本發明涉及變電站管理控制領域，尤其涉及一種變電站的網絡風險監測方法及系統。

背景技術：

變電站輔助監控通常包括如綜自系統、遠動系統、pmu、電量采集、保信子系統以及調度數據交換機、站控層交換機、防火墻、網絡隔離裝置、縱向加密認證裝置等許多設備。通常各子系統獨立運行，各子系統之間無法相互聯動，在運維管理及網絡安全上主要存在如下問題：

(1)缺少網絡安全風險預警機制，一旦系統出現故障時，運維人員難以在大量網絡數據中去及時發現原因。

(2)根據電力監控系統安全規定，變電站控制大區不能與互聯網連接，最新病毒檢測庫無法直接更新，已有防毒措施在區內難以及時發揮作用。

(3)根據變電站安全規程，工作任務和安全措施并未對筆記本或移動存儲接入有技術約束要求，同時也缺乏技術手段監視接入過程，一旦設備感染病毒，可能會導致網絡風暴、設備異常等嚴重情況。

(4)現有內網監管平臺側重于對變電站安全設備事件采集、集中展現與實時告警，信息局限于事件層面，且海量信息對輔助分析網絡風險根源作用有限。

技術實現要素：

本發明提供一種變電站的網絡風險監測方法及系統，解決現有技術中變電站網絡安全監控運維人員難以在大量網絡數據中去及時發現原因，最新病毒檢測庫無法直接更新，未對筆記本或移動存儲接入有技術約束要求的技術問題。

本發明的目的是通過以下技術方案實現的：

一種變電站的網絡風險監測方法，包括：

根據專用設備、通用硬件、業務應用的運行信息，構建運維信息模型，所述運維信息模型包括基礎模型、安全特性模型、功能服務模型和性能約束模型；

采集監控數據，所述監控數據包括網絡設備的運行、性能、告警、日志、業務系統運行告警信息、站控層與數據網交換機的網絡數據記錄；

根據策略進行網絡安全風險感知，對不同來源的告警信息進行綜合分析，形成智能告警，生成異常信息與記錄；

通過iec61850-mms接口向主站上送異常信息與記錄、監控數據；

接收主站的控制指令，啟動變電站硬節點開關，對變電站網絡進行相應處理。

一種變電站的網絡風險監測系統，包括：

模型生成模塊，用于根據專用設備、通用硬件、業務應用的運行信息，構建運維信息模型，所述運維信息模型包括基礎模型、安全特性模型、功能服務模型和性能約束模型；

采集監控模塊，用于采集監控數據，所述監控數據包括網絡設備的運行、性能、告警、日志、業務系統運行告警信息、站控層與數據網交換機的網絡數據記錄；

安全分析感知模塊，用于根據策略進行網絡安全風險感知，對不同來源的告警信息進行綜合分析，形成智能告警，生成異常信息與記錄；

信息上送模塊，用于通過iec61850-mms接口向主站上送異常信息與記錄、監控數據；

安全維護管控模塊，用于接收主站的控制指令，啟動變電站硬節點開關，對變電站網絡進行相應處理。

本發明提供一種變電站的網絡風險監測方法及系統，根據專用設備、通用硬件、業務應用的運行信息，構建運維信息模型；采集監控數據，所述監控數據包括網絡設備的運行、性能、告警、日志、業務系統運行告警信息、站控層與數據網交換機的網絡數據記錄；根據策略進行網絡安全風險感知，對不同來源的告警信息進行綜合分析，形成智能告警，生成異常信息與記錄；通過iec61850-mms接口向主站上送異常信息與記錄、監控數據；接收主站的控制指令，啟動變電站硬節點開關，對變電站網絡進行相應處理。本發明基于變電站監控系統的運維信息模型能更為快速的發現故障，追溯故障的產生根源、定位故障的影響范圍及預測故障的蔓延趨勢。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可根據這些附圖獲得其他的附圖。

圖1為本發明實施例的一種變電站的網絡風險監測方法的流程圖；

圖2為本發明實施例的運維信息模型的關聯關系的示意圖；

圖3為本發明實施例的一種變電站的網絡風險監測系統的結構圖。

具體實施方式

為使本發明的上述目的、特征和優點能夠更加明顯易懂，下面結合附圖和具體實施方式對本發明作進一步詳細的說明。

如圖1所示，為一種變電站的網絡風險監測方法，包括：

步驟101、根據專用設備、通用硬件、業務應用的運行信息，構建運維信息模型；

其中，所述運維信息模型包括基礎模型、安全特性模型、功能服務模型和性能約束模型，如圖2所示為運維信息模型的關聯關系和特點，各模型的詳細介紹如下：

基礎模型在電力系統iec61970cim標準擴展方式建立，可防止系統孤島產生，保護用戶資源數據的充分利用。基礎模型通過對變電站監視對象特征進行分析，形成資源和依賴關系模型，便于系統故障定位與分析；

安全特性模型按照變電站監控系統安全防護要求，在基礎模型對象中設定網絡邊界、內部區域、節點通信權限、節點安全接入等約束條件，并建立網絡通信對流量靜態、動態約束條件以構成變電站白名單安全通信機制。

功能服務模型定義變電站監控系統的功能“邏輯塊”節點，建立其與其它節點之間涵蓋關系，并確定彼此之間的依賴關聯，建立系統功能服務數據流模型，例如：主站遙測數據與遠動裝置、監控主機、測控裝置等有關，數據流模型可定義相關通信規約、數據測點關系及通信模塊等信息，依據該模型可迅速定位應用層故障位置，并列出可能的原因，以輔助維護人員排除故障。

性能約束模型變電站監控系統性能設計通常包含較大裕度，正常運行時cpu負荷率/內存容量/網絡帶寬等指標均在較低范圍，核心邏輯塊性能下降將導致整個系統異常，因此需要定義邏輯塊等級及對性能指標的要求閥值，建立系統性能數據流關聯模型。運維信息模型是一個多維多狀態集合，它能更準確反映變電站系統運行狀況。

步驟101具體可以包括：

步驟101-1、根據iec61970cim標準，通過對專用設備、通用硬件的特征進行分析，生成反應資源和依賴關系的基礎模型；

步驟101-2、在所述基礎模型中設定安全約束條件，并建立網絡通信對流量靜態、動態的約束條件，生成安全特性模型，其中，所述安全約束條件包括網絡邊界、內部區域、節點通信權限、節點安全；

步驟101-3、定義變電站監控系統的功能節點，建立功能節點之間的功能涵蓋關系及依賴關聯，以生成功能服務模型；

步驟101-4、定義功能節點對性能指標的要求閥值，建立功能節點對于性能數據流的關聯關系，生成性能約束模型。

步驟102、采集監控數據，所述監控數據包括網絡設備的運行、性能、告警、日志、業務系統運行告警信息、站控層與數據網交換機的網絡數據記錄；

其中，數據采集數據包括交換機、防火墻、二次安防等設備的運行、性能、告警、日志；業務系統運行告警信息；站控層與數據網交換機的網絡數據記錄。

步驟103、根據策略進行網絡安全風險感知，對不同來源的告警信息進行綜合分析，形成智能告警，生成異常信息與記錄；

其中，步驟103具體可以包括：

步驟103-1、根據安全特性模型，對設備ip進行白名單監測，識別ip的安全性越界、異常退出、連接數越限情況記錄并生成告警；分析通信報文流量信息，識別非法通信流量；

步驟103-2、對識別出的非法通信進行模式匹配，將網絡數據與已知攻擊特征和誤用庫進行比較來發現違背安全策略的入侵行為；

步驟103-3、根據運維信息模型，統計正常使用時的帶寬流量、網絡突變、連接方向、訪問次數、通信重連次數和延時，當統計值大于預設閾值時，判斷有網絡異常發生，記錄并生成告警；

步驟103-4、判斷是否存在網絡非法接入、非法互聯，記錄并生成告警；

步驟103-4支持已設定網絡主機發現usb接入并寫入記錄，支持發現網絡非法接入、非法互聯等狀態檢測，除臨時維護情況下均會產生告警記錄，在交換機提供snmp-oid及安全許可的前提下，可控制交換機相應網口開啟與關閉，確保變電站監控系統的安全運行。

步驟103-5、對識別出的非法通信和網絡異常的通信流量進行通信協議分析，以檢測到應用層的攻擊或程序缺陷，并記錄、生成告警。

步驟104、通過iec61850-mms接口向主站上送異常信息與記錄、監控數據；

步驟105、接收主站的控制指令，啟動變電站硬節點開關，對變電站網絡進行相應處理。

其中，步驟105具體可以包括：

步驟105-1、接收主站的控制指令，判斷控制指令類型；

步驟105-2、當控制指令類型為白名單修訂類型時，啟動遠程臨時維護信息操作，修訂白名單監測參數；

步驟105-3、當控制指令類型為硬件開關控制類型時，啟動前端裝置硬件開關，接通用于遠程維護的縱向加密認證裝置網絡接口，接收主站的遙控關閉硬件指令，對設備進行遠程操作。

本發明提供一種變電站的網絡風險監測方法，根據專用設備、通用硬件、業務應用的運行信息，構建運維信息模型；采集監控數據，所述監控數據包括網絡設備的運行、性能、告警、日志、業務系統運行告警信息、站控層與數據網交換機的網絡數據記錄；根據策略進行網絡安全風險感知，對不同來源的告警信息進行綜合分析，形成智能告警，生成異常信息與記錄；通過iec61850-mms接口向主站上送異常信息與記錄、監控數據；接收主站的控制指令，啟動變電站硬節點開關，對變電站網絡進行相應處理。本發明基于變電站監控系統的運維信息模型能更為快速的發現故障，追溯故障的產生根源、定位故障的影響范圍及預測故障的蔓延趨勢。

本發明實施例還包括一種變電站的網絡風險監測系統，如圖3所示，包括：

模型生成模塊310，用于根據專用設備、通用硬件、業務應用的運行信息，構建運維信息模型，所述運維信息模型包括基礎模型、安全特性模型、功能服務模型和性能約束模型；

采集監控模塊320，用于采集監控數據，所述監控數據包括網絡設備的運行、性能、告警、日志、業務系統運行告警信息、站控層與數據網交換機的網絡數據記錄；

安全分析感知模塊330，用于根據策略進行網絡安全風險感知，對不同來源的告警信息進行綜合分析，形成智能告警，生成異常信息與記錄；

信息上送模塊340，用于通過iec61850-mms接口向主站上送異常信息與記錄、監控數據；

安全維護管控模塊350，用于接收主站的控制指令，啟動變電站硬節點開關，對變電站網絡進行相應處理。

其中，所述模型生成模塊310包括：

基礎模型生成311，用于根據iec61970cim標準，通過對專用設備、通用硬件的特征進行分析，生成反應資源和依賴關系的基礎模型；

安全特性模型生成單元312，用于在所述基礎模型中設定安全約束條件，并建立網絡通信對流量靜態、動態的約束條件，生成安全特性模型，其中，所述安全約束條件包括網絡邊界、內部區域、節點通信權限、節點安全；

功能服務模型生成單元313，用于定義變電站監控系統的功能節點，建立功能節點之間的功能涵蓋關系及依賴關聯，以生成功能服務模型；

性能約束模型生成單元314，用于定義功能節點對性能指標的要求閥值，建立功能節點對于性能數據流的關聯關系，生成性能約束模型。

所述安全分析感知模塊330包括：

白名單監測單元331，用于根據安全特性模型，對設備ip進行白名單監測，識別ip的安全性越界、異常退出、連接數越限情況記錄并生成告警；分析通信報文流量信息，識別非法通信流量；

模式匹配單元332，用于對識別出的非法通信進行模式匹配，將網絡數據與已知攻擊特征和誤用庫進行比較來發現違背安全策略的入侵行為；

網絡異常檢測單元333，用于根據運維信息模型，統計正常使用時的帶寬流量、網絡突變、連接方向、訪問次數、通信重連次數和延時，當統計值大于預設閾值時，判斷有網絡異常發生，記錄并生成告警；

非法接入檢測單元334，用于判斷是否存在網絡非法接入、非法互聯，記錄并生成告警；

協議分析單元335，用于對識別出的非法通信和網絡異常的通信流量進行通信協議分析，以檢測到應用層的攻擊或程序缺陷，并記錄、生成告警。

所述安全維護管控模塊350包括：

指令接收單元351，用于接收主站的控制指令，判斷控制指令類型；

第一管控單元352，用于當控制指令類型為白名單修訂類型時，啟動遠程臨時維護信息操作，修訂白名單監測參數；

第二管控單元353，用于當控制指令類型為硬件開關控制類型時，啟動前端裝置硬件開關，接通用于遠程維護的縱向加密認證裝置網絡接口，接收主站的遙控關閉硬件指令，對設備進行遠程操作。

通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發明可借助軟件加必需的硬件平臺的方式來實現，當然也可以全部通過硬件來實施，但很多情況下前者是更佳的實施方式。基于這樣的理解，本發明的技術方案對背景技術做出貢獻的全部或者部分可以以軟件產品的形式體現出來，該計算機軟件產品可以存儲在存儲介質中，如rom/ram、磁碟、光盤等，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執行本發明各個實施例或者實施例的某些部分所述的方法。

以上對本發明進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思想；同時，對于本領域的一般技術人員，依據本發明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。