(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211106746.1 (22)申请日 2022.09.13 (65)同一申请的已公布的文献号 申请公布号 CN 115190191 A (43)申请公布日 2022.10.14 (73)专利权人 中电运行 （北京） 信息技 术有限公 司 地址 100080 北京市石景山区苹果园路2号 院1号楼5层5 04-1 (72)发明人 赵瑾阳　马虹哲　刘则君　席梦梦　 洪杨　刘宝玉　杨扬　 (74)专利代理 机构 天津合正知识产权代理有限 公司 12229 专利代理师 李成运(51)Int.Cl. H04L 69/22(2022.01) H04L 41/069(2022.01) H04L 43/18(2022.01) H04L 67/01(2022.01) H04L 67/12(2022.01) H02J 13/00(2006.01) (56)对比文件 CN 108418 807 A,2018.08.17 CN 109600258 A,2019.04.09 审查员 吴俊杰 (54)发明名称 基于协议解析的电网工业控制系统及控制 方法 (57)摘要 本发明提出了基于协议解析的电网工业控 制系统及控制方法， 涉及通信技术领域， 实时获 取电网工业控制系统的控制器与上位机之间通 信产生的协议数据流； 对获取的协议数据流进行 周期性解析， 并封装上报； 对封装上报的解析结 果进行解封装， 对解封装后的协议数据流的规定 字段的行为特征进行监测， 判断协议数据流是否 存在异常； 当判断协议数据流为异常时， 则终止 电网工业控制系统的控制过程、 报警和记录日 志， 并将报警信息和日志信息传至终端模块。 可 以有效实现对电网工业控制系统的数据异常检 测， 提高了电网工业控制系统的安全保障能力。 权利要求书3页 说明书8页 附图2页 CN 115190191 B 2022.11.29 CN 115190191 B 1.基于协议 解析的电网工业控制方法， 其特 征在于， 包括如下步骤： S1、 实时获取电网工业控制系统的控制器与上位机之间通信产生的协议数据流； S2、 对获取的协议数据流进行周期性 解析， 并封装上报； 构建稳定控制预测模型， 将选定时刻的实际封装上报的协议数据流与 经所述稳定控制 预测模型预测的稳态值进行偏离度计算； 当计算结果大于设定的阈值时， 则判定协议数据 流出现异常行为； S3、 对封装上报的解析结果进行解封装， 对解封装后的协议数据流的规定字段的行为 特征进行监测， 判断协议数据流是否存在异常； 首先对解封装后的协议数据流中规定字段的行为特征进行测取 ， 用集合 表示t时刻的k个规定字段的行为特征变量； 表示第 i个规定字段的行为特 征变量； 用集合 表示在测取时间窗口长度N内采集的所有规定字 段的行为特征变量的集合， 构建稳定控制数据集， 获取该稳定控制数据集延迟两个周期测 取点 和延迟两个周期测取点 得到行为特征变量， 以构建稳定控制预测模 型的输入输出 行为特征变量集； 稳定控制预测模型的输入行为特 征变量集表示为： ； 其中， N为测取时间窗口的长度， 下标t ‑2表示延迟两个周期， 下标t ‑1表示延迟一个周 期； 稳定控制预测模型的输出 行为特征变量集表示为： ； S4、 当判断协议数据流为异常时， 则终止电网工业控制系统的控制过程、 报警和记录日 志， 并将报警信息和日志信息传至终端模块。 2.根据权利要求1所述的基于协议解析的电网工业控制方法， 其特征在于， 所述稳定控 制预测模型表示 为： ； ； 其中， 为构建的稳定控制预测模型， 为稳定控制预 测模型预测的t时刻的稳态值， 为稳定控制预测模型预测的t时刻的第i个规定字段 的行为特征变量稳态 值， 为第i个规定字段的行为特征变量， 为数据异常检测阈值，权　利　要　求　书 1/3 页 2 CN 115190191 B 2R为偏离度 与数据异常检测阈值的比较结果。 3.根据权利要求1所述的基于协议解析的电网工业控制方法， 其特征在于， 对于一个通 信状态的在预测时刻jm的解析流 量Im通过下式计算， Im=F(jm)； ； 其中F(jm)为时间概率函数， Cj0代表该通信状态在j0时刻发生的次数； Cjm表示该通信状 态在jm时刻发生的次数， j0和jm均在同一时间段J内， j0为起始时刻； 则考虑该通信状态在jm时刻发生的次数的稳定控制预测模型表示 为： ； ； 其中， 为构建考虑规定通信状态在j0时刻发生的次数的 稳定控制预测模型， 为稳定控制预测模型预测的所有jm时刻的稳态值， 为数据异 常检测阈值， R(jm)为偏离度 与数据异常检测阈值 与解析流量Im乘 积的比较结果。 4.根据权利要求1所述的基于协议解析的电网工业控制方法， 其特征在于， 所述步骤S2 中， 对接收到的协 议数据流进 行项目匹配， 以对协 议数据流的协 议类型进 行识别； 读取所述 协议数据流协议类型对应的协议代号， 读取与所述协议代号对应的报文特征库； 根据与所 述协议数据流协 议类型对应的报文特征库中的报文特征匹配规则， 对所述协 议数据流进 行 报文特征匹配； 获得与匹配到的报文特征对应的匹配规则地址， 以及匹配到的报文特征 的 起点偏置位置和终点偏置位置， 封装到数据结构。 5.根据权利要求4所述的基于协议解析的电网工业控制方法， 其特征在于， 当与所述协 议代号对应的报文特征库不存在时， 对报文特征库进行更新， 建立与所述协议代号对应的 协议类型对应的报文特征库； 将所述协议的报文特征段和报文特征段长度作为匹配特征， 建立报文特 征库， 在完成所述报文特 征匹配后， 将 报文特征匹配结果进行封装上报。 6.基于协议解析的电网工业控制系统， 其特征在于， 用于实现如权利要求1 ‑5任意一项 所述的电网工业控制方法， 包括： 采集模块、 解析模块、 监测模块、 终端模块、 控制器和上位 机； 所述采集模块用于实时获取电网工业控制系统的控制器与上位机之间通信产生的协 议数据流； 所述解析模块用于对获取的协议数据流进行周期性 解析并封装上报； 所述监测模块对封装上报的解析结果进行解封装， 对解封装后的协议数据流的规定字权　利　要　求　书 2/3 页 3 CN 115190191 B 3