一种汽轮机网络安全实时在线监测系统及方法与流程

1.本发明属于汽轮机网络安全保护技术领域，具体涉及一种汽轮机网络安全实时在线监测方法及系统。


背景技术：

2.在火力发电过程中，汽轮机是主要的控制对象之一。汽轮机控制保护系统实现了汽轮机的控制和保护功能，其主要包括汽轮机控制系统和汽轮机保护系统两大部分。汽轮机控制系统具体指电厂集散控制系统(dcs)的汽轮机控制单元、汽轮机数字电液控制系统(deh)，汽轮机保护系统具体指汽轮机危急遮断跳闸系统(ets)、汽轮机安全监视系统(tsi)。
3.其中，汽轮机控制系统的主要功能是采集汽轮机运行参数(压力、温度、转速、功率等等)并控制汽轮机进汽阀门(主汽阀、调节阀)开度，保证汽轮机在给定参数下受控运行；汽轮机保护系统的主要功能是检测汽轮机的运行参数(转速、振动、油压、温度等等)是否超过限值，当超过限值时及时关闭汽轮机进汽阀门，以保证汽轮机在不受控状态下的安全停机。
4.现有的技术方案中广泛采用一体化的dcs来覆盖dcs汽轮机控制单元、deh和ets的所有功能，一体化的dcs系统主要由dpu控制单元和i/o卡件构成，dpu控制单元中运行汽轮机的主要控制逻辑，i/o卡件实现dpu中控制逻辑对应的物理信号输入和输出。
5.目前，汽轮机控制保护系统主要采用基于计算机技术和网络通信技术的数字化控制技术，通过特殊的软硬件设计以保证系统运行的可靠性、实时性，降低系统故障的概率，对系统自身的安全性设计尚有不足，特别是软件设计层面存在脆弱性风险。
6.随着工业互联网技术的不断发展，工业控制系统不再是物理隔离的孤立系统，日益严峻的网络安全风险成为汽轮机控制保护系统需要面对的问题。一旦遭受网络攻击，汽轮机控制保护系统将存在系统失效、系统失控的可能性，并有可能进一步改变汽轮机运行状态，从而导致严重的生产安全事故。特别是采用了同一型号并且网络互通的一体化dcs，存在控制系统和保护系统同时瘫痪失效的可能性。
7.当前判断针对汽轮机控制保护系统是否遭遇网络攻击的主要方法是基于网络流量的分析以及利用植入到控制系统内部的监控软件，以上两种方法的存在的问题主要包括：
8.1、基于网络流量分析的方法缺少对控制系统自身状态的分析，不能有效证明网络攻击下控制保护系统是否真正失控，同时，存在误报警现象，误导现场工作人员实施不恰当的应急响应预案，因此在实际工程中应用难度较大；
9.2、植入监控软件的方法虽然能弥补基于网络流量分析方法的不足，但需要对控制系统的内部增加新软件并修改原有配置，若控制系统厂商不配合，该方法在工程实施上几乎不可能实现。另外，独立使用植入监控软件的方法无法有效区分。
10.因此，有必要在现有的汽轮机控制保护系统软硬件结构不变的基础上，采用新的
控制系统监测方法，并结合网络流量监测，实现具有实际工程价值且易于实施的综合监测分析方法，聚焦于可能导致汽轮机安全事故的网络安全事件。


技术实现要素：

11.本发明的目的在于针对现有技术中存在的问题，提供一种在不对原有汽轮机控制保护系统植入其它软件程序的基础上，结合成熟的网络流量采集方法，对汽轮机控制保护系统的网络安全进行综合的监测，能够发现对汽轮机正常运行造成不良影响的严重网络安全事件，并有效区分非网络安全导致的系统故障和不严重的网络安全事件。
12.为实现上述目的，本发明的技术方案这种汽轮机网络安全实时在线监测系统，其特征在于：包括综合分析模块、控制单元监测模块，和接入系统网络、并对系统网络中的汽轮机控制保护系统的以太网流量数据包进行镜像采集、并分析出网络异常事件的网络流量监测模块；
13.所述系统网络中的汽轮机控制保护系统包括若干的现场控制站，现场控制站包括dpu控制单元，所述控制单元监测模块与现场控制站连接用于采集dpu控制单运算结果；
14.还包括与所述dpu控制单元的控制逻辑或控制算法相同、设置标准模拟环境中用于模拟所述dpu控制单元在正常工作状态下运行的dpu模拟单元，所述系统网络在每一个运算周期同时向所述dpu控制单元和dpu模拟单元发送随机数，触发所述dpu控制单元和dpu模拟单元同步进行实时运算和模拟运算；并通过所述控制单元监测模块获取所述dpu控制单元的实时运算结果和dpu模拟单元的模拟运算结果进行比对分析出dpu控制单元异常事件；
15.所述综合分析模块采集所述网络异常事件和dpu控制单元异常事件进行关联分析。
16.所述现场控制站包括被监测汽轮机控制保护系统的dpu控制单元、控制网和物理i/o接口，所述控制单元监测模块通过所述物理i/o接口连接至所述控制网，并通过所述dpu控制单元连入所述系统网络；所述物理i/o接口包括输入型i/o卡件和输出型i/o卡件；所述控制单元监测模块通过物理i/o接口经控制网获取所述dpu控制单元的运算结果。
17.所述系统网络中还连接有若干工程师站和操作员站，所述工程师站和操作员站通过系统网络向现场控制站中的dpu控制单元获取或发生指令。
18.对应的，本发明还提供了一种对应上述系统的监测方法技术方案，具体的，一种汽轮机网络安全实时在线监测方法，其特征在于，包括以下步骤：
19.网络数据获取步骤，通过基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量数据包；
20.网络数据异常分析步骤，基于规则集为黑名单和白名单结合的规则匹配方法，对所述以太网流量数据包中的已知网络攻击特征和网络协议特征进行分析；当所述以太网流量数据包中的任一或多个报文符合所述规则匹配方法中的任一规则，则报告并记录网络异常事件；
21.系统运算结果监控步骤，通过物理i/o接口接入被监测汽轮机控制保护系统，采用主动监测算法、通过物理i/o接口将每个运算周期的不同随机数传递给被监测汽轮机控制保护系统的dpu控制单元，再通过目标系统的物理i/o接口采集所述dpu控制单元在正常工作环境下的实时运算结果，以及dpu控制单元在理想模拟环境下的参考运算结果；并将实时
运算结果与dpu控制单元在标准模拟环境中以与在正常工作状态下相同控制逻辑或控制算法运行时得到的标准运算结果进行比对误差计算，若比对误差超过人工设定的误差阈值则判定为dpu控制单元异常，并记录和上报dpu异常事件；
22.关联分析步骤，通过独立的综合分析模块/装置/系统，基于时间轴对所述网络数据异常分析步骤中的网络异常事件和所述系统运算结果监控步骤中的dpu异常事件进行关联分析，具体的，是以所述网络异常事件发生的时间点为基础，对应检查其后若干分钟内的dpu异常事件进行关联，以及以所述dpu异常事件发生的时间点为基础，对应检查前若干分钟内的网络异常事件进行关联；两种分析策略同时运行，保证网络安全事件或控制单元异常信息无漏报。
23.综合分析步骤，根据所述关联分析步骤的分析结果，判断网络异常事件和dpu异常事件对应的网络安全事件是否会对汽轮机本体安全产生影响；综合分析结果存在多种情况，在不同的情况下，网络攻击对汽轮机的影响也不同，因此应制定不同的应急响应预案。
24.所述系统运算结果监控步骤中，通过随机数生成器在每个运算周期内均生成一个随机数x(t)并发送至被监测汽轮机控制保护系统的dpu控制单元以及与被监测汽轮机控制保护系统dpu控制单元的控制逻辑或控制算法完全相同的dpu模拟单元中，使所述dpu控制单元和dpu模拟单元在每个运算周期内按照随机数x(t)运行，并通过所述物理i/o接口采集所述dpu控制单元在正常工作环境下的实时运算结果和dpu模拟单元在标准模拟环境下的参考运算结果。
25.具体的，所述被监测汽轮机控制保护系统的dpu控制单元在一个运算周期中收到随机数x(t)时，按照其系统内的控制逻辑或控制算法运行生成校验函数而同样的，所述dpu模拟单元在一个运算周期中收到随机数x(t)时，按照其与所述dpu控制单元相同控制逻辑或控制算法运行生成校验函数g(x)；若dpu控制单元的校验函数与dpu模拟单元的校验函数g(x)之间误差值超过设定的误差阈值δ，即则判断控制器发生异常，其中校验函数g(x)为不收敛的线性函数，即满足概率x(t)＝rand(seed,t)，rand(seed,t)是基于随机数种子和时间的伪随机数生成器，符合特定分布。
26.进一步的，当被监测汽轮机控制保护系统的dpu控制单元发生的为失效故障，且物理i/o接口设置为输出保持时，dpu失效是指dpu内的控制逻辑/算法不能正常执行，此时校验函数g(x)的计算停止，这种情况下，若物理i/o输出不保持，则意味着u＝0，若物理i/o接口的输出保持，则意味着当前输出的校验函数结果g(x(t))实际为dpu控制单元失效前一个运算周期的运算结果g(x(t-1))；
27.即，误差值
28.由于随机数生成器的相邻两次生成值x(t)和x(t-1)要被有效辨识需要满足差值达到阈值ε，即|x(t)-x(t-1)|＞ε(ε的数学意义是一个极小值，其物理意义是系统的最小分辨率)，且校验函数g(x)是不收敛的线性函数，则有|g(x(t)-g(x(t-1))|＝|g(x(t)-x(t-1))|＞g(ε)，鉴于被监测汽轮机控制保护系统内实现的校验函数与原始校验函数几乎
一致，因此，误差值error大于设定的误差阈值δ时，即error＞δ，则判定被监测汽轮机控制保护系统的dpu控制单元异常。
29.当被监测汽轮机控制保护系统的发生的故障为控制逻辑被篡改，则有被监测汽轮机控制保护系统的dpu控制单元在一个运算周期中生成的的校验函数与对应的dpu模拟单元在同一个运算周期中生成的校验函数g(x)之间的误差大于被监测汽轮机控制保护系统与标准模拟系统的偏差阈值ξ，即
30.其中，ξ＞δ，δ＝g(ε)为误差阈值，即大于设定阈值δ，定被监测汽轮机控制保护系统的dpu控制单元异常，ξ的物理意义是指相同算法在两个不同的物理系统里的实现所存在的偏差，具体来说，由于硬件软件上的差别以及物理i/o信号的噪声，监测系统里的控制逻辑计算结果可能会和目标系统dpu控制单元里的控制逻辑计算结果一定会有偏差。
31.即，当ξ＞δ，误差时，则判定目标系统的控制单元失效。
32.所述以太网流量数据包中包括盖汽轮机控制保护系统中的所有工程师站、操作员站和dpu控制单元之间的数据报文和控制指令报文。
33.所述数据报文包括dpu控制单元向工程师站和/或操作员站发送的采集数据，以及各个dpu控制单元之间的数据交换。
34.所述控制指令报文是指工程师站和操作员站向dpu控制单元下发的包括重启、配置修改、控制逻辑下装指令在内的具有控制功能的特定报文。
35.所述已知网络攻击特征是指已公开并明确其危害的特定网络报文，且该类报文采用黑名单的方式设定规则。
36.所述网络协议特征是指汽轮机控制保护系统厂商所使用的具有明确的关键字和识别特征的特定网络协议，并可能具备设备认证的功能，该类报文采用白名单方式设定规则。
37.与现有技术相比，本发明的技术方案利用汽轮机控制保护系统的原有控制逻辑或新增控制逻辑，在不改变原有系统硬件、不在原有系统中植入其它软件程序的条件下，实现对汽轮机控制保护系统的状态监测。
38.仅通过网络流量分析网络安全事件，无法细致地区分网络安全事件的严重程度，因此也就无法细化应急响应预案，造成方案在实际现场应用中的效果较差。本发明这种技术方案在原有网络流量分析的基础上增加了基于物理信号的控制单元监测，能够有效区分一般的网络安全事件和可能影响汽轮机本体安全的严重网络安全事件，基于本发明设计的应急响应预案对电厂运行人员更有指导意义。
39.并且相比植入其它软件或要求原厂提供数据接口来说，本发明这种技术方案对现场控制保护系统的改造难度更小，可应用于多个控制系统厂商的产品，工程可实现程度较高。同时，相较于运行在控制单元内部的监控软件，本方法利用了控制系统必用的控制逻辑组态方法，存在一定的混淆性，让黑客难以区分用于汽轮机控制的控制逻辑和用于校验的
控制逻辑，因此，被网络攻击的可能性较小。并且，采用主动监测算法，通过正常系统操作发送随机数，同时触发系统正常工作以及对应的模拟系统同步模拟工作，同时得到实时运算结果和参考运算结果，可以实时快速的发现dpu的异常，及时排查和找到问题点。
附图说明
40.本发明的前述和下文具体描述在结合以下附图阅读时变得更清楚，附图中：
41.图1是本发明在线监测系统一种优选方案的结构示意图；
42.图2是本发明在线监测方法一种优选方案的逻辑示意图。
具体实施方式
43.下面通过几个具体的实施例来进一步说明实现本发明目的技术方案，需要说明的是，本发明要求保护的技术方案包括但不限于以下实施例。
44.实施例1
45.作为本汽轮机网络安全实时在线监测系统的一种具体实施方案，如图1，本实施例具体公开的汽轮机网络安全实时在线监测系统，包括综合分析模块、控制单元监测模块，和接入系统网络、并对系统网络中的汽轮机控制保护系统的以太网流量数据包进行镜像采集、并分析出网络异常事件的网络流量监测模块。
46.网络流量监测模通过接入目标系统的系统网交换机镜像口的方式采集网络内的全网络通信流量。当目标系统为双网冗余结构时，应同时接入双网的两个交换机镜像口，采集两个网络中的所有流量；为了保证网络流量监测模块不会对目标系统造成干扰，可考虑在网络流量监测模块和目标系统之间加装隔离装置，确保镜像口流量单向传输到网络流量监测模块中。
47.而所述系统网络中的汽轮机控制保护系统包括若干的现场控制站，现场控制站包括dpu控制单元，所述控制单元监测模块与现场控制站连接用于采集dpu控制单运算结果；还包括与所述dpu控制单元的控制逻辑或控制算法相同、设置标准模拟环境中用于模拟所述dpu控制单元在正常工作状态下运行的dpu模拟单元，所述系统网络在每一个运算周期同时向所述dpu控制单元和dpu模拟单元发送随机数，触发所述dpu控制单元和dpu模拟单元同步进行实时运算和模拟运算；并通过所述控制单元监测模块获取所述dpu控制单元的实时运算结果和dpu模拟单元的模拟运算结果进行比对分析出dpu控制单元异常事件。
48.所述综合分析模块采集所述网络异常事件和dpu控制单元异常事件进行关联分析。综合分析模块可考虑采用独立的高性能装置/系统，也可考虑与网络流量监测模块和控制单元监测模块集成在同一个高性能装置/系统中，并且优选地，综合分析模块面向电厂现场运行人员提供了人机交互接口(hmi)，用于显示网络安全综合分析结果，并可查看网络流量监测模块或控制单元监测模块上报的异常事件记录。同时具备管理网络流量监测模块或控制单元监测模块的功能。
49.即系统由网络流量监测模块、控制单元监测模块和综合分析模块3部分构成。
50.进一步的，所述现场控制站包括被监测汽轮机控制保护系统的dpu控制单元、控制网和物理i/o接口，所述控制单元监测模块通过所述物理i/o接口连接至所述控制网，并通过所述dpu控制单元连入所述系统网络；所述物理i/o接口包括输入型i/o卡件和输出型i/o
卡件；所述控制单元监测模块通过物理i/o接口经控制网获取所述dpu控制单元的运算结果。即控制单元监测模块是利用目标系统的输入型i/o卡件和输出型i/o卡件的空闲通道，一般要求对应i/o卡件为模拟量输入或输出卡件，优选地，i/o卡件的信号范围包括但不限于
±
10v dc电压信号、
±
5v dc电压信号、0-10v dc电压信号、1-5v dc电压信号，4-20ma电流信号、0-20ma电流信号等等，控制单元监测模块和目标系统io卡件之间应不再串接其它转接模块/装置/系统，同时，采用符合汽轮机控制保护系统相关国家标准的线缆，以确保量测噪声和信号时延足够小。
51.优选地，所述系统网络中还连接有若干工程师站和操作员站，所述工程师站和操作员站通过系统网络向现场控制站中的dpu控制单元获取或发生指令。
52.实施例2
53.对应的，作为本发明的汽轮机网络安全实时在线监测方法的一种具体实施方案，本实施例具体公开了包括网络数据获取步骤、网络数据异常分析步骤、系统运算结果监控步骤、关联分析步骤和综合分析步骤，具体的：
54.所述网络数据获取步骤，是通过基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量数据包；利用基于交换机镜像技术的网络流量采集方法采集汽轮机控制保护系统的以太网流量可以不影响和篡改系统的数据，采集的流量应完整覆盖汽轮机控制保护系统中的所有工程师站、操作员站和dpu控制单元之间的数据报文和控制指令报文。而数据报文具体的，主要指dpu控制单元向工程师站、操作员站发送的采集数据以及多个dpu控制单元之间的数据交换。控制指令报文主要指工程师站和操作员站向dpu控制单元下发的具有控制功能的特定报文，包括但不限于重启、配置修改、控制逻辑下装等。
55.所述网络数据异常分析步骤，基于规则集为黑名单和白名单结合的规则匹配方法，对所述以太网流量数据包中的已知网络攻击特征和网络协议特征进行分析；当所述以太网流量数据包中的任一或多个报文符合所述规则匹配方法中的任一规则，则报告并记录网络异常事件；已知网络攻击特征主要指已公开并明确其危害的特定网络报文，该类报文采用黑名单的方式设定规则，而网络协议特征主要指汽轮机控制保护系统厂商所使用的特定网络协议，该协议具有明确的关键字和识别特征，并可能具备设备认证的功能。该类报文采用白名单方式设定规则，当所采集的网络流量中的任一或多个报文符合设定规则集中的任一规则，则报告并记录网络异常事件。
56.所述系统运算结果监控步骤，通过物理i/o接口接入被监测汽轮机控制保护系统，采用主动监测算法、通过物理i/o接口将每个运算周期的不同随机数传递给被监测汽轮机控制保护系统的dpu控制单元，再通过目标系统的物理i/o接口采集所述dpu控制单元在正常工作环境下的实时运算结果，以及dpu控制单元在理想模拟环境下的参考运算结果；并将实时运算结果与dpu控制单元在标准模拟环境中以与在正常工作状态下相同控制逻辑或控制算法运行时得到的标准运算结果进行比对误差计算，若比对误差超过人工设定的误差阈值则判定为dpu控制单元异常，并记录和上报dpu异常事件；其中，主动监测算法是利用被监测汽轮机控制保护系统的输入型i/o卡件将每个运算周期的不同随机数传递给dpu控制单元中的，并再通过被监测汽轮机控制保护系统的输出型i/o卡件来采集dpu控制单元的运算结果。
1))|＞g(ε)，鉴于被监测汽轮机控制保护系统内实现的校验函数与原始校验函数几乎一致，因此，误差值error大于设定的误差阈值δ时，即error＞δ，则判定被监测汽轮机控制保护系统的dpu控制单元异常。
67.当被监测汽轮机控制保护系统的发生的故障为控制逻辑被篡改，则有被监测汽轮机控制保护系统的dpu控制单元在一个运算周期中生成的的校验函数与对应的dpu模拟单元在同一个运算周期中生成的校验函数g(x)之间的误差大于被监测汽轮机控制保护系统与标准模拟系统的偏差阈值ξ，即
68.其中，ξ＞δ，δ＝g(ε)为误差阈值，即大于设定阈值δ，定被监测汽轮机控制保护系统的dpu控制单元异常，ξ的物理意义是指相同算法在两个不同的物理系统里的实现所存在的偏差，具体来说，由于硬件软件上的差别以及物理i/o信号的噪声，监测系统里的控制逻辑计算结果可能会和目标系统dpu控制单元里的控制逻辑计算结果一定会有偏差。
69.即，当ξ＞δ，误差时，则判定目标系统的控制单元失效。
70.如上述描述，这里以表格(表1)形式给出一种实际运用的结果举例
71.表1
[0072][0073]
即，对应上述表1，在该实际运用中，网络数据的异常分析结果与系统运算结果出现了不对应：
[0074]
当网络异常分析显示异常而系统运算结果监控显示正常时，可以判断系统本身无异常而是由于网络数据或指令错误造成的网络数据错误，此时可以判断为“一般网络安全事故”，应急预案可以设定为机组保持正常运行，检查系统网络、工程师站、操作员站，无需停机检查；
[0075]
当网络异常分析显示正常而系统运算结果监控显示异常时，可以判断系统出现故障或被攻击，此时则需要安装“控制系统故障”处理；
[0076]
当网络异常分析和系统运算结果监控均显示异常时，则可以肯定是严重网络安全事故，需要停机检修，彻底检查汽轮机控制保护系统。