(12)发明专利申请
(10)申请公布号 CN 110618331 A(43)申请公布日 2019.12.27
(21)申请号 201910922920.1(22)申请日 2019.09.27
(71)申请人 长沙理工大学
地址 410004 湖南省长沙市雨花区万家丽
南路二段960号(72)发明人 苏盛 刘亮 曹一家 李田
周志高 洪亮 陈清清 汪干 王坤 (74)专利代理机构 长沙正奇专利事务所有限责
任公司 43113
代理人 何为 袁颖华(51)Int.Cl.
G01R 31/00(2006.01)H04L 29/06(2006.01)
权利要求书1页 说明书4页 附图1页
(54)发明名称
基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法(57)摘要
一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法,是在继电保护与安全自动装置上电运行后,通过继电保护与安全自动装置的测试仪增设的时钟加速调整模块,使继电保护与安全自动装置的系统时钟进行连续每隔一固定时段加快相同时段的调整,同时在每次调整后给继电保护与安全自动装置输入故障信号,检测继电保护与安全自动装置在该故障信号下是否发出相应的控制指令,以检测继电保护与安全自动装置是否含有时间协同拒动逻辑炸弹。本方法解决了继电保护与安全自动装置无法检测时间协同拒动逻辑炸弹的问题,通过本方法可检测出继电保护与安全自动装置中潜藏的时间协同拒动逻辑炸弹,能提高电力系统的网络安全防护能力。
CN 110618331 ACN 110618331 A
权 利 要 求 书
1/1页
1.一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法,其特征在于,该方法包括以下步骤:(1)于继电保护与安全自动装置的测试仪中增设时钟加速调整模块,用于对继电保护与安全自动装置的测试仪中的同步时钟进行加速调整;(2)启动投入使用前的继电保护与安全自动装置;(3)时钟加速调整模块对继电保护与安全自动装置的测试仪中的同步时钟进行每隔一固定时间调快相同时间段的时间加速连续调整,每次调整后发送加速时钟信号经同步时钟输出授时模块至继电保护与安全自动装置,使继电保护与安全自动装置的系统时钟进行同步加速调整,同时继电保护与安全自动装置的测试仪向继电保护与安全自动装置中注入故障信号,检测该故障信号下继电保护与安全自动装置是否发出相应的控制指令,若未发出,则判断继电保护与安全自动装置中含有时间协同拒动的逻辑炸弹,若发出,则判断继电保护与安全自动装置的系统时钟是否到达运行设定时间,若到达,则继电保护与安全自动装置无时间协同拒动的逻辑炸弹,若未到达,则继续进行时间加速调整和故障信号下的检测,直至继电保护与安全自动装置的系统时钟到达运行设定时间。
2.如权利要求1所述的基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法,其特征在于,所述故障信号是指低电压、过电流、过电压、低频/高频扰动电流或者低频/高频扰动电压信号。
2
CN 110618331 A
说 明 书
1/4页
基于继电保护与安全自动装置时间协同拒动的网络攻击检测
方法
技术领域
[0001]本发明涉及一种继电保护与安全自动装置的安全防护方法,具体涉及一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法。
背景技术
[0002]作为现代社会的关键性基础设施,电力系统是国家级网络对抗的重要目标。电力系统在日常的运行中难免会发生故障,继电保护与安全自动装置能反应电气设备的故障和不正常工作状态并快速、有选择地动作,将故障设备从系统中切除,保证正常故障设备继续正常运行,将事故限制在最小范围,提高系统运行的可靠性,最大限度地保证向用户安全、连续供电。继电保护与安全自动装置的拒动对电力设备及电网稳定运行有着巨大的危害。检测发现继电保护与安全自动装置潜在的软、硬件缺陷,检验其工作性能,保证装置的正确动作,避免继电保护与安全自动装置在故障和扰动时拒动,是设备厂商和电网公司必须解决的问题。
[0003]目前,以电力系统等关键性基础设施为目标的恶意软件攻击受到高度关注。电力系统网络安全防护措施极为严密,一般攻击方很难渗透入侵。具有丰富资源的敌对组织制作的恶意软件可利用零日漏洞进行传播和选择性攻击,可以在继电保护与安全自动装置生产、安装和调试过程中植入恶意软件。电力系统对厂商接入主要依赖病毒软件检测,但病毒检测依赖于已有的病毒代码特征库,病毒代码特征库中没有利用零日漏洞的新兴病毒的特征代码,因此传统的病毒检测等安全防护手段不能有效监测与防范利用零日漏洞的新兴病毒的攻击,如敌对组织在继电保护与安全自动装置中埋藏时间逻辑炸弹,将会在约定时刻造成攻击破坏。2002年,南京某公司在全国各电网安装的100余台故障录波器就曾发生过因触发时间逻辑炸弹而在约定时间闭锁录波功能、不能正常使用的案件。由于继电保护与安全自动化装置直接涉及电网的保护控制,如果在继电保护与安全自动装置中埋藏时间逻辑炸弹,可能造成大量继电保护与安全自动装置在特定时间之后不能正确地执行保护与控制功能,在电网发生故障或扰动时拒动,将会扩大事故范围,造成灾难性的后果,其中:
电力系统在短路故障时,故障点所在线路将产生明显高于正常负荷电流的故障电流,故障点流过的故障电流也会明显拉低故障点近邻的母线节点电压。继电保护与安全自动化装置在监测到达到预定阈值的过电流、低电压以及伴随低电压的过电流时,会动作切除被保护设备,以隔离故障、保障设备安全。潜伏于继电保护与安全自动装置中的时间同步逻辑炸弹,可在到达预定时间后闭锁继电保护与安全自动装置的控制功能,在电网发生故障扰动时,使继电保护与安全自动装置不能动作与预设的过电流、低电压以及伴随低电压的过电流。
[0004]电力系统在故障扰动下可能出现频率偏高/偏低的情况,电网频率明显偏离50hZ工作频率时,除功率不平衡威胁电网安全外,还可能导致电机工作异常,损毁电机。为保障电网与电力设备安全,继电保护与安全自动装置会根据预设的动作频率,在检测到电网频
3
CN 110618331 A
说 明 书
2/4页
率达到预设频率时执行切机(高频切除发电机)切负荷(低频时切除负荷)等控制指令,在保护设备的同时恢复电网的功率平衡,保障电网安全。潜伏于继电保护与安全自动装置中的时间同步逻辑炸弹,可在到达预定时间后闭锁继电保护与安全自动装置的控制功能,在电网发生故障扰动时,使继电保护与安全自动装置不能动作与预设的频率。[0005]目前,继电保护与安全自动装置的型式试验、例行试验、验收试验和鉴定试验主要进行功能性试验和可靠性测试,对于继电保护与安全自动装置在网络安全方面的测试与检验则相对简单,主要测试有否安全漏洞、是否乱发数据包以及在系统网络风暴时是否会误动或拒动,却无检测逻辑炸弹的方法与系统。发明内容
[0006]本发明所要解决的技术问题是:针对上述现有技术中,继电保护与安全自动装置被植入时间协同逻辑炸弹后,当继电保护与安全自动装置的系统时间达到时间协同逻辑炸弹设定的时间条件时,将造成工作中的继电保护与安全自动装置控制功能闭锁,使电网发生故障,继电保护与安全自动装置不能执行控制指令,从而扩大事故影响范围的问题,而提供一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法,以防止工作中的继电保护与安全自动装置中含有时间协同拒动的逻辑炸弹,从而保证电网安全稳定的正常运行。
[0007]为了解决上述技术问题,本发明所采用的技术方案是:一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法,该方法包括以下步骤:
(1)于继电保护与安全自动装置的测试仪中增设时钟加速调整模块,用于对继电保护与安全自动装置的测试仪中的同步时钟进行加速调整;
(2)启动投入使用前的继电保护与安全自动装置;(3)时钟加速调整模块对继电保护与安全自动装置的测试仪中的同步时钟进行每隔一固定时间调快相同时间段的时间加速连续调整,每次调整后发送加速时钟信号经同步时钟输出授时模块至继电保护与安全自动装置,使继电保护与安全自动装置的系统时钟进行同步加速调整,同时继电保护与安全自动装置的测试仪向继电保护与安全自动装置中注入故障信号,检测该故障信号下继电保护与安全自动装置是否发出相应的控制指令,若未发出,则判断继电保护与安全自动装置中含有时间协同拒动的逻辑炸弹,若发出,则判断继电保护与安全自动装置的系统时钟是否到达运行设定时间,若到达,则继电保护与安全自动装置无时间协同拒动的逻辑炸弹,若未到达,则继续进行时间加速调整和故障信号下的检测,直至继电保护与安全自动装置的系统时钟到达运行设定时间。
[0008]上述提及的每隔一固定时段调快相同时间段的时间加速连续调整是指不间断地相隔相同时段进行加速调整,使继电保护与安全自动装置的系统时钟同步调快一固定时段。如,连续每隔1秒将继电保护与安全自动装置的系统时钟调快1小时:对于入网测试中(即投入使用前)的继电保护与安全自动装置而言,由于我国相关规程规定继电保护与安全自动装置的使用寿命为10年,因此只需每次进行1小时的系统时钟加速,逐步遍历未来10年每个小时的时间段。假定连续每1秒进行一次时钟调整加速1小时的设置,未来10年共3652天,折算即87648小时,连续每次调整耗时1秒,则总共需耗时87648秒,大约需加速系统测试24.35小时。
4
CN 110618331 A[0009]
说 明 书
3/4页
上述提及的故障信号是指低电压、过电流、过电压信号、低频/高频扰动电流或者
低频/高频扰动电压信号。至于在故障信号下继电保护与安全自动装置是否发出相应的控制指令的检测为本领域的现有技术。
[0010]上述提及的继电保护与安全自动装置的运行设定时间为开始使用后的第10年的最后一天,因为根据国家相关规程规定,继电保护与安全自动装置的使用寿命为10年,因此,只需对该装置进行未来10年是否有无时间协同拒动的逻辑炸弹的检测。
[0011]本发明方法以发现潜伏在继电保护与安全自动装置内的时间协同拒动的逻辑炸弹为目标,通过对继电保护与安全自动装置在投入使用前进行型式试验、例行试验、验收试验和鉴定试验时有无时间协同拒动的逻辑炸弹进行检测,能避免敌对组织编制的逻辑炸弹潜伏在继电保护与安全自动装置中发起的时间协同拒动攻击,显著提高电力系统对有组织网络攻击的安全防护能力,有效保障电网的安全可靠运行。附图说明
[0012]图1为本发明的方法流程图。
具体实施方式
[0013]继电保护与安全自动装置的接收到的系统时钟未做调整时,继电保护与安全自动装置时间频率为正常频率。正常情况下,通过继电保护与安全自动装置的测试仪给继电保护与安全自动装置输入故障信号时(比如给继电保护与安全自动装置注入过电流、过电压信号或者低频扰动等信号),继电保护与安全自动装置会发出跳闸、切除线路等控制指令,同时会反馈工作状态给继电保护与安全自动装置的测试仪。然而如果继电保护与安全自动装置中潜藏有时间协同拒动逻辑炸弹,时间逻辑炸弹渗透侵入继电保护与安全自动化装置后,当达到其设定时间后,可在检测到的电流、电压信号满足跳闸等动作条件时,而不发出跳闸等控制指令。
[0014]本发明为一种基于继电保护与安全自动装置时间协同拒动的网络攻击检测方法,以发现潜伏在继电保护与安全自动装置内的时间协同拒动的逻辑炸弹为目标,通过对继电保护与安全自动装置在投入使用前的型式试验、例行试验、验收试验和鉴定试验中是否被设置有时间协同拒动的逻辑炸弹进行检测,能避免潜伏在继电保护与安全自动装置中的逻辑炸弹发起的时间协同拒动攻击,显著提高电力系统对有组织网络攻击的安全防护能力,有效保障电网的安全可靠运行。具体的,本发明方法步骤如下,结合参见图1:
(1)于继电保护与安全自动装置的测试仪中增设时钟加速调整模块,该时钟加速调整模块通过时钟输出授时模块与继电保护与安全自动装置连接,用于对继电保护与安全自动装置的测试仪中的同步时钟进行加速调整,同时在调整后发送加速时钟信号经同步时钟输出授时模块至继电保护与安全自动装置,使继电保护与安全自动装置的系统时钟进行同步加速调整;
(2)启动投入使用前的继电保护与安全自动装置,上电运行;(3)时钟加速调整模块对继电保护与安全自动装置的测试仪中的同步时钟进行每隔一固定时间调快相同时间段的时间加速连续调整,每次调整后发送加速时钟信号经同步时钟输出授时模块至继电保护与安全自动装置,使继电保护与安全自动装置的系统时钟进行同
5
CN 110618331 A
说 明 书
4/4页
步加速调整,同时继电保护与安全自动装置的测试仪向继电保护与安全自动装置中注入故障信号,检测该故障信号下继电保护与安全自动装置是否发出相应的控制指令,若未发出,则判断继电保护与安全自动装置中含有时间协同拒动的逻辑炸弹,若发出,则判断继电保护与安全自动装置的系统时钟是否到达运行设定时间,若到达,则继电保护与安全自动装置无时间协同拒动的逻辑炸弹,若未到达,则继续进行时间加速调整和故障信号下的检测,直至继电保护与安全自动装置的系统时钟到达运行设定时间。[0015]上述提及的故障信号是指低电压、过电流、过电压信号、低频/高频扰动电流或者低频/高频扰动电压信号。
[0016]上述提及的继电保护与安全自动装置的运行设定时间为开始使用后的第10年的最后一天,因为根据国家相关规程规定,继电保护与安全自动装置的使用寿命(生命周期)为10年,因此,只需对该装置进行未来10年是否有无时间协同拒动的逻辑炸弹的检测。[0017]运用时,继电保护与安全自动装置上电运行后,按本方法使其输出给继电保护与安全自动装置的时钟信号连续每隔1秒进行一次时钟调整加速1小时的设置,每次调整后,根据被测试继电保护与安全自动装置的保护与控制功能与动作参数设置,通过继电保护与安全自动装置的测试仪向被测试继电保护与安全自动装置输入可造成被测试继电保护与安全自动装置发出跳闸与控制指令的过电流和低电压、过电压以及电流、电压的高频/低频等故障信号(具体的是:向过电流保护输入达到过电流保护动作整定值的电流;向阻抗保护输入可达到整定动作值的电流、电压信号;向低压减载安全自动装置输入达到动作整定值的低电压信号;向低频减载自动装置输入达到动作整定值的低频电流与电压信号),持续检测继电保护与安全自动装置是否会发出跳闸等控制指令。发现继电保护与安全自动装置发出相应的控制指令时,说明无时钟协同拒动的逻辑炸弹;否则,继电保护与安全自动装置中含有时钟协同拒动的逻辑炸弹。通过本方法可有效检查出继电保护与安全自动装置是否含有时钟协同拒动逻辑炸弹。
6
CN 110618331 A
说 明 书 附 图
1/1页
图1
7
因篇幅问题不能全部显示,请点此查看更多更全内容