基于被动监测算法的汽轮机网络安全离线监测系统及方法与流程

1.本发明属于汽轮机网络安全保护技术领域，具体涉及一种基于被动监测算法的汽轮机网络安全离线监测系统及方法。


背景技术：

2.在火力发电过程中，汽轮机是主要的控制对象之一。汽轮机控制保护系统实现了汽轮机的控制和保护功能，其主要包括汽轮机控制系统和汽轮机保护系统两大部分。汽轮机控制系统具体指电厂集散控制系统(dcs)的汽轮机控制单元、汽轮机数字电液控制系统(deh)，汽轮机保护系统具体指汽轮机危急遮断跳闸系统(ets)、汽轮机安全监视系统(tsi)。
3.其中，汽轮机控制系统的主要功能是采集汽轮机运行参数(压力、温度、转速、功率等等)并控制汽轮机进汽阀门(主汽阀、调节阀)开度，保证汽轮机在给定参数下受控运行；汽轮机保护系统的主要功能是检测汽轮机的运行参数(转速、振动、油压、温度等等)是否超过限值，当超过限值时及时关闭汽轮机进汽阀门，以保证汽轮机在不受控状态下的安全停机。
4.现有的技术方案中广泛采用一体化的dcs来覆盖dcs汽轮机控制单元、deh和ets的所有功能，一体化的dcs系统主要由dpu控制单元和i/o卡件构成，dpu控制单元中运行汽轮机的主要控制逻辑，i/o卡件实现dpu中控制逻辑对应的物理信号输入和输出。
5.目前，汽轮机控制保护系统主要采用基于计算机技术和网络通信技术的数字化控制技术，通过特殊的软硬件设计以保证系统运行的可靠性、实时性，降低系统故障的概率，对系统自身的安全性设计尚有不足，特别是软件设计层面存在脆弱性风险。
6.随着工业互联网技术的不断发展，工业控制系统不再是物理隔离的孤立系统，日益严峻的网络安全风险成为汽轮机控制保护系统需要面对的问题。一旦遭受网络攻击，汽轮机控制保护系统将存在系统失效、系统失控的可能性，并有可能进一步改变汽轮机运行状态，从而导致严重的生产安全事故。特别是采用了同一型号并且网络互通的一体化dcs，存在控制系统和保护系统同时瘫痪失效的可能性。
7.当前判断针对汽轮机控制保护系统是否遭遇网络攻击的主要方法是基于网络流量的分析以及利用植入到控制系统内部的监控软件，以上两种方法的存在的问题主要包括：
8.1、基于网络流量分析的方法缺少对控制系统自身状态的分析，不能有效证明网络攻击下控制保护系统是否真正失控，同时，存在误报警现象，误导现场工作人员实施不恰当的应急响应预案，因此在实际工程中应用难度较大；
9.2、植入监控软件的方法虽然能弥补基于网络流量分析方法的不足，但需要对控制系统的内部增加新软件并修改原有配置，若控制系统厂商不配合，该方法在工程实施上几乎不可能实现。另外，独立使用植入监控软件的方法无法有效区分。
10.因此，有必要在现有的汽轮机控制保护系统软硬件结构不变的基础上，采用新的
控制系统监测方法，并结合网络流量监测，实现具有实际工程价值且易于实施的综合监测分析方法，聚焦于可能导致汽轮机安全事故的网络安全事件。


技术实现要素：

11.本发明的目的在于针对现有技术中存在的问题，提供一种在不对原有汽轮机控制保护系统植入其它软件程序的基础上，结合成熟的网络流量采集方法，对汽轮机控制保护系统的网络安全进行综合的监测，能够发现对汽轮机正常运行造成不良影响的严重网络安全事件，并有效区分非网络安全导致的系统故障和不严重的网络安全事件。
12.为实现上述目的，本发明的技术方案这种基于被动监测算法的汽轮机网络安全离线监测系统，其特征在于：包括综合分析模块、控制单元监测模块，和接入系统网络、并对系统网络中的汽轮机控制保护系统的以太网流量数据包进行镜像采集、并分析出网络异常事件的网络流量监测模块；
13.所述系统网络中的汽轮机控制保护系统包括若干的现场控制站，现场控制站包括dpu控制单元，所述控制单元监测模块与现场控制站连接用于采集dpu控制单运算结果；还包括与所述dpu控制单元的控制逻辑或控制算法相同、设置标准模拟环境中用于模拟所述dpu控制单元在正常工作状态下运行的dpu模拟单元；
14.所述控制单元监测模块同时采集所述dpu控制单元的实时运算结果和所述dpu模拟单元在理想环境下模拟运行的参考运算结果并进行比对分析得到dpu控制单元异常事件；
15.所述综合分析模块采集所述网络异常事件和dpu控制单元异常事件进行关联分析。
16.所述现场控制站包括被监测汽轮机控制保护系统的dpu控制单元、控制网和物理i/o接口，所述控制单元监测模块通过所述物理i/o接口连接至所述控制网，并通过所述dpu控制单元连入所述系统网络；所述物理i/o接口包括输入型i/o卡件和输出型i/o卡件；所述控制单元监测模块通过物理i/o接口经控制网获取所述dpu控制单元的运算结果。
17.所述系统网络中还连接有若干工程师站和操作员站，所述工程师站和操作员站通过系统网络向现场控制站中的dpu控制单元获取或发生指令。
18.对应的，本发明还提供了一种对应上述系统的监测方法技术方案，具体的，基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于，包括以下步骤：
19.网络数据获取步骤，通过基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量数据包；
20.网络数据异常分析步骤，基于规则集为黑名单和白名单结合的规则匹配方法，对所述以太网流量数据包中的已知网络攻击特征和网络协议特征进行分析；当所所述以太网流量数据包中的任一或多个报文符合所述规则匹配方法中的任一规则，则报告并记录网络异常事件；
21.系统运算结果监控步骤，通过物理i/o接口接入被监测汽轮机控制保护系统，并采集被监测汽轮机控制保护系统的dpu控制单元中特定控制逻辑的状态输入值和实时运算结果，同时将被监测汽轮机控制保护系统的dpu控制单元中特定控制逻辑的状态输入值输入至用于在理想状态下模拟dpu控制单元运行的dpu模拟单元中，并采集所述dpu模拟单元模
拟被监测汽轮机控制保护系统的dpu控制单元运行的参考运算结果；并将实时运算结果与模拟运算结果进行比对误差计算，若比对误差超过人工设定的误差阈值则判定为dpu控制单元异常，并记录和上报dpu异常事件；
22.关联分析步骤，通过独立的综合分析模块/装置/系统，基于时间轴对所述网络数据异常分析步骤中的网络异常事件和所述系统运算结果监控步骤中的dpu异常事件进行关联分析，具体的，是以所述网络异常事件发生的时间点为基础，对应检查其后若干分钟内的dpu异常事件进行关联，以及以所述dpu异常事件发生的时间点为基础，对应检查前若干分钟内的网络异常事件进行关联；两种分析策略同时运行，保证网络安全事件或控制单元异常信息无漏报。
23.综合分析步骤，根据所述关联分析步骤的分析结果，判断网络异常事件和dpu异常事件对应的网络安全事件是否会对汽轮机本体安全产生影响；综合分析结果存在多种情况，在不同的情况下，网络攻击对汽轮机的影响也不同，因此应制定不同的应急响应预案。
24.所述系统运算结果监控步骤中，是基于被监测汽轮机控制保护系统的dpu控制单元中既有的控制逻辑或控制方法，将既有的控制逻辑或控制方法拷贝至用于在理想状态下模拟dpu控制单元运行的dpu模拟单元中进行运行，得到对应dpu控制单元实时运算结果的、作为比对参考标准的参考运算结果，若实时运算结果与参考运算结果之间的误差值超过设定的误差阈值ξ，则判断dpu控制单元发生异常。
25.具体的，实时运算结果与参考运算结果之间的误差值其中，f(x)是被监测汽轮机控制保护系统的dpu控制单元按照既有的控制逻辑或控制方法正常运行得到的实时运算结果，即，既有的控制逻辑或控制方法对应的运算函数运行运算的结果，例如pid控制器函数，是dpu模拟单元按照被监测汽轮机控制保护系统的dpu控制单元中相同的控制逻辑或控制方法在理想状态下模拟运行的参考运算结果，即f(x)代表的是真实工况下的系统运行情况，而代表的是理想状态下系统应有的运行情况，两者的差距如果超过了系统差异阈值ξ则判断为真实工况下的系统运行异常，ξ的物理意义是指相同算法在两个不同的物理系统里的实现所存在的偏差，具体来说，由于硬件软件上的差别以及物理i/o信号的噪声，监测系统里的控制逻辑计算结果可能会和目标系统dpu控制单元里的控制逻辑计算结果一定会有偏差，因此，设定实时运算结果与参考运算结果之间的误差值error大于误差阈值ξ，则判定目标系统控制单元异常。
26.所述以太网流量数据包中包括盖汽轮机控制保护系统中的所有工程师站、操作员站和dpu控制单元之间的数据报文和控制指令报文。
27.所述数据报文包括dpu控制单元向工程师站和/或操作员站发送的采集数据，以及各个dpu控制单元之间的数据交换。
28.所述控制指令报文是指工程师站和操作员站向dpu控制单元下发的包括重启、配置修改、控制逻辑下装指令在内的具有控制功能的特定报文。
29.所述已知网络攻击特征是指已公开并明确其危害的特定网络报文，且该类报文采用黑名单的方式设定规则。
30.所述网络协议特征是指汽轮机控制保护系统厂商所使用的具有明确的关键字和识别特征的特定网络协议，并可能具备设备认证的功能，该类报文采用白名单方式设定规
则。
31.与现有技术相比，本发明的技术方案利用汽轮机控制保护系统的原有控制逻辑或新增控制逻辑，在不改变原有系统硬件、不在原有系统中植入其它软件程序的条件下，实现对汽轮机控制保护系统的状态监测。
32.仅通过网络流量分析网络安全事件，无法细致地区分网络安全事件的严重程度，因此也就无法细化应急响应预案，造成方案在实际现场应用中的效果较差。本发明这种技术方案在原有网络流量分析的基础上增加了基于物理信号的控制单元监测，能够有效区分一般的网络安全事件和可能影响汽轮机本体安全的严重网络安全事件，基于本发明设计的应急响应预案对电厂运行人员更有指导意义。
33.并且相比植入其它软件或要求原厂提供数据接口来说，本发明这种技术方案对现场控制保护系统的改造难度更小，可应用于多个控制系统厂商的产品，工程可实现程度较高。同时，相较于运行在控制单元内部的监控软件，本方法利用了控制系统必用的控制逻辑组态方法，存在一定的混淆性，让黑客难以区分用于汽轮机控制的控制逻辑和用于校验的控制逻辑，因此，被网络攻击的可能性较小。并且基于被动监测的算法，将被检测系统的控制逻辑或方法原原本本的拷贝至模拟系统中，抛去环境因素的影响，直接模拟得到dpu理论上该有的正确运算结果作为监测dpu异常的参考数据，非常直接，且不会影响系统的正常运转。
附图说明
34.本发明的前述和下文具体描述在结合以下附图阅读时变得更清楚，附图中：
35.图1是本发明在线监测系统一种优选方案的结构示意图；
36.图2是本发明在线监测方法一种优选方案的逻辑示意图。
具体实施方式
37.下面通过几个具体的实施例来进一步说明实现本发明目的技术方案，需要说明的是，本发明要求保护的技术方案包括但不限于以下实施例。
38.实施例1
39.作为本汽轮机网络安全实时在线监测系统的一种具体实施方案，如图1，这种基于被动监测算法的汽轮机网络安全离线监测系统，包括综合分析模块、控制单元监测模块，和接入系统网络、并对系统网络中的汽轮机控制保护系统的以太网流量数据包进行镜像采集、并分析出网络异常事件的网络流量监测模块；网络流量监测模通过接入目标系统的系统网交换机镜像口的方式采集网络内的全网络通信流量。当目标系统为双网冗余结构时，应同时接入双网的两个交换机镜像口，采集两个网络中的所有流量；为了保证网络流量监测模块不会对目标系统造成干扰，可考虑在网络流量监测模块和目标系统之间加装隔离装置，确保镜像口流量单向传输到网络流量监测模块中。
40.而所述系统网络中的汽轮机控制保护系统包括若干的现场控制站，现场控制站包括dpu控制单元，所述控制单元监测模块与现场控制站连接用于采集dpu控制单运算结果；还包括与所述dpu控制单元的控制逻辑或控制算法相同、设置标准模拟环境中用于模拟所述dpu控制单元在正常工作状态下运行的dpu模拟单元，即所述dpu控制单元正常运行得到
实际环境中的实时数据结果，而dpu模拟单元则在标准环境下以与dpu控制单元相同的逻辑运行得到该dpu控制单元理论上的正确运行结果作为参考；所述控制单元监测模块同时采集所述dpu控制单元的实时运算结果和所述dpu模拟单元在理想环境下模拟运行的参考运算结果并进行比对分析得到dpu控制单元异常事件；
41.所述综合分析模块采集所述网络异常事件和dpu控制单元异常事件进行关联分析，综合分析模块可考虑采用独立的高性能装置/系统，也可考虑与网络流量监测模块和控制单元监测模块集成在同一个高性能装置/系统中，并且优选地，综合分析模块面向电厂现场运行人员提供了人机交互接口(hmi)，用于显示网络安全综合分析结果，并可查看网络流量监测模块或控制单元监测模块上报的异常事件记录。同时具备管理网络流量监测模块或控制单元监测模块的功能。
42.即系统由网络流量监测模块、控制单元监测模块和综合分析模块3部分构成。
43.进一步的，所述现场控制站包括被监测汽轮机控制保护系统的dpu控制单元、控制网和物理i/o接口，所述控制单元监测模块通过所述物理i/o接口连接至所述控制网，并通过所述dpu控制单元连入所述系统网络；所述物理i/o接口包括输入型i/o卡件和输出型i/o卡件；所述控制单元监测模块通过物理i/o接口经控制网获取所述dpu控制单元的运算结果；即控制单元监测模块是利用目标系统的输入型i/o卡件和输出型i/o卡件的空闲通道，一般要求对应i/o卡件为模拟量输入或输出卡件，优选地，i/o卡件的信号范围包括但不限于
±
10v dc电压信号、
±
5v dc电压信号、0-10v dc电压信号、1-5v dc电压信号，4-20ma电流信号、0-20ma电流信号等等，控制单元监测模块和目标系统io卡件之间应不再串接其它转接模块/装置/系统，同时，采用符合汽轮机控制保护系统相关国家标准的线缆，以确保量测噪声和信号时延足够小。
44.优选地，所述系统网络中还连接有若干工程师站和操作员站，所述工程师站和操作员站通过系统网络向现场控制站中的dpu控制单元获取或发生指令。
45.实施例2
46.对应的，作为本发明的汽轮机网络安全实时离线监测方法的一种具体实施方案，本实施例具体公开了包括网络数据获取步骤、网络数据异常分析步骤、系统运算结果监控步骤、关联分析步骤和综合分析步骤，具体的：
47.所述网络数据获取步骤，是通过基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量数据包；利用基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量可以不影响和篡改系统的数据，采集的流量应完整覆盖汽轮机控制保护系统中的所有工程师站、操作员站和dpu控制单元之间的数据报文和控制指令报文。而数据报文具体的，主要指dpu控制单元向工程师站、操作员站发送的采集数据以及多个dpu控制单元之间的数据交换。控制指令报文主要指工程师站和操作员站向dpu控制单元下发的具有控制功能的特定报文，包括但不限于重启、配置修改、控制逻辑下装等
48.而所述网络数据异常分析步骤，则是基于规则集为黑名单和白名单结合的规则匹配方法，对所述以太网流量数据包中的已知网络攻击特征和网络协议特征进行分析；当所所述以太网流量数据包中的任一或多个报文符合所述规则匹配方法中的任一规则，则报告并记录网络异常事件；已知网络攻击特征主要指已公开并明确其危害的特定网络报文，该类报文采用黑名单的方式设定规则，而网络协议特征主要指汽轮机控制保护系统厂商所使
用的特定网络协议，该协议具有明确的关键字和识别特征，并可能具备设备认证的功能。该类报文采用白名单方式设定规则，当所采集的网络流量中的任一或多个报文符合设定规则集中的任一规则，则报告并记录网络异常事件。
49.所述系统运算结果监控步骤，是通过物理i/o接口接入被监测汽轮机控制保护系统，并采集被监测汽轮机控制保护系统的dpu控制单元中特定控制逻辑的状态输入值和实时运算结果，同时将被监测汽轮机控制保护系统的dpu控制单元中特定控制逻辑的状态输入值输入至用于在理想状态下模拟dpu控制单元运行的dpu模拟单元中，并采集所述dpu模拟单元模拟被监测汽轮机控制保护系统的dpu控制单元运行的参考运算结果；并将实时运算结果与模拟运算结果进行比对误差计算，若比对误差超过人工设定的误差阈值则判定为dpu控制单元异常，并记录和上报dpu异常事件；
50.所述关联分析步骤，是通过独立的综合分析模块/装置/系统等，基于时间轴对所述网络数据异常分析步骤中的网络异常事件和所述系统运算结果监控步骤中的dpu异常事件进行关联分析，具体的：
51.1、是以所述网络异常事件发生的时间点为基础，对应检查其后若干分钟内的dpu异常事件进行关联；
52.2、以及以所述dpu异常事件发生的时间点为基础，对应检查前若干分钟内的网络异常事件进行关联。
53.两种分析策略同时运行，保证网络安全事件或控制单元异常信息无漏报。
54.而所述综合分析步骤，是根据所述关联分析步骤的分析结果，判断网络异常事件和dpu异常事件对应的网络安全事件是否会对汽轮机本体安全产生影响；综合分析结果存在多种情况，在不同的情况下，网络攻击对汽轮机的影响也不同，因此应制定不同的应急响应预案。
55.优选地，所述系统运算结果监控步骤中，是基于被监测汽轮机控制保护系统的dpu控制单元中既有的控制逻辑或控制方法，将既有的控制逻辑或控制方法拷贝至用于在理想状态下模拟dpu控制单元运行的dpu模拟单元中进行运行，得到对应dpu控制单元实时运算结果的、作为比对参考标准的参考运算结果，若实时运算结果与参考运算结果之间的误差值超过设定的误差阈值ξ，则判断dpu控制单元发生异常。
56.具体的，实时运算结果与参考运算结果之间的误差值其中，f(x)是被监测汽轮机控制保护系统的dpu控制单元按照既有的控制逻辑或控制方法正常运行得到的实时运算结果，即，既有的控制逻辑或控制方法对应的运算函数运行运算的结果，例如pid控制器函数，是dpu模拟单元按照被监测汽轮机控制保护系统的dpu控制单元中相同的控制逻辑或控制方法在理想状态下模拟运行的参考运算结果，即f(x)代表的是真实工况下的系统运行情况，而代表的是理想状态下系统应有的运行情况，两者的差距如果超过了系统差异阈值ξ则判断为真实工况下的系统运行异常，ξ的物理意义是指相同算法在两个不同的物理系统里的实现所存在的偏差，具体来说，由于硬件软件上的差别以及物理i/o信号的噪声，监测系统里的控制逻辑计算结果可能会和目标系统dpu控制单元里的控制逻辑计算结果一定会有偏差，因此，设定实时运算结果与参考运算结果之间的误差值error大于误差阈值ξ，则判定目标系统控制单元异常。
57.如上述描述，这里以表格(表1)形式给出一种实际运用的结果举例
58.表1
[0059][0060]
即，对应上述表1，在该实际运用中，网络数据的异常分析结果与系统运算结果出现了不对应：
[0061]
当网络异常分析显示异常而系统运算结果监控显示正常时，可以判断系统本身无异常而是由于网络数据或指令错误造成的网络数据错误，此时可以判断为“一般网络安全事故”，应急预案可以设定为机组保持正常运行，检查系统网络、工程师站、操作员站，无需停机检查；
[0062]
当网络异常分析显示正常而系统运算结果监控显示异常时，可以判断系统出现故障或被攻击，此时则需要安装“控制系统故障”处理；
[0063]
当网络异常分析和系统运算结果监控均显示异常时，则可以肯定是严重网络安全事故，需要停机检修，彻底检查汽轮机控制保护系统。