基于被动监测算法的汽轮机网络安全离线监测系统及方法与流程

技术特征：
1.基于被动监测算法的汽轮机网络安全离线监测系统，其特征在于：包括综合分析模块、控制单元监测模块，和接入系统网络、并对系统网络中的汽轮机控制保护系统的以太网流量数据包进行镜像采集、并分析出网络异常事件的网络流量监测模块；所述系统网络中的汽轮机控制保护系统包括若干的现场控制站，现场控制站包括dpu控制单元，所述控制单元监测模块与现场控制站连接用于采集dpu控制单运算结果；还包括与所述dpu控制单元的控制逻辑或控制算法相同、设置标准模拟环境中用于模拟所述dpu控制单元在正常工作状态下运行的dpu模拟单元；所述控制单元监测模块同时采集所述dpu控制单元的实时运算结果和所述dpu模拟单元在理想环境下模拟运行的参考运算结果并进行比对分析得到dpu控制单元异常事件；所述综合分析模块采集所述网络异常事件和dpu控制单元异常事件进行关联分析。2.如权利要求1所述的基于被动监测算法的汽轮机网络安全离线监测系统，其特征在于：所述现场控制站包括被监测汽轮机控制保护系统的dpu控制单元、控制网和物理i/o接口，所述控制单元监测模块通过所述物理i/o接口连接至所述控制网，并通过所述dpu控制单元连入所述系统网络；所述物理i/o接口包括输入型i/o卡件和输出型i/o卡件；所述控制单元监测模块通过物理i/o接口经控制网获取所述dpu控制单元的运算结果。3.如权利要求1过2所述的基于被动监测算法的汽轮机网络安全离线监测系统，其特征在于：所述系统网络中还连接有若干工程师站和操作员站，所述工程师站和操作员站通过系统网络向现场控制站中的dpu控制单元获取或发生指令。4.基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于，包括以下步骤：网络数据获取步骤，通过基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量数据包；网络数据异常分析步骤，基于规则集为黑名单和白名单结合的规则匹配方法，对所述以太网流量数据包中的已知网络攻击特征和网络协议特征进行分析；当所所述以太网流量数据包中的任一或多个报文符合所述规则匹配方法中的任一规则，则报告并记录网络异常事件；系统运算结果监控步骤，通过物理i/o接口接入被监测汽轮机控制保护系统，并采集被监测汽轮机控制保护系统的dpu控制单元中特定控制逻辑的状态输入值和实时运算结果，同时将被监测汽轮机控制保护系统的dpu控制单元中特定控制逻辑的状态输入值输入至用于在理想状态下模拟dpu控制单元运行的dpu模拟单元中，并采集所述dpu模拟单元模拟被监测汽轮机控制保护系统的dpu控制单元运行的参考运算结果；并将实时运算结果与模拟运算结果进行比对误差计算，若比对误差超过人工设定的误差阈值则判定为dpu控制单元异常，并记录和上报dpu异常事件；关联分析步骤，通过独立的综合分析模块/装置/系统，基于时间轴对所述网络数据异常分析步骤中的网络异常事件和所述系统运算结果监控步骤中的dpu异常事件进行关联分析，具体的，是以所述网络异常事件发生的时间点为基础，对应检查其后若干分钟内的dpu异常事件进行关联，以及以所述dpu异常事件发生的时间点为基础，对应检查前若干分钟内的网络异常事件进行关联；综合分析步骤，根据所述关联分析步骤的分析结果，判断网络异常事件和dpu异常事件对应的网络安全事件是否会对汽轮机本体安全产生影响。
5.如权利要求4所述的基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于：所述系统运算结果监控步骤中，是基于被监测汽轮机控制保护系统的dpu控制单元中既有的控制逻辑或控制方法，将既有的控制逻辑或控制方法拷贝至用于在理想状态下模拟dpu控制单元运行的dpu模拟单元中进行运行，得到对应dpu控制单元实时运算结果的、作为比对参考标准的参考运算结果，若实时运算结果与参考运算结果之间的误差值超过设定的误差阈值ξ，则判断dpu控制单元发生异常。6.如权利要求5所述的基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于：实时运算结果与参考运算结果之间的误差值其中，f(x)是被监测汽轮机控制保护系统的dpu控制单元按照既有的控制逻辑或控制方法正常运行得到的实时运算结果，即，既有的控制逻辑或控制方法对应的运算函数运行运算的结果，是dpu模拟单元按照被监测汽轮机控制保护系统的dpu控制单元中相同的控制逻辑或控制方法在理想状态下模拟运行的参考运算结果，实时运算结果与参考运算结果之间的误差值error大于误差阈值ξ，则判定目标系统控制单元异常。7.如权利要求4所述的基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于：所述以太网流量数据包中包括盖汽轮机控制保护系统中的所有工程师站、操作员站和dpu控制单元之间的数据报文和控制指令报文。8.如权利要求7所述的基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于：所述数据报文包括dpu控制单元向工程师站和/或操作员站发送的采集数据，以及各个dpu控制单元之间的数据交换。9.如权利要求4所述的基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于：所述控制指令报文是指工程师站和操作员站向dpu控制单元下发的包括重启、配置修改、控制逻辑下装指令在内的具有控制功能的特定报文。10.如权利要求4所述的基于被动监测算法的汽轮机网络安全离线监测方法，其特征在于：所述已知网络攻击特征是指已公开并明确其危害的特定网络报文，且该类报文采用黑名单的方式设定规则；所述网络协议特征是指汽轮机控制保护系统厂商所使用的具有明确的关键字和识别特征的特定网络协议，并具备设备认证的功能，且该类报文采用白名单方式设定规则。

技术总结
本发明属于汽轮机网络安全保护技术领域，具体涉及一种基于被动监测算法的汽轮机网络安全离线监测系统及方法，包括综合分析模块、控制单元监测模块和网络流量监测模块，在不对原有汽轮机控制保护系统植入其它软件程序的基础上，结合成熟的网络流量采集方法，对汽轮机控制保护系统的网络安全进行综合的监测，能够发现对汽轮机正常运行造成不良影响的严重网络安全事件，并有效区分非网络安全导致的系统故障和不严重的网络安全事件。统故障和不严重的网络安全事件。统故障和不严重的网络安全事件。


技术研发人员：桑梓 袁晓舒 杨波 刘丝丝
受保护的技术使用者：中国东方电气集团有限公司
技术研发日：2020.07.03
技术公布日：2022/1/3