基于FPGA的變電站在線監(jiān)測系統(tǒng)信息傳輸網(wǎng)絡(luò)入侵檢測策略的研究

摘 要：應(yīng)用FPGA技術(shù)為變電站高電壓設(shè)備的在線監(jiān)測系統(tǒng)數(shù)據(jù)傳輸網(wǎng)絡(luò)設(shè)計了一款入侵檢測模塊，入侵檢測可以分為數(shù)據(jù)包的采集、數(shù)據(jù)包的預(yù)處理以及對數(shù)據(jù)包進(jìn)行攻擊檢測等過程。它以網(wǎng)絡(luò)中的數(shù)據(jù)包為數(shù)據(jù)源，通過對網(wǎng)絡(luò)包的直接檢測發(fā)現(xiàn)整個網(wǎng)絡(luò)內(nèi)可能存在的攻擊。FPGA構(gòu)成可重配置硬件電路以專用協(xié)處理器的形式來完成入侵檢測模塊的工作，使在線監(jiān)測的前端信息的采集更趨于模塊化，提高了信息處理的效率和大大增強(qiáng)了數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全，為數(shù)字化變電站的信息安全提供了一個可應(yīng)用的選擇。

關(guān)鍵字：入侵檢測；網(wǎng)絡(luò)安全；FPGA；數(shù)字化變電站

中圖分類號：TM76 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 （2014） 12-0000-01

智能電網(wǎng)建立在集成的、高速雙向通信網(wǎng)絡(luò)的基礎(chǔ)上，先進(jìn)的設(shè)備技術(shù)、通過先進(jìn)的傳感和測量技術(shù)、先進(jìn)的控制方法以及先進(jìn)的決策支持系統(tǒng)技術(shù)的應(yīng)用[1]。變電站是電網(wǎng)的一個最重要的組成部分，隨著IEC61850標(biāo)準(zhǔn)的提出，變電站智能電子設(shè)備（IED）之間將不再有點對點的硬接線，常規(guī)變電站內(nèi)裝置之間明顯的安全隔離點將不復(fù)存在，所有IED的信息均在局域網(wǎng)上實現(xiàn)，信息的安全性問題就變得尤為重要。每個IED均可能實現(xiàn)對其他IED信息交互的可能，因此，一旦某個IED受到惡意攻擊，在變電站還沒有實現(xiàn)信息有效安全防護(hù)的情況下，有可能對整個變電站自動化系統(tǒng)的安全運(yùn)行帶來極大影響[2]。本文結(jié)合變電站高電壓設(shè)備的在線監(jiān)測系統(tǒng)實施的工程實踐，對通信系統(tǒng)的功能特點進(jìn)行分析和討論，重點對應(yīng)用嵌入式計算機(jī)技術(shù)和可編程數(shù)字電路對在變電站二次回路的通信系統(tǒng)進(jìn)行安全防護(hù)的研究工作。

一、數(shù)字化變電站通信網(wǎng)絡(luò)的結(jié)構(gòu)分析

目前國家電網(wǎng)公司已明確了要建立以整個電力系統(tǒng)為對象的數(shù)字化、網(wǎng)絡(luò)化、可視化和智能化的信息集成及應(yīng)用系統(tǒng)。實際運(yùn)行的變電站由多種高電壓設(shè)備構(gòu)成，它們完成變電環(huán)節(jié)的各項工作任務(wù)。變電站的一次電氣設(shè)備主要包括電流/電壓互感器、斷路器/隔離開關(guān)、變壓器以及其他電氣輔助設(shè)備。目前它們按照數(shù)字化電站的要求可分為三類：（1）已能夠獨立的輸出數(shù)字信號的設(shè)備，如電子式電流/電壓互感器，基于Rogowski線圈的電子式電流互感器的研制已經(jīng)進(jìn)入了實用化階段，它具有無飽和、頻帶寬，體積小巧等諸多優(yōu)點。電子式互感器與保護(hù)、測控設(shè)備的接口的重要組成部分就是合并單元（MU），為兼顧光電式或電子式互感器能夠與傳統(tǒng)互感器混合應(yīng)用，要求合并單元除了可接收和處理來自多個采集器的數(shù)字信號外，還可接收并處理傳統(tǒng)電磁式互感器的電壓、電流模擬量；（2）智能化開關(guān)設(shè)備采用傳感器檢測斷路器開斷時的狀態(tài)、控制回路的狀態(tài)、高壓導(dǎo)體的發(fā)熱、開關(guān)和操動機(jī)構(gòu)的機(jī)械運(yùn)動等物理量，由遠(yuǎn)方采集終端FTU采集并通過接口與后臺監(jiān)控系統(tǒng)通信，監(jiān)控系統(tǒng)經(jīng)過對采集數(shù)據(jù)的處理，實現(xiàn)監(jiān)測設(shè)備運(yùn)行狀態(tài)、識別電網(wǎng)事故等功能；（3）變壓器及其它輔助設(shè)備的智能化只能依賴目前在線監(jiān)測的技術(shù)的發(fā)展來實現(xiàn)智能化，在線監(jiān)測系統(tǒng)應(yīng)用計算機(jī)技術(shù)，傳感器技術(shù)和信號采集與信息處理技術(shù)來實現(xiàn)對變壓器和其它設(shè)備的運(yùn)行狀態(tài)信息進(jìn)行在線的監(jiān)測，實現(xiàn)設(shè)備的智能化。

二、系統(tǒng)設(shè)計

由于FPGA具有的可重配置的特點，應(yīng)用FPGA設(shè)計了一個用可重配置硬件IDS結(jié)構(gòu)，將數(shù)據(jù)的預(yù)處理、包頭分析、特征匹配甚至復(fù)雜的協(xié)議分析等功能交由可重配置硬件電路以專用協(xié)處理器的形式完成，而在線監(jiān)測的前端處理器更加專注于監(jiān)測數(shù)據(jù)的采集與處理。分析顯示，采用該結(jié)構(gòu)實現(xiàn)的網(wǎng)絡(luò)入侵檢測系統(tǒng)具有比軟件技術(shù)更快的處理速度。設(shè)計采用了Xilinx公司的XC3S2000芯片來實現(xiàn)，并用擴(kuò)展的高增益的流水線結(jié)構(gòu)處理輸出、匹配和編碼的瓶頸。

數(shù)據(jù)預(yù)處理模塊將一個數(shù)據(jù)包捕捉后，提取其頭的五個字段的信息，并且根據(jù)FPGA匹配的需要，對五個字段的內(nèi)容稍加整理，以方便FPGA匹配，然后送入到包頭解碼器，包頭解碼器獲得的信息是一大串的比特串，如何將它們分開來，并行送入到各個匹配器進(jìn)行匹配，是解碼器的功能所在。解碼后的數(shù)據(jù)輸入到后面的模式匹配器進(jìn)行匹配，AND運(yùn)算模塊就是對比特向量所對應(yīng)的各個比特作邏輯與操作。由于基于SRAM方式編程的FPGA編程具有ASIC的高速處理能力，還具有重配置能力，這些特點均是網(wǎng)絡(luò)入侵檢測檢測所需要的。故而采用SRAM方式編程具有優(yōu)越性。

三、系統(tǒng)的測試結(jié)果

（一）吞吐量測試：吞吐量是指以待測系統(tǒng)不丟棄數(shù)據(jù)幀為前提的最大速率。這個參數(shù)有助于了解系統(tǒng)能夠支持的最大數(shù)據(jù)速率。先以一定速率下發(fā)送一定數(shù)量的幀到在網(wǎng)絡(luò)上傳輸，如果發(fā)送與接收幀相等，那么就將發(fā)送速率提高并重新測試；如果接收幀少于發(fā)送幀則降低發(fā)送速率重新測試，直至本系統(tǒng)傳輸?shù)臏y試幀等于發(fā)送到本系統(tǒng)的幀時，所利用的傳輸速度就是系統(tǒng)的吞吐量。吞吐量可以達(dá)到1000Mbps。

（二）丟包率測試：丟包率是指在穩(wěn)態(tài)負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比。每一點的丟包率的計算公式為（（輸入數(shù)量—輸出數(shù)量）×100%）/輸入數(shù)量。測試結(jié)果表明，本設(shè)計在1000Mbps以下不會出現(xiàn)有丟包的現(xiàn)象，完全滿足在線監(jiān)測系統(tǒng)數(shù)據(jù)傳輸?shù)男枰?/p>

四、結(jié)束語

本文設(shè)計一款基于FPGA的變電站高壓電器在線監(jiān)測信息傳輸網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu)。分析表明，基于可重配置硬件的入侵檢測系統(tǒng)處理速度將遠(yuǎn)遠(yuǎn)高于軟件入侵檢測系統(tǒng)。同時，對于攻擊者行為和攻擊模式的頻繁更新和改變，F(xiàn)PGA允許設(shè)計人員對檢測算法和入侵特征匹配等模塊的硬件電路及時做出相應(yīng)的調(diào)整，因此，F(xiàn)PGA等可重配置硬件將成為未來高速網(wǎng)絡(luò)入侵檢測系統(tǒng)以及網(wǎng)絡(luò)安全系統(tǒng)開發(fā)和運(yùn)行的理想硬件平臺，它能有效的保障變電站在線監(jiān)測數(shù)據(jù)傳輸網(wǎng)絡(luò)的信息安全任務(wù)。

參考文獻(xiàn)：

[1]張文亮，劉壯志，王明俊.智能電網(wǎng)的研究進(jìn)展及發(fā)展趨勢[J].電網(wǎng)技術(shù)[J]，2009（13）：1-11.

[2]Roesch M.Snort：The open source network intrusion detection system[EB/OL].http//www.snort.org，2003.10.

[作者簡介]徐金才（1992-），男，江西宜春人，本科在讀。

[基金項目]本項目獲得中南大學(xué)本科生自由探索計劃項目（項目編號：2282014bks115）。