电力工控网络指的是控制电力系统工业运行的网络，可以实现发电、配电、用电等多个环节的控制，进而提高电力系统的运行安全。电力工控网络运行中难免会出现故障，继电保护是一种通过故障隔离和切除保护电力工控网络安全运行的一种措施，已被广泛地应用于电力系统[1]。继电保护技术逐步向多功能、智能化方向发展，配备了通讯接口，可与调度中心进行通信。但是继电保护信息在电力工控网络通信中存在数据泄露的风险，容易造成电气企业财政损失，为此一般会对继电保护数据进行加密后传输。调度中心对加密数据包自动解析的速度和质量影响电力工控网络运行安全，具有重要的研究意义。

文献[2]提出基于FPGA的160 Gbit/s网络数据包过滤解析系统。对16通道输入的网络数据包进行解析，提取关键字段，采用哈希表的方式和轮询仲裁机制实现多通道查询。解析过滤输出符合规则的数据包；文献[3]提出了多客户端适应性数据解析方法。在DB2操作会话采集客户端的请求以固定格式进行解析，并转发到服务端。在服务端响应后利用“跳跃特征”模糊算法对响应数据进行解析，并转发到客户端。

以上解析方法在实际应用中没有识别和去除大量数据包头信息，存在数据解析丢失量高、解析速度慢的问题，为了提高数据解析质量和效率，提出继电保护数据包安全性自动解析方法。利用Libnids捕捉函数自动分组周期捕捉数据包，剔除包头和包尾信息；采用了变长编码方法分析数据包熵编码并整合，完成数据包自动解析。

1、继电保护数据包安全性自动解析方法设计

1.1 电力工控网络继电保护方案

在分层分配的基础上，充分考虑了电力工控网络的集中和分布特性，将其分为终端层、区域控制层和主站层三个层面，如图1所示。

图1电力工控网络结构图

图1中主站层的工作任务是运行管理电力系统。区域控制层包括多个区域保护控制子站。

以构建的电力工控网络层次化结构模型为基础，通过故障方向判断、故障区域定位以及线路分流保护等步骤，实现电力工控网络的继电保护。功率方向元件依据故障状态下功率的流动方向或电压与电流的关系判断故障方向，判据为：

式中，Uf和If分别表示的是电力工控网络中组成元件的电压值和电流值，φ表示电压电流的相交差，α为功率方向继电器的内角。采用广域保护的分布式数据通信方式实现了两个终端间的实时数据交换；采用纵联电流差动保护方式进行继电保护，其原理是通过比较线路两端的电流幅值、相位、功率方向等电气量的差异来判定保护区是否出现了故障，从而实现跳闸。线路纵联差动保护结构如图2所示。

图2纵联差动继电保护原理图

线路纵联差动保护在母线向导线的方向是电流的正方向，将导线头端的短路电流之和确定为差分电流，其表达式为：

式中，IM和IN分别为电工工控网络首端和末端的电流向量，Id为差分电流。

1.2 自动捕获电力工控网络继电保护数据包

捕捉数据包是保证网络安全系统其他功能的前提[4]。图3为继电保护数据包的自动捕获流程。

图3电力工控网络继电保护数据包捕获流程图

在网卡开启之后，启动数据包捕捉程序，并对所捕捉的包进行过滤、缓冲等处理[5]。在采集数据包时，通过将网卡设定为混合方式，并对网络的底层进行直接的访问，从而实现对全部的数据包的捕捉[6]。捕获结果包含数据本身和封装的包头两部分，通过调用Libnids捕捉函数来完成对网络分组的周期捕捉。具体步骤是首先对Libnids进行初始化，打开网络接口、文件，编译分组过滤规则，判断网络链路类型；其次，调用Libnids函数pcap＿loop()周期循环捕获数据包。获得文件描述符号，执行成功则返回文件描述符，继续捕捉包头数据，失败则返回-1，循环上一步，直至成功；再次，依次调用捕获数据包函数pcap＿dispatch()和pcap＿next()捕获包头数据包；最后检验分组结果合格后，完成周期捕捉。

1.3 继电保护数据包加密传输

在继电保护数据包传输过程中，将被传送的继电保护分组分成若干个分段，每个分段称为TCP分段[7]。每一TCP数据段以IP数据包的形式传送。IP可以选择传输路径将数据传输至目标地址，但不能确保所有的数据都能抵达，并且不能保证所收到的数据包的次序相同。TCP则可以很好地解决这个问题，将TCP的数据片段组装到接收端，并形成连续的数据流[8]。在接收端，TCP按照传输之前的次序进行恢复，如果出现错误，TCP会请求重新传输，TCP/IP协议便能在Internet上实现继电保护数据包的安全传输。

为了保证继电保护数据包的传输安全，在传输端一般会对数据包进行加密处理，为保证数据包的顺利解析，需要在数据包传输过程中将数据包、密钥分别传输给解析终端。在理想状态下，解析终端接收到的数据可以表示为：

式中，hBA(t)表示的是传输信道状态函数，x(t)为封装加密后的继电保护数据包，key(t)为继电保护数据的加密密钥。其中key(t)的具体取值可以表示为：

式中，nm和nm-1分别表示的是第m和m-1个传输路径的相对时延，为多径平均时延[9]。将式（4）的密钥生成结果代入到式（3）中，与电力工控网络继电保护数据包一同传输，并在传输协议的作用下，实现数据包与密钥的成功接收。

1.4 实现继电保护数据包安全性自动解析

综合电力工控网络继电保护数据包封装方式、传输协议等因素，利用接收的密钥，从数据包过滤、解密、解压缩等方面，实现数据包的安全性自动解析。

1.4.1 数据包拆封

由于数据包捕获程序工作在网络的底层工作，因此，当网卡处于混合模式时，从底层获取的数据包包含了包头和数据内容。必须将数据包打开，去除数据包头的信息。电力工控网络的继电保护数据包的解封封装的逆过程。首先，在数据链路层的帧包头中，包括发送者和接收者的实体地址，而目标地址位于前源地址之后。在一个网络中，如果某接收端在某个帧中找到了与其自身的物理地址一致的位置，则对该帧进行校验，剔除了包头和包尾信息，并将其抽取出来，并将其传送至上一层[10]。在去除了包头之后，IP包被送到了网络层。通过对IP包头的分析，可以得到IP地址和目标IP地址。在去掉包头IP报头之后，可以得到TCP报文。在TCP包头标识的基础上，通过对IP包进行重组，形成一个完整的TCP流。去除数据包头，按照协议规范对协议进行分析，恢复所获取的数据。通过对SMTP/POP3协议进行解析，可以还原发送的邮件内容，对HTTP协议进行解析，可以恢复目标主机的浏览页面，通过FT'P协议，可以恢复成发送时的文件名称和密码。

1.4.2 数据包解密

为保证电力工控网络继电保护数据包的安全性，解析端接收的数据包为加密数据包，从加密数据包中读取8字节分成8组密文矩阵，记为Y。利用式（5）将密文矩阵赋值于解密矩阵。

式中，X0为解密矩阵。定义解密密钥扰乱矩阵R(keyu)对首轮解密矩阵进行逆向扰乱异或运算，其输出结果与解密随机化控制矩阵E(keyu)-1进行逆向循环移位运算和迭代异或运算，获得解密矩阵的更新结果，上述解密过程可以表示为：

式中E(keyn-i+1)-1和R(keyn-i+1)的求解公式如下：

式中，S(n-i+1)为解密随机化编号矩阵，j的取值区间为[0,8]。按照上述流程执行多轮解密操作，并得出对应的解密矩阵更新结果，当执行解密轮数i的值等于解密最大执行次数n时，将最新的解密矩阵Xi赋值给明文矩阵，即为电力工控网络继电保护数据包的安全解密结果。

1.4.3 数据包解压缩

数据解压缩包括自适应熵解码和后处理两个步骤。在自适应熵译码中，先根据资料确定其编码模式，再根据相应的编码方法进行译码，因为采用了变长编码方法，因此必须逐一进行熵编码分析。后处理包括逆映射与解相关两个环节，其中逆映射公式如下：

式中，δi为预处理后的熵，θi为预测像素单元值与0之间差值的最小值，xmax、xmin和分别为继电保护数据包的最大值、最小值以及平均值[11]。自适应熵解码要求将数据逐个数据读入，逐个进行熵编码分析，后处理则依据分析的结果和参考数据，实现对继电保护数据进行逆映射及解相关处理。按照上述流程实时更新数据包的解压缩状态，并实时判断数据包中的所有数据是否均已完成解压缩，当判断结果为“是”时，直接输出电力工控网络继电保护数据包的解压缩处理结果。

1.4.4 输出继电保护数据包解析结果

根据每个网络数据包承载信息的特点，分级解析数据包。对每个数据包包含信息的量化表达式如下：

式中，Qip、Qpt、Qp、Qdata和Qother分别表示的是IP地址、端口号、协议类型、网络通讯数据以及其他信息[12]。以数据包中IP地址信息的解析为例，IP地址是网络通信的一个地址，IP地址是确保数据包高效传输的，每一个发送的包都含有目标IP和源IP地址。对于每个数据包中IP地址的解析结果可以表示为：

式中，fip()表示的是IP地址的解析方法，同理可以得出端口号、协议类型、网络通讯数据以及其他信息的解析结果，并通过对解析结果的整合，以可视化的方式输出解析结果。

2、解析性能测试实验分析

以测试优化设计的电力工控网络继电保护数据包安全性自动解析方法的解析性能为目的，设计性能测试实验，并通过与现有解析方法的对比，体现出优化设计方法在性能方面的优势。

2.1 配置测试环境

此次性能测试实验环境的选择分为两个方面，为给实验提供真实的数据样本，选择某10 kV的电力工程网络作为样本数据来源环境，电力工控网络的基本拓扑结构如图4所示。

图4电力工控网络拓扑结构图

选择的电力工控网络的电源容量为150 MVA，图4中A、B、C和D分别表示的是网络接口，其中A为电源接口。选择的电力工控网络在最大和最小运行方式下的阻抗值分别为0.1Ω和1.0Ω，组成该网络的线路均为架空线，L1、L2、L3、L4、L5、L6和L7对应的长度分别为5 km、10 km、15 km、6 km、12 km、12 km和10 km，线路电阻值分别为1Ω、1.5Ω、1.75Ω、0.75Ω、1.25Ω、1.25Ω和1.5Ω。在实验过程中，采用人为破坏的方式在不同的时刻设置短路故障，并保证每次故障的持续时间均大于1.5 s。此外，为了给优化设计的电力工控网络继电保护数据包安全性自动解析方法的运行提供硬件支持，在实验环境中安装PC机作为主测计算机，经过调试保证该设备运行正常。

2.2 安装继电保护装置

根据电力工控网络的继电保护要求，在网络环境中安装继电保护装置，该装置的准备情况以及接线方式如图5所示。

图5继电保护装置安装与接线图

为了使继电保护设备发挥其应有的作用，必须对电力工控网络中的电压、电流进行测量，同时还要对其进行状态数据的采集。由于直接获取的仿真数据无法通过CPU直接进行处理，需要将其转化成较弱的数据，然后通过AD变换将其转化成数字信号。CPU通过AD变换的电压和电流进行逻辑计算，并对故障进行判定，将判定结果发送给控制器，由控制器对相应的断路器进行控制。由于该终端的保护设备必须与另一端的保护设备进行故障成分阻抗值的信息交换，所以在设备中必须包括以太网通信模块。此外，装置中应包含电源模块，向装置中的各个模块供电。

2.3 准备电力工控网络继电保护数据包样本

在电力工控网络的不同位置上设置测点并安装传感器装置，传感器装置与继电保护装置之间存在同步关系，即在继电保护装置启动的同时将传感器设备调整至工作状态，此时获取的数据即为继电保护数据样本，而当继电保护装置终止工作时，传感器设备随之停止，由此保证准备的数据样本均为继电保护数据。在不同的采样终端对初始数据进行压缩、加密、封装处理，得出实验使用的继电保护数据包样本的准备结果，如表1所示。

表1电力工控网络继电保护数据包样本

通过加密方式的确定，可以得出数据包密钥。此次实验准备的数据包样本数量共200个，按照表1表示的方式，标记数据包的内容，以此作为验证解析结果是否正确的对比标准。

2.4 描述性能测试实验过程

按照既定传输路径，将准备好的电力工控网络继电保护数据包传输给解析终端，并控制传输环境中无干扰信号。通过安全性自动解析程序的运行，输出最终的数据包解析结果，如图6所示。

图6继电保护数据包自动解析结果

为形成实验对比，实验中设置传统的基于部分空间耦合扰乱编码的数据包解析方法作为实验的对比方法，并保证两种方法处理的数据包样本相同。

2.5 设置性能量化测试指标

此次实验分别从解析的安全性和自动性两个方面进行测试，设置解析数据丢失量和解析结果匹配度作为反映方法安全性的量化测试指标，其数值结果为：

式中，βset和βanalysis分别为继电保护数据包的设置大小与解析大小，analysis,i和set,i对应的是第i个信息的解析值和设置值，参数m为解析信息的数量。最终计算得出解析数据丢失量越少、解析结果匹配度越高，证明对应解析方法的安全性越高。而解析方法自动性能的测试指标设置为解析响应时间，其数值结果可以表示为：

式中，Tout和Tin分别表示解析结果的输出时间以及继电保护数据包样本的输入时间。计算得出响应时间的值越大，说明对应解析方法的自动化性能越差。

2.6 性能测试实验结果与分析

通过相关数据的统计以及式（11）的计算，得出解析方法安全性能的测试结果，如表2所示。

表2解析方法安全性能测试数据表

图7解析方法自动化性能测试对比结果

经过平均值计算得出两种方法的平均数据丢失量为1.39 MB和0.35 MB，解析结果匹配度的平均值分别为0.76和0.95，由此证明，优化设计解析方法的安全性更高。从自动化性能方面来看，将解析方法的后台运行数据代入到式（12）中，得出自动化性能的测试对比结果，如图7所示。

从图7中可以直观地看出，优化设计解析方法的响应时间明显低于基于部分空间耦合扰乱编码的数据包解析方法，即优化设计方法在自动化性能方面更加具有优势。

3、结束语

要保证电力工控网络的安全稳定运行，必须加大对继电保护装置的使用力度，为此设计电力工控网络继电保护数据包安全性自动解析方法。实验结果表明该方法降低了数据丢失量和响应时间，提高了数据包解析的质量和效率，可以为继电保护工作提供有效的数据支持，有效提高继电保护设备在电力工控网络中的作用，为今后的电网自动化、智能化发展奠定了坚实的基础。

参考文献:

[1]张立,阎彬.基于广度优先搜索的继电保护定值联系校核研究[J].自动化技术与应用,2022,41(6):95-98.

[2]周榕,翁天恒,陈天杨,等.基于FPGA的160 Gbit/s网络数据包过滤系统设计[J].电子测量技术,2021,44(15):155-161.

[3]黄河,陈君,韩陆超.基于中间人的DB2数据的多客户端适应性解析[J].网络新媒体技术,2021,10(5):52-58.

[4]王刚,彭华,唐永旺,等.Lempel-Ziv-Welch(LZW)压缩数据误码修复技术[J].北京理工大学学报,2020,40(5):562-569.

[5]朱智燊,凌捷,林鹏.基于隐蔽信道的工控系统数据完整性校验方法[J].计算机工程与应用,2020,56(9):125-130.

[6]赵宇,殷树娟,李翔宇.一种可重构以太网数据包解析器中可重构单元的设计[J].计算机工程与科学,2020,42(2):220-228.

[7]郑博文,王增平,吕哲,等.基于暂态量的继电保护研究[J].电力系统保护与控制,2020,48(22):18-25.

[8]窦健,郑国权,郄爽,卢继哲,赵羚,苏航.用电信息采集系统的相关性数据压缩方案研究[J].电测与仪表,2021,58(10):80-86.

[9]丁保迪,季宇,王永刚,等.面向多能互补微网的故障辨识与继电保护算法[J].电力建设,2020,41(4):10-21.

[10]叶远波,黄太贵,谢民,等.小电阻接地系统高阻和间歇性弧光接地故障继电保护研究[J].电网与清洁能源,2021,37(9):9-17,26.

[11]李锦明,王国栋,刘梦欣,等.CCSDS标准下LDPC码的编译码算法研究[J].电子学报,2020,48(11):2114-2121.

[12]曹蓉,赵德政,郭佳,等.基于FPGA的低资源极化码SC译码架构研究与实现[J].电子技术应用,2020,46(9):74-78,84.

基金资助:广东电网有限责任公司(GDKJXM20198529);

文章来源:黎新,宾冬梅,杨春燕,等.电力工控网络继电保护数据包安全性自动解析方法[J].自动化技术与应用,2024,43(10):207-211.