智能变电站控制系统网络行为合规性检测技术研究

林 楠，杨 浩，章玲玲，肖勇才，欧阳文华

0 引言

目前我国变电站自动化水平正在稳步上升，变电站智能化程度也日益提高，变电站操作动作对变电站的安全运行至关重要，2017年起，国家电网公司加大了对电力关键信息基础设施网络安全工作力度，对调度自动化系统网络安全防护提出了更高的要求。基于变电站控制系统网络的设备动作特点，可以将变电站的动作合规性划分为操作流程合规性以及网络行为合规性两方面，研究网络行为合规性对防范智能变电站网络攻击有较大的现实价值。

1 网络行为合规性审计技术的研究

网络行为审计技术的核心思想是对用户所有的网络操作进行实时监控和记录，并对记录结果进行分析，并依据规则库中存储的规则，判定行为是否合规，对于不合规的行为进行阻截。网络行为从计算机角度来看，就是一些传输的计算机指令，这些指令再按照规定的网络协议格式封装后被传输到指定的设备上。因此，该技术在实现上采用行为监控代理方式对用户的网络行为进行监控和转发，并在转发的过程中分别模拟了网络行为的用户端与服务端。

网络行为审计技术除了对网络传输过程中的协议进行审计和监控外，还可以对行为合规性进行检查，即在审计过程中依据操作规程对行为操作的业务特性进行审计，以确保行为操作的合规性，防止内部人员的误操作。

基于上述的网络行为审计技术的核心思想，设计了网络行为审计系统的总体框架，用于实现工业控制网络协议的会话数据的记录、转发、禁止命令的控制。总体框架如图1所示。

图1 网络行为审计系统总体框架

网络审计系统代理模块总体包括连接控制与登录认证模块、会话转发模块、命令记录模块、命令过滤模块、会话中断模块、架构配置模块和业务规范性模块7部分，当用户开始进行网络行为操作时，网络审计代理模块首先调用连接控制与登录认证模块，对用户进行身份认证及权限检查；当用户通过认证后，网络审计代理会与用户客户端之间进行标准的协议协商，并建立会话，同时网络审计代理模块也与后台相应的服务器进行标准的协议协商并建立相应的会话。这时系统就可以接收用户的命令操作，并通过调用会话转发模块将合法的命令操作转发给后台的服务器。同时，网络行为审计会话代理模块通过调用命令记录模块、命令过滤模块、会话中断模块来完成记录、控制、禁止用户通过协议进行的字符命令操作。并采用正则表达式匹配过滤技术对各类命令进行控制。

命令过滤模块在整个网络行为审计系统的代理模块中是最为重要的功能模块之一，它负责维护用户命令行为的合规性，是整个网络行为审计系统的关键模块，其内部执行流程如图2所示。

图2 命令过滤执行流程

为了提高系统的审计效率，从图2中可以看出，整个审计过程采用了合规行为列表与非合规行为列表相结合进行审计的策略，对于存在于合规进程列表的行为，则直接进行放行，不再进行合规性判定；对于存在于非合规进程列表的行为，则直接进行阻断，也不需要再进行合规性判定。合规行为列表与非合规行为列表的结合，使得命令过滤模块形成了3种审计模式，对用户发送的命令信息进行3步判断：第1步，通过正则表达式判断该命令及其参数是否在合规行为列表中，如果存在，则直接允许改命令执行；否则进行第2步，通过正则表达式判断该命令及参数是否在非合规行为列表中，如果存在，则直接阻断该命令执行，否则需要进行第3步，即判断命令及其参数的合规性，最后对用户命令及其参数合规性的判定取决于管理员的本地硬件确认技术，即根据审计管理员对用户命令合规性的判定结果决定放行或阻止命令运行。

网络行为审计技术基于审计代理，在代理程序中旁路数据到内存或数据库中进行监控和审计，同时提供给审计人员控制、审计接口，供审计人员控制操作员的操作。配合登录认证机制和业务操作合规性管理机制，确保网络行为发起者身份的合规性和操作的合规性，实现对网络用户身份的合规性、行为的合规性和操作的合规性保证，提供电力合规网络体系行为层可行性保证机制。

2 典型变电站拓扑模型及简化

变电站采取的总体安全防护策略为安全分区、网络专用、横向隔离、纵向认证，其中根据变电站的特点、各相关业务系统的重要程度、数据流程、安全要求，将系统分为3个安全区：安全区I为实时控制区，安全区II为非控制生产区，安全区III为生产管理区，其中安全区I的特征为直接实现监控功能；安全区II的特征为使用调度数据网络，在线运行，但不具备控制功能；安全区III的特征是实现电力生产的管理功能，不具备控制功能，不在线运行，与操控中心的终端直接相关。此外变电站的拓扑结构按功能逻辑一共可分为三个不同的层面——站控层、间隔层和过程层，各层之间的信息传输要求身份认证，同一层内的设备位置实现物理隔离。

在对典型变电站模型进行仿真搭建的过程中，由于不需要涉及生产等问题，可以简化典型变电站模型。站控层保留工程师站功能，简化其余模块，简化后的工程师站模拟处理MMS报文。间隔层保留测控装置，报文记录仪，线路保护，网络主时钟，简化其余模块。其中，测控装置对过程层接受处理SV报文，对站控层发送MMS报文；报文记录仪对过程层接收处理SV和GOOSE报文，并镜像记录间隔层其余设备对站控层发送的MMS报文；线路保护装置接受处理过程层的SV和GOOSE报文，并在保护动作中，对下发送SV和GOOSE报文，对站控层发送MMS报文。过程层中变压器等等效为合并单元，统一模拟发送SV报文，断路器、隔离开关和继电保护装置等等效为保护单元，统一模拟发送GOOSE报文。

简化后变电站拓扑模型如图3所示。

图3 简化后变电站拓扑模型及其报文结构

3 配置监测仿真

3.1 实现流程

结合快速文本比对和语义分析技术，实现待监测设备配置变化的检测和解读功能，其流程如图4所示。

图4 设备配置变化监测与解读流程

1）通过语法分析，剔除配置文件中的注释、说明性信息，保留其关键配置信息。2）将获取的设备实时配置文件与配置文件库中关键配置信息进行快速文本比对。如果相同，说明未发生配置变化，否则进行第3步。3）对发生变化的配置信息描述部分进行语义分析、将其转换为用户容易理解的表述形式。

3.2 仿真环境设置与配置监测

设备配置监测的仿真主要是对“三层两网”中的设备进行监测。在对设备配置监测进行仿真搭建平台的过程中，站控层保留工程师站模拟处理MMS报文。

间隔层与工程师站通过交换机进行MMS通信。间隔层主要有电能测量装置、滤波装置、测控装置和测控保护装置。间隔层与过程层的信息交互也通过交换机来实现，其中与合并装置进行通信时使用SV报文，与保护装置通信时使用GOOSE报文。过程层保留上3个合并装置，3个保护装置。其仿真环境拓扑图如图5所示。

图5 仿真搭建环境拓扑图

当过程层中的设备配置发生改变时，发送至间隔层的SV、GOOSE报文信息中关于配置方面的文件信息也将发生改变，间隔层通过判断解析其中配置信息问题，进行信息交互，使过程层中配置改变的设备发出报警信号并对用户做出提示。

将局域网中的计算机接入网络中模拟设备操作，各模拟设备的配置的关键信息如表1所示。

表1 仿真环境设备配置

根据上述要求搭建仿真平台，搭建后设备正常时界面如图7所示。仿真平台界面中每个设备的右上角都有一个指示灯，初始状态时亮蓝灯，表示设备正常运行，当设备的配置发生更改时蓝灯颜色将会更改为红色。同时，在设备的右侧或者下方有一个提示框，框内注明了设备的IP地址以及设备的配置状态。在初始时刻，装置的配置信息与配置文件库一致，提示框中内容显示“装置正常”。当装置的配置信息改变时，提示框中就会显示“装置告警”，以此提醒操作人员此设备的配置信息已发生了改变。

在设备配置无变化时设备配置表如图6所示。所有的装置IP地址与MAC地址与表1一致。配置状态一列均显示正常。由于设备配置中的配置节点较多，本文只模拟查找显示配置中的三个节点，分别是RED99节点，RDRE1节点和ZBSH节点。在设备配置无改变的情况下，所有节点均显示“正常”。

图6 设备配置仿真结果

3.3 配置突变模拟设置

当设备故障或者有入侵对象时，设备的配置将会发生改变。本文通过后台更改配置内容来模拟设备配置突变的情况。

本文中将合并装置1中的RDRE1节点中的SP中的六项功能约束，删除其中三项，此时合并装置1的配置内容已发生改变，以此模拟合并装置1配置突变。

对比图7、8可发现，在将合并装置1中的RDRE1节点中的SP中的六项功能约束删减为3项之后，读取同一段节点的配置文件，可看出配置更改后的配置文件由6项减少为3项，与初始状态下的配置文件（配置文件库）对比发生了改变。

图7 配置更改前读取的配置文件

图8 配置更改后读取的配置文件

3.4 配置监测仿真结果

当合并装置1的配置被更改时，仿真平台界面中相应的显示合并装置1的仿真机会亮红灯，同时提示信息由“装置正常”变为“装置告警”，在主界面中显示合并装置1被改变。如图9所示。

图9 合并单元1配置改变时仿真平台界面

同时在设备配置一览表中相应的部分也会有异常告警。如图10所示，本文中模拟配置突变，改变了合并装置1中的RDRE1节点的三项约束功能，合并装置1的配置状态发生了改变，“配置状态”一栏显示“异常”，同时“RDRE1节点”一栏显示的也是异常。最后，在有设备配置发生异常的情况下，告警处还会有红色的字迹提醒，提醒内容包含配置改变发生的时间、发生改变的设备以及设备配置改变的具体内容。如图11所示。显示在2016-10-27 12:35:18.0时刻，IP地址为192.168.2.11的装置（合并装置1）配置发生改变，而具体的内容就是“RDRE1节点与原始模型不符”。

图10 合并装置1配置改变时的设备配置表

图11 合并装置1配置改变时的告警内容

4 结束语

经以上仿真案例可知，在仿真平台中使用文本对比的语义分析法可以快速查找出发生配置改变的装置，并且可以进一步知道改变的节点。如此，在设备配置发生改变时，准确找出问题所在，有利于快速定位故障来源进而采取措施解决问题。

[1]王德文，邸剑，张长明.变电站状态监测IED的IEC 61850息建模与实现[J].电力系统自动化，2012（03）∶81-86.

[2]李永亮，李刚.IEC61850第2版简介及其在智能电网中的用展望[J].电网技术，2010（04）∶11-16.

[3]黄智宇.基于IEC61850的变电站网络通信及装置的研究[D].大连理工大学，2008.

[4]伍星，陈进，李如强，陈一鸣.基于数据挖掘的设备状态监测和故障诊断[J].振动与冲击，2004（04）∶72-76.