一種過程層設(shè)備抵御網(wǎng)絡(luò)風(fēng)暴的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及變電站自動化技術(shù)領(lǐng)域,具體來說涉及一種過程層設(shè)備抵御網(wǎng)絡(luò)風(fēng)暴的方法����。
【背景技術(shù)】
[0002]隨著電網(wǎng)規(guī)模不斷擴(kuò)大和自動化水平的提高�����,傳統(tǒng)變電站將面臨智能化改造的迫切需求����,以適應(yīng)將來智能電網(wǎng)建設(shè)的步伐����。過程層設(shè)備網(wǎng)絡(luò)化是改造的核心之一,智能操作箱是遵循IEC61850標(biāo)準(zhǔn)的數(shù)字化變電站間隔層����、站控層設(shè)備的斷路器和刀閘位置的來源,同時也接收間隔層設(shè)備GOOSE報文����,根據(jù)GOOSE的內(nèi)容決定是否執(zhí)行合閘和跳閘命令。智能操作箱GOOSE報文正確處理及其重要��,一旦某一個設(shè)備網(wǎng)絡(luò)報文異?����?赡軙绊懙皆O(shè)備的正常動作行為���。為避免裝置誤動或拒動�,必須保證某個端口的網(wǎng)絡(luò)異常不影響裝置其他端口的報文接收��,某個報文的網(wǎng)絡(luò)異常不影響同一端口其他報文的正常接收���。
[0003]而現(xiàn)有技術(shù)中�����,對于過程層設(shè)備抗網(wǎng)絡(luò)風(fēng)暴已有許多不同的方法�����,限于CPU驅(qū)動與FPGA(即現(xiàn)場可編程門陣列)獨立完成風(fēng)暴過濾�,在認(rèn)定風(fēng)暴后粗曠的將所有風(fēng)暴報文丟棄�,未能在風(fēng)暴認(rèn)定后實施對風(fēng)暴的有效管控。本發(fā)明采用一種分時限制流法來有效抵御過程層設(shè)備網(wǎng)絡(luò)風(fēng)暴的問題�,該方法資源消耗低,簡單易行����。FPGA前置過濾可有效抵御相同風(fēng)暴的連續(xù)沖擊���,此類風(fēng)暴不消耗CPU資源,帶寬滿足情況下不會對裝置產(chǎn)生任何干擾����。FPGA與CPU有機(jī)結(jié)合,非訂閱報文在驅(qū)動層完成丟棄�,不占用CPU存儲資源,減少了應(yīng)用處理時間����。訂閱報文風(fēng)暴在應(yīng)用層實時監(jiān)控,超出正常閾值后通知驅(qū)動層對風(fēng)暴報文采取分時限流措施�,避免多網(wǎng)口多條風(fēng)暴對CPU的持續(xù)沖擊引起裝置誤動或者拒動。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種數(shù)字化變電站過程層設(shè)備的抑制網(wǎng)絡(luò)風(fēng)暴方法�����,解決數(shù)字化變電站過程層網(wǎng)絡(luò)異常引起設(shè)備誤動或拒動��,增強(qiáng)過程層設(shè)備運行可靠性�。
[0005]本發(fā)明的目的可通過以下的技術(shù)措施來實現(xiàn):
[0006]—種過程層設(shè)備抵御網(wǎng)絡(luò)風(fēng)暴的方法,采用FPGA抑制風(fēng)暴的過程與CPU抑制風(fēng)暴的過程相結(jié)合�����,采用分時限流法實現(xiàn)網(wǎng)絡(luò)風(fēng)暴過濾;
[0007]A.所述FPGA抑制網(wǎng)絡(luò)風(fēng)暴的過程為:FPGA設(shè)置前置過濾模塊�,模塊收到報文后完成CRC校驗碼及幀字節(jié)異或碼計算,與前一幀的CRC校驗碼及幀字節(jié)異或碼比較����,如相同�����,丟棄當(dāng)前報文��,并將CRC校驗碼及幀字節(jié)異或碼保存用于下一幀報文判斷���;
[0008]B.所述CPU抑制風(fēng)暴的過程包括CPU應(yīng)用層抑制網(wǎng)絡(luò)風(fēng)暴的過程和CPU驅(qū)動層抑制網(wǎng)絡(luò)風(fēng)暴的過程����,其中:
[0009]所述CPU應(yīng)用層抑制網(wǎng)絡(luò)風(fēng)暴的過程為:應(yīng)用層通過統(tǒng)計訂閱報文η的流量來判斷訂閱報文流量是否正常����,若在tl時間內(nèi)超過接收閾值(rL[n]),認(rèn)為訂閱報文流量異常則訂閱報文過濾標(biāo)簽使能�,觸發(fā)驅(qū)動層報文采用分時限流法進(jìn)行過濾,持續(xù)時間t2���,t2后訂閱報文過濾標(biāo)簽清零��,關(guān)閉驅(qū)動層報文過濾����,重新進(jìn)行統(tǒng)計;
[0010]所述的在應(yīng)用層判斷訂閱的報文流量是否正常的依據(jù)是:超過正常流量的120%以上�����,認(rèn)為該設(shè)備號的報文存在網(wǎng)絡(luò)風(fēng)暴��,于是將網(wǎng)絡(luò)風(fēng)暴抑制功能進(jìn)行置位�,使能網(wǎng)絡(luò)風(fēng)暴抑制功能,通知驅(qū)動層進(jìn)行限流處理�����。
[0011]所述的風(fēng)暴抑制使能持續(xù)時間t2內(nèi)采用分時限流措施��,分時開放時段T在上電初始化時設(shè)定����,在分時開放時段T內(nèi)驅(qū)動層通知FPGA上傳風(fēng)暴報文,允許風(fēng)暴報文進(jìn)入應(yīng)用層,如裝置訂閱多幀報文��,只對出現(xiàn)認(rèn)定風(fēng)暴的報文實施分時限流措施�。
[0012]所述分時限流時段T內(nèi),應(yīng)用層接收的報文實時進(jìn)行風(fēng)暴判別���,無風(fēng)暴則等待t2結(jié)束后訂閱報文過濾標(biāo)簽清零��,重新進(jìn)行風(fēng)暴識別;如果風(fēng)暴過濾標(biāo)簽為保持狀態(tài)���,則重新統(tǒng)計風(fēng)暴抑制使能持續(xù)時間����。
[0013]所述的分時限流措施下�����,分時開放時段T內(nèi)���,如果有多種訂閱報文產(chǎn)生風(fēng)暴���,則每個分時開放時段T內(nèi)只接納一種風(fēng)暴報文,保證分時開放時段T內(nèi)風(fēng)暴報文量不影響CPU正常處理功能�����,使CPU具有處理100%帶寬的風(fēng)暴報文的能力。
[0014]所述CPU驅(qū)動層抑制網(wǎng)絡(luò)風(fēng)暴的過程為:讀出FPGA報文隊列的應(yīng)用標(biāo)識(APPID)和目標(biāo)MAC地址���,若應(yīng)用標(biāo)識(APPID)和目標(biāo)MAC地址和配置的不一致�����,則認(rèn)為是非訂閱的報文并通知FPGA直接丟棄該報文����。若時間t2內(nèi)發(fā)生風(fēng)暴的報文為訂閱報文(即APPID和目標(biāo)MAC地址和配置的一致)時����,則在分時限流措施下,只在分時開放時段T內(nèi)通知FPGA接收該報文并將接收到的報文放入CPU報文緩沖�,其他時段則直接通知FPGA丟棄該報文。無風(fēng)暴正常訂閱報文通知FPGA直接放入CPU報文緩沖���。
[0015]其中�����,所述步驟A中所述前置過濾模塊實現(xiàn)FPGA過濾功能:以太網(wǎng)數(shù)據(jù)經(jīng)過虛擬MAC IP (FPGA的虛擬IP實現(xiàn)的MAC)后流入所述前置過濾模塊����,采用CRC校驗碼和幀字節(jié)異或碼值相等過濾相同網(wǎng)口相鄰的相同報文。
[0016]所述的幀字節(jié)異或碼值計算從幀的目標(biāo)地址開始�����,到CRC校驗碼字節(jié)前包含的幀字節(jié)實現(xiàn)異或處理�。
[0017]所述FPGA提取報文目標(biāo)MAC地址與APPID上傳CPU,CPU下發(fā)控制命令后��,F(xiàn)PGA才將報文通過DMA通道放入CPU報文緩沖�����。
[0018]本發(fā)明的優(yōu)點及效果是:本發(fā)明能夠在數(shù)字化變電站中提高過程層設(shè)備的可靠性����,避免網(wǎng)絡(luò)異常引起過程層設(shè)備誤動和拒動����。所述的過濾方案簡單有效,F(xiàn)PGA資源消耗低�,CPU處理時間小、存儲占用小,設(shè)備在風(fēng)暴下速動性能得到保證����。某訂閱幀的風(fēng)暴不影響同端口其他的報文接收、也不影響其他端口的報文接收���,多種訂閱報文的風(fēng)暴分時處理���,異常不相互影響。風(fēng)暴過濾使能后風(fēng)暴報文分時處理保證了風(fēng)暴管控連續(xù)性���。CPU負(fù)荷均勻����,不會出現(xiàn)風(fēng)暴時動作變慢或出現(xiàn)誤動和拒動�。本發(fā)明的推廣應(yīng)用,大幅提高過程層網(wǎng)絡(luò)的可靠性�����,保證過程層設(shè)備平穩(wěn)安全運行�����。
【附圖說明】
[0019]圖1是過程層設(shè)備接收報文的數(shù)據(jù)流向圖;
[0020]圖2是FPGA前置過濾數(shù)據(jù)流向圖���;
[0021]圖3是驅(qū)動層過濾流程圖����;
[0022]圖4是應(yīng)用層過濾流程圖���。
【具體實施方式】
[0023]本發(fā)明應(yīng)用于當(dāng)過程層設(shè)備任意網(wǎng)口受到網(wǎng)絡(luò)風(fēng)暴攻擊時���,不影響過程層裝置動作行為。本方法通過在FPGA和CPU采用分時流量法來有效抵御的網(wǎng)絡(luò)風(fēng)暴����。實現(xiàn)過程層裝置任意網(wǎng)口在非訂閱報文的網(wǎng)絡(luò)風(fēng)暴下,不影響裝置動作行為��。在訂閱報文下�����,不影響同一網(wǎng)口的其它訂閱報文的動作行為���,某一個網(wǎng)口風(fēng)暴下�,不影響其它網(wǎng)口的正常收發(fā)�����。該方法可實現(xiàn)風(fēng)暴的有效管控�,直接應(yīng)用于工程應(yīng)用的過程層設(shè)備中,確保設(shè)備運行的可靠性�。
[0024]本發(fā)明適用于所有過程層網(wǎng)絡(luò)報文,包括同一網(wǎng)絡(luò)下有多種網(wǎng)絡(luò)報文���,總體原則是在任何網(wǎng)絡(luò)風(fēng)暴情況下�,及時隔離網(wǎng)絡(luò)風(fēng)暴的設(shè)備報文�����,不影響正常設(shè)備和網(wǎng)口的動作行為��,裝置不發(fā)生死機(jī)和重啟��。下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步說明�。
[0025]圖1展示了本發(fā)明所述報文處理流程。過程層設(shè)備采用FPGA+CPU的硬件架構(gòu)���,MAC采用FPGA的虛擬IP實現(xiàn)�����。以太網(wǎng)數(shù)據(jù)進(jìn)入FPGA后����,由MAC IP (FPGA的虛擬IP實現(xiàn)的MAC)完成報文CRC校驗,校驗通過報文流入前置過濾模塊���,通過前置的過濾報文放入到報文隊列等待CPU通知上傳��。CPU周期運行驅(qū)動程序查詢FPGA報文隊列是否有報文�����,如有報文�,讀取報文的APPID和目標(biāo)地址�,如允許該報文進(jìn)入,通知FPGA上傳報文��。CPU在應(yīng)用層進(jìn)行風(fēng)暴判別后進(jìn)行