一种基于数据流关联分析技术的智能电网业务安全网关系统的制作方法

xiaoxiao2021-2-27  208

一种基于数据流关联分析技术的智能电网业务安全网关系统的制作方法
【技术领域】
[0001]本发明涉及智能电网安全技术领域,具体涉及一种基于数据流的关联分析技术,对智能电网自动化业务系统的业务应用层协议数据包安全分析检测,实现对智能自动化业务系统中的各类业务行为(数据采集和远程命令执行等)提供安全防护。
【背景技术】
[0002]随着电力行业信息化技术的深入发展,计算机网络已经成为电力系统正常高效运作必不可少的基础设施。而随着国民经济的经一步发展,更加迫切需要建设一个坚强的“智能电网”。而智能电网的建设深入,使得各类电网状态监控智能设备、无人值班数字变电站和各类电网自动化业务系统在智能电网中得到广泛的使用,使得电网的智能化自动化的程度日益提高,导致智能电网的网络形态也在发生了变化,而智能电网的网络安全性就变地更加重要。例如,电网调度自动化系统承担着实时或准实时控制和管理电网的任务,调度主站系统与厂站端传送“五遥”(遥控、遥调、遥测、遥信、遥视)、对时和召唤数据。使得电网调度自动化系统的安全就变得越来越重要,尤其是调度主站端向厂站发送遥控、遥调等命令时,对返回信息和有关遥信对数据的可靠性要求极高,它直接与电网安全运行相关。调度自动化系统一旦成为病毒、黑客或误操作的对象,就有可能导致严重的停电事故,造成极大的经济和社会效益损失。
[0003]传统的计算机网络安全技术目前无法满足智能电网对安全的需求,主要表现在:I)智能电网的网络通信平台和通信协议完全不同于计算机网络;2)智能电网中的各类型智能设备本身不具备计算机网络安全功能所要求设备具有的计算和存储能力;3)智能电网在网络传输的延迟性、带宽大小、数据丢包率等各类网络指标的要求也不同于基本的计算机网络;4)智能电网自身也在不停演变,从而催生出新的电网技术和各类新的电网安全需求。所以智能电网自动化业务系统对安全的诉求往往与传统计算机系统的安全不一样,智能电网的安全防护需要根据智能电网的自身特点,建立起一套切实可行的智能电网安全解决方案。

【发明内容】

[0004]本发明要解决的技术问题是提供一种基于数据流关联分析技术的智能电网业务安全网关系统,本发明有效解决了传统的计算机网络安全技术无法满足智能电网对安全的需求,从而导致若调度自动化系统一旦成为病毒、黑客或误操作的对象,就有可能导致严重的停电事故,造成极大的经济和社会效益损失。
[0005]本发明通过以下技术方案实现:
一种基于数据流关联分析技术的智能电网业务安全网关系统,其特征在于:所述智能电网业务安全网关系统包括智能电网业务应用层协议和数据的匹配还原及数据归一处理系统、智能电网业务应用层协议数据包检测策略模型定义系统、智能电网业务应用层协议数据包的关联分析系统; 所述智能电网业务应用层协议和数据的匹配还原及数据归一处理系统,系统完成对智能电网自动化业务系统中主子站间交互的业务应用层协议数据的深度还原,通过电网业务应用协议匹配技术,定位当前的数据包是属于哪一类的电网业务协议,在掌握具体业务协议类型的基础上,完成对该业务协议数据包内容的还原和协议数据包归一化处理;
所述智能电网业务应用层协议数据包检测策略模型定义系统,系统通过安全策略语言来描述定义智能电网自动化业务系统主站与子站间的交互安全策略模型,驱动电网安全事件的关联分析引擎工作,安全策略语言结合智能电网业务应用层协议的特点,对智能电网业务应用层协议行为的细颗粒度定义描述,通过安全策略语言可由浅入深定义业务应用层协议数据的六层安全策略模型,协议数据包关联分析引擎工作时会根据分析的协议类型调用相关协议数据包的六层安全策略模型,协议数据包关联分析引擎工作时会根据分析的协议类型调用相关协议数据包的六层安全策略模型;
所述智能电网业务应用层协议数据包的关联分析系统,系统为一项基于数据事件流的分析技术,其核心是电网数据关联事件引擎,关联分析引擎由预先定义好的分析规则脚本来驱动分析工作,分析用数据源数据源会按着它们产生的时间顺序转化成分析引擎能够识别的事件,以流的形式进入关联分析引擎的数据队列,关联分析引擎通过对扫描某时间窗口内的看似杂乱无规律事件流数据,根据规则脚本触发扑捉相关的数据事件,上述分析技术可基于时间,空间和事件体三个方面对流进的事件进行分析,可实时地从大量杂乱无章的数据中实时数据安全态势分析。
[0006]本发明进一步技术改进方案是:
所述归一化处理后的的数据包由四个部分数据组成:物理层数据、网络层数据、传输层数据和业务应用层数据,这四部分构成了 “电网应用协议统一数剧模型”,归一化的数据包将以数据流的形式提交给数据流关联分析引擎分析,无法匹配还原的协议数据包会被丢弃给畸形数据包系统分析处理,结果提供给由策略模型定义系统优化检测策略模型。
[0007]本发明进一步技术改进方案是:
所述六层安全策略模型包括主机过滤策略模型、服务和端口的防护模型、拒绝服务模型、异常协议防护模型、入侵检测模型以及电网通信协议数据检测;
所述主机过滤策略模型,主机过滤模型通过MAC地址过滤,只允许合规主机间的网络数据通信;
所述服务和端口的防护模型,限制TCP和UDP的连接,只允许特定IP地址和端口的TCP或UDP连接数据通过,提供对病毒、木马、蠕虫和端口探测威胁的保护;
所述拒绝服务模型,建立电网协议数据通信速率和控制模型,阻止非合规的网络带宽占用;
所述异常协议防护模型,建立协议数据包格式的检测模型,只允许合法合规的网络数据包与终端设备的数据通信;
所述入侵检测模型,建立业务非合规访问检测模型,及时发现拒绝非合规访问;
所述电网通信协议数据检测,在电网协议的应用层面上监控通信协议数据包数据,限制主站到子站的通信及数据交换,阻止非合规的数据招呼和控制命令。
[0008]本发明与现有技术相比,具有以下明显优点:
本发明建立在对智能电网自动化业务系统主子站间业务应用层协议数据包数据内容的深度还原,细化协议数据包的业务数据颗粒度基础上,对智能电网自动化系统的业务应用层协议数据包数据建立了六层安全检测防护模型,对非合规的电网数据包做到层层过滤阻拦,确保智能电网运行的安全。
[0009]( I)发明方法在常规防火墙的端口防护功能基础上,支持目前通用的电网自动化系统通信协议的应用层面协议数据包的深度内容检查,从而提高了对智能电网业务应用协议数据包数据的细粒度安全控制能力。
[0010](2)建立基于智能电网自动化系统的业务应用协议数据包的安全管控策略和安全运行模型,驱动电网业务安全实时关联分析引擎,实现对电网业务应用层协议数据包数据的安全状态全面分析和管控。
[0011](3)构建智能电网自动化系统业务应用层协议数据包的合规行为模式数据库,帮助电网业务安全分析引擎能够快速识别异常和非合规业务协议数据,保障电网通信协议的安全。
【附图说明】
[0012]图1、传统电网通信协议数据包的结构;
图2、为本发明业务安全网关的工作架构图;
图3、为本发明在智能电网业务数据安全检测的工作流程图;
图4、为本发明业务安全关联分析引擎工作原理图。
【具体实施方式】
[0013]目前智能电网中各自动化业务系统主子站设备间的通信协议通常采用了ModBus、DNP3和IEC61850等。图1所示为目前电网通信协议数据包的结构示意图,由图可见这些电网通信协议通常由四层组成,物理层(MAC)、网络层(IP)、传输层(TCP)和业务应用层。
[0014]目前这些电网协议的业务应用层协议的本身并没有考虑到数据传输的安全性,导致使用这些协议传输各类电网业务数据脆弱,很容易遭到攻击,而隐藏在业务数据中的攻击对智能电网的危害性往往巨大。为了保护智能电网中各系统的业务数据的安全性,本发明通过对智能电网业务应用层协议数据的深度还原,将智能电网各自动化系统的业务应用层的业务行为数据最小颗粒化,从细粒化的行为数据中分析电网业务应用层协议数据包中数据的有效性、合法性和合规性,从而实现智能电网自动化业务系统中主子站间业务交互协议数据快速准确的安全检测过滤,及时发现消除存在于业务应用层数据中的恶意数据,为智能电网自动化系统的业务层应用提供一种新安全防护方法。
[0015]本发明的技术方案由三个部分组成,智能电网业务应用层协议和数据的匹配还原及数据归一处理系统、智能电网业务应用层协议数据包检测策略模型定义系统、智能电网业务应用层协议数据包的关联分析系统;
一、能电网业务应用层协议和数据的匹配还原及数据归一处理系统。
[0016]这部分首先完成对智能电网自动化业务系统中主子站间交互的业务应用层协议数据的深度还原。见图1,首先通过电网业务应用协议匹配技术,定位当前的数据包是属于哪一类的电网业务协议,在掌握具体业务协议类型的基础上,完成对该业务协 议数据包内容的还原和协议数据包归一化处理。归一化的数据包由四个部分数据组成:物理层数据、网络层数据、传输层数据和业务应用层数据,这四部分构成了 “电网应用协议统一数剧模型”,归一化的数据包将以数据流的形式提交给数据流关联分析引擎分析。
[0017]无法匹配还原的协议数据包会被丢弃给畸形数据包系统分析处理,结果提供给由策略模型定义系统优化检测策略模型。
[0018]二、智能电网业务应用层协议数据包检测策略模型定义系统。
[0019]这部分主要通过安全策略语言来描述定义智能电网自动化业务系统主站与子站间的交互安全策略模型,驱动电网安全事件的关联分析引擎工作。安全策略语言结合智能电网业务应用层协议的特点,可做到对智能电网业务应用层协议行为的细颗粒度定义描述。通过该语言可由浅入深定义业务应用层协议数据的六层安全策略模型:
1、主机过滤策略模型
99%的智能电网攻击是子站的远程终端单元(RTU)接收非合规主机发送的命令信息,主机过滤模型通过MAC地址过滤,只允许合规主机间的网络数据通信;
2、服务和端口的防护模型
限制TCP和UDP的连接,只允许特定IP地址和端口的TCP或UDP连接数据通过,提供对病毒、木马、蠕虫和端口探测威胁的保护;
3、拒绝服务模型
建立电网协议数据通信速率和控制模型,阻止非合规的网络带宽占用;
4、异常协议防护模型
建立协议数据包格式的检测模型,只允许合法合规的网络数据包与终端设备的数据通
?目;
5、入侵检测模型
建立业务非合规访问检测模型,及时发现拒绝非合规访问;
6、电网通信协议数据检测
在电网协议的应用层面上监控通信协议数据包数据,限制主站到子站的通信及数据交换,阻止非合规的数据招呼和控制命令。
[0020]协议数据包关联分析引擎工作时会根据分析的协议类型调用相关协议数据包的6层检测模型。
[0021]三、智能电网业务应用层协议数据包的关联分析系统。
[0022]见图4,安全关联分析技术是一项基于数据事件流的分析技术,它的核心是电网数据关联事件引擎。关联分析引擎通常是由预先定义好的分析规则脚本来驱动分析工作,分析用数据源数据源会按着它们产生的时间顺序转化成分析引擎能够识别的事件,以流的形式进入关联分析引擎的数据队列。关联分析引擎通过对扫描某时间窗口内的看似杂乱无规律事件流数据,根据规则脚本触发扑捉相关的数据事件。这种分析技术可基于时间,空间和事件体三个方面对流进的事件进行分析,尤其适用于实时地从大量杂乱无章的数据中实时数据安全态势分析。
[0023]在本方法中,归一化的智能电网业务应用层协议数据包按出现的时间顺序以数据流的形式提供给关联分析引擎,而关联分析引擎根据预先定义智能电网业务应用层协议数据包检测策略模型来驱动分析引擎的协议数据包安全检测工作,记录发现阻止非法的协议数据包行为。
[0024]下面结合智能电网自动化系统中主子站的交互过程说明本发明的工作步骤,如图2所示:
一、通过本发明实现一个智能电网业务安全网关,电力自动化业务系统中的主子站间的数据通信通过业务安全网关接收转发;
二、业务安全网关接收到电网协议数据包后,根据具体的协议类型完成对电网协议类型的匹配,和该类型协议数据包的内容深度还原;还原后的协议数据按“电网应用协议统一数剧模型”进行业务应用层协议数据包的归一化处理;
三、归一化的数据包以数据流的形式进入电网安全关联分析引擎,关联分析引擎根据电网协议类型首先加载与该协议相关的六层安全安全模型,启动协议安全性分析流程;
四、经过安全检测的协议数据包会通过业务安全网关到达相关的主站和子站,而检测未通过的协议数据包会传给异常行为数据系统做进一步的分析,分析的结果会用来完善完善协议数据包的检测策略数据模型。
[0025]以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质,在本发明的精神和原则之内,对以上实施例所作的任何简单的修改、等同替换与改进等,均仍属于本发明技术方案的保护范围之内。
【主权项】
1.一种基于数据流关联分析技术的智能电网业务安全网关系统,其特征在于:所述智能电网业务安全网关系统包括智能电网业务应用层协议和数据的匹配还原及数据归一处理系统、智能电网业务应用层协议数据包检测策略模型定义系统、智能电网业务应用层协议数据包的关联分析系统; 所述智能电网业务应用层协议和数据的匹配还原及数据归一处理系统,系统完成对智能电网自动化业务系统中主子站间交互的业务应用层协议数据的深度还原,通过电网业务应用协议匹配技术,定位当前的数据包是属于哪一类的电网业务协议,在掌握具体业务协议类型的基础上,完成对该业务协议数据包内容的还原和协议数据包归一化处理; 所述智能电网业务应用层协议数据包检测策略模型定义系统,系统通过安全策略语言来描述定义智能电网自动化业务系统主站与子站间的交互安全策略模型,驱动电网安全事件的关联分析引擎工作,安全策略语言结合智能电网业务应用层协议的特点,对智能电网业务应用层协议行为的细颗粒度定义描述,通过安全策略语言可由浅入深定义业务应用层协议数据的六层安全策略模型,协议数据包关联分析引擎工作时会根据分析的协议类型调用相关协议数据包的六层安全策略模型,协议数据包关联分析引擎工作时会根据分析的协议类型调用相关协议数据包的六层安全策略模型; 所述智能电网业务应用层协议数据包的关联分析系统,系统为一项基于数据事件流的分析技术,其核心是电网数据关联事件引擎,关联分析引擎由预先定义好的分析规则脚本来驱动分析工作,分析用数据源数据源会按着它们产生的时间顺序转化成分析引擎能够识别的事件,以流的形式进入关联分析引擎的数据队列,关联分析引擎通过对扫描某时间窗口内的看似杂乱无规律事件流数据,根据规则脚本触发扑捉相关的数据事件,上述分析技术可基于时间,空间和事件体三个方面对流进的事件进行分析,可实时地从大量杂乱无章的数据中实时数据安全态势分析。2.根据权利要求1所述的一种基于数据流关联分析技术的智能电网业务安全网关系统,其特征在于:所述归一化处理后的的数据包由四个部分数据组成:物理层数据、网络层数据、传输层数据和业务应用层数据,这四部分构成了“电网应用协议统一数剧模型”,归一化的数据包将以数据流的形式提交给数据流关联分析引擎分析,无法匹配还原的协议数据包会被丢弃给畸形数据包系统分析处理,结果提供给由策略模型定义系统优化检测策略模型。3.根据权利要求1或2所述的一种基于数据流关联分析技术的智能电网业务安全网关系统,其特征在于:所述六层安全策略模型包括主机过滤策略模型、服务和端口的防护模型、拒绝服务模型、异常协议防护模型、入侵检测模型以及电网通信协议数据检测; 所述主机过滤策略模型,主机过滤模型通过MAC地址过滤,只允许合规主机间的网络数据通信; 所述服务和端口的防护模型,限制TCP和UDP的连接,只允许特定IP地址和端口的TCP或UDP连接数据通过,提供对病毒、木马、蠕虫和端口探测威胁的保护; 所述拒绝服务模型,建立电网协议数据通信速率和控制模型,阻止非合规的网络带宽占用; 所述异常协议防护模型,建立协议数据包格式的检测模型,只允许合法合规的网络数据包与终端设备的数据通信; 所述入侵检测模型,建立业务非合规访问检测模型,及时发现拒绝非合规访问; 所述电网通信协议数据检测,在电网协议的应用层面上监控通信协议数据包数据,限制主站到子站的通信及数据交换,阻止非合规的数据招呼和控制命令。
【专利摘要】本发明公开了一种基于数据流关联分析技术的智能电网业务安全网关系统,其特征在于:所述智能电网业务安全网关系统包括智能电网业务应用层协议和数据的匹配还原及数据归一处理系统、智能电网业务应用层协议数据包检测策略模型定义系统、智能电网业务应用层协议数据包的关联分析系统。本发明要解决的技术问题是提供一种基于数据流关联分析技术的智能电网业务安全网关系统,本发明有效解决了传统的计算机网络安全技术无法满足智能电网对安全的需求,从而导致若调度自动化系统一旦成为病毒、黑客或误操作的对象,就有可能导致严重的停电事故,造成极大的经济和社会效益损失。
【IPC分类】G06F21/55, G06F21/62
【公开号】CN105488396
【申请号】CN201510865720
【发明人】吴晓飞, 吕兵, 石旭初, 支磊
【申请人】江苏省电力公司淮安供电公司, 南京风城云码软件技术有限公司, 国家电网公司
【公开日】2016年4月13日
【申请日】2015年12月2日

最新回复(0)