[发明专利]适用于数字化变电站间隔层SMV网络攻击分级检测方法

摘要

本发明公开一种适用于数字化变电站间隔层SMV网络攻击分级检测方法，包括包解密步骤、包过滤步骤、包解析步骤、MAC地址异常检测步骤、基于规范的入侵检测步骤、基于历史事件的数据检测步骤，最后的检测结果分类写入正常事件日志、告警日志，对异常进行取证后保存；根据入侵数据进行异常评估指标计算；告警及入侵数据、异常评估指标将上送主站；或者进行就地告警显示。本发明所述的适用于数字化变电站间隔层SMV网络攻击分级检测方法，设有MAC 地址异常、SMV 不良数据、数据包逻辑检测、数据流量阀值异常、一次故障相似、网络攻击相似、上送SMV 伪造、上送SMV 篡改等多种异常状态指示器，可方便快速定位攻击形式以及可能的攻击位置，以便快速告知调度侧运行监控人员。

主权项

一种适用于数字化变电站间隔层SMV网络攻击分级检测方法，其特征在于包括如下步骤：步骤1.包解密：对MU经过数字签名的SMV包进行数字签名验证，根据加密解密规则进行数据包处理；步骤2.包过滤：根据SMV数据包MVC起始地址的不同，过滤出SMV数据包；步骤3.包解析：剥离掉SMV数据包外层的MAC地址协议，提取出包中的数据，并把MAC地址和包数据发送到包异常检测模块；步骤4.MAC地址异常检测：所有到达入侵检测模块的MAC地址都要严格遵守预定义的地址接收表，一旦出现与地址库中不匹配的MAC地址，则检测指示器γMAC设置为true，立刻告警并丢弃数据；步骤5.基于规范的入侵检测：包括主要针对引发跳闸数据、不良数据、违反逻辑、超流量阀值告警等；步骤6.基于历史事件的数据检测：检测目前的采样数据是否符合历史事件的触发条件，如过流、过压、短路故障等历史事件，若符合，则设置一次故障γlsft指示为true；然后检查采样数据是否符合某一次历史网络攻击数据模型，若符合，则设置历史入侵γlsit指示为true等。步骤7.最后的检测结果分类写入正常事件日志、告警日志，对异常进行取证后保存；根据入侵数据进行异常评估指标νn计算；告警及入侵数据、异常评估指标νn将上送主站；或者进行就地告警显示。