基于AMI的异常入侵检测方法

摘要

传统电网架构设计于上世纪，作为一个刚性系统，只适合接入稳定可控的能源。而当前传统化石能源资源的短缺和分布式可再生能源的发展，迫使电网架构急需做出改变，以便用户端接入大量分布式能源时，保证电网设备稳定安全可靠运行。高级量测体系为电网和用户提供了一个双向通信信道，使得电网端可以近乎实时地读取用户端的用电量、电压、电流和设备状态等数据，增强对用户设备的监视、控制和预测用电能力。但传统电网的封闭性使得大量工业控制系统在设计之初未充分考虑到网络安全问题，一旦该双向通信信道被攻击利用，轻则干扰电网正常运行造成经济损失，重则造成电网停电或设备损毁等后果。因此对高级量测体系（Advanced Metering Infrastructure，AMI）展开相关入侵检测研究具有十分重要的意义。本论文首先研究了AMI网络入侵检测研究现状和国内外的差异，分析了造成差异的原因主要在于网络架构、通信协议上的不同。最后结合智能电网的安全需求，对采集的国内智能电网真实流量进行分析，提出适合该网络的入侵检测方法。论文的主要内容和研究成果如下： 基于流量时空特征的逆向分析。本文采集了国内某省真实智能电网的流量数据用于设计适合该电网的入侵检测方法，但国内电网管理的封闭性导致通信协议和网络架构不明，而网络架构和协议的不同导致研究方法有所区别，因此需要对流量逆向分析，确定网络架构和协议类型。首先通过逆向分析确定流量中存在的两种协议类型，即私有协议和DL/T645协议，随后通过两者在时空上的关联性和DL/T645协议格式的分析，推算了私有协议格式，同时判断私有协议的作用为认证转发DL/T645协议数据，最后根据两种协议的相关特征，进一步揭露了电网网络架构。 基于业务流认证的入侵检测方法。首先根据逆向分析的认证机制定义了业务流的含义，即电网先传输私有协议流进行认证，再传输DL/T645协议流，两条流不全或认证失败电网将无法正常传输数据，因此一方面验证每条业务流的认证是否符合认证机制，可以检测异常认证的发生，另一方面检测认证过程中异常的业务流，可用于发现网络的异常。随后分析了认证过程中出现的各种异常业务流和其产生的原因。最后根据业务流的时空特征和认证机制，建立了入侵检测方法，用于检测异常认证和网络异常，例如端口冲突、网络链路拥塞和终端设备的故障。 基于流量分解的流量建模方法。AMI网络中有一部分基础设施部署在用户端，因此极易受到恶意用户的入侵，而入侵可以导致流量行为发生变化，因此通过建立正常网络流量轮廓可以检测异常行为。首先通过解析电网数据分析了电网的业务模式和通信特征，结合网络流量分析和通信模式的变化，参考IT网络、国内外智能电网和工业控制系统的特点对该智能电网网络结构进行了进一步分析，根据电网传输确定性业务数据的特点，通过分解流量的突变、趋势、周期和随机成分，建立正常流量的方法，并提出基于监督的流量检测方法。

目录

第一个书签之前