一种针对变电站仿真设备的安全评估方法与流程

本发明涉及电力安全技术领域，尤其是一种针对变电站仿真设备的安全评估方法。

背景技术：

变电站具有变换电压、汇集电力、控制电流流向和提高电能质量等功能，对电力系统的稳定和可靠性起着重要作用。为更好的管理、了解变电站，需要根据实际变电站，运用必要的仿真技术，构建变电站仿真系统进行相关操作，以模拟实际变电站操作。变电站仿真系统中包括通过内置的系统虚拟化组件对系统进行虚拟化模拟，模拟出变电站设备中各类设备，以下将模拟出的一个或多个设备简称为仿真设备。

变电站仿真系统中仿真设备如果遭受攻击，会使得仿真效果发生错误，从而可能导致对实际变电站操作出现错误，目前针对变电站仿真系统中的仿真设备的没有有效安全评估技术。

技术实现要素：

本发明提出一种针对变电站仿真设备的安全评估方法，有助于解决目前针对变电站仿真系统中的仿真设备无法进行有效安全评估的问题。

本发明采用以下技术方案。

一种针对变电站仿真设备的安全评估方法，用于对变电站仿真系统中的仿真设备进行安全性判定，所述评估方法包括以下步骤；

步骤s1、采集变电站仿真系统中的网络数据流并分析其特征，以得到网络数据流的特征参数；

步骤s2、根据网络数据流特征参数中的数据流目的地址，确定该网络数据流的目标仿真设备；

步骤s3、当目标仿真设备的工况出现异常时，将此异常工况与网络数据流的特征参数进行比对，若网络数据流的特征参数与该异常工况中的异常特征相匹配，则判定该目标仿真设备的安全性异常。

所述异常工况中的异常特征包括流量信息；在步骤s3中的比对中，若网络数据流特征参数中的流量信息与仿真设备异常工况中的流量信息相匹配时，判定该目标仿真设备的安全性异常。

所述异常工况中的异常特征包括与目标仿真设备关联的异常操作行为；在步骤s3中的比对中，若网络数据流特征参数中的操作行为与所述目标仿真设备关联的异常操作行为相匹配时，判定所述目标仿真设备的安全性异常。

所述评估方法还包括预设的评估资源库；所述评估资源库可对接收到的新的异常工况异常特征参数进行存贮，还能对与这部分异常特征参数相关联的仿真设备信息进行存储。

在步骤s1、步骤s2中，包括以下方法；

步骤a1、对所述网络数据流中的每一条流数据进行特征解析，获得解析结果；

步骤a2、根据所述解析结果，获得所述流数据的开始时间和结束时间、源ip地址、目的ip地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

在判定目标仿真设备的安全性异常后，确定与目标仿真设备对应的目标报警方式，并根据所述目标报警方式进行生成对应的提示信息。

生成所述提示信息时，包括以下方法；

步骤b1、根据所述目标仿真设备工况的异常特征和所述目标仿真设备的类型，确定对应的目标报警方式和异常等级；

步骤b2、根据所述目标报警方式和所述异常等级，生成对应的提示信息。

一种针对变电站仿真设备的安全评估装置，所述安全评估装置用于承载运行以上所述的安全评估方法，包括采集模块、特征分析模块、确定模块、安全判定模块，还包括预设的评估资源库；所述评估资源库贮有异常工况异常特征参数以及与异常特征参数相关联的仿真设备信息；

所述采集模块用于采集变电站仿真系统中的网络数据流；其中，所述变电站仿真系统中包括一个或多个仿真设备；

所述特征分析模块用于对所述网络数据流进行特征分析，得到所述网络数据流的特征参数；

所述确定模块用于根据所述特征参数包括的目的地址，确定所述网络数流据的目标仿真设备；

所述安全判定模块用于在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。

所述安全评估装置为一种终端设备，包括包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序。

本发明与现有技术相比存在的有益效果是：本发明基于其采集的所述变电站仿真系统中的网络流数据；其中，所述变电站仿真系统中包括一个或多个仿真设备；对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备；在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。由于根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备；在所述特征参数与所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。从而可高效的对变电站仿真系统中的仿真设备进行安全评估。

附图说明

下面结合附图和具体实施方式对本发明进一步详细的说明：

附图1是本发明所述评估方法的流程示意图；

附图2是本发明所述评估方法的另一流程示意图；

附图3是本发明所述安全评估装置的原理示意图；

附图4是本发明所述安全评估装置的另一原理示意图；

附图5是本发明所述终端设备的原理示意图；

图中：300－安全评估装置；301－采集模块；302－特征分析模块；303－确定模块；304－安全判定模块；305－报警模块；

500－终端设备；501－处理器；502－存储器；503－计算机程序。

具体实施方式

如图所示，一种针对变电站仿真设备的安全评估方法，用于对变电站仿真系统中的仿真设备进行安全性判定，所述评估方法包括以下步骤；

步骤s1、采集变电站仿真系统中的网络数据流并分析其特征，以得到网络数据流的特征参数；

步骤s2、根据网络数据流特征参数中的数据流目的地址，确定该网络数据流的目标仿真设备；

步骤s3、当目标仿真设备的工况出现异常时，将此异常工况与网络数据流的特征参数进行比对，若网络数据流的特征参数与该异常工况中的异常特征相匹配，则判定该目标仿真设备的安全性异常。

所述异常工况中的异常特征包括流量信息；在步骤s3中的比对中，若网络数据流特征参数中的流量信息与仿真设备异常工况中的流量信息相匹配时，判定该目标仿真设备的安全性异常。

所述异常工况中的异常特征包括与目标仿真设备关联的异常操作行为；在步骤s3中的比对中，若网络数据流特征参数中的操作行为与所述目标仿真设备关联的异常操作行为相匹配时，判定所述目标仿真设备的安全性异常。

所述评估方法还包括预设的评估资源库；所述评估资源库可对接收到的新的异常工况异常特征参数进行存贮，还能对与这部分异常特征参数相关联的仿真设备信息进行存储。

在步骤s1、步骤s2中，包括以下方法；

步骤a1、对所述网络数据流中的每一条流数据进行特征解析，获得解析结果；

步骤a2、根据所述解析结果，获得所述流数据的开始时间和结束时间、源ip地址、目的ip地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

在判定目标仿真设备的安全性异常后，确定与目标仿真设备对应的目标报警方式，并根据所述目标报警方式进行生成对应的提示信息。

生成所述提示信息时，包括以下方法；

步骤b1、根据所述目标仿真设备工况的异常特征和所述目标仿真设备的类型，确定对应的目标报警方式和异常等级；

步骤b2、根据所述目标报警方式和所述异常等级，生成对应的提示信息。

一种针对变电站仿真设备的安全评估装置，所述安全评估装置用于承载运行以上所述的安全评估方法，包括采集模块、特征分析模块、确定模块、安全判定模块，还包括预设的评估资源库；所述评估资源库贮有异常工况异常特征参数以及与异常特征参数相关联的仿真设备信息；

所述采集模块用于采集变电站仿真系统中的网络数据流；其中，所述变电站仿真系统中包括一个或多个仿真设备；

所述特征分析模块用于对所述网络数据流进行特征分析，得到所述网络数据流的特征参数；

所述确定模块用于根据所述特征参数包括的目的地址，确定所述网络数流据的目标仿真设备；

所述安全判定模块用于在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。

所述安全评估装置为一种终端设备，包括包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序。

本例中提供的仿真设备的安全评估方法，可以应用于变电站仿真系统中的终端设备，预先在所述变电站仿真系统中的网络进出口处部署网络数据采集器，所述终端设备与所述网络数据采集器进行通信连接。

所述终端设备可以是台式电脑、笔记本电脑、超级移动个人计算机(ultra-mobilepersonalcomputer，umpc)、上网本、个人数字助理(personaldigitalassistant，pda)、可穿戴设备、增强现实（augmentedreality，ar）/虚拟现实(virtualreality，vr)设备、手机、机器人等终端设备，本申请实施例对终端设备的具体类型不做任何限制。

本例中，网络流数据即为网络数据流的另一表述形式。

实施例一：

请参阅图1，本实施例提供的一种仿真设备的安全评估方法，包括：

步骤s101，采集变电站仿真系统中的网络流数据；其中，所述变电站仿真系统中包括一个或多个仿真设备。

具体地，在可通过网络数据采集器在变电站仿真系统的网络进出口处，采集电力监控系统中的网络流数据，并将所述网络流数据进行存储。

步骤s102，对所述网络流数据进行特征分析，得到所述网络流数据的特征参数。

具体地，在对网络流数据进行采集的过程中，可通过基于流数据采集技术采集每一条流数据，并对采集到的每一条流数据进行特征分析，得到每一条流数据的特征参数。

在一个实施例中，所述对所述网络流数据进行特征分析，得到所述网络流数据的特征参数，包括：对所述网络流数据中的每一条流数据进行特征解析，获得解析结果；根据所述解析结果，获得所述流数据的开始时间和结束时间、源ip地址、目的ip地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

具体地，可根据流协议对所述每一条流数据进行还原，得到每一条流数据的开始时间和结束时间、源ip地址、目的ip地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

步骤s103，根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备。

具体地，在对所有流数据进行特征分析，得到所有流数据的目的ip地址，确定与所述目的ip地址对应的仿真设备，并称之为目标仿真设备。

步骤s104，在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。

具体地，预先收集变电站仿真系统中各个仿真设备的异常特征参数，并存储至预设资源库中。根据流数据的目标仿真设备，将流数据的特征参数与该目标仿真设备的异常特征参数进行对比，当特征参数与预设资源库中的目标仿真设备的异常特征参数相匹配时，判定该目标仿真设备的安全性存在异常。

在一个实施例中，所述步骤s104包括：当所述特征参数中的流量信息与所述目标仿真设备关联的异常流量信息相匹配时，判定所述目标仿真设备的安全性异常。

具体地，预先收集变电站仿真系统中各个仿真设备的异常特征参数，并存储至预设资源库中。当确定了流数据的目标仿真设备时，将流数据的特征参数中的流量信息与该目标仿真设备的异常特征参数中的异常流量信息进行对比，当流数据的流量信息与该目标仿真设备的异常流量信息相匹配时，判定该目标仿真设备的安全性存在异常。如攻击者用极大的通信量冲击目标仿真设备，此类攻击的流量特征会表现出通过一个或多个源地址向同一个目的ip地址发送大量的数据包，当目标仿真设备短时间内接受了大流量的数据时，结合目标仿真设备的正常工作流量判定是否存在流量异常。

在一个实施例中，所述步骤s104还包括：当所述特征参数中的操作行为与所述目标仿真设备关联的异常操作行为相匹配时，判定所述目标仿真设备的安全性异常。

具体地，预先收集变电站仿真系统中各个仿真设备的异常特征参数，并存储至预设资源库中。通过上述步骤确定流数据的目标仿真设备，根据流数据解析得到的数据内容，确定数据内容对应操作行为，在所述操作行为与对应目标仿真设备预存储的操作行为相匹配时，判定该目标仿真设备的安全性存在异常。

在一个实施例中，当接收到新的异常特征参数、以及与所述新的异常特征参数关联的仿真设备信息，将所述新的异常特征参数与所述仿真设备信息进行关联，并存入至所述预设资源库中。

具体地，当收集到新的异常特征参数时，可将新的异常特征参数、以及与所述新的异常特征参数关联的仿真设备信息进行关联后，并存入至所述预设资源库中，以更新资源库。

本申请实施例采集所述变电站仿真系统中的网络流数据；其中，所述变电站仿真系统中包括一个或多个仿真设备；对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备；在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。由于根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备；在所述特征参数与所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。从而可高效的对变电站仿真系统中的仿真设备进行安全评估。

实施例二：

本申请实施例提供一种仿真设备的安全评估方法，本实施例是对实施例一的进一步说明，与实施例一相同或相似的地方，具体可参见实施例一的相关描述，此处不再赘述，请参阅图2，本实施例提供的一种仿真设备的安全评估方法，包括：

步骤s201，采集所述变电站仿真系统中的网络流数据；其中，所述变电站仿真系统中包括一个或多个仿真设备。

步骤s202，对所述网络流数据进行特征分析，得到所述网络流数据的特征参数。

步骤s203，根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备。

步骤s204，在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。

在本申请实施例中，上述步骤s201至步骤s204分别与上述步骤s101至步骤s104相同或相似的地方，具体可参见步骤s101至步骤s104的相关描述，此处不再赘述。

步骤s205，根据所述异常特征参数和所述目标仿真设备的类型，确定对应的目标报警方式，并根据所述目标报警方式进行生成对应的提示信息。

具体地，在特征参数与预存储的异常特征参数相匹配后，若对目标仿真设备中该异常特征参数预先设置了报警方式，将预先设置的报警方式作为目标报警方式，并根据目标报警方式进行生成对应的提示信息。若对目标仿真设备中该异常特征参数预先未设置报警方式，将预设的默认报警方式作为目标报警方式，并根据目标报警方式进行生成对应的提示信息。报警方式包括但不限于通过声音、系统显示提示、邮件提示等方式。

在一个实施例中，所述根据所述异常特征参数和所述目标仿真设备的类型，确定对应的目标报警方式，并根据所述目标报警方式进行生成对应的提示信息，包括：根据所述异常特征参数和所述目标仿真设备的类型，确定对应的目标报警方式和异常等级；根据所述目标报警方式和所述异常等级，生成对应的提示信息。

具体地，根据异常特征参数的危害等级，预先关联目标仿真设备不同的异常特征参数对应的异常等级。在所述特征参数与预设资源库中所述目标仿真设备的一种或多种异常特征参数相匹配时，确定该异常特征对应的异常等级；用目标报警方式并以确定的异常等级对应的等级报警。

由于根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备；在所述特征参数与所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常，并进行对应的报警。从而可高效的对变电站仿真系统中的仿真设备进行安全评估。

实施例三：

对应于上文实施例所述的仿真设备的安全评估方法，图3示出了本申请实施例提供的仿真设备的安全评估装置的结构框图，为了便于说明，仅示出了与本申请实施例相关的部分。参照图3，该装置包括：

采集模块301，用于采集变电站仿真系统中的网络流数据；其中，所述变电站仿真系统中包括一个或多个仿真设备；

特征分析模块302，用于对所述网络流数据进行特征分析，得到所述网络流数据的特征参数；

确定模块303，用于根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备；

安全判定模块304，用于在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常。

在一个实施例中，所述安全判定模块具体用于：当所述特征参数中的流量信息与所述目标仿真设备关联的异常流量信息相匹配时，判定所述目标仿真设备的安全性异常。

在一个实施例中，所述安全判定模块具体还用于：当所述特征参数中的操作行为与所述目标仿真设备关联的异常操作行为相匹配时，判定所述目标仿真设备的安全性异常。

在一个实施例中，所述安全评估装置还包括：

关联存储模块，用于当接收到新的异常特征参数、以及与所述新的异常特征参数关联的仿真设备信息，将所述新的异常特征参数与所述仿真设备信息进行关联，并存入至所述预设资源库中。

在一个实施例中，所述确定模块具体用于：对所述网络流数据中的每一条流数据进行特征解析，获得解析结果；根据所述解析结果，获得所述流数据的开始时间和结束时间、源ip地址、目的ip地址、源端口、目的端口、协议类型、流量信息和数据内容中的一项或多项特征参数。

在一个实施例中，如图4所示，所述安全评估装置还包括：

报警模块305，用于在所述特征参数与预设资源库中所述目标仿真设备的异常特征参数相匹配之后，根据所述异常特征参数和所述目标仿真设备的类型，确定对应的目标报警方式，并根据所述目标报警方式进行生成对应的提示信息。

在一个实施例中，所述报警模块具体用于：根据所述异常特征参数和所述目标仿真设备的类型，确定对应的目标报警方式和异常等级；根据所述目标报警方式和所述异常等级，生成对应的提示信息。

由于根据所述特征参数包括的目的地址，确定所述网络流数据的目标仿真设备；在所述特征参数与所述目标仿真设备的异常特征参数相匹配时，判定所述目标仿真设备的安全性异常，并进行对应的报警。从而可高效的对变电站仿真系统中的仿真设备进行安全评估。

实施例四：

如图5所示，本发明的一个实施例还提供一种终端设备500包括：处理器501，存储器502以及存储在所述存储器502中并可在所述处理器501上运行的计算机程序503，例如仿真设备的安全评估程序。所述处理器501执行所述计算机程序503时实现上述各个仿真设备的安全评估方法实施例中的步骤。所述处理器501执行所述计算机程序503时实现上述各装置实施例中各模块的功能。

示例性的，所述计算机程序503可以被分割成一个或多个模块，所述一个或者多个模块被存储在所述存储器502中，并由所述处理器501执行，以完成本发明。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序503在所述终端设备500中的执行过程。例如，所述计算机程序503可以被分割成采集模块、特征分析模块、确定模块和安全判定模块，各模块具体功能在上述实施例中已有描述，此处不再赘述。

所述终端设备500可以是台式电脑、笔记本电脑、超级移动个人计算机(ultra-mobilepersonalcomputer，umpc)、上网本、个人数字助理(personaldigitalassistant，pda)、可穿戴设备、增强现实（augmentedreality，ar）/虚拟现实(virtualreality，vr)设备、手机、机器人等终端设备。所述终端设备可包括，但不仅限于，处理器501，存储器502。本领域技术人员可以理解，图5仅仅是终端设备500的示例，并不构成对终端设备500的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器501可以是中央处理单元（centralprocessingunit，cpu），还可以是其他通用处理器、数字信号处理器（digitalsignalprocessor，dsp）、专用集成电路（applicationspecificintegratedcircuit，asic）、现场可编程门阵列（field-programmablegatearray，fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器502可以是所述终端设备500的内部存储单元，例如终端设备500的硬盘或内存。所述存储器502也可以是所述终端设备500的外部存储设备，例如所述终端设备500上配备的插接式硬盘，智能存储卡（smartmediacard，smc），安全数字（securedigital，sd）卡，闪存卡（flashcard）等。进一步地，所述存储器502还可以既包括所述终端设备500的内部存储单元也包括外部存储设备。所述存储器502用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器502还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。