[发明专利]基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法

说明书

一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法，是在继电保护与安全自动装置上电运行后，通过继电保护与安全自动装置的测试仪增设的时钟加速调整模块，使继电保护与安全自动装置的系统时钟进行连续每隔一固定时段加快相同时段的调整，同时在每次调整后给继电保护与安全自动装置输入故障信号，检测继电保护与安全自动装置在该故障信号下是否发出相应的控制指令，以检测继电保护与安全自动装置是否含有时间协同拒动逻辑炸弹。本方法解决了继电保护与安全自动装置无法检测时间协同拒动逻辑炸弹的问题，通过本方法可检测出继电保护与安全自动装置中潜藏的时间协同拒动逻辑炸弹，能提高电力系统的网络安全防护能力。

技术领域

本发明涉及一种继电保护与安全自动装置的安全防护方法，具体涉及一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法。

背景技术

作为现代社会的关键性基础设施，电力系统是国家级网络对抗的重要目标。电力系统在日常的运行中难免会发生故障，继电保护与安全自动装置能反应电气设备的故障和不正常工作状态并快速、有选择地动作，将故障设备从系统中切除，保证正常故障设备继续正常运行，将事故限制在最小范围，提高系统运行的可靠性，最大限度地保证向用户安全、连续供电。继电保护与安全自动装置的拒动对电力设备及电网稳定运行有着巨大的危害。检测发现继电保护与安全自动装置潜在的软、硬件缺陷，检验其工作性能，保证装置的正确动作，避免继电保护与安全自动装置在故障和扰动时拒动，是设备厂商和电网公司必须解决的问题。

目前，以电力系统等关键性基础设施为目标的恶意软件攻击受到高度关注。电力系统网络安全防护措施极为严密，一般攻击方很难渗透入侵。具有丰富资源的敌对组织制作的恶意软件可利用零日漏洞进行传播和选择性攻击，可以在继电保护与安全自动装置生产、安装和调试过程中植入恶意软件。电力系统对厂商接入主要依赖病毒软件检测，但病毒检测依赖于已有的病毒代码特征库，病毒代码特征库中没有利用零日漏洞的新兴病毒的特征代码，因此传统的病毒检测等安全防护手段不能有效监测与防范利用零日漏洞的新兴病毒的攻击，如敌对组织在继电保护与安全自动装置中埋藏时间逻辑炸弹，将会在约定时刻造成攻击破坏。2002年，南京某公司在全国各电网安装的100余台故障录波器就曾发生过因触发时间逻辑炸弹而在约定时间闭锁录波功能、不能正常使用的案件。由于继电保护与安全自动化装置直接涉及电网的保护控制，如果在继电保护与安全自动装置中埋藏时间逻辑炸弹，可能造成大量继电保护与安全自动装置在特定时间之后不能正确地执行保护与控制功能，在电网发生故障或扰动时拒动，将会扩大事故范围，造成灾难性的后果，其中：

电力系统在短路故障时，故障点所在线路将产生明显高于正常负荷电流的故障电流，故障点流过的故障电流也会明显拉低故障点近邻的母线节点电压。继电保护与安全自动化装置在监测到达到预定阈值的过电流、低电压以及伴随低电压的过电流时，会动作切除被保护设备，以隔离故障、保障设备安全。潜伏于继电保护与安全自动装置中的时间同步逻辑炸弹，可在到达预定时间后闭锁继电保护与安全自动装置的控制功能，在电网发生故障扰动时，使继电保护与安全自动装置不能动作与预设的过电流、低电压以及伴随低电压的过电流。

电力系统在故障扰动下可能出现频率偏高/偏低的情况，电网频率明显偏离50hZ工作频率时，除功率不平衡威胁电网安全外，还可能导致电机工作异常，损毁电机。为保障电网与电力设备安全，继电保护与安全自动装置会根据预设的动作频率，在检测到电网频率达到预设频率时执行切机(高频切除发电机)切负荷(低频时切除负荷)等控制指令，在保护设备的同时恢复电网的功率平衡，保障电网安全。潜伏于继电保护与安全自动装置中的时间同步逻辑炸弹，可在到达预定时间后闭锁继电保护与安全自动装置的控制功能，在电网发生故障扰动时，使继电保护与安全自动装置不能动作与预设的频率。

目前，继电保护与安全自动装置的型式试验、例行试验、验收试验和鉴定试验主要进行功能性试验和可靠性测试，对于继电保护与安全自动装置在网络安全方面的测试与检验则相对简单，主要测试有否安全漏洞、是否乱发数据包以及在系统网络风暴时是否会误动或拒动，却无检测逻辑炸弹的方法与系统。

发明内容