[发明专利]一种对IEC61850数字变电站SMV报文的入侵检测的方法

说明书

本发明公开了一种对IEC61850数字变电站SMV报文的入侵检测的方法，方法主要有三个步骤组成，SMV报文的快速过滤及数据结构化、SMV帧报文的数据单元的多级关联检测、SMV报文的危害性评估；本发明目的在于解决现有技术中IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。

技术领域

本发明属于IEC61850数字变电站安全领域，采用报文模板匹配技术实现SMV报文数据结构化还原呈现，通过对报文的上下文多级关联分析技术，实现一种对IEC61850智能变电站中的SMV数据报文的入侵检测的方法。

背景技术

IEC61850是基于通用网络通信平台的变电站自动化系统的国际标准，它可以实现变电站自动化系统产品的互操作性和协议转换。采用IEC61850标准可使变电站自动化设备具备自描述、自诊断和即插即用的特性，很大程度上使数字变电站系统的集成变得简单，减少了变电站自动化系统的开支。

IEC61850标准也使得智能电网的网络形态正从过去的封闭系统走向半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时，也带来了智能变电站的安全上的隐患。其中IEC61850数字变电站采用的基于开放标准的网络技术之上，导致系统的安全性降低。具体表现为IEC61850协议本身并没有考虑任何安全措施，一旦攻击者绕过物理防护，直接进入调度中心和变电站网络，可直接通过通信协议实现对智能变电站设备的控制。

IEC62351协议标准实现了对IEC61850协议的安全加固，使得IEC61850协议具有了这些基本的安全功能。这种加固主要包括：1，通过通过数字签名，提供节点的双向身份认证；2，通过加密，提供传输层认证、加密密钥的机密性；3，通过加密，提供传输层及以上层次消息的机密性，防止窃听；4，通过消息鉴别码，提供传输层及以上层次消息的完整性；5，通过定义传输序列号有效性，防止传输层的重放和欺骗。由此可见，IEC62351协议对IEC61850协议的安全性加固是建立在加密和信息的数字验证基础之上，而在实际生产环境中这些安全加固方法无法适用于的IEC61850中的SMV实时性要求极高的报文。

SMV（Sampled Measured Value）采样测量值，是一种用于实时传输数字采样信息的服务。IEC61850数字变电站中常用SMV服务来传递各类测量模拟量，比如变电站中各相电流电压的数值，数字变电站中的各类测量数据都以明文形式传送，很容易被修改或注入非法的SMV报文，而非法的变电站测量数据会引起主站发出错误的操作指令，引起数字变电站的智能设备的错误动作。所以，SMV报文的安全性变得非常重要，而由于SMV报文的实时性要求高的特点，因此IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成，需要重新寻找一套针对智能设备间SMV明文传输的报文安全加固和入侵检测解决方案，来保护智能变电站的安全运行。

发明内容

本发明提供一种对IEC61850数字变电站SMV报文的入侵检测的实现方法，目的在于解决现有技术中IEC61850标准中的SMV报文的安全加固在实际应用中通常无法通过IEC62351的加密和数字验证的方法来完成。

本发明通过以下技术方案实现：

一种对IEC61850数字变电站SMV报文的入侵检测的方法，其特征在于：所述实现方法包括如下步骤；

1）SMV报文的快速过滤及数据结构化：SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文，并对SMV报文内容进行数据结构化处理；

2）SMV帧报文的数据单元的多级关联检测：SMV通过快速过滤和数据结构化提取完成后，按照多级检测项依次检测报文中的若干数据单元项，以完成对SMV帧报文数据的安全合规性检测；