(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111412573.1 (22)申请日 2021.11.25 (71)申请人 国网四川省电力公司眉山供电公司 地址 620010 四川省眉山市东坡区二环东 路150号 (72)发明人 汪晓帆　张泰　杨雪　曾仕伦　 陈亮　朱礼鹏　易伟　熊伟　 李建兵　杨灏　 (74)专利代理 机构 成都行之专利代理事务所 (普通合伙) 51220 代理人 喻英 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) H04L 67/01(2022.01) (54)发明名称 一种智能变电站GOOSE、 SV报文的入侵检测 方法 (57)摘要 本发明涉及智能变电站 安全技术领域， 具体 涉及一种智能变电站GOOSE、 SV报文的入侵检测 方法及系统。 本发明提供的入侵检测方法， 包括 以下步骤： 接收CPE镜像流量， 从流量中提取 GOOSE或SV数据包以及与数据包对应的IP地址、 UDP端口号的元数据和时间戳， 并解析数据包以 获取相关字段及内容； 将与数据包对应的IP地 址、 UDP端口号、 时间戳以及相关字 段及内容存入 第一数据表； 检测数据包是否异常； 进行DoS攻击 检测； 将检测出的异常数据包、 与异常数据包对 应的时间戳、 IP地址、 UDP 端口号及 异常类型存入 第二数据表， 建立第一数据表与第二数据表之间 的关联。 本发 明提供的入侵检测方法及系统能够 适用于5G环境， 降低了整个协议栈中可能面对的 安全威胁 。 权利要求书2页 说明书6页 附图1页 CN 114124538 A 2022.03.01 CN 114124538 A 1.一种智能变电站G OOSE、 SV报文的入侵检测方法， 其特 征在于， 包括以下步骤： 接收CPE镜像流量， 从接收的流量 中提取GOOSE或SV数据包以及与所述数据包对应的IP 地址、 UDP端口号的元数据和时间戳， 解析所述数据包以获取GOOSE或SV的所有字段及字段 内容； 将与数据包对应 的IP地址、 UDP端口号、 时间戳以及GOOSE或SV的所有字段及字段内容 存入第一数据表； 对所述GOOSE或SV的字段及字段内容进行分析， 以检测数据包是否异常； 基于所述 IP地址及UD P端口号的元 数据进行DoS攻击检测； 将检测出的异常数据包、 与所述异常数据包对应的时间戳、 IP地址、 UDP端 口号及异常 类型存入第二数据表， 将时间戳、 IP地址及UDP端口号组成联合主键， 以建立第一数据表与 第二数据表之间的关联， 从而实现异常数据包的原 始数据包回溯。 2.根据权利 要求1所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 还包 括： 所述元 数据包括相同IP地址和UD P端口号的数据包的数量。 3.根据权利 要求2所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 所述 基于所述IP地址及 UDP端口号的元数据进 行DoS攻击检测包括： 统计单位时间内具有相同IP 地址和UD P端口号的数据包的数量， 当数量超过设定的阈值时， 判定为DoS攻击 。 4.根据权利 要求2所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 针对 GOOSE数据包的异常检测方法包括： 对GOOSE上下报文中的stnum、 sqnum、 ndscom、 TEST、 APPID、 dataset、 co nfrev字段中的至少一项 进行分析， 检测其中存在的异常行为。 5.根据权利 要求4所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 所述 针对GOOSE数据包的异常检测包括重启和配置错 误检测， 检测方法分别为： 重启： 当stnum字段等于1且sqnum字段等于1时， 判定发生重启事 件； 配置错误： 当ndscom字段为TRUE时， 判定配置错 误。 6.根据权利 要求4所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 所述 针对GOOSE数据包的异常检测包括检修， 检测的方法为： 当TEST字段为TRUE时， 判定为检修。 7.根据权利 要求4所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 所述 针对GOOSE数据包的异常检测包括APPID异常、 虚假状态改变、 虚假配置改变、 运行状态改 变、 报文乱序、 报文重放、 高stnum攻击和DoS攻击， 检测方法分别为： APPID异常： 当前AP PID字段与上一报文的AP PID不一致时， 判定发生AP PID异常； 虚假状态改变： 当前报文的stnum不等于上一报文的stnum， 且当前报文的dataset字段 相较上一报文的dataset字段没有发生变化， 判定为虚假状态改变； 虚假配置改变： 当前报文的confrev字段不等于上一报文的confrev字段， 且当前报文 的dataset字段相较上一报文的dataset字段没有发生变化， 判定为虚假状态改变； 运行状态改变： 当前报文的stnum字段值等于上一报文的stnum字段值加1， 且当前报文 的sqnum等于 0， 判定为 运行状态改变； 报文乱序： 当前报文的stnum字段值等于上一报文的stnum字段值， 且当前报文的sqnum 字段值等于上一报文sqnum字段值加1， 判定为报文乱序； 报文重放： 当前报文的stnum字段值等于上一报文的stnum字段值， 且当前报文的sqnum 字段值等于上一报文sqnum字段值， 判定为报文重放；权　利　要　求　书 1/2 页 2 CN 114124538 A 2高stnum攻击： 当前报文的stnum字段值大于上一报文的stnum字段值加一， 判定为高 stnum攻击； DoS攻击： 当前 数据包传输 速率大于正常 GOOSE运行速率阈值， 判定为DoS攻击 。 8.根据权利 要求2所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 针对 SV数据包的异常检测方法包括： 对SV上下文报文中的APPID或smpcnt字段进行分析， 检测其 中存在的异常行为。 9.根据权利 要求8所述的智能变电站GOOSE、 SV报文的入侵检测方法， 其特征在于， 所述 针对SV数据包的异常检测包括重启、 APPID异常、 报文重放、 高smpcnt攻击和DoS攻击， 检测 方法分别为： 重启： 当前报文的s mpcnt字段值 等于0， 判定为重启； APPID异常： 当前报文的APPID字段值不等于上一报文的APPID字段值， 判定为APPID异 常； 报文重放： 当前报文的s mpcnt字段值 等于上一报文的s mpcnt字段值， 判定为报文重放； 高smpcnt攻击： 当前报文的smpcnt字段值大于上一报文的smpcnt字段值加一， 判定为 报文重放； DoS攻击： 当前 数据包传输 速率大于正常SV运行速率阈值， 判定为DoS攻击 。 10.一种智能变电站G OOSE、 SV报文的入侵检测系统， 其特 征在于， 包括： 流量采集处理模块： 用于接收CPE镜像流量， 并从接收的流量中提取GOOSE或SV数据包 以及与所述数据包对应的IP地址、 UDP端口号的元数据和时间戳， 解析所述数据包以获取 GOOSE或SV的所有字段及字段内容； 第一存储模块： 将与数据包对应的IP地址、 UDP端口号、 时间戳以及GOOSE或SV的所有字 段及字段内容存 入第一数据表； 第一入侵检测模块： 用于对所述GOOSE或SV的字段及字段内容进行分析， 以检测数据包 是否异常； 第二入侵检测模块： 基于所述 IP地址及UD P端口号的元 数据进行DoS攻击检测； 第二存储模块： 将检测出的异常数据包、 与所述异常数据包对应的时间戳、 IP地址、 UDP 端口号及异常类型存入第二数据表； 将时间戳、 IP地址及UDP端口号组成联合主键， 以建立 第一数据 表、 第二数据 表、 第三数据 表和第四数据 表之间的关联， 从而实现异常数据包的原 始数据包回溯。权　利　要　求　书 2/2 页 3 CN 114124538 A 3