(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111670704.6 (22)申请日 2021.12.31 (71)申请人 湖南大学 地址 410082 湖南省长 沙市岳麓区麓山 南 路2号 (72)发明人 刘绚　王文博　张博　宋宇飞　 于宗超　 (74)专利代理 机构 长沙正奇专利事务所有限责 任公司 431 13 代理人 王娟　马强 (51)Int.Cl. H02J 13/00(2006.01) H04L 9/40(2022.01) H04L 41/14(2022.01) (54)发明名称 智能变电站网络流量异常行为监测方法与 系统 (57)摘要 本发明公开了一种智能变电站网络流量异 常行为监测方法与系统， 利用智能变电站交换机 镜像端口捕获网络流量数据包， 并对流量数据包 的应用层报文进行提取； 其次按照报文所属协议 规定的帧格式进行逐个字段解析， 获取报文所表 示的具体电力业务； 然后依据报文字段特征进行 单字段越限检测、 多字段耦合逻辑检测、 整体字 段异常检测； 最后依据报文业务特征建立正常行 为模型， 并基于业务模型实现业务执行逻辑、 业 务校验逻辑、 业务时标逻辑的异常检测。 本发明 克服了现有智能变电站网络流量异常检测方法 依赖于网络层流量特征指标， 未能深入考虑电力 业务逻辑特征的缺陷， 提升了智能变电站网络流 量异常行为检测的准确性。 权利要求书3页 说明书11页 附图2页 CN 114362368 A 2022.04.15 CN 114362368 A 1.一种智能变电站网络流 量异常行为 监测方法， 其特 征在于， 包括以下步骤： S1、 实时捕获智能变电站网络流 量数据， 并提取 出应用层报文； S2、 根据步骤S1提取出的应用层报文所属协议规定的帧格式对报文进行字段级的解 析； S3、 对解析后的应用层报文进行单字段越限检测， 若出现异常， 则发出告警信号； 否则 对解析后的应用层报文进 行多字段耦合逻辑检测， 若 出现异常， 则发出告警信号； 否则对解 析后的应用层报文进行整体字段异常检测， 若出现异常， 则发出告警信号； 否则， 进入步骤 S4； S4、 对解析后的应用层报文进行业务执行逻辑检测、 业务校验逻辑检测、 业务 时标逻辑 检测， 若任何一个 检测环节出现异常， 则发出告警信号。 2.根据权利要求1所述的智能变电站网络流量异常行为监测方法， 其特征在于， 对解析 后的应用层报文 进行单字段越限检测的具体实现过程包括： 1)利用公式 对解析后的应用层报文进行单字段越 限检测， 若该式不成立， 则判定解析后的应用层报文为异常报文； 否则， 进入步骤2)； 其中， P 为解析后的应用层报文， PWK表示电力稳控业务的可变帧报文， LEN(PWK)表示解析后的应用 层报文实际长度， LEN(PWK)max表示电力稳控协议所规定的最大报文长度； 2)判断公式 是否成立， 若否， 则判定解析后的应用 层报文为异常报文； 否则， 进入步骤3)； 其中， TH E(PWK)表示报文理论计算长度； 3)判断公式 是否成立， 若否， 则判定解析后的应用层报文 为异常报文； 否则， 进入步骤4)； 其中， TYP(PWK)表示报文的类型 标识字段值； 4)判断公式 是否成立， 若否， 则判定解析后的应用层报文 为异常报文； 否则， 进入步骤5)； 其中， COT(PWK)表示报文的传送 原因字段值； 5)判断公式 是否成立， 若否， 则判定解析后的应用层报 文为异常报文； 否则， 对解析后的应用层报文进行多字段耦合逻辑检测； 其中， PWK_G表示电 力稳控业 务固定帧报文， LEN(PWK_G)表示固定帧报文长度。 3.根据权利要求1所述的智能变电站网络流量异常行为监测方法， 其特征在于， 步骤S3 中， 对解析后的应用层报文 进行多字段耦合逻辑检测的具体实现过程包括： I)判断公式 FCV(PWK))∈{(0,0),(3,1),(4,0),(7,0),(10,1), (11,1)}是否成立， 若否， 则判定解析后的应用 层报文为异常报文； 否则， 进入步骤II)； 其 中， P为解析后的应用层报文， PWK表示电力稳控业务的可变帧报文， FUN(PWK)表示报文控制 域功能码数值， FCV(PWK)表示报文帧计数有效位数值； II)判断公式 是否成立， 若否， 则 判定解析后的应用层报文为异常报文； 否则， 对解析后的应用层报文进行整体字段异常检 测； 其中， QU(PWK)表示报文的被测量品质描述词， OV表示品质描述词的溢出标志， ER表示品 质描述词的有效标志。 4.根据权利要求1所述的智能变电站网络流量异常行为监测方法， 其特征在于， 步骤S3 中， 对解析后的应用层报文 进行整体字段异常检测的具体实现过程包括：权　利　要　求　书 1/3 页 2 CN 114362368 A 2i)判断公式 是否成立， 若否， 则判定解析后 的应用层报文为异常报文； 否则， 进入步骤II)； 其中， P为解 析后的应用层报文， PWK表示电力 稳控业务的可变帧报文， 其中， THE_V(PWK)表示报文理论校验和， 为启动字符至校验和字段 前的数据单字节算术累加和的低字节， REA_V(PWK)表示报文实际校验和， 为报文最后一个字 节。 5.根据权利要求1所述的智能变电站网络流量异常行为监测方法， 其特征在于， 步骤S4 的具体实现过程包括： 根据解析后的应用层报文的类型标识、 传送原 因、 功能类型、 信 息序号字段判断解析后 的应用层报文所属具体业 务； 若为文件传输、 总召唤、 测试模式、 监视方向闭锁、 遥控执行、 遥调执行、 扰动数据传输 业务中的一种， 则对解析后的应用层报文 所属业务的执行逻辑进 行检测， 如果出现异常， 则 发出告警信号， 否则将当前帧流 量数据判定为 正常流量； 若为遥控校验、 定值修改业务中的一种， 则对解析后的应用 层报文所属业务的校验逻 辑进行检测， 如果出现异常， 则发出告警信号， 否则将当前帧流 量数据判定为 正常流量； 若为通用历史数据查询、 时间同步业务中的一种， 则对解析后的应用 层报文所属业务 的时标逻辑进 行检测， 如果出现异常， 则发出告警信号， 否则将当前帧流量数据判定为正常 流量。 6.根据权利要求5所述的智能变电站网络流量异常行为监测方法， 其特征在于， 若解析 后的应用层报文属于文件传输业 务， 则判断是否符合执 行逻辑 若否， 发出告警信号， 否则将当前帧流量数据判 定为正常流量； 其中， WJ1为召唤目录指令， WJ2为文件目录响应指令， WJ3为选择文件指令， WJ4为文件准 备就绪指令， WJ5为召唤文件指令， WJ6为节准备就绪指令， WJ7为召唤节指令， WJ8 为段数据上送指令， WJ9为最后的段发送确认指令， WJ10为节确认指令， WJ11为文件确认指令； 若解析后的应用层报文属于总召唤业务， 则判断是否符合执行逻辑ZZ1→ZZ2→ZZ3， 若 否， 发出告 警信号， 否则将当前帧流量数据判定为正常流量； 其中， ZZ1为主站启动总召唤指 令， ZZ2为子站上送信息指令， Z Z3为总召唤结束指令； 若解析后的应用层报文属于测试模式业务， 则判断是否符合执行逻辑CS1→CS2→CS1→ CS2， 若否， 发出告警信号， 否则将当前帧流量数据判定为正常流量； 其中， CS1为测试激活指 令， CS2为测试结束指令； 若解析后的应用层报文属于监视方向闭锁业务， 则判断是否符合执行逻辑BS1→BS2→ BS1→BS2， 若否， 发出告警信号， 否则将当前帧流 量数据判定为 正常流量； 若解析后的应用层报文属于遥控执行业务， 则判断是否符合执行逻辑YK1→YK2→YK3→ YK4， 若否， 发出告警信号， 否则将当前帧流 量数据判定为 正常流量； 若解析后的应用层报文属于遥调执行业务， 则判断是否符合执行逻辑YT1→YT2→YT3→ YT4， 若否， 发出告警信号， 否则将当前帧流量数据判定为正常流量； 其中， YT1为遥调设置指 令， YT2为遥调设置返校指令， YT3为遥调执 行指令， YT4为遥调执 行返校指令； 若解析后的应用层报文属于扰动数据传输业务， 则判断是否符合执行逻辑RD1→RD2→ RD3→RD4→RD5→RD6， 若否， 发出告警信号， 否则将当前帧流量数据判定为正常流量； 其中，权　利　要　求　书 2/3 页 3 CN 114362368 A 3