继电保护远程运维系统报文合规检测及入侵阻断技术应用

doi:10.11930/j.issn.1004-9649.202302015

中国电力 ›› 2024, Vol. 57 ›› Issue (3): 135-143, 151.DOI: 10.11930/j.issn.1004-9649.202302015

继电保护远程运维系统报文合规检测及入侵阻断技术应用

余江¹(), 高宏慧¹(), 史泽兵¹(), 蒋纬纬², 武芳瑛², 詹庆才²(), 张蕊²

1. 中国南方电网电力调度控制中心，广东广州　510530
2. 北京四方继保自动化股份有限公司，北京　100085

收稿日期:2023-02-06 接受日期:2024-01-12 出版日期:2024-03-28 发布日期:2024-03-26
作者简介:余江（1975—），女，博士，正高级工程师，从事电力系统继电保护运行与管理，E-mail：yujiang@csg.cn
高宏慧（1979—），女，硕士，高级工程师，从事电力系统继电保护运行与管理，E-mail：gaohh@csg.cn
史泽兵（1979—），男，硕士，正高级工程师，从事电力系统继电保护和运行控制研究， E-mail：shizb@csg.cn
詹庆才（1982—），男，通信作者，硕士，正高级工程师，从事电力自动化软件开发与项目管理，E-mail：zhanqingcai@sf-auto.com
基金资助:
中国南方电网有限责任公司科技项目（继电保护远程运维本质安全关键技术研究，ZDKJXM20200049）。

Application of Message Compliance Detection and Intrusion Blocking Technology in Remote Operation and Maintenance System of Relay Protection

Jiang YU¹(), Honghui GAO¹(), Zebing SHI¹(), Weiwei JIANG², Fangying WU², Qingcai ZHAN²(), Rui ZHANG²

1. Dispatching Center of China Southern Grid, Guangzhou 510530, China
2. Beijing Sifang Automation Co., Ltd., Beijing 100085, China

Received:2023-02-06 Accepted:2024-01-12 Online:2024-03-28 Published:2024-03-26
Supported by:
This work is supported by Science and Technology Projects of CSG (Research on Key Technology in Intrinsic Safety of Relay Protection Remote Operation and Maintenance, No.ZDKJXM20200049)

摘要/Abstract

摘要：

继电保护远程运维中数据传输各环节存在网络入侵风险，现有安全措施未有效处理业务层风险，且存在风险阻断不及时等问题。为此，提出一种报文合规检测方法及入侵阻断技术，分析报文的对象、格式、业务逻辑和行为模式，建立报文合规规则库及不合规报文阻断策略，设计开发不合规报文阻断模块及“一键阻断”紧急控制模块。通过模拟仿真环境测试，结果表明，上述技术对不同类型异常报文进行的阻断效果与预期一致，可有效阻断非法入侵攻击，从而提高继电保护远程运维的安全性和稳定性。

关键词: 继电保护, 远程运维, 网络安全, 入侵检测, 紧急控制

Abstract:

In the remote operation and maintenance of relay protection, there are network intrusion risks at every stage of data transmission. Existing security measures have not effectively addressed business layer risks, and some issues such as delayed risk response still exist. Therefore, a message compliance detection method and intrusion blocking technology have been proposed. By analyzing the objects, formats, business logic, and behavioral patterns of messages, a library of message compliance rules and a strategy for blocking non-compliant messages are established. Finally, modules for blocking non-compliant messages and an "emergency blocking" control module are designed and developed. The simulation testing results indicate that the proposed technology consistently blocks abnormal messages of different types as expected. This technology can effectively prevent the illegal intrusion attacks, thereby enhancing the security and stability of the remote operation and maintenance for relay protection.

Key words: relay protection, remote operation and maintenance, network security, intrusion detection, emergency control

余江, 高宏慧, 史泽兵, 蒋纬纬, 武芳瑛, 詹庆才, 张蕊. 继电保护远程运维系统报文合规检测及入侵阻断技术应用[J]. 中国电力, 2024, 57(3): 135-143, 151.

Jiang YU, Honghui GAO, Zebing SHI, Weiwei JIANG, Fangying WU, Qingcai ZHAN, Rui ZHANG. Application of Message Compliance Detection and Intrusion Blocking Technology in Remote Operation and Maintenance System of Relay Protection[J]. Electric Power, 2024, 57(3): 135-143, 151.

导出引用管理器 EndNote|Ris|BibTeX

链接本文: https://www.electricpower.com.cn/CN/10.11930/j.issn.1004-9649.202302015

https://www.electricpower.com.cn/CN/Y2024/V57/I3/135

图/表 21

参考文献 26

1	王利平, 庞晓艳, 朱雨, 等. 基于物联网和移动互联的二次设备运维技术研究与应用[J]. 中国电力, 2019, 52 (3): 177- 184.
	WANG Liping, PANG Xiaoyan, ZHU Yu, et al. Research and application of intelligent maintenance system based on internet of things and mobile internet technology[J]. Electric Power, 2019, 52 (3): 177- 184.
2	曹琳. 继电保护远程运维整体架构设计[J]. 电子技术与软件工程, 2020, (21): 233- 234.
3	叶远波, 李端超, 谢民, 等. 基于知识图谱的二次设备测试自动配置方法[J]. 电力系统保护与控制, 2020, 50 (12): 162- 171. DOI
	YE Yuanbo, LI Duanchao, XIE Min, et al. Automatic configuration method of secondary equipment test based on a knowledge graph[J]. Power System Protection and Control, 2020, 50 (12): 162- 171. DOI
4	陈坤. 电力继电保护远程运维技术研究与应用[J]. 电子技术与软件工程, 2019, (18): 237- 238.
5	裘愉涛, 周震宇, 杨剑友, 等. 继电保护远程运维技术研究与应用[J]. 电力系统保护与控制, 2018, 46 (18): 17- 24.
	QIU Yutao, ZHOU Zhenyu, YANG Jianyou, et al. Research and application of remote operation and maintenance technology of relay protection[J]. Power System Protection and Control, 2018, 46 (18): 17- 24.
6	唐云泽, 苏晓茜. 电力系统网络攻击方法研究综述[J]. 中国信息化, 2020, (12): 57- 60.
7	邹洪. 智能电网信息安全防御体系架构与关键技术研究[J]. 网络安全技术与应用, 2020, (1): 113- 115.
8	梅冰笑, 周金辉, 孙翔. 基于知识图谱与细胞自动机模型的配电网信息系统风险分析[J]. 中国电力, 2022, 55 (10): 23- 31, 44. DOI
	MEI Bingxiao, ZHOU Jinhui, SUN Xiang. Analysis of distribution network information risks based on knowledge graph and cellular automata[J]. Electric Power, 2022, 55 (10): 23- 31, 44. DOI
9	鄢仁武, 郑杨, 林志雄, 等. 基于改进ECC的含电动汽车用户负荷信息保护方案[J]. 中国电力, 2023, 56 (1): 150- 157. DOI
	YAN Renwu, ZHENG Yang, LIN Zhixiong, et al. ECC based load information protection scheme for electric vehicle users[J]. Electric Power, 2023, 56 (1): 150- 157. DOI
10	郝文涛, 鲁晔, 水永莉. 工业控制网络入侵检测技术研究[J]. 工业控制计算机, 2022, 35 (4): 1- 3, 6.
11	姚鹏超, 颜秉晶, 郝唯杰, 等. 电力信息物理系统入侵容忍能力评估方法[J]. 中国电力, 2022, 55 (4): 13- 22.
	YAO Pengchao, YAN Bingjing, HAO Weijie, et al. An intrusion tolerance assessment method for cyber-physical power system[J]. Electric Power, 2022, 55 (4): 13- 22.
12	蒋南允, 程光. 智能电网入侵检测综述[J]. 网络空间安全, 2018, 9 (1): 93- 98.
	JIANG Nanyun, CHENG Guang. A review of intrusion detection in smart grid[J]. Cyberspace Security, 2018, 9 (1): 93- 98.
13	李沁雪, 刘永桂, 黎善斌, 等. 基于入侵检测的信息物理系统攻击识别综述[J]. 控制工程, 2022, 29 (6): 1049- 1057.
	LI Qinxue, LIU Yonggui, LI Shanbin, et al. A survey of attack identification based on intrusion detection in cyber-physical systems[J]. Control Engineering of China, 2022, 29 (6): 1049- 1057.
14	陶文伟, 王景, 曹扬, 等. 面向新型电力系统的人机交互统一安全认证技术[J]. 浙江电力, 2023, 42 (8): 12- 18.
	TAO Wenwei, WANG Jing, CAO Yang, et al. A unified security authentication technology based on human-machine interaction for new-type power systems[J]. Zhejiang Electric Power, 2023, 42 (8): 12- 18.
15	俞华, 穆广祺, 牛津文, 等. 智能变电站网络安全防护应用研究[J]. 电力系统保护与控制, 2021, 49 (1): 115- 124.
	YU Hua, MU Guangqi, NIU Jinwen, et al. Application research on network security protection of an intelligent substation[J]. Power System Protection and Control, 2021, 49 (1): 115- 124.
16	余萱, 苏杨, 赵威扬. 基于大数据的自动化运维安全管控平台在电网企业的应用研究[J]. 电力大数据, 2018, 21 (12): 20- 25.
	YU Xuan, SU Yang, ZHAO Weiyang. Research and application of automatic operation and maintenance in safety management and control platform in power grid enterprises based on big data analysis[J]. Power Systems and Big Data, 2018, 21 (12): 20- 25.
17	廖会敏, 玄佳兴, 李丽丽. 电力行业数字证书互信互认体系的研究[C]//2019电力行业信息化年会论文集. 2019: 55–59.
18	樊爱宛, 刘玉坤, 赵伟艇. 数字签密技术在智能电网中的应用[J]. 中国电力, 2014, 47 (7): 128- 133.
	FAN Aiwan, LIU Yukun, ZHAO Weiting. Application of certificateless signcryption scheme to smart grids[J]. Electric Power, 2014, 47 (7): 128- 133.
19	汤成俊, 李洪池, 刘文彪, 等. 继电保护远程运维可信安全方案设计[J]. 电气技术, 2023, 24 (1): 81- 85, 90.
	TANG Chengjun, LI Hongchi, LIU Wenbiao, et al. Design of reliable security scheme for remote operation and maintenance of relay protection[J]. Electrical Engineering, 2023, 24 (1): 81- 85, 90.
20	潘羿, 李彬. 基于DNSAE和随机森林的电力信息网络入侵检测模型[J]. 电力信息与通信技术, 2022, 20 (5): 23- 29.
	PAN Yi, LI Bin. Intrusion detection model of power information network based on DNSAE and random forest[J]. Electric Power Information and Communication Technology, 2022, 20 (5): 23- 29.
21	赵辉. 入侵检测在机器学习和深度学习中的发展[J]. 现代计算机, 2022, 28 (13): 62- 66.
	ZHAO Hui. Intrusion detection progress in machine learning and deep learning[J]. Modern Computer, 2022, 28 (13): 62- 66.
22	李雪莹. 基于深度学习的电力信息网络入侵检测系统设计与实现[D]. 北京: 中国科学院大学(中国科学院沈阳计算技术研究所), 2022.
	LI Xueying. Design and implementation of power information network intrusion detection system based on deep learning[D]. Beijing: Institute of Computing Technology, Chinese Academy of Sciences, 2022.
23	田里. SM2密码体系下的电网信息安全平台设计[J]. 电子技术与软件工程, 2018, (21): 193.
24	方芳, 李广华, 汪冬辉, 等. 变电站内传输IEC 62351通信密钥的加密传输方法[J]. 中国电力, 2019, 52 (10): 26- 30, 122.
	FANG Fang, LI Guanghua, WANG Donghui, et al. A symmetric encryption method for transmitting IEC 62351 communication keys in substations[J]. Electric Power, 2019, 52 (10): 26- 30, 122.
25	梁耀, 冯冬芹, 徐珊珊, 等. 加密传输在工控系统安全中的可行性研究[J]. 自动化学报, 2018, 44 (3): 434- 442.
	LIANG Yao, FENG Dongqin, XU Shanshan, et al. Feasibility analysis of encrypted transmission on security of industrial control systems[J]. Acta Automatica Sinica, 2018, 44 (3): 434- 442.
26	任辉, 栗会峰, 赵辉, 等. 电能计量用通信规约安全改造技术[J]. 中国电力, 2021, 54 (1): 167- 174.
	REN Hui, LI Huifeng, ZHAO Hui, et al. Security transformation technology for electricity metering communication protocol[J]. Electric Power, 2021, 54 (1): 167- 174.

规则名	规则类别	不合规报文特征	业务类别
白名单验证规则	通信对象合法性	通信对象不在允许的白名单范围内	通信连接
连接认证规则	通信对象合法性	建立连接后未进行认证；认证失败	通信初始化

规则名	规则类别	不合规报文特征	业务类别
白名单验证规则	通信对象合法性	通信对象不在允许的白名单范围内	通信连接
连接认证规则	通信对象合法性	建立连接后未进行认证；认证失败	通信初始化

规则名	规则类别	不合规报文特征	业务类别
报文长度校验规则	报文格式合法性	报文帧实际长度和帧内长度字节数据不一致	规约解析
帧计数错误	报文格式合法性	规约帧计数错误	规约解析
帧序号错误	报文格式合法性	规约帧序号错误	规约解析

规则名	规则类别	不合规报文特征	业务类别
报文长度校验规则	报文格式合法性	报文帧实际长度和帧内长度字节数据不一致	规约解析
帧计数错误	报文格式合法性	规约帧计数错误	规约解析
帧序号错误	报文格式合法性	规约帧序号错误	规约解析

条目		值
启动字符		68H
长度L
控制域
类型标识(TYP)		0AH
可变结构限定词(VSQ)		81H
传送原因(COT)		2BH
ASDU地址（2个字节）
功能类型(FUN)		FEH
信息序号(INF)		F1H
返回信息标识符(RII)
通用分类数据集数目(NGD)
通用分类标识序号GIN		组号
通用分类标识序号GIN		条目号
描述类别KOD		1 为从装置取实际值； 168为从子站数据库取实际值
通用分类数据描述GDD(DataType)
通用分类数据描述GDD(DataSize)
通用分类数据描述GDD(Number)
通用分类标识数据GID
······
通用分类标识序号GIN		组号
通用分类标识序号GIN		条目号
描述类别KOD		1 为从装置取实际值； 168 为从子站数据库取实际值
通用分类数据描述GDD(DataType)
通用分类数据描述GDD(DataSize)
通用分类数据描述GDD(Number)
通用分类标识数据GID

继电保护远程运维系统报文合规检测及入侵阻断技术应用

Application of Message Compliance Detection and Intrusion Blocking Technology in Remote Operation and Maintenance System of Relay Protection

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 21

参考文献 26

相关文章 15

编辑推荐

Metrics

风险程度	具体内容	非法报文判定概率	阻断措施
危害电力系统安全	不合规的远方控制报文	确定	断开连接，须人工干预才能恢复
危害电力系统安全	不合规的远方控制报文	疑似	阻断下行修改报文，须人工干预才能恢复
子站、主站重要配置被篡改	不合规的子站配置下发报文	确定	断开连接，须人工干预才能恢复
子站、主站重要配置被篡改	不合规的子站配置下发报文	疑似	阻断配置下发、阻断远程维护
保信系统瘫痪	远超正常业务流量的业务报文	确定	断开连接，须人工干预才能恢复
保信系统瘫痪	远超正常业务流量的业务报文	疑似	断开连接，可尝试自动恢复
保信系统性能受到影响	超过正常业务流量的业务报文	确定	仅维持链路层报文，可尝试自动恢复
保信系统性能受到影响	超过正常业务流量的业务报文	疑似	仅告警

策略名	非法阻断措施	是否断开连接	断开连接后是否允许自动恢复
白名单验证	直接阻断	是	否
连接认证规则	直接阻断	是	是，超过次数不允许
帧长度校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
报文长度校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
帧计数错误	直接阻断	否，超过次数断开	是，超过次数不允许
帧序号错误	直接阻断	否，超过次数断开	是，超过次数不允许
规约初始化流程校验规则	直接阻断	是	是，超过次数不允许
规约周期运行逻辑校验规则	超过次数门槛阻断	超过次数断开	是，超过次数不允许
增强型遥控流程校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
定值修改通用校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
远方修改定值流程校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
操作对象一致性校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
操作对象合法性校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
命令频度校验规则	超过次数阻断	否，超过次数断开	是，超过次数不允许
极速下发命令校验规则	超过次数阻断	否，超过次数断开	是，超过次数不允许
命令执行时段校验规则	直接阻断	否，超过次数断开	是，超过次数不允许
非预期报文校验规则	超过次数阻断	否，超过次数断开	是，超过次数不允许

阻断规则	异常报文数	异常检出数	报文阻断数
对象合法性规则	10	10	10
格式合规规则	15	15	15
业务逻辑合法性规则	30	30	26
行为模式合法性规则	15	15	11

[1]	刘清泉, 杨鹏, 李铁成, 王献志, 文明浩. 应对继电保护多场景的数字仿真测试方法[J]. 中国电力, 2025, 58(2): 118-125.
[2]	童和钦, 许剑冰, 梁师哲, 麦成, 徐海波. 面向稳控系统E1通道的网络靶场实验台的设计与实现[J]. 中国电力, 2024, 57(9): 71-79.
[3]	刘中硕, 郑少明, 陶畅, 刘一民, 陈乾, 王书鸿, 于逸廷, 薛安成. 继电保护装置缺陷文本专业词典构建及其语言特性分析[J]. 中国电力, 2023, 56(7): 146-155.
[4]	庄俊, 王德顺, 盖晨昊, 薛金花, 朱红保, 李常刚. 基于约束共识和差分进化的多直流馈入电网紧急控制协调优化[J]. 中国电力, 2023, 56(6): 40-50.
[5]	叶远波, 程晓平, 张兆云, 刘宏君, 汪伟, 邵庆祝. 电力系统故障区域录波自动分析关键技术[J]. 中国电力, 2022, 55(4): 93-99.
[6]	杨胡萍, 黄煌, 何志勤, 张扬, 杨文思, 周睿. 基于数据拟合的继保设备失效率调整因子模型[J]. 中国电力, 2021, 54(9): 96-101.
[7]	谭振龙, 钱相宜, 蔡文畅. 配置高抗站的海上风电长距离海缆送出继电保护分析[J]. 中国电力, 2021, 54(8): 175-181.
[8]	王增平, 杨国生, 王志洁, 刘宇. 继电保护相关的国内外分布式电源并网标准[J]. 中国电力, 2019, 52(8): 112-119.
[9]	朱逸凡, 赵宏程, 陈争光, 徐辰婧, 孙晓佳, 张俊杰, 吴慧, 王兴国, 王文焕, 郑涛. 适用于逆变型电源接入的配电网故障方向判别元件[J]. 中国电力, 2019, 52(5): 76-82.
[10]	崇志强, 陈培育, 马世乾, 于光耀, 王旭东, 李国栋, 郭悦. 基于分层马尔可夫模型的冗余配置保护最优检修周期研究[J]. 中国电力, 2019, 52(3): 73-80.
[11]	杨国生, 戴飞扬, 王文焕, 郭鹏, 李妍霏. 基于灰度关联法和TOPSIS法的继电保护状态评估综合算法研究与应用[J]. 中国电力, 2019, 52(2): 94-103.
[12]	吕亚洲, 霍超, 吴兴扬, 谭真, 侯玉强, 崔晓丹, 柯贤波, 牛拴保, 李威. 计及FACTS的暂态安全稳定紧急控制策略[J]. 中国电力, 2019, 52(1): 96-101.
[13]	陈创, 陈文睿, 李津. 面向继电保护系统级测试的缺陷自动定位方法[J]. 中国电力, 2018, 51(5): 10-16.
[14]	王婷, 张侃君, 文博, 陈堃. 大型变压器中性点串接抑制直流电流电容后对继电保护影响分析[J]. 中国电力, 2017, 50(7): 164-168.
[15]	李碧君, 李兆伟, 吴雪莲, 刘福锁, 李威. 多直流馈入受端电网两段式频率安全紧急控制策略研究[J]. 中国电力, 2017, 50(2): 169-174.

规则名	规则类别	不合规报文特征	业务类别
规约周期运行逻辑校验规则	业务逻辑合法性	在规约通信过程中，未按照规约要求周期执行指定的任务，如未定期进行总召唤、总召唤时间周期与预期不符合等	规约交互流程
增强型遥控流程校验规则	业务逻辑合法性	1）增强型遥控，未执行遥控选择，直接执行遥控执行命令； 2）增强型遥控，执行遥控选择失败，仍继续执行遥控执行命令	远方遥控
定值修改通用校验规则	业务逻辑合法性	修改定值未执行修改命令，直接执行固化命令；执行修改命令失败，仍执行固化命令	远方修改定值
远方修改定值流程校验规则	业务逻辑合法性	远方修改定值的流程与最新的修改定值流程不一致	远方修改定值
操作对象一致性校验规则	业务逻辑合法性	1）召唤类命令，返回数据所属对象与召唤数据的对象不一致； 2）修改类命令，命令的各命令流程中的对象不一致	远方操作
操作对象合法性校验规则	业务逻辑合法性	操作的对象不存在	远方操作

规则名	规则类别	不合规报文特征	业务类别
规约周期运行逻辑校验规则	业务逻辑合法性	在规约通信过程中，未按照规约要求周期执行指定的任务，如未定期进行总召唤、总召唤时间周期与预期不符合等	规约交互流程
增强型遥控流程校验规则	业务逻辑合法性	1）增强型遥控，未执行遥控选择，直接执行遥控执行命令； 2）增强型遥控，执行遥控选择失败，仍继续执行遥控执行命令	远方遥控
定值修改通用校验规则	业务逻辑合法性	修改定值未执行修改命令，直接执行固化命令；执行修改命令失败，仍执行固化命令	远方修改定值
远方修改定值流程校验规则	业务逻辑合法性	远方修改定值的流程与最新的修改定值流程不一致	远方修改定值
操作对象一致性校验规则	业务逻辑合法性	1）召唤类命令，返回数据所属对象与召唤数据的对象不一致； 2）修改类命令，命令的各命令流程中的对象不一致	远方操作
操作对象合法性校验规则	业务逻辑合法性	操作的对象不存在	远方操作

规则名	规则类别	不合规报文特征	业务类别
极速下发命令校验规则	行为模式合法性	建立连接后马上（如20 s内）收到下行修改命令	远方操作
命令执行时段校验规则	行为模式合法性	非工作时段收到下行修改命令	远方操作
非预期报文校验规则	行为模式合法性	不符合预期的报文，如：1）主站收到操作类命令报文；2）收到的数据与预期召唤的数据不一致	远方操作

规则名	规则类别	不合规报文特征	业务类别
极速下发命令校验规则	行为模式合法性	建立连接后马上（如20 s内）收到下行修改命令	远方操作
命令执行时段校验规则	行为模式合法性	非工作时段收到下行修改命令	远方操作
非预期报文校验规则	行为模式合法性	不符合预期的报文，如：1）主站收到操作类命令报文；2）收到的数据与预期召唤的数据不一致	远方操作

模态框（Modal）标题

继电保护远程运维系统报文合规检测及入侵阻断技术应用

Application of Message Compliance Detection and Intrusion Blocking Technology in Remote Operation and Maintenance System of Relay Protection

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 21

参考文献 26

相关文章 15

编辑推荐

Metrics