[发明专利]一种智能变电站的传感器数据被篡改的判断方法、装置及存储介质

权利要求书

1.一种智能变电站的传感器数据被篡改的判断方法，其中，智能变电站里一次设备采集的传感器数据通过物理传输的方式传输到二次设备，再采用MMS协议实现从二次设备到站控层设备的网络传输；其特征在于，包括如下步骤：

步骤1，根据传感器数据通过MMS协议进行传输的特征规范，提取传感器数据应用层报文的特征；

步骤2，利用提取的所述传感器数据应用层报文的特征，判断传感器数据是否被篡改；

所述步骤1中提取的所述传感器数据应用层报文的特征包括：位于传感器数据应用层报文的起始位置的TPKT内容字段、位于传感器数据应用层报文的TPKT内容字段后的COTP内容字段、位于传感器数据应用层报文的COTP内容字段后的固定内容字段；

所述步骤2包括如下子步骤：

步骤21，基于提取的所述传感器数据应用层报文的特征，构建传感器数据被篡改判断特征库；

步骤22，实时获取智能变电站中的网络数据，并从获取的网路数据中筛选出包含传感器数据的网络数据；

步骤23，利用所述传感器数据被篡改判断特征库判断筛选出的网络数据中的传感器数据是否被篡改；

步骤23中利用所述传感器数据被篡改判断特征库判断筛选出的网络数据中的传感器数据是否被篡改的方法包括：

步骤231，从所述筛选出的网络数据中的传感器数据中提取与所述传感器数据被篡改判断特征库对应的内容；包括：

(1)从所述筛选出的网络数据中的传感器数据中提取其传感器数据应用层报文起始位置，读取四个字节的TPKT内容字段；

(2)从所述筛选出的网络数据中的传感器数据中提取其传感器数据应用层报文跳过TPKT内容字段和COTP内容字段后的连续两个固定内容字段；

步骤232，判断从所述筛选出的网络数据中的传感器数据中提取的四个字节的TPKT内容字段与所述传感器数据被篡改判断特征库中的TPKT内容字段中，第一个字节和第二个字节表示的MMS协议版本号与当前MMS协议版本号是否相等，以及第三个字节和第四个字节表示的MMS协议传输的传感器数据应用层报文的长度与当前MMS协议传输的传感器数据应用层报文长度是否相等，若MMS协议版本号和/或MMS协议传输的传感器数据应用层报文的长度不相等，则认为传感器数据被篡改，否则继续执行步骤233；

步骤233，判断从所述筛选出的网络数据中的传感器数据中提取的连续两个固定内容字段是否与所述传感器数据被篡改判断特征库中的连续两个固定内容字段一致，如果不一致则认为传感器数据被篡改；

所述判断方法还包括：

步骤3，当步骤233中判断从所述筛选出的网络数据中的传感器数据应用层报文中COTP内容字段后提取的连续两个固定内容字段与所述传感器数据被篡改判断特征库中的连续两个固定内容字段一致时，则继续通过所述筛选出的网络数据中的传感器数据的MMS协议TLV结构来判断传感器数据是否被篡改；

所述步骤3中通过所述筛选出的网络数据中的传感器数据的MMS协议TLV结构来判断传感器数据是否被篡改的方法包括如下子步骤：

步骤31，在步骤233确定的连续两个固定内容字段后的十五个字节内查找到连续存在的三个字节内容字段是02 01 03的位置作为定位位置；

步骤32，从定位位置向前查找四个字节的内容字段，在这四个字节的内容字段中从前向后查找第一个出现内容是30的字节的位置：

(1)如果30出现在第一个字节，则第三个字节和第四个字节的内容标识第四个字节后的内容长度，30位置向前两个字节的内容标识从30位置起始的剩余内容长度；

(2)如果30出现在第二个字节，则第三个字节内容是81或者82，第四个字节的内容标识第四个字节后的内容长度，30位置向前一个字节的内容标识从30位置起始的剩余内容长度；

(3)如果30出现在第三个字节，则第四个字节的内容标识第四个字节后的内容长度，30位置向前一个字节的内容标识从30位置起始的剩余内容长度；

步骤33，如果四个字节中标识的内容长度与第四个字节后的实际内容长度相等，并且30位置向前一个字节的标识的从30位置起始的剩余内容长度与从30位置起始的实际剩余内容长度相等，则认为传感器数据未被篡改，如果不相等，则认为传感器数据被篡改。