本發明公開了一種對IEC61850數字變電站GOOSE報文的入侵檢測的方法，方法主要有三個步驟組成，GOOSE報文快速過濾及數據結構化、GOOSE報文的多級關聯檢測、GOOSE報文的危害評估；本發明提供一種對IEC61850數字變電站GOOSE報文的入侵檢測的實現方法，目的在于解決現有技術中IEC61850標準中的GOOSE報文的安全加固在實際應用中通常無法通過IEC62351的加密和數字驗證的方法來完成。

技術領域

本發明屬于IEC61850數字變電站安全領域，采用報文模板匹配技術完成GOOSE數據包數據的結構化呈現還原，通過報文數據項的上下文多級關聯分析技術，實現一種對IEC61850智能變電站中的GOOSE數據報文的入侵檢測方法。

背景技術

IEC61850是基于通用網絡通信平臺的變電站自動化系統的國際標準，它可以實現變電站自動化系統產品的互操作性和協議轉換。采用IEC61850標準可使變電站自動化設備具備自描述、自診斷和即插即用的特性，很大程度上使數字變電站系統的集成變得簡單，減少了變電站自動化系統的開支。

IEC61850標準也使得智能電網的網絡形態正從過去的封閉系統走向半封閉和逐漸開放。這個變化過程加速了變電站智能化的進程的同時，也帶來了智能變電站的安全上的隱患。其中IEC61850數字變電站采用的基于開放標準的網絡技術之上，導致系統的安全性降低。具體表現為IEC61850協議本身并沒有考慮任何安全措施，一旦攻擊者繞過物理防護，直接進入調度中心和變電站網絡，可直接通過通信協議實現對智能變電站設備的控制。

IEC62351協議標準實現了對IEC61850協議的安全加固，使得IEC61850協議具有了這些基本的安全功能。這種加固主要包括：1，通過通過數字簽名,提供節點的雙向身份認證；2，通過加密，提供傳輸層認證、加密密鑰的機密性；3，通過加密，提供傳輸層及以上層次消息的機密性，防止竊聽；4，通過消息鑒別碼，提供傳輸層及以上層次消息的完整性；5，通過定義傳輸序列號有效性，防止傳輸層的重放和欺騙。由此可見，IEC62351協議對IEC61850協議的安全性加固是建立在加密和信息的數字驗證基礎之上，而在實際生產環境中這些安全加固方法無法適用于的IEC61850中的GOOSE實時性要求極高的報文。

通用面向對象的變電站事件GOOSE服務是IEC61850提供的一個重要服務模型，為IEC61850數字變電站中各類IED智能設備提供了一種快速且高效的網絡通訊方式。任何一IED智能設備通過以太網與其它IED設備相連，可通過GOOSE協議以訂閱方式接收數據，也可以發布方式向其它IED設備提供數據。GOOSE傳輸是一種實時應用，主要傳輸間隔閉鎖信號跳閘信號。根據IEC61850協議規定，GOOSE信息響應時間標準規定在4ms以內，而目前通常的IED設備采用的都是低功耗的CPU，這類CPU的計算功能并不是很強大，而對GOOSE報文的加解密和數字認證過程會極大地占用IED設備的CPU的使用時間，導致IED設備的運行效率極度下降，使得IED設備對GOOSE報文的響應時間無法在4ms內完成，從而影響了整個數字變電站的正常運行。

由于GOOSE報文的實時性要求高的特點，因此IEC61850標準中的GOOSE報文的安全加固在實際應用中通常無法通過IEC62351的加密和數字驗證的方法來完成，需要重新尋找一套適合目前各類智能變電站實際情況的GOOSE報文安全加固和入侵檢測解決方案，來保護智能變電站的安全運行。

發明內容

本發明提供一種對IEC61850數字變電站GOOSE報文的入侵檢測的實現方法，目的在于解決現有技術中IEC61850標準中的GOOSE報文的安全加固在實際應用中通常無法通過IEC62351的加密和數字驗證的方法來完成。

本發明通過以下技術方案實現：

一種對IEC61850數字變電站GOOSE報文的入侵檢測的方法，其特征在于：所述實現方法包括如下步驟；