本發(fā)明屬于iec61850數(shù)字變電站安全領(lǐng)域,采用報(bào)文模板匹配技術(shù)完成goose數(shù)據(jù)包數(shù)據(jù)的結(jié)構(gòu)化呈現(xiàn)還原,通過報(bào)文數(shù)據(jù)項(xiàng)的上下文多級(jí)關(guān)聯(lián)分析技術(shù),實(shí)現(xiàn)一種對(duì)iec61850智能變電站中的goose數(shù)據(jù)報(bào)文的入侵檢測(cè)方法。
背景技術(shù):
:iec61850是基于通用網(wǎng)絡(luò)通信平臺(tái)的變電站自動(dòng)化系統(tǒng)的國際標(biāo)準(zhǔn),它可以實(shí)現(xiàn)變電站自動(dòng)化系統(tǒng)產(chǎn)品的互操作性和協(xié)議轉(zhuǎn)換。采用iec61850標(biāo)準(zhǔn)可使變電站自動(dòng)化設(shè)備具備自描述、自診斷和即插即用的特性,很大程度上使數(shù)字變電站系統(tǒng)的集成變得簡單,減少了變電站自動(dòng)化系統(tǒng)的開支。iec61850標(biāo)準(zhǔn)也使得智能電網(wǎng)的網(wǎng)絡(luò)形態(tài)正從過去的封閉系統(tǒng)走向半封閉和逐漸開放。這個(gè)變化過程加速了變電站智能化的進(jìn)程的同時(shí),也帶來了智能變電站的安全上的隱患。其中iec61850數(shù)字變電站采用的基于開放標(biāo)準(zhǔn)的網(wǎng)絡(luò)技術(shù)之上,導(dǎo)致系統(tǒng)的安全性降低。具體表現(xiàn)為iec61850協(xié)議本身并沒有考慮任何安全措施,一旦攻擊者繞過物理防護(hù),直接進(jìn)入調(diào)度中心和變電站網(wǎng)絡(luò),可直接通過通信協(xié)議實(shí)現(xiàn)對(duì)智能變電站設(shè)備的控制。iec62351協(xié)議標(biāo)準(zhǔn)實(shí)現(xiàn)了對(duì)iec61850協(xié)議的安全加固,使得iec61850協(xié)議具有了這些基本的安全功能。這種加固主要包括:1,通過通過數(shù)字簽名,提供節(jié)點(diǎn)的雙向身份認(rèn)證;2,通過加密,提供傳輸層認(rèn)證、加密密鑰的機(jī)密性;3,通過加密,提供傳輸層及以上層次消息的機(jī)密性,防止竊聽;4,通過消息鑒別碼,提供傳輸層及以上層次消息的完整性;5,通過定義傳輸序列號(hào)有效性,防止傳輸層的重放和欺騙。由此可見,iec62351協(xié)議對(duì)iec61850協(xié)議的安全性加固是建立在加密和信息的數(shù)字驗(yàn)證基礎(chǔ)之上,而在實(shí)際生產(chǎn)環(huán)境中這些安全加固方法無法適用于的iec61850中的goose實(shí)時(shí)性要求極高的報(bào)文。通用面向?qū)ο蟮淖冸娬臼录oose服務(wù)是iec61850提供的一個(gè)重要服務(wù)模型,為iec61850數(shù)字變電站中各類ied智能設(shè)備提供了一種快速且高效的網(wǎng)絡(luò)通訊方式。任何一ied智能設(shè)備通過以太網(wǎng)與其它ied設(shè)備相連,可通過goose協(xié)議以訂閱方式接收數(shù)據(jù),也可以發(fā)布方式向其它ied設(shè)備提供數(shù)據(jù)。goose傳輸是一種實(shí)時(shí)應(yīng)用,主要傳輸間隔閉鎖信號(hào)跳閘信號(hào)。根據(jù)iec61850協(xié)議規(guī)定,goose信息響應(yīng)時(shí)間標(biāo)準(zhǔn)規(guī)定在4ms以內(nèi),而目前通常的ied設(shè)備采用的都是低功耗的cpu,這類cpu的計(jì)算功能并不是很強(qiáng)大,而對(duì)goose報(bào)文的加解密和數(shù)字認(rèn)證過程會(huì)極大地占用ied設(shè)備的cpu的使用時(shí)間,導(dǎo)致ied設(shè)備的運(yùn)行效率極度下降,使得ied設(shè)備對(duì)goose報(bào)文的響應(yīng)時(shí)間無法在4ms內(nèi)完成,從而影響了整個(gè)數(shù)字變電站的正常運(yùn)行。由于goose報(bào)文的實(shí)時(shí)性要求高的特點(diǎn),因此iec61850標(biāo)準(zhǔn)中的goose報(bào)文的安全加固在實(shí)際應(yīng)用中通常無法通過iec62351的加密和數(shù)字驗(yàn)證的方法來完成,需要重新尋找一套適合目前各類智能變電站實(shí)際情況的goose報(bào)文安全加固和入侵檢測(cè)解決方案,來保護(hù)智能變電站的安全運(yùn)行。技術(shù)實(shí)現(xiàn)要素:本發(fā)明提供一種對(duì)iec61850數(shù)字變電站goose報(bào)文的入侵檢測(cè)的實(shí)現(xiàn)方法,目的在于解決現(xiàn)有技術(shù)中iec61850標(biāo)準(zhǔn)中的goose報(bào)文的安全加固在實(shí)際應(yīng)用中通常無法通過iec62351的加密和數(shù)字驗(yàn)證的方法來完成。本發(fā)明通過以下技術(shù)方案實(shí)現(xiàn):一種對(duì)iec61850數(shù)字變電站goose報(bào)文的入侵檢測(cè)的方法,其特征在于:所述實(shí)現(xiàn)方法包括如下步驟;1)goose報(bào)文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化:goose報(bào)文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化機(jī)制是為了對(duì)iec61850數(shù)字變電站中網(wǎng)絡(luò)里各類報(bào)文中迅速提取出需要進(jìn)行檢測(cè)的goose的報(bào)文和對(duì)報(bào)文內(nèi)容進(jìn)行數(shù)據(jù)結(jié)構(gòu)化處理;2)goose報(bào)文的數(shù)據(jù)單元的多級(jí)關(guān)聯(lián)檢測(cè):goose通過快速過濾和數(shù)據(jù)結(jié)構(gòu)化提取完成后,多級(jí)檢測(cè)需要依次檢測(cè)報(bào)文中的若干數(shù)據(jù)單元項(xiàng),以完成對(duì)goose數(shù)據(jù)包報(bào)文的合規(guī)性檢測(cè);3)goose報(bào)文的危害性評(píng)估:根據(jù)檢測(cè)的方法將goose的報(bào)文分為三個(gè)安全級(jí)別,安全級(jí)別“0”為可信,代表該goose報(bào)文數(shù)據(jù)未包含任何威脅隱患,通過報(bào)文多級(jí)關(guān)聯(lián)檢測(cè)的報(bào)文可歸為“0”級(jí);安全級(jí)別“-1”代表可疑報(bào)文,包含檢測(cè)方法中的報(bào)文狀態(tài)和序列數(shù)檢測(cè)中的失序報(bào)文和報(bào)文時(shí)間檢測(cè)中的非合規(guī)報(bào)文;安全級(jí)別“-2”代表不可信報(bào)文,此類報(bào)文包含未通過數(shù)據(jù)項(xiàng)檢測(cè)的報(bào)文,未通過數(shù)據(jù)項(xiàng)檢測(cè)和狀態(tài)及序列數(shù)檢測(cè)的報(bào)文,未通過數(shù)據(jù)項(xiàng)檢測(cè)和時(shí)間項(xiàng)檢測(cè)的報(bào)文,這些報(bào)文都劃分為不可信報(bào)文。本發(fā)明進(jìn)一步技術(shù)改進(jìn)方案是:所述步驟2中g(shù)oose數(shù)據(jù)包報(bào)文的合規(guī)性檢測(cè)包括如下部分,1)goose報(bào)文的以太網(wǎng)絡(luò)類型及源目標(biāo)mac地址;2)goose報(bào)文的變化序號(hào)及順序序列號(hào)檢測(cè);3)goose報(bào)文的時(shí)間檢測(cè)。本發(fā)明的效益是通過對(duì)iec61850-goose報(bào)文的結(jié)構(gòu)和廣播通訊機(jī)制的研究,總結(jié)出goose報(bào)文在通訊過程中的可信狀態(tài)下報(bào)文中相關(guān)數(shù)據(jù)項(xiàng)所應(yīng)遵循的規(guī)則,從而建立起可疑和不可信goose報(bào)文的入侵檢測(cè)的機(jī)制及方法,從而確保數(shù)字變電站中各智能設(shè)備間的goose報(bào)文的安全可信。具體來說,本發(fā)明具有如下效果:1、本發(fā)明提供iec61850-goose報(bào)文的模板提取方法,采用模式樹的匹配技術(shù),能夠快速從各類協(xié)議報(bào)文中提取goose報(bào)文,并在模式匹配過程中完成報(bào)文內(nèi)容數(shù)據(jù)提取的結(jié)構(gòu)化處理,縮短了從報(bào)文類型識(shí)別到數(shù)據(jù)提取的過程;2、本發(fā)明對(duì)完成結(jié)構(gòu)化處理的報(bào)文數(shù)據(jù),設(shè)立了多級(jí)與關(guān)聯(lián)的檢測(cè)項(xiàng),防止各種形式的入侵報(bào)文的注入和非法篡改。其中一級(jí)檢測(cè)是對(duì)報(bào)文中的源和目標(biāo)的物理地址采用報(bào)文協(xié)議可信匹配機(jī)制,通過預(yù)先定義接收goose報(bào)文智能設(shè)備的可信源,完成對(duì)非可信設(shè)備報(bào)文的過濾;3、本發(fā)明建立了goose報(bào)文的關(guān)聯(lián)檢測(cè)機(jī)制,例如,對(duì)goose報(bào)文中應(yīng)用協(xié)議單元中的報(bào)文變化序號(hào)(stnum)和順序序列數(shù)(sqnum)的關(guān)聯(lián)檢測(cè)機(jī)制,涵蓋了goose報(bào)文的全生命周期的變化檢測(cè),能夠及時(shí)發(fā)現(xiàn)常見的goose報(bào)文的暴力入侵和注入;而對(duì)協(xié)議單元中的二進(jìn)制控制數(shù)據(jù)項(xiàng)與報(bào)文狀態(tài)和序列數(shù)的再次關(guān)聯(lián)檢測(cè),可檢測(cè)出大部分隱蔽性極高的goose入侵報(bào)文;4、本發(fā)明在時(shí)間級(jí)別的檢測(cè)上又設(shè)置了二級(jí)檢測(cè),報(bào)文產(chǎn)生時(shí)間和存活時(shí)間的可信度檢測(cè)和固定時(shí)間段接收?qǐng)?bào)文的流量的可信度檢測(cè);其中固定時(shí)間段接收?qǐng)?bào)文數(shù)量的檢測(cè)又分為接收數(shù)量超基準(zhǔn)值和未見報(bào)文,報(bào)文接收數(shù)量超標(biāo)可能存在拒絕服務(wù)的ddos攻擊,而一個(gè)時(shí)間段未見報(bào)文則存在著通訊報(bào)文被惡意截?cái)喙?。附圖說明圖1為本發(fā)明iec61850-goose通信協(xié)議棧示意圖;圖2為本發(fā)明iec61850-goose報(bào)文幀結(jié)構(gòu)示意圖;圖3為本發(fā)明goose報(bào)文入侵檢測(cè)方法流程。具體實(shí)施方式本發(fā)明提供了一種對(duì)iec61850數(shù)字變電站中用于在智能設(shè)備間(ied)傳輸控制和信號(hào)的goose報(bào)文的安全檢測(cè)方法,通過本發(fā)明能夠快速檢測(cè)出存在安全隱患的各類goose通訊報(bào)文。由圖1、2可見goose服務(wù)的通信協(xié)議棧由應(yīng)用層、表示層、數(shù)據(jù)層、鏈路層和物理層組成,會(huì)話層、傳輸層和網(wǎng)絡(luò)層均為空。這樣可以縮短報(bào)文的長度,減少傳輸?shù)难訒r(shí),滿足數(shù)據(jù)實(shí)時(shí)傳輸?shù)囊蟆?yīng)用層定義了iec61850-goose報(bào)文的應(yīng)用協(xié)議單元(apdu),表示層遵循asn.1ber對(duì)apdu進(jìn)行編碼,數(shù)據(jù)鏈路層基于iso/iec8802-3標(biāo)準(zhǔn)設(shè)置報(bào)文的傳輸優(yōu)先級(jí)、以太網(wǎng)類型、組播地址等。因?yàn)閕ec61850協(xié)議只定義了在變電站網(wǎng)絡(luò)中智能設(shè)備(ied)和應(yīng)用客戶端的通信協(xié)議,沒有考慮協(xié)議的安全性,即使后面推出的iec62351協(xié)議實(shí)現(xiàn)了對(duì)iec61850協(xié)議的安全加固,但對(duì)于實(shí)時(shí)性要求很高的控制和信號(hào)用的goose報(bào)文無法實(shí)現(xiàn)安全加固。這類goose報(bào)文極容易通過對(duì)報(bào)文內(nèi)容的篡改,實(shí)現(xiàn)到對(duì)數(shù)字變電站入侵攻擊。本發(fā)明通過對(duì)iec61850-goose原報(bào)文內(nèi)容的結(jié)構(gòu)化還原分析及時(shí)發(fā)現(xiàn)非法注入或遭到篡改的goose報(bào)文。本方法有三個(gè)步驟組成,1)goose報(bào)文快速過濾及報(bào)文數(shù)據(jù)結(jié)構(gòu)化,2)goose報(bào)文的多級(jí)關(guān)聯(lián)檢測(cè),3)goose報(bào)文的危害評(píng)估。1、goose報(bào)文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化goose報(bào)文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化機(jī)制是為了對(duì)iec61850數(shù)字變電站中網(wǎng)絡(luò)里各類報(bào)文中迅速提取出需要進(jìn)行檢測(cè)的goose的報(bào)文和對(duì)報(bào)文內(nèi)容進(jìn)行數(shù)據(jù)結(jié)構(gòu)化處理。goose報(bào)文過濾數(shù)據(jù)提取采用基于報(bào)文模板的多模式匹配,一次報(bào)文掃描完成goose報(bào)文數(shù)據(jù)項(xiàng)的識(shí)別和數(shù)據(jù)的結(jié)構(gòu)化處理。本發(fā)明的goose報(bào)文模板可由一系列的數(shù)據(jù)項(xiàng)模板單元組成,每個(gè)數(shù)據(jù)項(xiàng)模板單元定義在兩個(gè)“@”標(biāo)識(shí)符之間,模板單元由四部分組成,每部分彼此以“:”隔開。第一部分為該數(shù)據(jù)項(xiàng)單元對(duì)應(yīng)源報(bào)文的原始數(shù)據(jù)類型;第二部分為該數(shù)據(jù)項(xiàng)在源報(bào)文中的數(shù)據(jù)長度,數(shù)據(jù)項(xiàng)長度不定時(shí)缺省為空;第三部分為該數(shù)據(jù)項(xiàng)結(jié)構(gòu)化后的數(shù)據(jù)類型;第四部分為對(duì)應(yīng)報(bào)文數(shù)據(jù)項(xiàng)的名稱。前兩部分描述了該數(shù)據(jù)項(xiàng)在源報(bào)文中的數(shù)據(jù)形態(tài),后兩部分表達(dá)了數(shù)據(jù)項(xiàng)數(shù)據(jù)結(jié)構(gòu)化處理后的數(shù)據(jù)呈現(xiàn)方式。根據(jù)圖2可將goose報(bào)文可分解為下表中的模板單元數(shù)據(jù)項(xiàng),表中鍵名是報(bào)文數(shù)據(jù)鍵值對(duì)結(jié)構(gòu)化輸出中的鍵的名字:序號(hào)模板數(shù)據(jù)單元數(shù)據(jù)項(xiàng)名稱鍵名1@字節(jié):6:字節(jié):目標(biāo)地址@目標(biāo)地址單元macdst2@字節(jié):6:字節(jié):源地址@源地址單元macsrc3@字節(jié):2:字節(jié):tpid@802.1q以太網(wǎng)編碼幀的以太網(wǎng)類型tpid4@字節(jié):2:字節(jié):優(yōu)先級(jí)@用戶優(yōu)先級(jí)tci5@字節(jié):2:字節(jié):網(wǎng)絡(luò)類型@以太網(wǎng)絡(luò)類型ethertype6@字節(jié):2:字節(jié):應(yīng)用標(biāo)識(shí)@應(yīng)用標(biāo)識(shí)符;appid7@字節(jié):2:整數(shù):長度字節(jié)數(shù)@從appid開始包含在以太網(wǎng)pdu中字節(jié)數(shù)length8@字節(jié):2:字節(jié):保留字@保留字reserve19@字節(jié):2:字節(jié):保留字@保留字reserve210@字節(jié):1480:集合:應(yīng)用協(xié)議單元@goose報(bào)文應(yīng)用協(xié)議單元apdu11@字節(jié)::填充數(shù)據(jù)@填充數(shù)據(jù)macdata12@字節(jié):4:數(shù)據(jù):校驗(yàn)數(shù)據(jù)@校驗(yàn)數(shù)據(jù)crc以上各數(shù)據(jù)項(xiàng)模板單元可組成一個(gè)完整的goose幀報(bào)文模板:@字節(jié):6:字節(jié):目標(biāo)地址@@字節(jié):6:字節(jié):源地址@@字節(jié):2:字節(jié):tpid@@字節(jié):2:字節(jié):優(yōu)先級(jí)@@字節(jié):2:字節(jié):網(wǎng)絡(luò)類型@@字節(jié):2:字節(jié):應(yīng)用標(biāo)識(shí)@@字節(jié):2:整數(shù):長度字節(jié)數(shù)@@字節(jié):2:字節(jié):保留字@@字節(jié):2:字節(jié):保留字@@字節(jié):1480:集合:應(yīng)用協(xié)議單元@@字節(jié)::填充數(shù)據(jù)@@字節(jié):4:數(shù)據(jù):校驗(yàn)數(shù)據(jù)@數(shù)據(jù)項(xiàng)模板單元也可以由若干模板單元集合組成,如組成goose報(bào)文應(yīng)用協(xié)議單元(@字節(jié):1480:集合:應(yīng)用協(xié)議單元@)又可以由以下表中模板單元組成:序號(hào)模板數(shù)據(jù)單元數(shù)據(jù)項(xiàng)名稱鍵名1@字節(jié):65:字符串:控制模塊引用@控制塊引用gocbref2@字節(jié):4:整型:生存時(shí)間@報(bào)文生存時(shí)間timeallowedlive3@字節(jié):65:字符串:數(shù)據(jù)集@數(shù)據(jù)集dataset4@字節(jié):65:字符串:報(bào)文標(biāo)識(shí)@goose報(bào)文標(biāo)識(shí)goid5@字節(jié):8:時(shí)間:事件時(shí)間@事件產(chǎn)生時(shí)間time6@字節(jié):4:整數(shù):變化序號(hào)@報(bào)文變化序號(hào)stnum7@字節(jié):4:整數(shù):順序號(hào)@報(bào)文順序序號(hào)sqnum8@字節(jié):1:布爾:測(cè)試@測(cè)試位test9@字節(jié):4:整數(shù):配置版本@配置版本號(hào)confrev10@字節(jié):1:布爾:未配置好標(biāo)志@未配置好標(biāo)志ndscom11@字節(jié):4:整數(shù):數(shù)據(jù)集數(shù)目@數(shù)據(jù)個(gè)數(shù)numdatasetentries12@字節(jié)::集合:數(shù)據(jù)集值@數(shù)據(jù)值集合alldatasetgoose報(bào)文應(yīng)用協(xié)議單元(apdu)完整模板格式如下:@字節(jié):65:字符串:控制模塊引用@@字節(jié):時(shí)間:生存時(shí)間@@字節(jié):65:字符串:數(shù)據(jù)集@@字節(jié):65:字符串:報(bào)文標(biāo)識(shí)@@字節(jié):8:時(shí)間:事件時(shí)間@@字節(jié):4:整數(shù):變化序號(hào)@@字節(jié):4:整數(shù):順序號(hào)@@字節(jié):1:布爾:測(cè)試@@字節(jié):4:版本號(hào):配置版本@@字節(jié):1:布爾:未配置好標(biāo)志@@字節(jié):4:整數(shù):數(shù)據(jù)集數(shù)目@@字節(jié)::集合:數(shù)據(jù)集值@根據(jù)上面goose報(bào)文的協(xié)議模板,對(duì)goose協(xié)議數(shù)據(jù)包的模板匹配過程采用了“多模式樹模板匹配技術(shù)”,多模式模樹就是根據(jù)報(bào)文的模板建立一棵模式匹配樹,樹的節(jié)點(diǎn)就是數(shù)據(jù)項(xiàng)模板單元,每個(gè)數(shù)據(jù)項(xiàng)模板單元定義了原始數(shù)據(jù)到結(jié)構(gòu)化數(shù)據(jù)的匹配模式。通過一次goose模板模式樹與協(xié)議數(shù)據(jù)包的掃描交互完成goose報(bào)文數(shù)據(jù)單元的匹配結(jié)構(gòu)化處理,極大提高了goose報(bào)文分析和數(shù)據(jù)單元提取的效率;提取出的報(bào)文數(shù)據(jù)以鍵、值對(duì)的形式輸出存儲(chǔ),供相關(guān)數(shù)據(jù)項(xiàng)的多級(jí)關(guān)聯(lián)分析檢測(cè)。2、goose報(bào)文的數(shù)據(jù)單元的多級(jí)關(guān)聯(lián)檢測(cè)goose通過快速過濾和數(shù)據(jù)結(jié)構(gòu)化提取完成后,多級(jí)檢測(cè)需要依次檢測(cè)報(bào)文中的若干數(shù)據(jù)單元項(xiàng)(見圖2goose報(bào)文幀結(jié)構(gòu)圖中標(biāo)記灰色數(shù)據(jù)項(xiàng)),以完成對(duì)goose數(shù)據(jù)包報(bào)文的合規(guī)性檢測(cè):1)goose報(bào)文的以太網(wǎng)絡(luò)類型及源目標(biāo)mac地址這部分檢測(cè)涉及模板單元有“以太網(wǎng)絡(luò)類型(@字節(jié):2:字節(jié):網(wǎng)絡(luò)類型@)”、“報(bào)文目標(biāo)地址(@字節(jié):6:字節(jié):目標(biāo)地址@)”、“報(bào)文源地址(@字節(jié):6:字節(jié):源地址@)”。對(duì)報(bào)文源地址的檢測(cè)可以判斷goose報(bào)文是否來自可信的ied智能設(shè)備,太網(wǎng)絡(luò)類型的檢測(cè)可以提高過濾goose報(bào)文的準(zhǔn)確性。2)goose報(bào)文的變化序號(hào)及順序序列號(hào)檢測(cè)報(bào)文變化序號(hào)(stnum)與報(bào)文順序序號(hào)(sqnum)的合規(guī)檢測(cè)涉及到goose報(bào)文的應(yīng)用協(xié)議單元模板的數(shù)據(jù)項(xiàng)“報(bào)文變化序號(hào)”和“報(bào)文順序序號(hào)”,通過對(duì)前后報(bào)文中該兩個(gè)數(shù)據(jù)項(xiàng)值的自身比較、相互邏輯判斷和與其它數(shù)據(jù)項(xiàng)比較處理來檢測(cè)goose報(bào)文的安全性、可信性和合規(guī)性。如果當(dāng)前報(bào)文變化序號(hào)(stnum)小于前次報(bào)文的變化序號(hào),且當(dāng)前報(bào)文變化序號(hào)沒有被復(fù)位過,且當(dāng)前報(bào)文在生存周期內(nèi),則該goose報(bào)文未通過報(bào)文的變化序號(hào)及順序序列號(hào)檢測(cè)。如果當(dāng)前報(bào)文變化序號(hào)(stnum)大于前次報(bào)文變化序號(hào),且當(dāng)前報(bào)文順序序號(hào)(sqnum)不為0及報(bào)文順序序號(hào)未復(fù)位,且當(dāng)前報(bào)文在生存周期內(nèi),則該goose報(bào)文未通過報(bào)文的變化序號(hào)及順序序列號(hào)檢測(cè)。如果當(dāng)前報(bào)文變化序號(hào)(stnum)等于前次報(bào)文變化序號(hào),且當(dāng)前報(bào)文順序序列號(hào)(sqnum)等于或小于前次報(bào)文順序序列號(hào),則該goose報(bào)文未通過報(bào)文的變化序號(hào)及順序序列號(hào)檢測(cè)3)goose報(bào)文的時(shí)間檢測(cè)有關(guān)報(bào)文的時(shí)間項(xiàng)目檢測(cè)涉及報(bào)文模板中的數(shù)據(jù)項(xiàng)中的“事件產(chǎn)生時(shí)間”和“報(bào)文生存時(shí)間”的兩個(gè)數(shù)據(jù)項(xiàng),檢測(cè)步驟由以下項(xiàng)目組成:報(bào)文事件產(chǎn)生時(shí)間檢測(cè):當(dāng)報(bào)文事件產(chǎn)生時(shí)間晚于該報(bào)文的接收時(shí)間,該報(bào)文未通報(bào)文的時(shí)間檢測(cè)。報(bào)文的存活時(shí)間檢測(cè):當(dāng)該報(bào)文的接收時(shí)間減去報(bào)文的產(chǎn)生時(shí)間大于4ms,則該報(bào)文未通過goose報(bào)文的時(shí)間檢測(cè)。報(bào)文單位時(shí)間段流量檢測(cè):可根據(jù)某數(shù)字變電站網(wǎng)絡(luò)正常運(yùn)行時(shí)goose報(bào)文在單位時(shí)長出現(xiàn)的數(shù)量為基準(zhǔn)值,設(shè)定正常goose報(bào)文的基準(zhǔn)值范圍。當(dāng)在同一環(huán)境中發(fā)現(xiàn)goose報(bào)文在定義的相同時(shí)長中出現(xiàn)的數(shù)量遠(yuǎn)遠(yuǎn)大于基準(zhǔn)值或未接收到goose報(bào)文,則報(bào)文未通過報(bào)文的時(shí)間檢測(cè)。4)goose報(bào)文中的應(yīng)用協(xié)議(apdu)單元數(shù)據(jù)項(xiàng)檢測(cè)應(yīng)用協(xié)議單元數(shù)據(jù)項(xiàng)的檢測(cè)是為了保證相關(guān)應(yīng)用數(shù)據(jù)的完整性,防止協(xié)議單元中的二進(jìn)制控制數(shù)據(jù)被非法修改。該檢測(cè)涉及到報(bào)文應(yīng)用協(xié)議模板中的“數(shù)據(jù)值集合”數(shù)據(jù)項(xiàng)。iec61850協(xié)議中規(guī)定當(dāng)goose應(yīng)用協(xié)議單元中的二進(jìn)制控制數(shù)據(jù)的值改變,該報(bào)文變化序號(hào)(stnum)按順序增加,同時(shí)將報(bào)文順序序列號(hào)(sqnum)復(fù)位為0。通過這樣的關(guān)聯(lián)檢測(cè)機(jī)制可以發(fā)現(xiàn)二進(jìn)制數(shù)據(jù)單元項(xiàng)是否被篡改和非法報(bào)文的注入。3、goose報(bào)文的危害性評(píng)估根據(jù)檢測(cè)的方法將goose的報(bào)文分為三個(gè)安全級(jí)別,安全級(jí)別“0”為可信,代表該goose報(bào)文數(shù)據(jù)未包含任何威脅隱患,通過報(bào)文多級(jí)關(guān)聯(lián)檢測(cè)的報(bào)文可歸為“0”級(jí);安全級(jí)別“-1”代表可疑報(bào)文,包含檢測(cè)方法中的報(bào)文狀態(tài)和序列數(shù)檢測(cè)中的失序報(bào)文和報(bào)文時(shí)間檢測(cè)中的非合規(guī)報(bào)文;安全級(jí)別“-2”代表不可信報(bào)文,此類報(bào)文包含未通過數(shù)據(jù)項(xiàng)檢測(cè)的報(bào)文,未通過數(shù)據(jù)項(xiàng)檢測(cè)和狀態(tài)及序列數(shù)檢測(cè)的報(bào)文,未通過數(shù)據(jù)項(xiàng)檢測(cè)和時(shí)間項(xiàng)檢測(cè)的報(bào)文,這些報(bào)文都劃分為不可信報(bào)文。結(jié)合圖3就iec61850-goose報(bào)文的入侵檢測(cè)過程進(jìn)行詳細(xì)描述:1、接收iec61850報(bào)文后首先識(shí)別goose報(bào)文,報(bào)文通過goose報(bào)文的匹配模板,完成對(duì)goose類型報(bào)文的提取和報(bào)文數(shù)據(jù)的結(jié)構(gòu)化處理和數(shù)據(jù)的提??;2、完成結(jié)構(gòu)數(shù)據(jù)化處理的goose報(bào)文進(jìn)入多級(jí)關(guān)聯(lián)的報(bào)文檢測(cè)過程,第一級(jí)檢測(cè)為報(bào)文的可信度檢測(cè),檢測(cè)報(bào)文的源和目的物理地址是否匹配定義可信源,實(shí)現(xiàn)對(duì)非可信設(shè)備報(bào)文的過濾;3、可信的goose報(bào)文進(jìn)入報(bào)文變化序號(hào)(stnum)和順序序號(hào)(sqnum)數(shù)的關(guān)聯(lián)檢測(cè),報(bào)文狀態(tài)數(shù)的變化會(huì)影響報(bào)文序列數(shù),通過對(duì)前后報(bào)文中這報(bào)文數(shù)據(jù)參數(shù)的關(guān)聯(lián)檢測(cè),能夠檢測(cè)出可疑的報(bào)文,尤其是非法注入的報(bào)文;4、通過變化序號(hào)與順序序號(hào)檢測(cè)的報(bào)文進(jìn)入報(bào)文的時(shí)間級(jí)檢測(cè),時(shí)間級(jí)分兩個(gè)層級(jí)檢測(cè),報(bào)文產(chǎn)生時(shí)間和存活時(shí)間的可信度檢測(cè),以及單位時(shí)間報(bào)文接收量異常的檢測(cè);報(bào)文接收量異常檢測(cè)是檢測(cè)短時(shí)間內(nèi)接收?qǐng)?bào)文數(shù)量超標(biāo)(可能存在拒絕服務(wù)ddos攻擊)和未見報(bào)文(惡意截?cái)鄨?bào)文)。5、goose報(bào)文時(shí)間檢測(cè)后,開始goose應(yīng)用協(xié)議單元中二進(jìn)制控制數(shù)據(jù)的關(guān)聯(lián)檢測(cè),數(shù)據(jù)檢測(cè)涉及前后的goose報(bào)文及報(bào)文變化序號(hào)和順序序號(hào)。數(shù)據(jù)檢測(cè)是一種關(guān)聯(lián)檢測(cè),前后報(bào)文中的某個(gè)數(shù)據(jù)項(xiàng)發(fā)生變化時(shí)必然會(huì)影響到該報(bào)文的當(dāng)前報(bào)文中的變化序號(hào)和順序序號(hào)。數(shù)據(jù)項(xiàng)的關(guān)聯(lián)檢測(cè)可以發(fā)現(xiàn)非合規(guī)的報(bào)文。6、報(bào)文經(jīng)過可信源檢測(cè)、報(bào)文變化序號(hào)和順序序號(hào)檢測(cè)、報(bào)文時(shí)間檢測(cè)和數(shù)據(jù)項(xiàng)檢測(cè)后,報(bào)文進(jìn)入危害度評(píng)估系統(tǒng),評(píng)估系統(tǒng)根據(jù)報(bào)文通過的多級(jí)關(guān)聯(lián)流程檢測(cè)的結(jié)果給出相關(guān)報(bào)文的危害程度,本發(fā)明將報(bào)文分為三級(jí),0級(jí)為無害報(bào)文,-1級(jí)為可疑報(bào)文,-2為不可信報(bào)文。報(bào)文的危害性評(píng)估過程能夠提供一個(gè)辨別goose可信度的一個(gè)手段和方法。本發(fā)明方案所公開的技術(shù)手段不僅限于上述實(shí)施方式所公開的技術(shù)手段,還包括由以上技術(shù)特征任意組合所組成的技術(shù)方案。應(yīng)當(dāng)指出,對(duì)于本
技術(shù)領(lǐng)域:
的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也視為本發(fā)明的保護(hù)范圍。當(dāng)前第1頁12