报文采集模块、分析预警模块、通信模块、告警可视化等功能 模块。下面分别就各功能模块的主要功能及实现加以说明:
[0040] (一)分析预警策略库
[0041] 根据网络安全性监测对象设计网络安全性分析预警的策略并集成为一个库,从策 略库选择制定所监测网络的分析预警策略供分析预警模块使用。对网络进行安全性监测通 常存在多个监测对象,即分析预警模块所需策略是对应监测对象的多条策略。
[0042] 分析预警策略库设计如下,可以根据监测对象的需求增加而相应的增加策略。
[0043]
[0044] (二)装置模型
[0045] 网络报文记录分析仪采用《DL/T 860变电站通信网络和系统》系列标准进行建模, 应满足该标准的一致性测试。建模时根据网络安全性异常告警等级,将严重告警归入数据 集dsAlarm,将一般告警归入数据集dsWarning。
[0046] (三)报文采集模块
[0047] 报文采集模块通过接口采集和记录存储一定时间的网络报文,实时采集的报文提 供给分析预警模块进行分析和诊断。
[0048] 报文采集接口通常有电以太网接口和光纤接口。调度数据网络和站控层网络可分 别采用不同的电以太网接口采集网络报文,过程层网络可采用光纤接口采集网络报文。另 外,变电站过程层GOOSE和SV分别组网的模式下,可分别采用不同的光纤接口采集相应的 网络报文。
[0049](四)分析预警模块
[0050] 针对报文采集接口分别采集的调度数据网络、站控层网络和过程层网络报文,分 任务根据制定的相应策略进行实时分析过滤诊断及预警。
[0051] 分析诊断出网络异常告警,触发相应的告警并通过内部消息传递给通信模块和监 视界面进行告警可视化展示。
[0052] 限于协议可以传输的异常告警信息相对简单,排除网络安全隐患需要更详细的分 析预警信息才能快速定位问题所在。因此,分析预警模块在分析诊断出网络异常告警时,还 需要相应的生成一个分析预警信息文件。
[0053] 分析预警信息文件名称定义为xxxx (年4位)XX (月2位)XX (日2位)_xx (时2 位)xx(分2位)xx(秒2位)_xxx(毫秒3位).net,其中时间为异常告警发生时刻,比如 20150527_103030_500. net。
[0054] 分析预警信息文件采用XML格式,元素定义如下:
[0055] (1)根元素(Net)
[0060] 分析预警信息文件格式及内容也可以和有关方协商后进行相应修改。
[0061] (五)通信模块
[0062] 通信模块负责与二次设备在线监视和智能诊断系统进行MMS通信。当分析预警模 块触发了异常告警后,立即将异常告警通过报告控制块发送给对方,同时通过文件服务响 应对方召唤分析预警信息文件。另外,通信模块也可以与别的系统通信,比如监控后台。
[0063] (六)告警可视化
[0064] 二次设备在线监视和智能诊断系统可进行异常告警及详细的分析预警信息展示。 网络报文记录分析仪接入显示设备,也可直接在监视界面进行异常告警及详细的分析预警 信息展示。通过告警可视化,可以快速分析定位网络安全隐患。
[0065] 以上所述仅是发明的一种实施方式,应当指出:对于本技术领域的技术人员来说, 在不脱离本发明原理的前提下,还可以做出若干改进和调整,这些改进和调整均应视为本 发明的保护范围。
[0066] 最后要说明的是,此种基于网络报文记录分析仪实现变电站网络安全性分析预警 的方法,并不局限于变电站网络监测,也适用于电厂监控网络监测,甚至适用于其他工业控 制领域的网络监测。该系统具有很强的扩展性,可针对网络报文进行其他方面的分析、诊 断、统计等。
【主权项】
1. 一种变电站网络安全性分析预警系统,其特征在于包括网络报文记录分析仪、通讯 模块、变电站各层网络上的二次设备、交换机、二次设备在线监视和智能诊断系统; 所述网络报文记录分析仪通过所述通信模块与二次设备在线监视和智能诊断系统进 行MMS通信;所述二次设备在线监视和智能诊断系统实时获取网络异常告警,并通过通用 文件的方式召唤分析预警信息文件进行可视化展示,同时将网络异常告警转发主站通知调 度运行人员。2. 根据权利要求1所述的系统,其特征在于:对所述变电站的网络实时监测采用分网 分任务模式,对每个接入监测的网络采用单独任务分别进行分析预警,提高系统的实时性 和运行效率。3. 根据权利要求1所述的系统,其特征在于:在所述网络报文记录分析仪上设计分析 预警策略库,相应的分析预警策略确定相应的异常告警信息,并对异常告警划分告警等级; 同时根据变电站的调度数据网络、站控层网络、过程层网络的特点及要求的监测对象,从分 析预警策略库中分别选择制定所监测网络的分析预警策略。4. 根据权利要求1所述的系统,其特征在于:所述网络报文记录分析仪通过建模工具 建立装置模型时,应根据网络安全异常告警的严重程度,通过数据集区分异常告警等级;所 述通信模块通过报告控制块实时上送异常告警,并提供文件服务上送分析预警信息文件。5. -种使用权利要求1所述系统进行变电站网络安全性分析预警的方法,其特征在于 包括以下步骤: (1) 网络报文记录分析仪记录变电站内调度数据网络、站控层网络和过程层网络的所 有报文; (2) 对步骤(1)中记录的所有网络报文,采用网络安全性分析预警模块进行快速分析 诊断,产生异常警告; (3) 根据步骤(2)中诊断出的异常告警,生成详细分析预警信息的通用文件并发送相 应的异常告警给二次设备在线监视和智能诊断系统; (4) 根据步骤(3)中的异常告警和详细的分析预警信息,变电站和调度运行人员根据 异常信息的网络安全影响程度报告相关运维检修人员进行隐患排除。6. 根据权利要求5所述的方法,其特征在于:在步骤(1)中,调度数据网络所有报文包 括主子站间许可协议正常通信的合法报文和可能存在影响网络安全的非法报文; 站控层网络所有报文包括站控层设备间、站控层设备与间隔层设备间许可协议正常通 信的合法报文和可能存在影响网络安全的非法报文; 过程层网络所有报文包括间隔层设备与过程层设备间、过程层设备间许可协议正常通 信的合法报文和可能存在影响网络安全的非法报文。7. 根据权利要求5所述的方法,其特征在于:在步骤(2)中,所述网络安全性分析预警 模块进行快速分析诊断的判断依据是建立分析预警策略,在网络异常发生时触发异常告警 信息,并生成一份详细的分析预警信息文件。8. 根据权利要求5所述的方法,其特征在于:在步骤(3)中,将异常告警和分析预警信 息文件通过通信模块MMS协议发给二次设备在线监视和智能诊断系统。9. 根据权利要求5所述的方法,其特征在于:在步骤(4)中,除了网络报文记录分析仪 可以本地监视界面实现显示异常告警和详细的预警信息外,所述二次设备在线监视和智能 诊断系统也实时显示异常告警,并获取预警信息文件进行预警信息的可视化展示,从而快 速定位影响网络安全的原因。
【专利摘要】本发明主要介绍一种基于网络报文记录分析仪实现变电站网络安全性分析预警的系统和方法。该系统包括网络报文记录分析仪、通讯模块、变电站各层网络上的二次设备、交换机、二次设备在线监视和智能诊断系统。使用上述系统进行变电站网络安全性分析预警的方法,包括如下步骤:网络报文记录分析仪记录变电站内调度数据网络、站控层网络和过程层网络的所有报文,并对报文分析诊断,根据诊断出的异常告警,生成分析文件,变电站和调度运行人员根据网络安全影响程度报告相关运维检修人员排除隐患。本发明的系统和方法用于实施监测变电站各层网络,快速分析预警影响变电站稳定运行的网络安全性问题,及时消除安全隐患,保障变电站安全清洁的网络环境。
【IPC分类】H02J13/00
【公开号】CN105262210
【申请号】CN201510603352
【发明人】陶文伟, 张喜铭, 李金 , 胡荣, 朱海龙, 李正红
【申请人】中国南方电网有限责任公司
【公开日】2016年1月20日
【申请日】2015年9月21日