一种电力信息设备拓扑层级和类型判别方法及系统

1.本发明属于智能电网信息安全技术领域，涉及一种电力信息设备拓扑层级和类型判别方法及系统，具体涉及一种基于通信模式的电力关键信息设备拓扑层级和类型判别方法及系统。


背景技术：

2.电力信息设备是电力信息系统的重要组成部分，电力信息设备既是威胁的作用对象，同时也是脆弱性产生的母体，很容易成为攻击者对电网实施网络安全攻击时选取的主要目标。电力信息系统的安全性与电力信息设备自身状态息息相关。因此，要提高电力信息系统的安全性和稳定性，其关键是提升电力信息设备的安全防护能力。设备身份识别技术既是多种安全机制的重要组成部分，更是一些安全隐患排查工作开展的必要前提。若能够实现对电力信息设备的有效识别，则不仅有助于研究人员进一步地对电力信息设备开展身份认证、安全接入、资产管理和入侵检测等安全机制的研究，还有助于对电力工业领域的渗透测试技术进行改进，从而多方面达到提升电力信息设备安全防护能力的目的。
3.目前，国内外现有研究成果中缺少针对电力信息设备的识别研究，现有研究主要基于设备网络特征和物理特征进行设备识别，并不能完全适用于电力信息设备的识别。基于网络特征的设备识别方法大多使用到的都是tcp协议特征，但许多电力信息设备并不支持tcp协议，而是使用特定的电力工控协议甚至私有协议进行通信，需要针对性地提取相应的协议特征。物理特征也或多或少存在一定的局限性：射频指纹易受环境因素影响而改变；噪声指纹仅适用于传感器；不同设备的物理操作时间针对不同过程，不能统一标准，设备种类较多时实现困难。
4.因此，如何提出一种能够解决上述问题的电力关键信息设备拓扑层级及类型判别方法是本领域技术人员亟需解决的问题。


技术实现要素：

5.本发明针对现有技术的不足，提出一种基于通信模式的电力关键信息设备拓扑层级和类型判别方法及系统，以建立对设备、协议、应用等的完整理解，实现对电力信息设备的有效识别。
6.本发明的方法所采用的技术方案是：一种电力信息设备拓扑层级和类型判别方法，包括以下步骤：
7.步骤1：针对待识别电力信息设备，获取待识别电力信息设备的流量数据，依据各信息业务系统中设备的通信协议和通信关系确认流量数据的来源，即待识别电力信息设备所归属的信息业务系统；
8.所述信息业务系统，存储有系统中各个电力信息设备的拓扑层级编码信息及按照类型分类信息；
9.步骤2：调用相应的拓扑层级和类型判别方法，对流数据量中所包含的待识别电力
信息设备的拓扑层级和类型进行识别；
10.步骤3：确定待识别电力信息设备的拓扑层级和类型并输出识别结果，包括待识别电力信息设备名称、设备应用标识符和拓扑层级编码。
11.本发明的系统所采用的技术方案是：一种电力信息设备拓扑层级和类型判别系统，包括以下模块：
12.模块1，用于针对待识别电力信息设备，获取待识别电力信息设备的流量数据，依据各信息业务系统中设备的通信协议和通信关系确认流量数据的来源，即待识别电力信息设备所归属的信息业务系统；
13.所述信息业务系统，存储有系统中各个电力信息设备的拓扑层级编码信息及按照类型分类信息；
14.模块2，用于调用相应的拓扑层级和类型判别方法，对流数据量中所包含的待识别电力信息设备的拓扑层级和类型进行识别；
15.模块3，用于确定待识别电力信息设备的拓扑层级和类型并输出识别结果，包括待识别电力信息设备名称、设备应用标识符和拓扑层级编码。
16.本发明基于流量数据中的通信协议类型和通信关系来识别未知设备类型，该发明有效提升了未知设备识别效率，能够在不干扰设备正常业务通信的同时，有效对设备进行识别，并尽可能多地获取设备基本信息，为加强电力信息系统安全防护提供参考。
附图说明
17.图1是本发明实施例的方法流程图；
18.图2是本发明实施例的变电站自动化设备拓扑层级和类型判别流程图；
19.图3是本发明实施例的配电站自动化设备拓扑层级和类型判别流程图。
具体实施方式
20.为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。
21.请见图1，本发明提供的一种电力信息设备拓扑层级和类型判别方法，包括以下步骤：
22.步骤1：针对待识别电力信息设备，获取待识别电力信息设备的流量数据，依据各信息业务系统中设备的通信协议和通信关系确认流量数据的来源，即待识别电力信息设备所归属的信息业务系统；
23.其中，信息业务系统，包括发电厂自动化系统、电力调度自动化系统、能量管理系统、变电站自动化系统、配电自动化系统、故障录波系统和电能量计量系统。信息业务系统中存储有系统中各个电力信息设备的拓扑层级编码信息及按照类型分类信息；拓扑层级编码是电力关键信息资产逻辑层级信息的形式化表达，拓扑层级与电力信息设备在信息业务系统中实际的逻辑层级相对应。
24.本实施例中，电力信息设备的流量数据来自于某地变电站自动化和配电自动化实验室的实地采集数据。
25.本实施例中，由于不同的信息业务系统具有不同的通信模式，因此需要根据先验知识确认网络流量来源，即待识别电力信息设备所归属的信息业务系统。先验知识是指：1)比如大部分变电站自动化设备都使用goose或sv协议进行通信，mms协议仅用于间隔层设备和数量不多的站控层设备之间的通信。且只有过程层的设备，即智能终端和合并单元，会发送sv报文，因为sv报文的作用是传输采样值数据，只会由最下层的过程层设备发送给其上一层的间隔层设备。因此可以根据这一特征首先确定过程层设备，再在此基础上自下而上地逐步判别其他设备的逻辑层级。2)比如不同类别的配电自动化设备在通信关系上表现出了较为明显的差别。配电终端的通信对象主要为对应的配电子站，通信对象范围比较局限；配电子站由于在区域中实现了对部分配电终端的通信汇集，通信对象范围比起配电终端有所增加；而配电主站是对全域的信息进行汇集，能与系统中大部分设备建立通信关系，通信对象进一步增多。因此可以根据这一通信关系特征确定设备的逻辑层级。
26.本实施例中，拓扑层级编码是电力信息设备逻辑层级信息的形式化表达，拓扑层级与电力信息设备在信息业务系统中实际的逻辑层级相对应。拓扑层级代码由5位十进制数字组成。
27.前两位称为系统代码，用以标识设备所在的信息业务系统；第三位为逻辑层级代码，用于表示电力信息设备在信息业务系统中实际的逻辑层级；最后两位为设备类型代码，用以区分同一信息业务系统中同一逻辑层级上的类型不同的设备，因为即使是同一层级的设备，也可能由于功能的差异而使用不同协议或规约进行通信，对同一层级的设备类型进行细分便于更准确地识别设备个体。
28.电力信息设备的类型和功能复杂多样，在对实际运行的设备进行识别的过程中，可能会因为对设备信息获取不足而难以识别其层级和类型，或是当前设备类型和所在系统尚未被识别系统所覆盖、没有对应代码可以表示。因此，本发明为拓扑层级代码设置了全0的默认值，用以在设备信息不明确的情况下这对各字段进行初步填充。本发明实施例中，拓扑层级代码各字段的取值及含义如表1所示，其编码在位数尽可能少的前提下保留了一定的扩展性。
29.表1拓扑层级代码各字段取值
[0030][0031]
变电站自动化系统和配电自动化系统在逻辑上一般都分为三层，因此逻辑层级代码的取值为1～3，其中1标识最高一层。但是在某些地区，配电自动化系统只有主站层和终端层而没有中间的子站层，这种情况下，为了保持逻辑层级代码含义的一致，仍使用1标识主站层，用3标识终端层，不会取到2这个值。拓扑层级编码与电力信息设备的功能和控制级别紧密联系，后三位数字越小的设备往往拥有越高的控制权限和功能权限。
[0032]
步骤2：调用相应的拓扑层级和类型判别方法，对流数据量中所包含的待识别电力信息设备的拓扑层级和类型进行识别；
[0033]
请见图2，本实施例针对变电站自动化系统中的设备拓扑层级和类型进行判别，具体实现包括以下子步骤：
[0034]
(1)将所有设备拓扑层级代码的系统代码字段设置为01，标识其来源为变电站自动化系统；
[0035]
(2)对待识别的变电站自动化设备流量数据进行读取并对数据包进行遍历分析，以源mac地址为索引构建每台设备所发报文的协议类型集，一个mac地址代表一台待识别的设备；将每台设备的mac地址与其协议类型集的对应关系存储于设备信息列表infol中；
[0036]
(3)在遍历数据包并构建infol的同时，对设备拓扑层级进行第一轮识别；
[0037]
遍历过程中将所发报文协议类型集中包含sv协议的设备确定为过程层设备，将其拓扑层级代码的逻辑层级代码字段设置为3；将其他设备的逻辑层级代码暂时用1填充，既能与已被识别出的过程层设备相区分，又能减少对设备信息列表的遍历次数；设备mac地址和其拓扑层级代码被存储于设备拓扑层级列表topol中；
[0038]
(4)遍历infol，进行对设备拓扑层级的第二轮识别；
[0039]
依次考察infol中逻辑层级代码为1的设备的协议类型集，若其中包含goose协议
则将其确定为间隔层设备，将其逻辑层级代码设置为2，并在topol中进行相应修改；
[0040]
(5)遍历结束后，便实现了对待识别设备流量中每个源mac地址的逻辑层级信息的明确，由于变电站自动化系统中每一层的设备类型相对固定，因此这也相当于是对每台设备可能归属的设备类型范围进行了划分，故topol为对变电站自动化设备拓扑层级判别的结果。
[0041]
请见图3，本实施例针对配电自动化系统中的设备拓扑层级和类型进行判别，对配电自动化设备的拓扑层级判别规则可总结为：1)将目标设备集不包含其他任何目标设备集的设备判定为配电终端；2)对于任意设备，若其存在于第i层设备的目标设备集中，且不包含于第j层的设备集合中，则判定其为i+1层设备，其中1≤i≤j≤3。
[0042]
具体实现包括以下子步骤：
[0043]
(1)将所有设备拓扑层级代码的系统代码字段设置为02，标识其来源为配电自动化系统；
[0044]
(2)对待识别的配电自动化设备流量数据进行读取并对数据包进行遍历分析，以源mac地址为索引构建每台设备的目的设备集，集合中包括该设备本身及其所能到达设备的mac地址；将每台设备的mac地址及按照遍历顺序赋予其的编号保存于设备信息列表infol中；
[0045]
(3)比较每台设备的目的设备集，选出目的设备集不包含其他任何集合的设备，判定其为配电终端设备，将其逻辑层级代码设置为3；
[0046]
(4)根据已确定的终端层设备的目的设备集依次向上分别推出子站层及主站层的设备；
[0047]
通过循环比较待识别设备的目的设备集，将目的设备集包含了终端层设备目的设备集的设备判定为子站层设备，并设置其逻辑层级代码为2，再依照判定规则判断出主站层设备；
[0048]
(5)所有拓扑层级被判别出来的设备的mac地址及其拓扑层级代码均被存储于拓扑层级列表topol中；当所有设备的拓扑层级代码都初步确定之后结束判别流程，topol即为对配电自动化设备拓扑层级判别的结果，依据拓扑层级判别结果能够确定每台设备可能的类型范围。
[0049]
对于发电厂自动化系统、电力调度自动化系统、能量管理系统、故障录波系统和电能量计量系统而言，它们采用的通信协议复杂多样，没有固定的协议类型，对于这些通信协议不够明确的信息业务系统，均可参考上述针对配电自动化系统的基于通信关系的判别方法，进行简单的变形即可。
[0050]
步骤3：确定待识别电力信息设备的拓扑层级和类型并输出识别结果，包括待识别电力信息设备名称、设备应用标识符和拓扑层级编码。
[0051]
本发明考虑了电力信息业务系统在逻辑上层级分明的特点，对电力关键信息资产的通信模式特性进行分析，并基于通信模式对电力关键信息资产拓扑层级和类型进行判别。本发明可以实现对电力关键信息资产的方便、高效识别。帮助安全人员全面掌握电力关键信息资产的基本信息，同时有助于安全人员针对性地研究电力关键信息资产的安全防护措施，对于提高电力关键信息资产的安全性以及保障电力信息系统的稳定运行具有重要意义。
[0052]
应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。