一种电力生产控制大区的信息安全监测系统的制作方法

本发明涉及工业控制系统现场网络信息安全技术领域，特别是涉及一种电力生产控制大区的信息安全监测系统。

背景技术：

电力监控系统采用通用网络与信息技术，不可避免的引入了信息安全问题。尽管通过网络隔离技术将电力监控系统的生产控制大区与管理信息大区隔离开来，使得电力监控系统处于相对封闭安全的环境；但随着针对工业控制系统安全攻击的增加，以及各界对工控系统信息安全问题的关注，使得包括电力监控系统在内的控制系统的产品信息获取渠道更清晰，攻击者学习各种控制系统软件、固件和通信协议的机会增加。

目前的防火墙、入侵检测系统、防病毒、态势感知等信息安全产品的防护对象均为通用的it设备、操作系统、软件和通信协议，无法针对性的分析和监测电力监控系统中的异常行为和潜在威胁。亟需一种监测系统，能够跨电力监控的生产控制大区和管理信息大区，针对电力监控系统的业务特点，同时联合传统安全设备，实现对电力生产监控网络的安全感知。

技术实现要素：

有鉴于此，本发明的目的是针对现有技术的不足，提供一种电力生产控制大区的信息安全监测系统，可以针对电力监控系统的业务特点，同时联合传统安全设备，实现对电力生产监控网络的安全感知。

为达到上述目的，本发明采用以下技术方案：

一种电力生产控制大区的信息安全监测系统，监测系统包括：

监控报文采集设备，用于对生产控制大区中的网络流量进行采集；

监控报文分析设备，用于根据应用环境，对不同的电力监控系统专用通信协议进行解析；

信息安全监测平台，分别与监控报文采集设备和监控报文分析设备信号连接，信息安全监测平台对监控报文采集设备采集的网络流量和监控报文分析设备解析的报文进行业务行为学习和异常行为监测，整合生产控制大区和管理信息大区中的安全设备日志，建立业务模型，感知电力监控网络中的信息安全异常行为和潜在攻击。

进一步的，应用环境包括：电厂离散控制系统、电厂辅助控制系统、变电站自动化系统、调度自动化系统、配网自动化系统。

进一步的，信息安全监测平台对网络流量中的协议分布、发包频度、连接情况分布进行统计，识别流量级的异常行为并告警。

进一步的，信息安全监测平台根据系统、设备间的报文交互，自动学习业务逻辑关系和合法业务操作，识别业务操作中的异常行为并告警。

进一步的，生产控制大区和管理信息大区的安全设备包括生产控制大区中的防火墙、管理信息大区中防火墙、网络入侵检测系统、主机安全防护软件。

与现有技术相比，本发明提供的电力生产控制大区的信息安全监测系统具有以下有益效果：

本发明提供的电力生产控制大区的信息安全监测系统包括监控报文采集设备、监控报文分析设备和信息安全监测平台。通过对生产控制大区中的网络流量进行采集，根据应用环境对不同的电力监控系统专用通信协议进行解析；整合生产控制大区和管理信息大区中的安全设备日志，建立业务模型，感知电力监控网络中的信息安全异常行为和潜在攻击，保障电力系统的安全稳定进行。

附图说明

下面结合附图对本发明做进一步的详细说明。

图1是本发明提供的电力生产控制大区的信息安全监测系统的示意图。

具体实施方式

下面结合实施例对本发明作进一步说明。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参考图1，图1是本发明提供的电力生产控制大区的信息安全监测系统的示意图。本发明提供的电力生产控制大区的信息安全监测系统包括监控报文采集设备、监控报文分析设备和信息安全监测平台。

监控报文采集设备和监控报文分析设备连接生产控制大区中关键交换机设备，监控报文采集设备用于对生产控制大区中的网络流量进行采集；监控报文分析设备，用于根据应用环境对不同的电力监控系统专用通信协议进行解析。

应用环境包括有很多，包含但不限于电厂离散控制系统、电厂辅助控制系统、变电站自动化系统、调度自动化系统、配网自动化系统。以本发明所述系统应用于调度自动化系统安全监控为例，监控报文采集设备和监控报文分析设备分别部署于变电站和调度中心，在变电站侧连接变电站站控层交换机、过程层交换机和变电站出口交换机，在调度中心侧连接数据采集前置服务器两侧的交换机对流量进行采集，解析的应用层协议包括iec61850mms、iec61850goose、iec61850sv和iec60870-5-104。

信息安全监测平台分别与监控报文采集设备和监控报文分析设备信号连接，信息安全监测平台对监控报文采集设备采集的网络流量和监控报文分析设备解析的报文进行业务行为学习和异常行为监测，整合生产控制大区和管理信息大区中的安全设备日志，建立业务模型，感知电力监控网络中的信息安全异常行为和潜在攻击。

信息安全监测平台对网络流量中的协议分布、发包频度、连接情况分布进行统计，识别流量级的异常行为并告警。根据采集到的流量信息，基于源ip、目的ip、源mac、目的mac、端口等信息，分析网内设备节点连接情况、不同类型业务流量占用分布情况、网络流量走势，建立常规网络流量模型作为基准，对异常情况进行识别并告警。

信息安全监测平台根据系统、设备间的报文交互，自动学习业务逻辑关系和合法业务操作，识别业务操作中的异常行为并告警。也就是说可以根据解析后的报文，分析节点间通信内容、频度和关联关系，建立业务逻辑模型，对指令级异常行为进行报警。

以监测系统应用于调度自动化系统安全监控为例，通过对变电站内iec61850mms协议报文进行解析，解析后信息主要包括源ip、目的ip、源mac、目的mac、mmspdu类型、mms服务类型、物理设备、逻辑设备和逻辑节点名称、mms服务内容，通过这些信息与标准q/gdw1396-2012进行对照，可以识别设备在变电站网络中的逻辑位置(如：站控层、间隔层)和设备类型(如：测控设备、保护设备)和连接关系，并根据服务内容建立起合理的业务通信关系(如：监控后台仅向测控设备发送控制命令、不同控制命令对应的控制模式)、通信内容(如：各逻辑节点的数据集大小、测量值的合理范围)和不同故障情况下设备通信逻辑顺序，从而掌握正常的变电站通信业务逻辑，当存在违反通信关系、违反通信内容和通信逻辑顺序等通信异常行为时，进行报警。

在一些优选的实施例中，监测系统可以实现生产控制大区和管理信息大区的安全设备日志信息与报文关联分析。生产控制大区和管理信息大区的安全设备包括生产控制大区中的防火墙、管理信息大区中防火墙、网络入侵检测系统、主机安全防护软件。

以ip地址、设备名称、操作系统用户名、应用系统进程、应用系统用户名等信息元素，将安全设备和系统日志与网络报文进行关联，若发现电力监控系统中流量或指令行为异常的同时，关联防火墙日志、网络入侵检测系统日志、主机安全防护软件日志、主机监控系统日志、邮件系统日志、ids系统日志也发现异常行为，增可以判定电力监控系统中流量或指令行为异常与邮件钓鱼、病毒感染、恶意入侵等信息安全攻击行为存在关联关系。

识别电力监控系统中流量或指令行为异常是否与嗅探、邮件钓鱼、病毒感染等信息安全攻击行为存在关联关系，同时对于安全设备和系统发现的信息安全异常是否与电力监控系统设备、进程和权限存在关联关系。以发明所述系统应用于调度自动化系统安全监控为例，当变电站远动设备收到iec60870-5-104“遥控”命令时，若该命令报文的源ip地址与正常的调度遥控命令不同，那么在本发明所述信息安全监测平台异常告警的同时，关联该源ip地址对应的主机的主机安全监测日志，查看该主机是否感染病毒或木马，木马或病毒是否对该主机上的电力监控系统进程进行了修改；关联防火墙和ids日志，查看该源ip地址是否存在大量尝试访问其他非电力监控系统ip地址104协议端口的情况；关联该主机上电力监控系统应用用户对应公司邮箱在邮件审计系统中的行为，查看该用户是否存在邮件泄露电力监控系统应用用户名和口令的情况。

在一些优选的实施例中，监测系统可以对潜在攻击行为分析并告警。具体是根据关联分析结果，对异常事件进行审计，对潜在攻击行为进行路径建模并告警。

以监测系统应用于调度自动化系统安全监控为例，当变电站远动设备收到iec60870-5-104“遥控”命令时，若该命令报文的源ip地址与正常的调度遥控命令不同。关联该源ip地址对应的主机的主机安全监测日志，若存在病毒并对电力监控系统进程进行了修改；关联防火墙和ids日志，若该源ip地址存在大量尝试访问其他ip地址104协议端口的情况，且存在与internet互联网定时通信的情况；关联该主机上电力监控系统应用用户对应公司邮箱在邮件审计系统中的行为，若该用户存在邮件泄露常用用户名和口令的情况。该以电力监控系统为目标的潜在攻击行为的路径可以描述为通过社会工程学或网站钓鱼获得电力监控系统应用系统权限，通过病毒感染电力监控系统所在主机并操作电力监控系统。信息安全监测平台部署在调度中心生产控制大区，可以通过调度数据网与生产控制大区监控报文采集与分析设备进行通信。安全设备和系统的日志可以分别接入平台中，也可以通过soc类系统统一接入平台中。

本发明提供的电力生产控制大区的信息安全监测系统，通过对生产控制大区中的网络流量进行采集，根据应用环境对不同的电力监控系统专用通信协议进行解析；整合生产控制大区和管理信息大区中的安全设备日志，建立业务模型，感知电力监控网络中的信息安全异常行为和潜在攻击，保障电力系统的安全稳定进行，在网络信息安全技术领域有很强的实用性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。