智能变电站网络异常分析方法程洪民

智能变电站网络异常分析方法程洪民

程洪民王子

(国网葫芦岛供电公司辽宁葫芦岛125200)

摘要：智能电网建设目前已成为我国重要发展项目之一，作为智能电网建设中的关键和重头戏，智能变电站的建设改造任务显得尤为重要，智能变电站的建立在某种程度上可以推动我国电网智能化的出现。

关键词：智能变电站；网络异常；分析方法

引言

随着国家电网公司“三集五大”体系的不断推进，各个地区逐渐推行了变电站无人值班化管理。智能变电站具有全站信息数字化、通信平台网络化、信息共享化的显著优点，为电力调度控制中心实行集中监控提供了有利的条件，因而得到了广泛应用。为了实现针对智能变电站系统的网络入侵检测，文章提出一种智能变电站系统网络报文分析方法与异常检测方法。利用智能变电站系统网络封闭性的特点，建立系统内部网络规则，实时捕获网络报文并与建立规则进行比对分析，发现网络中的异常行为。在实验室环境中模拟恶意攻击行为，验证了本文提出方法的合理性和有效性。

1智能变电站网络结构图

IEC61850标准提出了变电站自动化系统功能分层的概念，功能分为3个层次，如图1所示，从上到下依次分为站控层、间隔层和过程层，箭头表示层间设备通信和层与层之间的数据和命令通信。如站控层和间隔层之间相互交换保护和控制数据，站控层将接收来的信息进行分析、存储等，以进行自动电容器投切等高级应用，并提供给调度和后台机监控；同时，间隔层接收从站控层传输来的遥控操作命令，并进行间隔层五防逻辑判断后执行。间隔层之间保护和测控装置相互交换信息，如联闭锁功能的实现，母差保护和线路保护装置之间的数据交换等。

图1智能变电站网络结构图

站控层的功能是利用全站信息对全站一次、二次设备进行监视和控制，采用冗余设计的双网配置，即MMS（MadeMessageStandard）网络；间隔层接收过程层信息，对设备运行情况进行监视，起保护作用；过程层是一次设备的数字化接口，主要包括一次设备、合并单元和智能终端，与间隔层之间通过光纤进行数据连接，传递一次设备状态量。

2网络异常报文检测总体思路

智能变电站网络报文异常检测方法的核心思想是：利用变电站封闭系统内部设备与流量相对稳定的特点，通过分析变电站配置文件、历史报文信息和设备对外开发服务信息，建立系统内设备、网络流量和协议类型的规则。再利用建立的规则对系统内的网络报文进行过滤分析，当发现系统中出现异常报文时给出告警信息并记录异常报文信息。网络报文异常检测的一般流程为：

1）从智能变电站站控层交换机的镜像端口实时捕获系统内的网络报文并提取报文的基本信息；

2）基于变电站配置文件，建立IP地址和MAC地址的对应规则，并进行异常设备检测；

3）通过获取一段时间内的网络流量信息并结合历史流量信息，进行异常流量检测；

4）通过获取实时网络报文并进行协议匹配，进行异常协议检测。

在上述执行过程中，规则建立和规则匹配是2个核心部分，决定了方法的可行性与合理性，下节将详细介绍这3种异常检测策略的具体实现。

3典型问题分析

3.1站控层通道通信异常信号及现象

运维人员例行巡视时，发现后台机大量报出“220kV线路1保护A.B网断开”、“220kV线路1保护B.B网断开”、“110kV线路1保护.B网断开”等信号。运维人员对该220kV线路两套保护及测控装置和110kV线路1保护与测控装置进行了检查，未发现保护装置有异常，且保护装置运行灯亮，报警灯灭，现场一次设备运行正常。与调控中心联系，调控D5000系统及远动装置均正常运行，没有任何异常信号。

3.2站控层通道通信异常信号原因及影响分析

1）站控层网络异常的常见原因有：

（1）装置物理网卡MAC地址冲突，在调试和运行中均可引起ARP（AddressResolutionProtocol）风暴，影响网络上所有装置。

（2）IP地址冲突，在调试和运行过程中，后台的ARP更新后会向另外一台相同IP的装置发起连接，影响相同IP地址的几台装置。

（3）交换机被环接，一封或几封经过交换机的报文会在网络中循环，引起网络风暴，影响接收报文的几台装置。

（4）网络风暴发生期间，装置CPU资源被网络任务占用，处于假死状态，此时装置的双网均失效。

（5）装置网口和网线异常。

2）故障处理

站控层通道通信异常信号的处理：由于经过了调试和验收，现场通信异常通常与线路损坏或者交换机故障所致，应该首先对光缆线路及站控层和过程层交换机运行情况进行检查。经过运维人员现场排查发现，站控层II区交换机故障，影响了站控层信息的传输。故障交换机经过厂家调试后恢复正常，后台机报警信号消失。

4实验与结果分析

4.1实验环境

将报文分析系统在江苏电科院500kV实验变电站环境中进行测试。变电站作为典型电力工控系统，实验环境如图2所示。

图2实验环境

1）站控层设备：包含监控主机、保护装置和测控装置，设备间的通信产生网络报文信息。

2）网络报文分析系统：执行本文提出的网络报文异常检测方法。

3）站控层交换机：从交换机的镜像端口可以获取系统内部的全部网络报文信息。

4）隔离装置：分析设备通过隔离装置与交换机相连，数据只能从交换机向分析设备单向传输，确保分析设备不会对变电站运行造成任何影响。

4.2异常检测

在上述环境中模拟2种恶意攻击行为，通过观察网络报文分析系统是否有告警信息输出，判断检测规则的合理性与有效性。

1）拒绝服务攻击：变电站内部现有设备感染恶意程序，在网络中广播地址解析协议（AddressResolutionProtocol，ARP）报文，导致监控后台与设备之间通信中断。

2）利用系统漏洞攻击：未知设备接入变电站网络，并且利用VxVorks系统WDB调试端口（UDP17185）漏洞进行攻击，导致设备宕机。异常检测结果见表1所列。

表1异常检测结果

上表显示了网络报文分析系统检测到的异常告警信息。从中可以看出，对于第1种攻击行为，由于单个IP地址短时间内广播大量的ARP报文，系统利用地址规则检测到单个设备的流量异常。对于第2种攻击行为，由于有未知设备接入，根据地址规则判断出异常的IP地址（172.20.220.134），恶意攻击造成172.20.220.134与172.20.50.13之间的网络流量，系统根据流量规则判断出现了异常流量，恶意攻击由于使用UDP17185端口发动攻击，系统根据协议规则将攻击报文判断为未知协议异常。通过这2种攻击行为的检测，验证了本文提出检测方法的可行性与建立规则的合理性。

结语

我国是发展中国家，人口众多，因此，对于基础设施的需求也就相对于发达国家更大一些，随着现代社会的不断发展，电力成为了人民日常生活中不可或缺的一部分，不得不说，电力始终是一个国家经济发展和社会稳定的重要保证。本文利用智能变电站相对封闭的特点，提出一种智能变电站网络报文异常检测方法，实时捕获系统内部的网络报文，通过对变电站配置文件、历史网络流量信息和设备固有服务的分析，实现了对智能变电站内部各种恶意攻击的检测与预警，为提升电力工控系统信息安全防护水平提供依据。在下一步的工作中，可以结合变电站实际业务，提高异常检测的效率。

参考文献：

[1]陈茂源,孙炜,梁野,等.电力二次系统内网安全监视功能的研究与实现[J].江苏电机工程,2014,33(3):31-34.

[2]付钰,李洪成,吴晓平,等.基于大数据分析的APT攻击检测研究综述[J].通信学报,2015,36(11):1-14.

[3]刘念,余星火,张建华.网络协同攻击:乌克兰停电事件的推演与启示[J].电力系统自动化,2016,40(6):144-147.