發(fā)布時間：2021-12-18 12:08

　　針對電網(wǎng)測控終端的電力業(yè)務報文攻擊極易造成電力一次設備誤動,從而引發(fā)電力事故。電力業(yè)務報文攻擊通常通過干擾正常業(yè)務邏輯達到攻擊目的,已有攻擊識別方法沒有考慮業(yè)務邏輯,有效性比較差。因此,提出一種基于業(yè)務邏輯的電力業(yè)務報文攻擊識別方法,該方法定義了電力業(yè)務邏輯狀態(tài)鏈和黑白名單,將誤用檢測與異常檢測方法相結(jié)合,基于業(yè)務邏輯黑白名單對業(yè)務的威脅度進行評估,并考慮電網(wǎng)時間風險與業(yè)務重要性,對威脅度進行修正,通過比較業(yè)務威脅度與安全閾值,實現(xiàn)對電力業(yè)務報文攻擊的高效準確識別。給出了應用所提方法實現(xiàn)的一個攻擊識別系統(tǒng)架構(gòu),并對實現(xiàn)后的系統(tǒng)進行了測試,驗證了所提方法的有效性。 

【文章來源】：電力自動化設備. 2020,40(08)北大核心EICSCD

【文章頁數(shù)】：10 頁

【部分圖文】：

所提識別方法的總體流程

(4）多點信號值序列：即圖2中的status=[data1,data2，?，datan]T字段，在本文中其用于描述一個控制塊上各個單點信號值序列。在電網(wǎng)中可理解為多個刀閘的位置或多個節(jié)點的電壓/電流值。(5）狀態(tài)節(jié)點：定義為Node={status,pos＿seq}，由多點信號值序列和多點信號地址序列組成，用于描述一個控制塊的狀態(tài)。

此外，為了使本文所提網(wǎng)絡攻擊識別系統(tǒng)能夠有效識別電力工控系統(tǒng)可能遭受的網(wǎng)絡攻擊，需要對黑白名單進行初始化。其中，黑名單中的規(guī)則可以通過專家知識進行初始制定，如同一控制塊的多個節(jié)點同時改變狀態(tài)；而白名單中的規(guī)則不僅可以通過專家知識進行初始制定，還可以通過將黑白名單為空的系統(tǒng)放入電網(wǎng)環(huán)境運行48 h后，將系統(tǒng)中收集的所有狀態(tài)序列作為白名單的初始規(guī)則。3 實驗驗證與分析

【參考文獻】：
期刊論文
[1]電力工業(yè)控制系統(tǒng)信息安全風險分析與應對方案[J]. 張盛杰,顧昊旻,李祉岐,應歡.  電力信息與通信技術(shù). 2017(04)
[2]智能電網(wǎng)信息安全防御體系與信息安全測試系統(tǒng)構(gòu)建 烏克蘭和以色列國家電網(wǎng)遭受網(wǎng)絡攻擊事件的思考與啟示[J]. 李中偉,佟為明,金顯吉.  電力系統(tǒng)自動化. 2016(08)
[3]網(wǎng)絡協(xié)同攻擊:烏克蘭停電事件的推演與啟示[J]. 劉念,余星火,張建華.  電力系統(tǒng)自動化. 2016(06)



本文編號：3542362