[发明专利]基于深度学习的智能变电站网络入侵检测系统及检测方法

说明书

本发明属于变电站网络入侵检测技术领域，尤其涉及基于深度学习的智能变电站网络入侵检测系统及检测方法。该系统是针对智能变电站IEC61850通信协议的网络攻击进行的入侵检测，包括依次连接的数据收集模块、特征提取模块、行为分析模块和防御行为触发模块，数据收集模块连入智能变电站网络从中收集数据，防御行为触发模块再连入智能变电站网络中，本发明对智能变电站中基于IEC61850协议的网络信息流进行实时收集并分析，并对出现的异常通信行为进行实时检测并报警。

技术领域

本发明属于变电站网络入侵检测技术领域，尤其涉及一种基于深度学习的 智能变电站网络入侵检测系统及检测方法。

背景技术

智能变电站系统是一个拥有着多层架构的网络，国内的智能变电站总体上 采用的是三层两网(三设备层，两网络层)的系统结构，其中三个设备层包括 站控层、间隔层和过程层。站控层设备主要包括监控主机、通信网关、服务器、 工作站等监控调度设备。过程层设备主要包括继电保护装置、稳控装置、测控 装置等,两网络层包括连接间隔层设备和站控层设备的站控层网络以及连接站 控层设备和间隔层设备的过程层网络。站控层和间隔层设备所接收的传输主要 是通过IEC61850中所定义的基于以太网传输的MMS和TCP/IP,在间隔层和过程 层之间的网络采用基于单向传输以太网的GOOSE和SV报文。

随着网络及计算技术的不断发展，实现变电站系统的智能化运行已成为输 配电网向智能电网演化的主要任务之一。相较于传统变电站系统，智能变电站 系统旨在实现全站信息数字化、通信平台网络化、设备控制集成化、以及控制 决策智能化。为了在信息通讯层级满足智能变电站的技术要求，新一代电力系 统自动化通用标准DL/T860(IEC61850)应运而生。IEC61850作为国际电工委 员会所制定全球通用标准，其先进性体现在以下几个方面：1)IEC61850建立了 装置的统一数字化模型，将IED、ID、LN等设备的关联从属、数据结构、配置 描述、以及设备间通信类型加以统一规范。2)IEC61850针对变电站内装置间通 信的不同需求，引入了多种通信服务。其中包括基于TCP/IP协议和以太网的ACSI 服务、以及基于以太网进行多点广播的GOOSE和SV报文等等。3)提出了包括 站控层、间隔层、过程层的系统架构。实现了控制设备、中枢设备以及终端设 备的集成化。IEC61850标准使得智能电网的网络形态正从过去的封闭系统走向 半封闭和逐渐开放。这个变化过程加速了变电站智能化的进程的同时，也带来 了智能变电站的安全上的隐患。随着智能变电站的智能化与数字化程度不断增 长，随之而来的信息安全问题日益成为关键性问题。利用通讯协议，操作系统 或设施配置的内在漏洞，攻击者可以(基于隐蔽信道、木马病毒、虚拟网络、 物理操控等技术)远程干扰和操控变电站内部的关键性设施，从而可能造成数 据泄漏、设施损坏、连锁故障等一系列严重后果。由于变电站系统架构的复杂 性以及网络攻击的隐蔽性不断增长，传统的基于网络隔离以及人为设计规则的 防护方式已无法为变电站系统提供可靠的安全保障。

业内针对IEC61850的网络安全研究将智能变电站所面临的潜在信息安全威 胁划分为以下两个大类：

1.针对以太网的网络攻击

由于智能变电站中的IEC61850通信在链路层是基于在因特网中被普遍使用 的以太网协议，因此因特网中针对以太网的网络攻击大多都可以被利用并转化， 进而对智能变电站的以太网络发起攻击。

2.针对GOOSE和SV报文的网络攻击

由于GOOSE和SV报文对传输的即时性要求极高(少于5毫秒)，因而传统 的加密及身份认证方法无法在此二种协议上进行应用。这使得基于两种协议传 输的数据在通信过程中完全处于无保护的状态。由于GOOSE和SV报文中可能包 含着故障警报、即时控制等关键性信息，攻击者可以通过实施对GOOSE和SV报 文的监听、篡改以及截取，对现场设备产生实质性影响。