[发明专利]一种对IEC61850数字变电站GOOSE报文的入侵检测的方法

说明书

本发明公开了一种对IEC61850数字变电站GOOSE报文的入侵检测的方法，方法主要有三个步骤组成，GOOSE报文快速过滤及数据结构化、GOOSE报文的多级关联检测、GOOSE报文的危害评估；本发明提供一种对IEC61850数字变电站GOOSE报文的入侵检测的实现方法，目的在于解决现有技术中IEC61850标准中的GOOSE报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。

技术领域

本发明属于IEC61850数字变电站安全领域，采用报文模板匹配技术完成GOOSE数据包数据的结构化呈现还原，通过报文数据项的上下文多级关联分析技术，实现一种对IEC61850智能变电站中的GOOSE数据报文的入侵检测方法。

背景技术

IEC61850是基于通用网络通信平台的变电站自动化系统的国际标准，它可以实现变电站自动化系统产品的互操作性和协议转换。采用IEC61850标准可使变电站自动化设备具备自描述、自诊断和即插即用的特性，很大程度上使数字变电站系统的集成变得简单，减少了变电站自动化系统的开支。

IEC61850标准也使得智能电网的网络形态正从过去的封闭系统走向半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时，也带来了智能变电站的安全上的隐患。其中IEC61850数字变电站采用的基于开放标准的网络技术之上，导致系统的安全性降低。具体表现为IEC61850协议本身并没有考虑任何安全措施，一旦攻击者绕过物理防护，直接进入调度中心和变电站网络，可直接通过通信协议实现对智能变电站设备的控制。

IEC62351协议标准实现了对IEC61850协议的安全加固，使得IEC61850协议具有了这些基本的安全功能。这种加固主要包括：1，通过通过数字签名,提供节点的双向身份认证；2，通过加密，提供传输层认证、加密密钥的机密性；3，通过加密，提供传输层及以上层次消息的机密性，防止窃听；4，通过消息鉴别码，提供传输层及以上层次消息的完整性；5，通过定义传输序列号有效性，防止传输层的重放和欺骗。由此可见，IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上，而在实际生产环境中这些安全加固方法无法适用于的IEC61850中的GOOSE实时性要求极高的报文。

通用面向对象的变电站事件GOOSE服务是IEC61850提供的一个重要服务模型，为IEC61850数字变电站中各类IED智能设备提供了一种快速且高效的网络通讯方式。任何一IED智能设备通过以太网与其它IED设备相连，可通过GOOSE协议以订阅方式接收数据，也可以发布方式向其它IED设备提供数据。GOOSE传输是一种实时应用，主要传输间隔闭锁信号跳闸信号。根据IEC61850协议规定，GOOSE信息响应时间标准规定在4ms以内，而目前通常的IED设备采用的都是低功耗的CPU，这类CPU的计算功能并不是很强大，而对GOOSE报文的加解密和数字认证过程会极大地占用IED设备的CPU的使用时间，导致IED设备的运行效率极度下降，使得IED设备对GOOSE报文的响应时间无法在4ms内完成，从而影响了整个数字变电站的正常运行。

由于GOOSE报文的实时性要求高的特点，因此IEC61850标准中的GOOSE报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成，需要重新寻找一套适合目前各类智能变电站实际情况的GOOSE报文安全加固和入侵检测解决方案，来保护智能变电站的安全运行。

发明内容

本发明提供一种对IEC61850数字变电站GOOSE报文的入侵检测的实现方法，目的在于解决现有技术中IEC61850标准中的GOOSE报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。

本发明通过以下技术方案实现：

一种对IEC61850数字变电站GOOSE报文的入侵检测的方法，其特征在于：所述实现方法包括如下步骤；