[发明专利]一种对IEC61850数字变电站SMV报文的入侵检测的方法

权利要求书

1.一种对IEC61850数字变电站SMV报文的入侵检测的方法，其特征在于：所述方法包括如下步骤：

1）SMV报文的快速过滤及数据结构化：SMV报文的快速过滤及数据结构化机制是为了在IEC61850数字变电站中网络中各类报文中迅速提取出需要进行检测的SMV报文，并对SMV报文内容进行数据结构化处理；

2）SMV帧报文的数据单元的多级关联检测：SMV通过快速过滤和数据结构化提取完成后，按照多级检测项依次检测报文中的若干数据单元项，以完成对SMV帧报文数据的安全合规性检测；

3）SMV报文的危害性评估：根据SMV报文安全性的检测方法，可将数字变电站的SMV报文的安全性分为三个级别，安全级别“0”为可信，代表经过多级检测过的SMV报文数据未包含任何威胁隐患，数字变电站的SMV报文安全级别为“0”级；安全级别“-1”代表数字变电站中有可疑的SMV报文存在，单位时间SMV帧报文数量检测项中检测到当前报文流量超过或小于基准流量的30%，而帧报文其它级的检测都通过时，则数字变电站的报文安全级别为“-1”，有可疑SMV帧报文存在；安全级别“-2”代表变电站存在不可信的SMV报文，当前数字变电站的SMV帧报文集只通过单位时间流量范围的检测，其它各级别帧报文检测项的任意一项都未通过，则此数字变电站的SMV报文安全级别为“-2”，存在非合规报文；

SMV报文过滤数据提取采用基于报文模板的多模式匹配，一次报文扫描完成SMV报文数据项的识别和数据的结构化处理；

SMV报文模板由多个数据项模板单元组成，每个数据项模板单元定义在两个“@”标识符之间，数据项模板单元由四部分组成，每部分彼此以“：”隔开；第一部分为所述数据项模板单元对应源报文的原始数据类型；第二部分为所述数据项模板单元在源报文中的数据长度，数据项长度不定时缺省为空；第三部分为所述数据项模板单元结构化后的数据类型；第四部分为所述数据项模板单元对应报文数据项的名称；

所述多模式匹配采用多模式树模板匹配技术，所述多模式树为根据SMV报文模板建立一棵模式匹配树，树的节点为所述数据项模板单元，每个所述数据项模板单元定义原始数据到结构化数据的匹配模式。

2.根据权利要求1所述的一种对IEC61850数字变电站SMV报文的入侵检测的方法，其特征在于：所述步骤2）中多级检测项包括如下部分，1）SMV报文的以太网络类型及源目标MAC地址；2）单位时间的SMV帧报文数量检测；3）报文采样计数器检测；4）SMV帧报文数据集中的标识的一致性检测。