公开的实施例一起使用的一些基础设施已经是可获得的，诸如：通用计算机、计算机编程工具和技术、数字存储介质、虚拟计算机、虚拟联网设备以及通信网络。计算机可包括处理器，诸如微处理器、微控制器、逻辑电路等等。处理器可包括专用处理设备，诸如asic、pal、pla、pld、现场可编程门阵列或其他定制的设备或可编程设备。计算机还可包括计算机可读存储设备，诸如非易失性存储器、静态ram、动态ram、rom、cd-rom、磁盘、磁带、磁存储器、光存储器、闪存、或另一计算机可读存储介质。

如本文所述，用于配置和/或使用的合适网络包括多种多样的网络基础设施中的任何网络基础设施。具体而言，网络可以包括陆地线路(landline)、无线通信、光连接、各种调制器、解调器、小型化可插拔(sfp)收发器、路由器、集线器、交换机和/或其他联网装备。

网络可以包括通信或联网软件(诸如可从novell、microsoft、artisoft和其他供应商获得的软件)，并且可以通过以下传输线路来使用tcp/ip、spx、ipx、sonet以及其他协议进行操作：双绞线、同轴电缆或光纤电缆、电话线、卫星、微波中继器、调制ac电力线、物理介质传输、无线无线电链路和/或其他数据传输“线(wire)”。网络可以包括更小的网络和/或通过网关或类似机构可连接到其他网络。

本文中所描述的某些实施例的方面可被实现作为软件模块或组件。如本文中所使用的，软件模块或组件可包括位于计算机可读存储介质之内或之上的任意类型的计算机指令或计算机可执行代码。例如，软件模块可包括计算机指令的一个或更多个物理块或逻辑块，其可被组织为例程、程序、对象、组件、数据结构等，执行一个或更多个任务或实现特定的抽象数据类型。

特定的软件模块可包括被存储在计算机可读存储介质的不同位置中的不同指令，它们共同实现所描述的模块功能。事实上，模块可包括单个指令或许多指令，并且可以分布于在不同的程序之中的几个不同的代码段内以及分布在几个计算机可读存储介质上。一些实施例可在分布式计算环境中实践，其中，任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中，软件模块可位于本地和/或远程计算机可读存储介质中。另外，在数据库记录中捆绑或呈现在一起的数据可驻留在同一计算机可读存储介质中、或驻留在几个计算机可读存储介质上，并且可在网络中在数据库中的记录字段中链接在一起。

通过参照附图可以理解本公开的实施例，在整个附图中，相似的部分由相似的数字标记。如在本文中的附图中一般性地描述和图示的，所公开的实施例的组件可以以各种不同的配置来布置和设计。因此，对本公开的系统和方法的实施例的以下详细描述不旨在限制本公开所要求保护的范围，而是仅代表可能的实施例。在其他实例中，未详细示出或描述众所周知的结构、材料或操作，以避免模糊本公开的方面。另外，除非另有说明，方法的步骤不一定需要按照任何特定的顺序或甚至依次序地执行，也不需要步骤仅被执行一次。

图1图示了电力传输和分配系统100的简化的单线图的实施例，其中多个通信设备促进在与本公开的实施例一致的软件定义的网络(sdn)中的通信。电力输送系统100可以被配置成产生、传输电能，并将电能分配给负载。电力输送系统可包括装备，诸如电力发电机(例如，发电机110、112、114和116)、电力变压器(例如，变压器117、120、122、130、142、144和150)、电力传输和输送线(例如，线124、134和158)、电路断路器(例如，断路器152、160、176)、总线(例如，总线118、126、132和148)、负载(例如，负载140和138)等等。各种其他类型的装备也可被包括在电力输送系统100中，诸如电压调节器、电容器组以及各种其他类型的装备。

变电站(substation)119可以包括发电机114，发电机114可以是分布式发电机，并且可以通过升压(step-up)变压器117连接到总线126。总线126可以经由降压(step-down)变压器130连接到配电总线132。各个配电线136和134可以连接到配电总线132。配电线136可以通向变电站141，并且可以使用ied106来监测和/或控制配电线136，ied106可以选择性地打开和闭合(close)断路器152。负载140可以从配电线136馈电。经由配电线136与配电总线132进行通信的降压变压器144可以用于使负载140消耗的电压降压。

配电线134可以通向变电站151，并向总线148输送电力。总线148还可以经由变压器150接收来自分布式发电机116的电力。配电线158可以将来自总线148的电力输送到负载138(并且可以包括另一降压变压器142)。电路断路器160可以用于选择性地将总线148连接到配电线134。ied108可以用于监测和/或控制电路断路器160以及配电线158。

可以使用智能电子设备(ied)(诸如ied104、106、108、115和170)和中央监测系统172来监测、控制、自动操作和/或保护电力输送系统100。一般来说，电力产生和传输系统中的ied可以用于保护、控制、自动操作和/或监测系统中的装备。例如，ied可用于监测许多类型的装备，包括输电线、配电线、电流互感器、总线、开关、电路断路器、重合器、变压器、自耦变压器、抽头变换器、电压调节器、电容器组、发电机、电动机、泵、压缩机、阀以及各种其他类型的受监测的装备。

如本文中所使用的，ied(诸如ied104、106、108、115和170)可指监测、控制、自动操作和/或保护系统100内的受监测的装备的任何基于微处理器的设备。例如，这样的设备可包括远程终端单元、差动继电器、距离继电器、方向继电器、馈电继电器、过电流继电器、电压调节器控件、电压继电器、断路器故障继电器、发电机继电器、电动机继电器、自动化控制器、间隔控制器、计量表、重合器控件、通信处理器、计算平台、可编程逻辑控制器(plc)、可编程自动化控制器、输入和输出模块等等。术语ied可以用于描述单独的ied或包括多个ied的系统。

公共时间信号168可被分配在整个系统100中。利用公共时间源或通用的时间源可确保ied具有可用于产生时间同步数据(诸如同步相量)的同步时间信号。在各个实施例中，ied104、106、108、115和170可接收公共时间信号168。可使用通信网络162或使用公共时间源(诸如全球导航卫星系统(“gnss”)等)来将公共时间信号168分配在系统100中。可以使用例如ptp或ntp协议来分配公共时间信号168。

根据各种实施例，中央监测系统172可包括各种类型的系统中的一个或更多个。例如，中央监测系统172可包括监视控制与数据采集(scada)系统和/或广域控制与态势感知(wacsa)系统。中央ied170可以与ied104、106、108和115进行通信。ied104、106、108和115可远离中央ied170，并且可通过各种介质(诸如来自ied106的直接通信)或通过广域通信网络162(诸如经由虚拟专用网(vpn))进行通信。根据各个实施例，某些ied可与其他ied直接进行通信(例如，ied104与中央ied170进行直接通信)，或可经由通信网络162进行通信(例如，ied108经由通信网络162与中央ied170进行通信)。

联网设备169可以促进经由网络162的通信。一个或更多个联网设备169可以接收公共时间信号168。联网设备169的示例包括但不限于多路复用器、路由器、集线器、网关、防火墙和交换机。在一些实施例中，ied和联网设备可包括物理上不同的设备。在其他实施例中，ied和联网设备可以是复合设备，或可被配置成以各种方式来执行重叠的功能。ied和联网设备可包括多功能硬件(例如，处理器、计算机可读存储介质、通信接口等)，其可被利用以执行与系统100内的装备的操作和/或网络通信有关的各种任务。因此，术语联网设备和ied在一些情况下可以互换使用，以达到ied与网络(例如，sdn)交互的程度，和/或达到联网设备执行如本文所述的ied的功能的程度。

sdn控制器可以被配置成与一个或更多个联网设备169对接。sdn控制器可以有助于在网络162内创建sdn，该sdn有助于在各种设备(包括ied170、115、108)和监测系统172之间的通信。在各种实施例中，sdn控制器可以被配置成与网络162中的控制面(controlplane)(未示出)对接。操作员可以使用sdn控制器来定义(例如，编程)连接到网络162的一个或更多个联网设备和/或ied的网络操作简档。网络操作简档之中的一个或更多个可以被配置成在时间窗口期间实现。公共时间输入168可以向联网设备169提供精确时间输入。联网设备169可以使用精确时间来在精确时间窗口期间实现一个或更多个基于时间的网络操作简档。

联网设备169还可以使用来自公共时间输入168的精确时间来实现网络操作简档内的基于时间的功能。例如，由联网设备169之一实现的网络操作简档可以定义ied115和中央ied170之间的预期基准通信。联网设备可以确定ied115和中央ied170之间的通信的精确定时偏离了网络操作简档中所阐述的通信的预期定时。网络操作简档可以阐述在这种偏离的情况下联网设备的响应或行为。例如，联网设备可以被配置成将偏离的通信转发到中央ied170，并且发出警报。替代地，网络操作简档可以指示联网设备：丢弃异常分组、或者将异常分组转发到除了中央ied170之外的入侵检测系统或者代替中央ied170的入侵检测系统。

图2图示了具有由sdn控制器231和精确时间输入(pti)230定义的两个网络操作简档250和255的联网设备200。如所示的，联网设备可以包括任意数量的网络通信端口210。在一些实施例中，sdn控制器231经由网络通信端口210之一被连接。网络工程师或其他用户可以定义第一网络操作简档250来实现第一网络流。

第一网络操作简档250可以阐述任意数量的网络设置和/或功能，包括但不限于：端口转发配置、设备特权、用户特权、负载平衡、网络地址转换处理、业务路由、业务优先级、分组大小、允许的协议、虚拟局域网变化、冗余路由、端口镜像、业务分段、数据记录配置、服务质量设置、选择性虚拟局域网配置、端口聚合、端口访问控制列表(pacl)、虚拟访问控制列表(vacl)、环形拓扑和其他联网设备设置。

sdn控制器231可用于定义具有不同设置组合的第二网络操作简档255。在所示实施例中，第二网络操作简档255不修改实际网络流。而是，第二网络操作简档255可以包括基于时间的网络流监测规则(在本文中称为“基于时间的规则”或“基于时间的流规则”)。例如，第二网络操作简档255可以定义在精确时间窗口期间对网络业务的基准预期。第二网络操作简档255可以定义如果在精确时间窗口期间网络业务超过基准预期，联网设备200要实现的动作。

第二网络操作简档255可以阐述特定设备之间的通信定时预期(例如，对scada或dnp3轮询的定时预期)。第二网络操作简档255可以阐述对特定设备的基准预期。可以预期ied在从监视设备接收到dnp3请求后的900毫秒内对dnp3轮询进行响应。第二网络操作简档255可以识别ied从监视设备接收到dnp3请求的精确时间(使用pti输入230)。在900毫秒精确时间窗口之外的来自ied的响应可能被忽略、丢弃、转发到入侵检测系统，或者以其他方式被标记为异常。

在各种实施例中，第一网络操作简档250可以在总体时间窗口期间(诸如在工作时间期间或工作时间之后)实现。总体时间窗口可以使用24小时制来定义。例如，第一网络操作简档250可以被配置成总是在14:00时刻至22:00时刻之间运行，或者在根据24小时制定义的另一时间窗口内运行。可以使用除24小时制以外的替代计时方法。在一些实施例中，第二网络操作简档255可以被认为是在精确时间窗口期间和/或响应于触发基于时间的规则的网络事件(即，网络事件触发)来修改第一网络操作简档250的行为，而不是定义全新的网络操作简档。

图3a图示了联网设备300，其中存储了两个网络操作简档350和355，用于在不同的时间窗口期间(即使当sdn控制器331断开连接时)实现。pti输入330向联网设备300提供精确时间。在一些实施例中，经由端口310之一来提供pti输入330，然而为了方便起见，在所示实施例中pti输入330被示为单独/独特的端口。网络工程师或其他用户可以定义第一网络操作简档350和第二网络操作简档355中的每一个，以实现不同的网络流。

第一网络操作简档350可以阐述任意数量的网络设置和/或功能，包括但不限于：端口转发配置、设备特权、用户特权、负载平衡、网络地址转换处理、业务路由、业务优先级、分组大小、允许的协议、虚拟局域网变化、冗余路由、端口镜像、业务分段、数据记录配置、服务质量设置、选择性虚拟局域网配置、端口聚合、端口访问控制列表(pacl)、虚拟访问控制列表(vacl)、环形拓扑和其他联网设备设置。

第二网络操作简档355可以阐述对第一网络操作简档350的许多变化和/或定义一组新的网络设置和/或功能。第一网络操作简档350和第二网络操作简档355中的每一个都可以与特定的时间窗口相关联。在所示实施例中，第一网络操作简档350与每天20:00到05:00的时间窗口相关联。第二网络操作简档355与刚好在05:00之后直到刚好在20:00之前的时间窗口相关联。联网设备300可以使用由pti输入330提供的精确时间来在所建立的时间处的两个联网操作简档之间转换。图3a图示了20:00.01的精确时间，因此第一网络操作简档350当前被实现(实线)，而第二网络操作简档保持不活动，但是被存储在存储器中。

图3b图示了基于来自pti输入330的精确输入时间13:07.001实现第二网络操作简档355的联网设备300。第一网络操作简档350和第二网络操作简档355之间的转换独立于sdn控制器331而发生。如所示的，在333处，可禁用sdn控制器331或将其与联网设备300断开连接，而不影响联网设备300的功能和/或在基于时间的网络操作简档之间转换的能力。

图4a图示了具有多个联网设备的sdn400，其中至少一个联网设备正在实现第一网络操作简档，该第一网络操作简档禁用经由人机界面(hmi)450的工程访问(在455处)。第一网络操作简档的实现可以基于当前时间，如经由精确时间输入端口475提供的时间。如所示的，sdn可以包括sdn交换机402、403、404和405。sdn网络还可以包括加固计算机(ruggedcomputer)420以及继电器410和412。可以利用各种通信协议和通信路径。sdn交换机402和/或sdn交换机403、404和405可以在第一精确时间段期间实现第一网络操作简档，该第一网络操作简档允许图示的使用goose和scada协议的网络流。然而，第一网络操作简档可能不允许工程访问455和/或相关联的协议。

图4b图示了sdn400，其中联网设备(例如，sdn交换机402、403、404和405)之中的至少一个基于精确时间输入端口475实现第二网络操作简档。如所示的，第二网络操作简档允许经由hmi450的工程访问457。工程访问457(包括各种连接和相关联的协议)被示为在hmi450、sdn交换机402、sdn交换机405和sdn交换机404之间的新网络流。在一些实施例中，其他网络操作简档仍然可以允许其他设备之间和/或利用其他协议的其他网络流。

图5a图示了具有八个网络操作简档(550-557)的联网设备500，这些网络操作简档各自与不同的时间窗口相关联。联网设备500基于经由pti输入530接收的时间信号，实现给定的网络操作简档(550-557)。如所示的，没有sdn控制器533连接到联网设备500以(例如，通过修改网络操作简档)修改网络流。在一些实施例中，多个网络操作简档可以共享重叠的时间窗口。联网设备的冲突设置和/或作为网络操作简档的一部分被阐述的冲突设置可以解决同时实现的网络操作简档之间的任何冲突。

在一些实施例中，网络操作简档550-557中的一个可以被指派作为默认网络操作简档，当没有其他网络操作简档550-557被实现时(例如，当来自pti输入530的精确时间不对应于任何其他网络操作简档550-557的被指派的时间窗口时)，默认网络操作简档被实现。在所示实施例中，基于pti输入530，第六网络操作简档555被实现。

图5b图示了联网设备500，其中，基于pti输入530，网络操作简档554被选择。如前所述，网络操作简档554可以提供与网络操作简档555不同的网络流。从网络操作简档555到网络操作简档554的转换可以是无缝的(例如，没有任何网络扰乱)，并且甚至在sdn控制器离线时(在533处)也发生。

图6图示了用于在与基于精确时间输入选择的不同网络操作简档相关联的两个网络流之间进行选择的方法600的示例的流程图。在602，定义第一网络操作简档，用于在第一时间窗口期间实现。例如，可使用sdn控制器来定义第一基于时间的网络操作简档。在604，sdn控制器可以定义用于在第二时间窗口期间实现的第二网络操作简档。在606，联网设备可以间歇地或连续地评估精确时间输入的状态。如果精确时间输入在第一时间窗口内，则在608，联网设备可以实现第一网络操作简档。如果精确时间输入在第二时间窗口内，则在610，联网设备可以实现第二网络操作简档。在精确时间输入既不在第一时间窗口内也不在第二时间窗口内的情况下，在第一网络操作简档和第二网络操作简档中的一个可以被指派作为默认网络操作简档。在其他实施例中，联网设备可以要求所定义的联网操作简档与包含所有可能时间的时间窗口相关联。

上述实施例可以被描述为利用基于时间的网络操作简档，该基于时间的网络操作简档被配置成在精确时间窗口期间实现，其中，该精确时间窗口具有定义的开始时间和定义的结束时间。在一些实施例中，结束时间可以用绝对项来定义或根据开始时间来定义。类似地，在一些实施例中，开始时间可以用绝对项来定义、或者根据网络事件或者另一网络操作简档的结束时间来定义。

图7图示了用于实现网络操作简档的基于时间的规则的方法700的示例的通用化流程图。在702，操作员可以使用sdn控制器来定义具有一个或更多个基于时间的流规则的网络操作简档。基于时间的流规则可以在精确时间实现。例如，基于时间的规则可以具有定义的开始时间和定义的停止时间。基于时间的规则可以实现一次或被配置成重复。例如，基于时间的规则可以在特定一天的特定持续时间内实现一次。在其他实施例中，基于时间的规则可以在每月、每天或每小时的特定持续时间内实现。

在所示实施例中，在704，基于时间的规则可以是事件触发的。也就是说，特定网络事件的发生可以触发基于时间的规则(即，网络事件触发)。在706，基于时间的规则可用于评估通信。如果通信偏离定义的预期，则在708，联网设备可以采取保护动作。例如，联网设备可以阻止通信、发送警报和/或将通信转发给监视系统。如果通信符合基于时间的规则的规范，则在710，通信可以被允许而不会中断。上述基于时间的规则可以被描述为利用基于时间的网络操作简档，该基于时间的网络操作简档被配置成在精确时间窗口期间实现，其中，精确时间窗口具有定义为开始时间的函数的结束时间，并且其中开始时间是关于触发事件定义的。

图8图示了用于实现网络操作简档的基于时间的规则的方法的特定示例的流程图。在802，sdn控制器可以定义具有一个或更多个基于时间的流规则的网络操作简档。在804，可以创建特定的基于时间的规则，该规则要求接收dnp3查询的ied在两秒内响应。在806，如果联网设备识别出从ied到监视设备的响应，则可以触发基于时间的规则。在808，联网设备可以确定在之前的两秒钟内dnp3查询是否被发送到ied。如果是，则在810，来自ied的响应可以被确定为是符合的，并且来自ied的通信(响应)可以被转发到监视设备。否则，在812，来自ied的响应可被识别为异常，并且该通信可被转发到欺骗检测系统以供进一步评估。

本文公开的方法包括用于执行所述方法的一个或更多个步骤或动作。方法步骤和/或动作可以彼此互换。换句话说，除非实施例的正确操作需要特定顺序的步骤或动作，否则可以修改特定步骤和/或动作的顺序和/或使用，和/或可以省略步骤或动作。

在一些情况下，众所周知的特征、结构或操作没有被详细示出或描述。此外，所描述的特征、结构或操作可以以任何合适的方式组合在一个或更多个实施例中。还将容易理解的是，如在本文中的附图中一般性地描述和图示的实施例的组件可以以各种不同的配置来布置和设计。因此，设想了实施例的所有可行的排列和组合。

所描述的实施例的几个方面可使用硬件、固件和/或软件模块或组件来实现。如本文中所使用的，模块或组件可包括各种硬件组件、固件代码和/或任意类型的计算机指令或计算机可执行代码，这些计算机指令或计算机可执行代码位于存储器设备内和/或作为暂态或非暂态电子信号通过系统总线或者有线或无线网络传输。本文描述的许多实施例以框图形式和/或使用逻辑符号示出。应当理解，每个示出和描述的实施例的各种元件可以使用fpga、定制的专用集成电路(asic)和/或作为硬件/软件组合来实现。

在上述描述中，为了简化本公开的目的，有时在单一实施例、附图或其描述中将各种特征分组(group)在一起。然而，本公开的这个方法不应被解释为反映以下意图：任何权利要求需要比在该权利要求中明确陈述的特征更多的特征。而是，如随附权利要求所反映的，创造性方面在于比任意单一前述公开实施例的所有特征更少的特征的组合。因此，权利要求特此明确地被合并到该详细描述中，其中每项权利要求独立地作为单独的实施例。本公开还包括独立权利要求及其从属权利要求的所有排列和组合。