公开(公告)号：CN114825607A

公开(公告)日：2022-07-29

申请号：CN202111675512.4

申请日：2021-12-31

Applicant: 湖南大学

Inventor： 刘绚 ,  王文博 ,  张博 ,  宋宇飞 ,  于宗超

IPC: H02J13/00 ,  H04L9/40

Abstract: 本发明公开了一种继电保护信息处理系统攻击行为监测方法及装置，对实时捕获的继电保护信息处理系统的流量数据进行应用层报文提取，并按照IEC 60870‑5‑103规约解析。其次对报文进行时钟篡改攻击检测。然后根据规约要求针对报文格式进行畸形报文攻击检测。最后建立各类系统业务的正常行为模型，依据正常行为模型对系统流量数据进行应用层的攻击行为检测。本发明克服了现有继电保护信息处理系统攻击行为检测方法侧重于继电保护装置测量点的数据分析，缺乏针对流量数据应用层报文进行攻击行为检测的不足，提升了继电保护信息处理系统攻击行为检测的精准性。

公开(公告)号：CN114124478A

公开(公告)日：2022-03-01

申请号：CN202111311047.6

申请日：2021-11-08

Applicant: 湖南大学

Inventor： 刘绚 ,  王文博 ,  宋宇飞 ,  张博 ,  于宗超

IPC: H04L9/40 ,  H04L69/22

Abstract: 本发明公开了一种电力系统工控流量异常检测方法及系统，对实时采集到的流量数据进行网络层流量特征的异常检测；提取出每一帧流量数据的应用层报文，依据报文协议类型进行字段级解析并在报文字段层面进行异常检测；最后建立各类电力业务的正常行为模型，实现基于业务模型的异常检测。本发明克服了现有电力工控流量异常检测方法侧重于网络层流量统计分析，缺乏对于电力业务逻辑深入考虑的不足，提升了电力工控流量数据异常检测的准确性与可靠性。

公开(公告)号：CN114825607B

公开(公告)日：2024-11-26

申请号：CN202111675512.4

申请日：2021-12-31

Applicant: 湖南大学

Inventor： 刘绚 ,  王文博 ,  张博 ,  宋宇飞 ,  于宗超

IPC: H02J13/00 ,  H04L9/40

Abstract: 本发明公开了一种继电保护信息处理系统攻击行为监测方法及装置，对实时捕获的继电保护信息处理系统的流量数据进行应用层报文提取，并按照IEC 60870‑5‑103规约解析。其次对报文进行时钟篡改攻击检测。然后根据规约要求针对报文格式进行畸形报文攻击检测。最后建立各类系统业务的正常行为模型，依据正常行为模型对系统流量数据进行应用层的攻击行为检测。本发明克服了现有继电保护信息处理系统攻击行为检测方法侧重于继电保护装置测量点的数据分析，缺乏针对流量数据应用层报文进行攻击行为检测的不足，提升了继电保护信息处理系统攻击行为检测的精准性。

公开(公告)号：CN114124478B

公开(公告)日：2023-05-09

申请号：CN202111311047.6

申请日：2021-11-08

Applicant: 湖南大学

Inventor： 刘绚 ,  王文博 ,  宋宇飞 ,  张博 ,  于宗超

IPC: H04L9/40 ,  H04L69/22

Abstract: 本发明公开了一种电力系统工控流量异常检测方法及系统，对实时采集到的流量数据进行网络层流量特征的异常检测；提取出每一帧流量数据的应用层报文，依据报文协议类型进行字段级解析并在报文字段层面进行异常检测；最后建立各类电力业务的正常行为模型，实现基于业务模型的异常检测。本发明克服了现有电力工控流量异常检测方法侧重于网络层流量统计分析，缺乏对于电力业务逻辑深入考虑的不足，提升了电力工控流量数据异常检测的准确性与可靠性。

公开(公告)号：CN114362368A

公开(公告)日：2022-04-15

申请号：CN202111670704.6

申请日：2021-12-31

Applicant: 湖南大学

Inventor： 刘绚 ,  王文博 ,  张博 ,  宋宇飞 ,  于宗超

IPC: H02J13/00 ,  H04L9/40 ,  H04L41/14

Abstract: 本发明公开了一种智能变电站网络流量异常行为监测方法与系统，利用智能变电站交换机镜像端口捕获网络流量数据包，并对流量数据包的应用层报文进行提取；其次按照报文所属协议规定的帧格式进行逐个字段解析，获取报文所表示的具体电力业务；然后依据报文字段特征进行单字段越限检测、多字段耦合逻辑检测、整体字段异常检测；最后依据报文业务特征建立正常行为模型，并基于业务模型实现业务执行逻辑、业务校验逻辑、业务时标逻辑的异常检测。本发明克服了现有智能变电站网络流量异常检测方法依赖于网络层流量特征指标，未能深入考虑电力业务逻辑特征的缺陷，提升了智能变电站网络流量异常行为检测的准确性。

公开(公告)号：CN114362368B

公开(公告)日：2024-04-16

申请号：CN202111670704.6

申请日：2021-12-31

Applicant: 湖南大学

Inventor： 刘绚 ,  王文博 ,  张博 ,  宋宇飞 ,  于宗超

IPC: H02J13/00 ,  H04L9/40 ,  H04L41/14

Abstract: 本发明公开了一种智能变电站网络流量异常行为监测方法与系统，利用智能变电站交换机镜像端口捕获网络流量数据包，并对流量数据包的应用层报文进行提取；其次按照报文所属协议规定的帧格式进行逐个字段解析，获取报文所表示的具体电力业务；然后依据报文字段特征进行单字段越限检测、多字段耦合逻辑检测、整体字段异常检测；最后依据报文业务特征建立正常行为模型，并基于业务模型实现业务执行逻辑、业务校验逻辑、业务时标逻辑的异常检测。本发明克服了现有智能变电站网络流量异常检测方法依赖于网络层流量特征指标，未能深入考虑电力业务逻辑特征的缺陷，提升了智能变电站网络流量异常行为检测的准确性。