本發(fā)明涉及智能電網(wǎng)技術(shù)領(lǐng)域，具體地，涉及基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法。

背景技術(shù)：

在智能電網(wǎng)的變電站中，智能電子設(shè)備(Intelligent Electronic Devices，IEDs)最初設(shè)計(jì)用來(lái)實(shí)現(xiàn)實(shí)時(shí)保護(hù)控制和數(shù)據(jù)獲取(Real-time Protection Control and Data Acquisition，RPCDA)。為了提高智能電子設(shè)備間的相互通信協(xié)作的有效性，行業(yè)制定了IEC61850標(biāo)準(zhǔn)(電力系統(tǒng)自動(dòng)化領(lǐng)域唯一的全球通用標(biāo)準(zhǔn))，該標(biāo)準(zhǔn)規(guī)范了數(shù)據(jù)模型和智能電網(wǎng)基站間的通信格式。IEC61850標(biāo)準(zhǔn)成功實(shí)現(xiàn)了多智能電子設(shè)備的多播傳輸，使得智能電網(wǎng)變電站IEDs之間的通信效率顯著提高。但這種新型標(biāo)準(zhǔn)隱藏著顯著的安全問(wèn)題。由于多播傳輸這種形式的存在，網(wǎng)絡(luò)安全攻擊所造成的損失將呈指數(shù)型增長(zhǎng)。

智能變電站的網(wǎng)絡(luò)安全威脅來(lái)源可大致分為兩種：網(wǎng)絡(luò)空間安全和物理設(shè)施安全。而這兩種安全威脅又是緊密相關(guān)的。對(duì)于物理設(shè)施安全，其主要安全威脅包括硬件老化，操作失誤和自然災(zāi)害。為了降低物理設(shè)施安全所帶來(lái)的影響，大量的智能電子設(shè)備被部署到分散的變電站中，以有效的檢測(cè)和控制智能電網(wǎng)中各類儀器儀表的狀態(tài)。在網(wǎng)絡(luò)空間安全方面，數(shù)據(jù)機(jī)密性、完整性和可用性密切依賴于通信系統(tǒng)的實(shí)時(shí)性，如網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)擁塞、丟包等。失誤的操作也可能會(huì)導(dǎo)致服務(wù)的中斷，甚至引發(fā)一系列安全事故危害智能電網(wǎng)運(yùn)行的安全與穩(wěn)定。

之前的研究往往專注于如何保障智能電子設(shè)備之間數(shù)據(jù)傳輸?shù)膶?shí)時(shí)，對(duì)分散在傳感器上的數(shù)據(jù)等方面的設(shè)計(jì)十分緊缺。近幾年來(lái)，隨著智能電網(wǎng)中網(wǎng)絡(luò)攻擊數(shù)量的迅速增長(zhǎng)，人們對(duì)智能電網(wǎng)安全威脅防御的重視程度也越來(lái)越高。多播傳輸能夠使安全威脅迅速擴(kuò)散，因此在多播通信系統(tǒng)中任何網(wǎng)絡(luò)安全威脅攻擊都會(huì)變得非常致命。雖然虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)技術(shù)可以在一定程度上減小網(wǎng)絡(luò)安全威脅的傳播域，但是基于MAC(Medium Access Control)地址的多播傳輸通常是靜態(tài)的，且獨(dú)立與數(shù)據(jù)內(nèi)容，現(xiàn)有手段很難檢測(cè)和防范。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)現(xiàn)有技術(shù)中的缺陷，本發(fā)明的目的是提供一種基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法。

根據(jù)本發(fā)明提供的基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法，包括如下步驟：

步驟1：建立軟件定義多播系統(tǒng)，所述軟件定義多播系統(tǒng)中包括：集中化控制層和數(shù)據(jù)層；所述集中化控制層用于執(zhí)行狀態(tài)監(jiān)測(cè)、操作控制、命名匹配、興趣判斷表維護(hù)以及傳播路徑選擇；所述數(shù)據(jù)層用于執(zhí)行數(shù)據(jù)轉(zhuǎn)發(fā)和內(nèi)容緩存；且在所述軟件定義多播系統(tǒng)中運(yùn)行有多種數(shù)據(jù)流；

步驟2：根據(jù)規(guī)定的命名規(guī)則對(duì)智能電子設(shè)備的數(shù)據(jù)進(jìn)行命名后對(duì)服務(wù)名稱進(jìn)行匹配，并對(duì)數(shù)據(jù)內(nèi)容進(jìn)行感知和特征提?。煌ㄟ^(guò)軟件定義多播的系統(tǒng)中的集中化控制層對(duì)提取出的數(shù)據(jù)內(nèi)容進(jìn)行認(rèn)證，成功通過(guò)認(rèn)證的數(shù)據(jù)內(nèi)容所對(duì)應(yīng)的數(shù)據(jù)流能夠進(jìn)行轉(zhuǎn)發(fā)，未成功認(rèn)證的數(shù)據(jù)內(nèi)容所對(duì)應(yīng)的數(shù)據(jù)流被限制轉(zhuǎn)發(fā)。

優(yōu)選地，所述步驟2中的智能電子設(shè)備中包含至少一個(gè)數(shù)據(jù)命名代理，所述命名代理中包含有至少一個(gè)數(shù)據(jù)命名模塊，用于對(duì)數(shù)據(jù)進(jìn)行命名。

優(yōu)選地，所述步驟2中的集中化控制層中包含至少一個(gè)控制器，所述數(shù)據(jù)層中包含有多個(gè)智能電子設(shè)備和數(shù)據(jù)傳輸設(shè)備；數(shù)據(jù)傳輸設(shè)備包括：交換機(jī)；

具體地，某一智能電子設(shè)備通過(guò)數(shù)據(jù)傳輸設(shè)備不定期地將本地監(jiān)測(cè)數(shù)據(jù)分享給其余高級(jí)智能電子設(shè)備，所述數(shù)據(jù)傳輸設(shè)備通過(guò)控制器控制，所述控制器能夠?qū)λ鰯?shù)據(jù)傳輸設(shè)備進(jìn)行實(shí)時(shí)狀態(tài)信息更新和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息更新；且所述控制器還能夠限制流經(jīng)所述數(shù)據(jù)傳輸設(shè)備各個(gè)端口的數(shù)據(jù)流量大小。

優(yōu)選地，所述控制器中包含有數(shù)據(jù)命名的匹配代理、認(rèn)證代理以及處理代理；所述數(shù)據(jù)命名匹配代理用于依據(jù)命名規(guī)則對(duì)數(shù)據(jù)進(jìn)行匹配；所述認(rèn)證代理用于依據(jù)所匹配的特征鑒別數(shù)據(jù)是否存在安全威脅；所述處理代理用于依據(jù)威脅判斷結(jié)果限制相應(yīng)數(shù)據(jù)流量。

優(yōu)選地，所述步驟2包括：

步驟2.1：數(shù)據(jù)在第一次發(fā)送到網(wǎng)絡(luò)中后將被轉(zhuǎn)發(fā)到控制器中，所述控制器根據(jù)規(guī)定的命名規(guī)則進(jìn)行數(shù)據(jù)內(nèi)容感知和特征提取，并將未被匹配的數(shù)據(jù)包存放在未處理命名管理單元進(jìn)行存儲(chǔ)；

步驟2.2：將匹配代理所提取的特征發(fā)送至認(rèn)證代理，由認(rèn)證代理的安全服務(wù)模塊對(duì)數(shù)據(jù)特征進(jìn)行鑒別，并判斷是否存在安全威脅行為，生產(chǎn)相應(yīng)的認(rèn)證結(jié)果；

步驟2.3：認(rèn)證代理將認(rèn)證結(jié)果發(fā)送至處理代理，所述處理對(duì)未通過(guò)認(rèn)證的數(shù)據(jù)內(nèi)容對(duì)應(yīng)的數(shù)據(jù)流進(jìn)行限制。

優(yōu)選地，所述控制器的各個(gè)代理之間的數(shù)據(jù)交流過(guò)程中至少包含有一個(gè)數(shù)據(jù)共享模塊，所述數(shù)據(jù)共享模塊基于發(fā)布/訂閱模式實(shí)現(xiàn)；具體地，各代理將處理結(jié)果發(fā)布到一個(gè)公有的域空間中，所有訂閱了該處理結(jié)果的代理均能夠從所述公有的域空間中獲取其他代理的處理結(jié)果。

與現(xiàn)有技術(shù)相比，本發(fā)明具有如下的有益效果：

本發(fā)明提供的基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法能夠有效抑制威脅攻擊通過(guò)多播傳輸在整個(gè)網(wǎng)絡(luò)域內(nèi)的擴(kuò)散速率，此外基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法包含一個(gè)特定的中心控制器，它能夠監(jiān)測(cè)和控制智能電子設(shè)備的狀態(tài)。針對(duì)IEC61850標(biāo)準(zhǔn)的缺陷，軟件定義多播機(jī)制使交換機(jī)執(zhí)行內(nèi)容匹配模塊，為每個(gè)數(shù)據(jù)包減少了轉(zhuǎn)發(fā)策略的選擇時(shí)間。

附圖說(shuō)明

通過(guò)閱讀參照以下附圖對(duì)非限制性實(shí)施例所作的詳細(xì)描述，本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯：

圖1為本發(fā)明中的軟件定義多播機(jī)制示意圖；

圖2(a)和圖2(b)分別為智能電子設(shè)備數(shù)據(jù)模型和通信模型的示意圖；

圖3為本發(fā)明中的軟件定義多播的工作序列圖；

圖4為不同組播模式的傳播特征示意圖；

圖5(a)至圖5(d)分別為四種IEC61850通信與軟件定義多播機(jī)制的性能對(duì)比示意圖；

圖6(a)至圖6(c)分別為三種軟件定義多播對(duì)傳輸延時(shí)減少的比較示意圖。

具體實(shí)施方式

下面結(jié)合具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。以下實(shí)施例將有助于本領(lǐng)域的技術(shù)人員進(jìn)一步理解本發(fā)明，但不以任何形式限制本發(fā)明。應(yīng)當(dāng)指出的是，對(duì)本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變化和改進(jìn)。這些都屬于本發(fā)明的保護(hù)范圍。

基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法通常集中化控制層和數(shù)據(jù)層，如圖1所示。在集中化控制層中執(zhí)行狀態(tài)監(jiān)測(cè)、操作控制、命名匹配、興趣判斷表維護(hù)和傳播路徑選擇功能，在數(shù)據(jù)層執(zhí)行數(shù)據(jù)轉(zhuǎn)發(fā)和內(nèi)容緩存功能。集中化的控制層包含有至少1個(gè)控制器，每個(gè)控制器包含有未處理興趣管理單元、命名匹配域、網(wǎng)絡(luò)資源管理、網(wǎng)絡(luò)應(yīng)用和安全服務(wù)共5個(gè)部分。在具體實(shí)現(xiàn)時(shí)，按照功能分工不同分別用C1和C2表示邏輯控制器，實(shí)際上C1和C2可以在一個(gè)物理控制器上實(shí)現(xiàn)。

未處理興趣管理單元用于搜集每個(gè)IEDs中的NDOs。NDOs中的名稱由興趣包發(fā)送。這些NDOs將通過(guò)MAC地址映射到一個(gè)統(tǒng)一的表中以便靈活調(diào)用。

命名匹配域是一個(gè)主體與客體間正確進(jìn)行數(shù)據(jù)傳輸?shù)闹匾h(huán)節(jié)。在該匹配域中，被訂閱的服務(wù)數(shù)據(jù)的目的MAC地址被預(yù)先確定。在匹配域中，發(fā)布/訂閱模式被使用。

網(wǎng)絡(luò)資源管理中路由路徑選擇是每個(gè)網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)功能。路由路徑選擇必須先建立一個(gè)全網(wǎng)絡(luò)的虛擬拓?fù)浣Y(jié)構(gòu)。當(dāng)它接受了源MAC地址集和目標(biāo)MAC地址集后，將計(jì)算從源MAC到目的MAC的最優(yōu)路由路徑。不同的服務(wù)器對(duì)鏈路狀態(tài)的要求可能不盡相同。

安全服務(wù)是基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法能自動(dòng)地將要轉(zhuǎn)發(fā)的數(shù)據(jù)和網(wǎng)絡(luò)資源進(jìn)行合理劃分的基礎(chǔ)，認(rèn)證代理調(diào)用安全服務(wù)模塊的具體安全措施對(duì)數(shù)據(jù)特征進(jìn)行認(rèn)證。

本發(fā)明希望解決在智能電網(wǎng)中威脅傳播的問(wèn)題，進(jìn)一步的，降低整個(gè)網(wǎng)絡(luò)中威脅傳播的速率。本發(fā)明在以往的使多播機(jī)制的實(shí)現(xiàn)由軟件定義并集中管理和配置，帶有安全威脅的多播數(shù)據(jù)可以被靈活的識(shí)別和限制。根據(jù)仿真可以看出，本發(fā)明有效的降低了安全威脅在智能電網(wǎng)中的傳播速率，從而增強(qiáng)了智能電網(wǎng)的安全性。

根據(jù)本發(fā)明提供的基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法，包括如下步驟：

步驟1：對(duì)源/目的智能電子設(shè)備要發(fā)布的ACSI服務(wù)進(jìn)行命名；

步驟2：向基于軟件定義多播機(jī)制的控制器發(fā)布SAP包，所述SAP包是指源智能電子設(shè)備向基于軟件定義多播的電網(wǎng)威脅防御方法的控制器發(fā)布的興趣包；

步驟3：在SAP和DAS中分別推導(dǎo)服務(wù)器名稱、Ts/Td以及MAC地址；所述DAS是指目的智能電子設(shè)備向基于軟件定義多播的電網(wǎng)威脅防御方法的控制器發(fā)布的興趣包；

步驟4：從控制器C1中匹配SAP的服務(wù)器名稱和DAS的服務(wù)器名稱，若匹配正確，則將匹配的SAP和DAS標(biāo)記為SAP′和DAS′；控制器C1是指基于軟件定義多播的電網(wǎng)威脅傳播防御方法中控制器的第一模塊；

步驟5：從SAP′和DAS′中分別選出源MAC地址和目的MAC地址并分別重新標(biāo)記為DMAC′和SMAC′；

步驟6：將DMAC′和SMAC′發(fā)送給控制器C2，控制器C2是指基于軟件定義多播的電網(wǎng)威脅傳播防御方法中控制器的第二模塊；

步驟7：控制器C2通知源智能電子設(shè)備發(fā)送DMAC′到SMAC′的服務(wù)數(shù)據(jù)；

步驟8：源智能電子設(shè)備將數(shù)據(jù)流發(fā)送到網(wǎng)絡(luò)中；

步驟9：網(wǎng)絡(luò)元素從源智能電子設(shè)備接受數(shù)據(jù)流；

步驟10：網(wǎng)絡(luò)元素通過(guò)定制的OpenFlow向控制器C2上報(bào)網(wǎng)絡(luò)狀態(tài)；

步驟11：控制器C2從網(wǎng)絡(luò)數(shù)據(jù)流選取網(wǎng)絡(luò)類型和服務(wù)名稱信息；

步驟12：控制器C2為邏輯服務(wù)建立邏輯拓?fù)浜吞摂M拓?fù)洌?/p>

步驟13：控制器C2檢測(cè)和控制所有網(wǎng)絡(luò)元素的狀態(tài)；

步驟14：控制器C2匹配SMAC′和DMAC′的標(biāo)記網(wǎng)絡(luò)類型的以太網(wǎng)參數(shù)；

步驟15：控制器C2從數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則中制定數(shù)據(jù)轉(zhuǎn)發(fā)的流表；

步驟16：控制器C2向每個(gè)元素分發(fā)流表；

步驟17：從源智能電子設(shè)備向目的智能電子設(shè)備轉(zhuǎn)發(fā)服務(wù)。

針對(duì)IEC61850標(biāo)準(zhǔn)的缺陷，設(shè)置軟件定義多播機(jī)制，使交換機(jī)執(zhí)行內(nèi)容匹配模塊，為每個(gè)數(shù)據(jù)包減少了轉(zhuǎn)發(fā)策略的選擇時(shí)間。

所述軟件定義多播機(jī)制如圖1所示，內(nèi)容匹配模塊維護(hù)一個(gè)命名匹配域，命名匹配域是一個(gè)主體與客體間正確進(jìn)行數(shù)據(jù)傳輸?shù)闹匾h(huán)節(jié)。在該匹配域中，被訂閱的服務(wù)數(shù)據(jù)的目的MAC地址被預(yù)先確定。

應(yīng)用本發(fā)明方法的系統(tǒng)主要包括：控制層和數(shù)據(jù)層，通過(guò)控制層執(zhí)行監(jiān)測(cè)、控制以及匹配操作，并維護(hù)興趣判斷表和傳播路徑選擇模塊；在控制層中每個(gè)模塊都是獨(dú)立的，并且它們能夠在分布式部署的情況下協(xié)同操作。數(shù)據(jù)層主要包括：源/目標(biāo)智能電子設(shè)備、網(wǎng)絡(luò)執(zhí)行單元(交換機(jī))和內(nèi)容緩存器。其中的源/目標(biāo)智能電子設(shè)備負(fù)責(zé)對(duì)電網(wǎng)基礎(chǔ)設(shè)施的實(shí)時(shí)保護(hù)，是各類數(shù)據(jù)匯聚和處理的關(guān)鍵節(jié)點(diǎn)。源/目標(biāo)智能電子設(shè)備在智能變電站中IEDs扮演著十分重要的角色。一個(gè)裸露的智能電子設(shè)備將很可能會(huì)成為攻擊者的理想目標(biāo)，基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法支持面向ACSI服務(wù)的流量控制，對(duì)威脅擴(kuò)散具有明顯的抑制作用。高級(jí)智能電子設(shè)備決定哪些服務(wù)需要被命名，哪些被命名的數(shù)據(jù)能夠關(guān)聯(lián)到他人。

未處理興趣管理單元，用于搜集每個(gè)IEDs中的NDOs。NDOs中的名稱由興趣包發(fā)送。這些NDOs將通過(guò)MAC地址映射到一個(gè)統(tǒng)一的表中以便靈活調(diào)用。

內(nèi)容轉(zhuǎn)發(fā)與緩存是每個(gè)網(wǎng)絡(luò)執(zhí)行單元中必須包含的最基本的2個(gè)功能。轉(zhuǎn)發(fā)功能，比如路由路徑選擇是從分散復(fù)雜的數(shù)據(jù)層中抽離出來(lái)的，軟件定義多播機(jī)制支持路由選擇的集中管理。不同與現(xiàn)有的傳輸結(jié)構(gòu)，轉(zhuǎn)發(fā)路徑在數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)前已經(jīng)被制定，并且數(shù)據(jù)只有在鏈路連接狀態(tài)下才會(huì)被傳輸。

命名匹配域是一個(gè)主體與客體間正確進(jìn)行數(shù)據(jù)傳輸?shù)闹匾h(huán)節(jié)。在命名匹配域中，被訂閱的服務(wù)數(shù)據(jù)的目的MAC地址被預(yù)先確定。在命名匹配域中，發(fā)布/訂閱模式被使用。

路由路徑選擇是每個(gè)網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)功能。路由路徑選擇必須先建立一個(gè)全網(wǎng)絡(luò)的虛擬拓?fù)浣Y(jié)構(gòu)。當(dāng)它接受了源MAC地址集和目標(biāo)MAC地址集后，將計(jì)算從源MAC到目的MAC的最優(yōu)路由路徑。不同的服務(wù)器對(duì)鏈路狀態(tài)的要求可能不盡相同?；谲浖x多播的智能電網(wǎng)威脅傳播防御方法能自動(dòng)地將要轉(zhuǎn)發(fā)的數(shù)據(jù)和網(wǎng)絡(luò)資源進(jìn)行合理劃分。

基于軟件定義多播的智能電網(wǎng)威脅傳播防御方法中有至少10種不同的數(shù)據(jù)流。

表1：數(shù)據(jù)對(duì)象和數(shù)據(jù)流

源NDOs和目的NDOs均必須向PITM通過(guò)興趣包發(fā)布它們的話題和代理。興趣包的內(nèi)容包含服務(wù)器的名稱。興趣包通過(guò)多播通信方式進(jìn)行傳輸。PITM記錄了每個(gè)NDO的MAC地址，并發(fā)送這些MAC地址到匹配域按名稱進(jìn)行匹配。當(dāng)命名的服務(wù)器被匹配到，MAC地址將被發(fā)送到路由路徑選擇單元以進(jìn)行路徑計(jì)算。監(jiān)測(cè)和控制單元向路由路徑選擇元實(shí)時(shí)發(fā)送網(wǎng)絡(luò)狀態(tài)信息以供路徑選擇時(shí)做參考。當(dāng)被選擇的路徑收到這些狀態(tài)信息后，一個(gè)ACK信號(hào)將發(fā)送到源NDOs以確認(rèn)最優(yōu)路徑已被選擇。當(dāng)沒(méi)有流表供數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，第一個(gè)數(shù)據(jù)包將被發(fā)送到監(jiān)測(cè)和控制單元。特別地，在這個(gè)監(jiān)測(cè)和和控制單元中，傳輸數(shù)據(jù)包的報(bào)頭與數(shù)據(jù)預(yù)處理服務(wù)的名稱必須保持一致。

圖3描述了基于軟件定義多播的電網(wǎng)威脅防御方法的工作流程。SAP是源NDOs向基于軟件定義多播的電網(wǎng)威脅防御方法的控制器發(fā)布的興趣包。DAS是目的NDOs向基于軟件定義多播的電網(wǎng)威脅防御方法的控制器發(fā)布的興趣包。在SAP和DAS中，在源NDOs中ACSI服務(wù)被分別抽象命名。SAP和DAS與位置獨(dú)立，它們依賴于發(fā)布/簽名的通信模式。用C1去表現(xiàn)內(nèi)容感知和服務(wù)名稱匹配功能，C1由PITM元和匹配域組成。在C1接受SAP和DAS包后，C1將開(kāi)始提取服務(wù)器名稱，Ts/Td和MAC地址。C1從DAS和SAP匹配服務(wù)器名稱，之后將其發(fā)送給C2，C2則負(fù)責(zé)對(duì)網(wǎng)絡(luò)的監(jiān)視和控制。在C2從S獲知服務(wù)數(shù)據(jù)可以被發(fā)送后，數(shù)據(jù)流將被傳入到網(wǎng)絡(luò)中。

表2：符號(hào)和相關(guān)解釋

基于軟件定義多播的電網(wǎng)威脅防御方法是基于OpenFlow協(xié)議。如果數(shù)據(jù)包第一次到達(dá)網(wǎng)絡(luò)節(jié)點(diǎn)，它將被發(fā)送到基于軟件定義多播的電網(wǎng)威脅防御方法的控制器中以認(rèn)證和路徑選擇。C2能從數(shù)據(jù)流中提取出以太網(wǎng)參數(shù)和服務(wù)器名稱信息，并且每個(gè)網(wǎng)絡(luò)元要發(fā)送它的狀態(tài)給C2。C2在邏輯節(jié)點(diǎn)和一個(gè)物理網(wǎng)絡(luò)設(shè)施虛擬結(jié)構(gòu)間建立一個(gè)邏輯拓?fù)鋱D。目的MAC地址根據(jù)ACSI服務(wù)器被選出并且通過(guò)虛擬拓?fù)浣Y(jié)構(gòu)計(jì)算出轉(zhuǎn)發(fā)路徑。轉(zhuǎn)發(fā)操作被流表分離。特別地，在整個(gè)過(guò)程中，服務(wù)器名稱從EnetPters提取。而篡改的數(shù)據(jù)將被丟棄并且發(fā)送被篡改數(shù)據(jù)智能電子設(shè)備將被實(shí)時(shí)隔離。

本發(fā)明通過(guò)模擬20個(gè)智能電子設(shè)備，每個(gè)智能電子設(shè)備具有10個(gè)邏輯節(jié)點(diǎn)。通過(guò)比較不同傳播方式的攻擊傳播速度來(lái)測(cè)量基于軟件定義多播的電網(wǎng)威脅防御方法的工作性能。在一個(gè)點(diǎn)對(duì)點(diǎn)的IEC61850網(wǎng)絡(luò)中通常會(huì)采用多播傳輸方式。實(shí)驗(yàn)首先模擬在基于軟件定義多播的電網(wǎng)威脅防御方法中，網(wǎng)絡(luò)威脅在單點(diǎn)傳輸中的擴(kuò)散速度。不同信息傳輸方式所得出的模擬結(jié)果如圖4所示。

本發(fā)明中用4向多播傳輸去解釋不同傳輸模式間的區(qū)別。4向多播傳輸與VLAN中的廣播效果相同，并且1向多播傳輸與單播相同。在單播中，威脅將需要更多的時(shí)間才能擴(kuò)散。而在廣播中則耗費(fèi)時(shí)間較少，這或許導(dǎo)致網(wǎng)絡(luò)流量達(dá)到峰值。事實(shí)上，3向多播傳輸和2向多播傳輸是兩種最普遍的通信方式。然而，在VLAN中固定數(shù)量的智能電子設(shè)備并不具有可擴(kuò)展性和靈活性以適應(yīng)更智能的變電站?；谲浖x多播的電網(wǎng)威脅防御方法提供了另外三種可行的通信方式。這些曲線的相似性證明了這種結(jié)構(gòu)的可行性。

圖5(a)至圖5(d)分別描述了現(xiàn)在普遍使用的IEC61850和基于軟件定義多播的電網(wǎng)威脅傳播方法之間的性能區(qū)別。它體現(xiàn)了軟件定義多播的電網(wǎng)威脅傳播能夠減緩?fù){在通信過(guò)程中擴(kuò)散速度。帶圈標(biāo)記曲線由于有限的網(wǎng)絡(luò)資源，最終趨于平緩飽和，而軟件定義多播的電網(wǎng)威脅傳播則始終處于藍(lán)色曲線下方，說(shuō)明運(yùn)用軟件定義多播的電網(wǎng)威脅傳播確實(shí)能夠更好地抑制威脅傳播。

圖6(a)至圖6(c)描述了在不同傳播方式下基于軟件定義多播的電網(wǎng)威脅傳播方法的性能。從圖中可以看出面向內(nèi)容感知的軟件定義多播傳輸威脅防范結(jié)構(gòu)在多種傳播方式下均對(duì)威脅傳播具有有效的抑制作用。

綜上，本發(fā)明在考慮了智能電網(wǎng)中的信息安全傳輸、訪問(wèn)的基礎(chǔ)上，降低了威脅信息擴(kuò)散速度，能夠有效保護(hù)電網(wǎng)結(jié)構(gòu)。

以上對(duì)本發(fā)明的具體實(shí)施例進(jìn)行了描述。需要理解的是，本發(fā)明并不局限于上述特定實(shí)施方式，本領(lǐng)域技術(shù)人員可以在權(quán)利要求的范圍內(nèi)做出各種變化或修改，這并不影響本發(fā)明的實(shí)質(zhì)內(nèi)容。在不沖突的情況下，本申請(qǐng)的實(shí)施例和實(shí)施例中的特征可以任意相互組合。