[发明专利]一种通信异常检测方法、装置、电子设备及存储介质

说明书

本发明公开了一种通信异常检测方法、装置、电子设备及存储介质，方法包括：接收网络报文，并筛选出网络报文中的IEC61850协议报文；确定IEC61850协议报文的报文类型、源设备和目标设备；判断源设备的网络访问行为是否存在攻击行为且目标设备是否为工控设备；攻击行为包括端口扫描攻击或ARP欺骗攻击；当确定源设备的网络访问行为存在攻击行为且目标设备为工控设备时，则根据报文类型确定源设备的通信异常类型。本方法利用源设备历史的攻击行为判断源设备和工控设备之间是否存在通信风险，进而可结合报文类型准确判定源设备的通信异常类型，能够对基于IEC61850协议的异常通信进行有效检测和防护。

技术领域

本发明涉及智能变电站领域，特别涉及一种通信异常检测方法、装置、电子设备及计算机可读存储介质。

背景技术

在智能变电站系统中，智能装置之间的通信主要依靠IEC61850协议实现，由于智能装置之间的关联紧密，一旦某个智能装置遭到恶意攻击，将会影响整个智能变电站内的通信。然而在相关技术中，仅根据IEC61850协议的网络报文特征难以判定智能装置存在通信异常。

因此，如何有效对IEC61850协议报文进行通信异常检测，是本领域技术人员需要面对的技术问题。

发明内容

本发明的目的是提供一种通信异常检测方法、装置、电子设备及计算机可读存储介质，可利用源设备的网络访问行为边界判断源设备和工控设备之间是否存在通信风险，进而可结合报文类型准确判定源设备的通信异常类型，能够对基于IEC61850协议的异常通信进行有效检测和防护。

为解决上述技术问题，本发明提供一种通信异常检测方法，包括：

接收网络报文，并筛选出所述网络报文中的IEC61850协议报文；

确定所述IEC61850协议报文的报文类型、源设备和目标设备；

判断所述源设备的网络访问行为是否存在攻击行为且所述目标设备是否为工控设备；所述攻击行为包括端口扫描攻击或ARP欺骗攻击；

当确定所述源设备的网络访问行为存在攻击行为且所述目标设备为所述工控设备时，则根据所述报文类型确定所述源设备的通信异常类型。

可选地，所述根据所述报文类型确定所述源设备的通信异常类型，包括：

若所述报文类型为TCP连接报文，则判定所述通信异常类型为异常连接所述工控设备，并将所述源设备标记为异常设备及输出表示所述异常连接所述工控设备的攻击告警；

若所述报文类型为遥信报文或遥控报文且所述源设备为所述异常设备，则判定所述通信异常类型为异常控制所述工控设备，并输出从所述IEC61850协议报文中提取的开关名称及表示所述异常控制所述工控设备的攻击告警。

可选地，在筛选出所述网络报文中的IEC61850协议报文之前，还包括：

确定所述网络报文中的源设备及对应的网络访问行为；

利用预设网络访问行为表对所述网络访问行为进行验证，确定所述网络访问行为是否为所述攻击行为；所述预设网络访问行为表中包含监听范围内的源设备和目标设备原有的网络访问行为；

若是，则将所述网络访问行为标记为所述源设备的攻击行为。

可选地，所述利用预设网络访问行为表对所述网络访问行为进行验证，确定所述网络访问行为是否为所述攻击行为，包括：

确定接收所述网络报文的时间点，并将所述时间点及所述网络访问行为记录于网络访问行为表中；

当所述网络报文使用的网络端口为IEC61850协议的服务端口时，判断所述网络访问行为是否处于所述预设网络访问行为表中；