(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211106473.0 (22)申请日 2022.09.12 (71)申请人 国网江苏省电力有限公司 地址 210000 江苏省南京市上海路215号 申请人 南京通衡信息科技有限公司 　周航 (72)发明人 周航　杨康　丁超杰　赵玉林　 李刚　王余阳　崔占飞　李蓝青　 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H02J 13/00(2006.01) (54)发明名称 一种面向智能 电网的通信网络层次化指纹 模型构建方法 (57)摘要 本发明提供一种面向智能 电网的通信网络 层次化指纹模 型构建方法。 所述面向智能电网的 通信网络层次化指纹模型构建方法包括： 网络流 量特征指纹模 型构建、 信道电气特性指纹模型构 建和设备业务模式指纹模型构建； 所述网络流量 特征指纹模型构建包括误用检测方法和行为检 测方法。 本发 明提供的面向智能电网的通信网络 层次化指纹模型构建方法利用指纹识别的思想 对现有网络入侵检测系统进行扩展， 构建包含网 络流量特征、 信道电气特性和设备业务模式的智 能电网通信网络层次化指纹模型， 从而利用指纹 识别的思想对现有网络入侵检测技术框架进行 扩展和增强的优点。 权利要求书1页 说明书4页 附图2页 CN 115514542 A 2022.12.23 CN 115514542 A 1.一种面向智能电网的通信网络层次化指纹模型构建方法， 其特 征在于， 包括： 网络流量特征指纹模型构建、 信道电气特性指纹模型构建和设备业务模式指纹模型构 建； 所述网络流 量特征指纹模型构建包括 误用检测方法和行为检测方法； 所述误用检测方法是基于攻击行为特征/已知的攻击行为模式构建攻击行为的网络指 纹库/响应的检测规则库， 并将捕获的流量和该指纹库进行比对匹配， 以检测恶意攻击 设备 的攻击流 量； 所述行为检测方法是基于网络流量的正常行为特征/系统、 网络或用户正常行为下的 网络流量构建正常行为的网络指纹库/无攻击行为情况下网络流量的统计模型， 并将捕获 的流量和该指纹库进行比对， 以检测出网络内的异常流 量。 2.根据权利要求1所述的面向智能电网的通信网络层次化指纹模型构建方法， 其特征 在于： 所述信道电气特性指纹模型构建接入到RS485串行通信网络中， 所述RS485串行通信 网络采用 总线型拓扑结构， 即通过一条双绞线电缆将各个设备节点串接起来， 并在总线线 缆的首末两端各并联一个与线缆特征阻抗一致的匹配电阻来消除末端信号能量反射对通 信造成的影响， 且在智能电网RS485串行通信网络中， 是通过控制中心的监测 /控制上位机 下发的控制指 令通过协 议转换网关转换为差 分电平信号， 并通过RS48 5总线发送给断路器、 逆变器和可控负荷等控制设备， 智能电表、 环境传感器等量测设备反馈的量测数据以差分 电信号的方式通过网关设备转换为控制中心可识别的通信协 议数据， 并上报给上层数据采 集中心。 3.根据权利要求2所述的面向智能电网的通信网络层次化指纹模型构建方法， 其特征 在于： 所述 RS485串行通信网络可将通信网络的线路和终端设备等效为特定阻抗， 将信号 发 送端等效为电压源， 建立通信网络的电气信号分析模型， 并进一步分析攻击设备植入前后 网络中各设备接收电信号的变化特 征。 4.根据权利要求2所述的面向智能电网的通信网络层次化指纹模型构建方法， 其特征 在于： 所述 RS485串行通信网络中的通信设备采用差 分方式传输信号， 即信号 发送端向两条 总线发送幅值相等相位相反的电压信号， 接 收端将电压信号做差分， 并将差分后的模拟信 号转换为数字信号。 5.根据权利要求1所述的面向智能电网的通信网络层次化指纹模型构建方法， 其特征 在于： 所述设备业务模式指纹模型构建是基于客户端 首先向智能电表发送读取寄存器内容 的请求， 智能电表确认接收到报文后， 返回相应的寄存器内容给客户端。权　利　要　求　书 1/1 页 2 CN 115514542 A 2一种面向智能电网的通信网 络层次化指纹 模型构建 方法 技术领域 [0001]本发明属于智能电网的通信网络层次化指纹模型技术领域， 尤其涉及 一种面向智 能电网的通信网络层次化指纹模型构建方法。 背景技术 [0002]目前， 智能电网的信息安全防护策略主要针对来自系统外部 的网络攻击， 而对已 潜伏在系统内部的非法接入设备的检测和防御能力存在明显不足， 电力二次系统安全防护 的总体原则为 “安全分区、 网络专用、 横向隔离、 纵向认证 ”， 因此， 除了具有与互联网相似的 场景复杂、 设备量大等问题外， 智能电网中的非法接入设备检测仍面临设备隐蔽性 强、 同质 通信设备行为相似等问题， 为此， 需引入身份识别技术实现对智能电网非法接入设备 的精 准检测； [0003]然而身份识别技术可用于检测和辨识设备的合法身份， 部分技术已被应用于实际 的检测系统中， 作为对现有入侵检测技术的重要补充， 指纹识别技术可结合通信 设备的差 异化特性构建指纹信息库， 实现对设备身份的识别和检测， 现有的设备指纹识别技术主要 分为主动式与被动式两大类， 主动式设备指纹识别方法可获得较多的设备信息， 识别精准 度较高， 然而， 由于该类方法需要主动发送报文进 行设备的信息采集， 可能会干扰工控系统 的正常业务， 因此在智能电网等对运行安全要求严格的工业控制系统中较少被采用， 被动 式指纹识别方法通常受到硬件差异和网络流量影响， 难以辨识出同质设备相似流量之 间的 细微差异， 由于设备接入通信网络后必然会引起物理信道电气特性的变化， 因此可考虑利 用该特征检测静默监听设备 的接入行为， 此外， 虽然伪装响应设备可以尽量伪装成正常设 备进行响应， 但是难以与设备的各种业务交互行为特征完全相符， 因此， 针对现有入侵检测 方法的不足。 [0004]因此， 有必要提供一种新的面向智能电网的通信网络层次化指纹模型构建方法解 决上述技术问题。 发明内容 [0005]本发明解决的技术问题是提供一种利用指纹识别的思想对现有网络入侵检测系 统进行扩展， 构建包含网络流量特征、 信道电气特性和设备业务模式的智能电网通信网络 层次化指纹模型， 从而利用指纹识别的思想对现有网络入侵检测技术框架进 行扩展和增强 的面向智能电网的通信网络层次化指纹模型构建方法。 [0006]为解决上述技术问题， 本发明提供的面向智能电网的通信网络层次化指纹模型构 建方法包括： 网络流量特征指纹模型构建、 信道电气特性指纹模型构建和设备业务模式指 纹模型构建； [0007]所述网络流 量特征指纹模型构建包括 误用检测方法和行为检测方法； [0008]所述误用检测方法是基于攻击行为特征/已知的攻击行为模式构建攻击行为的网 络指纹库/响应的检测规则库， 并将捕获的流量和该指纹库进 行比对匹配， 以检测恶意攻击说　明　书 1/4 页 3 CN 115514542 A 3