本發(fā)明屬于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,尤其涉及一種基于iec61850的電力工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法及系統(tǒng)。
背景技術(shù):
工業(yè)控制系統(tǒng)是以計(jì)算機(jī)為基礎(chǔ)的生產(chǎn)過程控制與調(diào)度自動(dòng)化系統(tǒng),它可以對(duì)現(xiàn)場的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制,在電力、石油、化工等關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)中發(fā)揮著重要作用。隨著工業(yè)控制系統(tǒng)的復(fù)雜性和互連性不斷增加,惡意網(wǎng)絡(luò)攻擊的可能性也大幅增加。遵循傳統(tǒng)通信協(xié)議的工業(yè)控制網(wǎng)絡(luò),在設(shè)計(jì)之初對(duì)網(wǎng)絡(luò)安全威脅的考慮往往不足。不斷發(fā)展的工業(yè)控制系統(tǒng)可能被惡意攻擊者或心懷不滿的內(nèi)部員工視為攻擊的重點(diǎn)目標(biāo),在未經(jīng)授權(quán)的情況下利用系統(tǒng)脆弱點(diǎn)實(shí)現(xiàn)非法訪問和控制。這種入侵可能是一些簡單或高級(jí)持續(xù)的攻擊,并可能危及工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行。國內(nèi)外工業(yè)界和學(xué)術(shù)界對(duì)電力工控系統(tǒng)網(wǎng)絡(luò)安全問題愈加重視并更加關(guān)注,電力工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全問題已經(jīng)成為關(guān)系電力系統(tǒng)安全、可靠和穩(wěn)定運(yùn)行的工程實(shí)際問題。
隨著新的信息安全威脅的出現(xiàn),已有的針對(duì)一般it安全的方法,與基于iec61850標(biāo)準(zhǔn)的電力工控系統(tǒng)的運(yùn)行場景不能完全兼容。例如,傳統(tǒng)的it安全設(shè)備如防火墻、入侵檢測(cè)系統(tǒng)(ids)一般是無法解釋這種通信的應(yīng)用層數(shù)據(jù)。雖然iec62351標(biāo)準(zhǔn)為基于iec61850協(xié)議的網(wǎng)絡(luò)安全規(guī)定定義了一個(gè)框架,但廠家一般不會(huì)對(duì)其智能電子設(shè)備(ied)實(shí)施適當(dāng)?shù)姆雷o(hù)。在廠商響應(yīng)速度緩慢的情況下,電網(wǎng)公司如何應(yīng)對(duì)安全漏洞,使其能夠檢測(cè)和減輕再次出現(xiàn)的威脅成為亟待解決的問題。然而,現(xiàn)階段的入侵檢測(cè)方法還不能解決這類問題。
目前已經(jīng)發(fā)布的適用于電力工控系統(tǒng)的入侵檢測(cè)方法主要針對(duì)dnp3、ethernet/ip和modbustcp協(xié)議,這些snort檢測(cè)規(guī)則可以識(shí)別未經(jīng)授權(quán)的請(qǐng)求、不正確格式的協(xié)議請(qǐng)求及響應(yīng)、較少使用且危險(xiǎn)的命令,以及其它可能的攻擊情況。但基于iec61850的電力工控網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究仍處于初期階段。iec61850傳輸協(xié)議已被廣泛應(yīng)用于電力工控系統(tǒng)中(如智能變電站)。智能變電站工控網(wǎng)絡(luò)中的數(shù)據(jù)以明文方式進(jìn)行傳輸,導(dǎo)致信息傳輸可能存在被竊聽、嗅探或篡改的風(fēng)險(xiǎn)。例如,攻擊者可以發(fā)起中間人攻擊(mitm)以嗅探和收集遙測(cè)值、遠(yuǎn)程控制命令或其它遠(yuǎn)程信號(hào)。在每種情況下,它們可以被纂改后重新注入到通信系統(tǒng)中,將危及電力工控系統(tǒng)的穩(wěn)定性或降低系統(tǒng)的安全性,還可能在未來發(fā)起進(jìn)一步的攻擊。由于傳統(tǒng)電力工業(yè)系統(tǒng)缺乏控制指令認(rèn)證機(jī)制,惡意攻擊者可能會(huì)未經(jīng)授權(quán)訪問工控系統(tǒng),破壞信息的完整性和可用性,發(fā)起欺騙攻擊、重放攻擊和中間人攻擊,可能導(dǎo)致災(zāi)難性的損害并危及系統(tǒng)的安全運(yùn)行。現(xiàn)有的基于iec61850的入侵檢測(cè)系統(tǒng)存在著以下不足:(1)不能有效防范“零日攻擊”(未知威脅或未被發(fā)現(xiàn)的漏洞);(2)受報(bào)文制造規(guī)范(mms)和面對(duì)通用對(duì)象的變電站事件(goose)消息的影響,使得多數(shù)統(tǒng)計(jì)分析檢測(cè)方法產(chǎn)生錯(cuò)誤否定,錯(cuò)過真正攻擊;(3)檢測(cè)精度有待提高,未能適應(yīng)實(shí)際變電站。
技術(shù)實(shí)現(xiàn)要素:
發(fā)明目的:為解決現(xiàn)有技術(shù)中存在的問題,本發(fā)明提出了一種基于iec61850的電力工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法及系統(tǒng)。
技術(shù)方案:一種基于iec61850的電力工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法,包括:
acd訪問控制檢測(cè):用于在初始感染階段,防止試圖與控制服務(wù)器通信的惡意軟件活動(dòng)和攻擊;其包括從捕獲的報(bào)文中提取目的和源ip地址、目的和源mac地址或端口,并與預(yù)先建立的訪問控制白名單進(jìn)行比較,如果所述ip地址、mac地址或端口不屬于所述的訪問控制白名單,則視為可疑的ip地址、mac地址或端口;如果屬于所述的訪問控制白名單,則視為正常的ip地址、mac地址或端口;
pwd協(xié)議白名單檢測(cè):用于檢測(cè)變電站站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中的異常協(xié)議流量并告警;其包括對(duì)站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的支持的各種協(xié)議進(jìn)行設(shè)置,所述各種協(xié)議包括mms、cotp、tpkt、sntp、goose、smv和ieee1588;對(duì)于所述站控層網(wǎng)絡(luò),僅允許符合mms、cotp、tpkt或sntp協(xié)議的通信業(yè)務(wù),否則將認(rèn)為是可疑通信而生成告警信息;對(duì)于所述過程層網(wǎng)絡(luò),只允許goose、sv或ieee1588流量,否則將認(rèn)為是可疑流量而生成告警信息;
mbd基于模型的檢測(cè):用于檢測(cè)站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中惡意攻擊或無意異常的行為;其包括分析scd文件和iec61850報(bào)文內(nèi)容,并將檢測(cè)的報(bào)文與使用協(xié)議分析定義的正常行為模型進(jìn)行比較,如果出現(xiàn)違反任何正常行為模型的情形,將生成告警并記錄檢測(cè)結(jié)果;
mpd基于多參數(shù)的檢測(cè):用于通過監(jiān)測(cè)智能變電站的參數(shù)來識(shí)別由于內(nèi)部無意誤用或外部惡意攻擊而導(dǎo)致的威脅;其包括對(duì)來自站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的遙測(cè)數(shù)據(jù)和遙信數(shù)據(jù)進(jìn)行的檢測(cè),通過同源比對(duì)識(shí)別異常數(shù)據(jù),當(dāng)同源數(shù)據(jù)不一致時(shí),視為異常數(shù)據(jù);具體為遙信比較檢測(cè)和遙測(cè)比較檢測(cè)。
進(jìn)一步的,所述acd訪問控制檢測(cè)中,建立的訪問控制白名單包括數(shù)據(jù)鏈路層中的mac地址、網(wǎng)絡(luò)層中的ip地址和傳輸層端口的訪問控制白名單。
進(jìn)一步的,所述acd訪問控制檢測(cè)中,對(duì)所述視為可疑的ip地址、mac地址或端口,還將采取預(yù)設(shè)的動(dòng)作,其具體為:在ids模式下發(fā)出警報(bào),在ips模式下阻止,并記錄檢測(cè)結(jié)果;如下式(1):
其中,ac=macsrc,macdst,ipsrc,ipdst,portsrc,portdst,acwl表示建立的訪問控制白名單;macsrc,macdst,ipsrc,ipdst,portsrc,portdst分別表示源mac地址和目的mac地址,源ip地址和目的ip地址,以及源端口和目的端口;每個(gè)主機(jī)或設(shè)備都有唯一的<ip,mac>匹配;如果智能電子設(shè)備沒有被新的裝置替換,但如果兩個(gè)或多個(gè)mac地址對(duì)應(yīng)相同的ip地址,即判斷為發(fā)生欺騙攻擊。
進(jìn)一步的,所述對(duì)站控層網(wǎng)絡(luò)進(jìn)行的mbd基于模型的檢測(cè)具體為:
在站控層網(wǎng)絡(luò)中,基于映射到mms的acsi或sntp建立正常行為模型,如果違反任何正常行為模型,將生成告警并記錄檢測(cè)結(jié)果;所述正常行為模型的建立如下:
a)報(bào)告服務(wù)模型
在scd文件中,已配置每個(gè)智能電子設(shè)備的可實(shí)例化報(bào)告控制塊的最大數(shù)量;所提出的報(bào)告服務(wù)模型將每個(gè)智能電子設(shè)備的可實(shí)例化報(bào)告控制塊的最大數(shù)目定義為檢測(cè)規(guī)則;如果識(shí)別可能占用智能電子設(shè)備的所有可實(shí)例化報(bào)告控制塊的異常連接請(qǐng)求,則告警可疑拒絕服務(wù)dos攻擊并記錄檢測(cè)結(jié)果;
b)關(guān)聯(lián)服務(wù)模型
關(guān)聯(lián)服務(wù)模型定義了可連接的iec61850客戶端的最大數(shù)量;如果檢測(cè)到對(duì)客戶端的異常連接請(qǐng)求,則產(chǎn)生告警并記錄檢測(cè)結(jié)果;
c)設(shè)置服務(wù)模型
設(shè)置服務(wù)模型定義僅允許iec61850客戶端修改設(shè)置,如果違反該定義,將發(fā)出告警信息。
d)文件傳輸模型
acsigetfile服務(wù)由客戶端用于將文件的內(nèi)容從服務(wù)器傳輸?shù)娇蛻舳耍蛻舳耸褂胊csigetfileattributevalues服務(wù)來獲取服務(wù)器文件存儲(chǔ)中的特定文件的名稱和屬性,文件傳輸模型定義了iec61850客戶端只能傳輸單個(gè)文件,如果違反此定義,將生成告警并記錄檢測(cè)結(jié)果;
e)sntp模型
在變電站網(wǎng)絡(luò)中,sntp用于通過lan通信實(shí)現(xiàn)時(shí)間同步,sntp流量在傳輸層采用用戶數(shù)據(jù)報(bào)協(xié)議,在sntp流量方面,到iec61850服務(wù)器的用戶數(shù)據(jù)報(bào)協(xié)議連接的端口號(hào)應(yīng)為<123>,如果sntp流量的端口號(hào)不是<123>,將觸發(fā)告警并將結(jié)果保存在日志文件中;
f)時(shí)間相關(guān)模型
重要的控制命令具有時(shí)間相關(guān)的約束,該約束包括時(shí)間間隔限制和頻率限制,如果相同的合法命令發(fā)送太頻繁,則違反式(2)(3)規(guī)則,在每種情況下,將啟動(dòng)一些告警和日志動(dòng)作:
cv(n)-cv(n-1)<t→actions(alert,log)(2)
式(2)中cv是控制命令,n是正整數(shù)(n>1),并且t是時(shí)間間隔的極限;
式(3)中f表示頻率限制。
進(jìn)一步的,所述對(duì)過程層網(wǎng)絡(luò)進(jìn)行的mbd基于模型的檢測(cè)具體為:在過程層網(wǎng)絡(luò)中,基于goose和smv協(xié)議規(guī)范建立所述正常行為模型,如果違反任何正常行為模型,將生成告警并記錄檢測(cè)結(jié)果;gooseapdu具有十二個(gè)字段為gocbref,timeallowedtolive,datset,goid,t,stnum,sqnum,test,confrev,ndscom,numdatsetentries和alldata;根據(jù)iec61850-9-2、smv數(shù)據(jù)報(bào)在數(shù)據(jù)鏈路層中采用iso/iec8802-3;svapdu具有svid,smpcnt,confrev,smpsynch和seqdata五個(gè)字段,所述正常行為模型定義如下:
a)目的地址模型
在scd文件<communication>→<subnetwork>→<connectedap>中配置目的iso/iec8802-3多播地址用于傳輸goose/smv;goose報(bào)文和smv報(bào)文的目的地址字段分別以四個(gè)八位字節(jié)01-0c-cd-01和01-0c-cd-04開始。goose和smv的目的地地址如式(4)和(5):
式(4)中p是過程層網(wǎng)絡(luò)中捕獲的報(bào)文,pgoose表示goose報(bào)文,dstafield表示iso/iec8802-3幀格式中的目的地址字段的值;
式(5)中psmv表示smv報(bào)文;
b)tpid字段模型
標(biāo)簽協(xié)議標(biāo)識(shí)符字段2個(gè)八位字節(jié)顯示為802.1q以太網(wǎng)編碼幀分配的以太網(wǎng)類型;goose/smv報(bào)文中的tpid字段的值應(yīng)為0x8100,即
其中tpidfield表示tpid字段的值,并且pgoose/smv表示goose或smv報(bào)文;
c)ethertype字段模型
iso/iec8802-3的ethertype字段2個(gè)字節(jié)由ieee授權(quán)機(jī)構(gòu)注冊(cè),goose和smv的分配的ethertype值分別是0x88b8和0x88ba,即式(7)(8):
其中ethtfield是ethertype字段的值;
d)優(yōu)先級(jí)域模型
定義goose和smv報(bào)文的優(yōu)先級(jí)值,goose/smv的默認(rèn)值為4,同時(shí)在scd文件中配置,優(yōu)先級(jí)值應(yīng)該從0到7,即式(9):
式(9)中priofield是用戶優(yōu)先級(jí)字段的值;
e)appid字段模型
每個(gè)goose/smv控制塊在scd文件中具有唯一的appid,goose報(bào)文的appid字段2個(gè)八位字節(jié)是4位十六進(jìn)制[0000-3fff],并且smv報(bào)文的字段是[4000-7fff],如式(10)和(11):
f)長度模型
goose/smv報(bào)文的長度字段2個(gè)八位字節(jié)指定從appid到apdu開始的幀中的字節(jié)總數(shù),其等于8+m,其中,m是apdu的長度,m<1492,長度字段模型如式(12):
其中l(wèi)engfield是長度字段的值;
gooseapdu中的good字段的長度小于65字節(jié),即式(13),
其中l(wèi)engoidfield是good字段的長度;
g)timeallowedtolive字段模型
gooseapdu中的timeallowedtolive字段應(yīng)為doublemaxtime(2t0)。“maxtime”通常在scd文件中配置為<5000>、<communication>→<subnetwork>→<connectedap>→<gse>→<maxtime>;如果在10000ms內(nèi)沒有任何goose數(shù)據(jù)包,將發(fā)送通信中斷報(bào)警;
h)標(biāo)記字段模型
在goose標(biāo)記字段模型中,goose報(bào)文的gocbref,timeallowedtolive,datset,goid,t,stnum,sqnum,test,confrev,ndscom和numdatsetentries字段的標(biāo)記值是0x80,0x81,0x82,0x83,0x84,0x85,0x86,0x87,0x88,0x89和0x8a。在smv標(biāo)簽字段模型中,smv報(bào)文的svid,smpcnt,confrev和smpsynch字段的標(biāo)簽值分別為0x80,0x82,0x83和0x85;
i)smpcnt字段模型
smpcnt字段模型指定計(jì)數(shù)器的值,其在每次采樣模擬值的新樣本時(shí)遞增;當(dāng)合并單元mu的采樣率為4000hz時(shí),其中,80個(gè)采樣/周期,smpcnt的值在[0,3999]的范圍內(nèi)保持正確的順序,即式(14),
其中smpcfield是smpcnt字段的值;
j)相關(guān)模型
根據(jù)智能變電站的實(shí)際scd配置,appid字段等于目的地址字段的最后兩個(gè)八位字節(jié),被定義為相關(guān)域模型,即式(15):
其中dstafield(p)5,6表示目的地址字段的最后兩個(gè)八位字節(jié);
gooseapdu中的gocbref字段的類型是包括邏輯設(shè)備ld名稱、邏輯節(jié)點(diǎn)ln名稱、功能約束fc和控制塊cb名稱的字符串,即ld/ln$fc$cb;gooseapdu中的datset字段包括ld名稱、ln名稱和數(shù)據(jù)集ds名稱,即ld/ln$ds;gooseapdu中的goid字段的默認(rèn)值類似于gobi參考字段的默認(rèn)值,即ld/ln$cb;gocoref字段中的ld/ln值與dataset字段中的ld/ln值匹配;gocoref字段中的控制塊名稱與goid字段中的控制塊名稱匹配;gocbref:pm5001apigo/lln0$go$gocb1,dataset:pm5001apigo/lln0$dsgoose1,goid:pm5001apigo/lln0.gocb1,對(duì)應(yīng)的相關(guān)字典模型如式(16):
其中g(shù)ibfield,datsfield和goidfield分別表示gobiref,dataset和goid字段;
gooseapdu中的狀態(tài)數(shù)量stnum和序列號(hào)sqnum的變化嚴(yán)格遵守相關(guān)聯(lián)的行為模式;當(dāng)發(fā)送的goose消息中datset的值改變時(shí),stnum的值將增加,這將導(dǎo)致sqnum的值被設(shè)置為零;當(dāng)stnum的值沒有變化時(shí),sqnum的值將對(duì)每個(gè)goose傳輸遞增,但是它將在其最大值sqnummax=4,294,967,295處翻轉(zhuǎn)到0:
式(17)中stnum(gpi)和sqnum(gpi)分別表示第i個(gè)goose報(bào)文的stnum和sqnum值;
k)基于流量的模型
根據(jù)從實(shí)際變電站場景捕獲的業(yè)務(wù),基于業(yè)務(wù)的模型定義了每秒報(bào)文傳輸速率pps、每秒傳輸字節(jié)大小bps、報(bào)文長度lop和報(bào)文大小sop的上限和下限閾值,作為正常流量行為,如式(18):
其中ppsmin和ppsmax表示pps的下限和上限閾值。
進(jìn)一步的,所述遙信比較檢測(cè)具體為:在iec61850智能變電站中,過程層網(wǎng)絡(luò)中的智能電子設(shè)備采用goose報(bào)文來向間隔層中的智能電子設(shè)備發(fā)送遙信數(shù)據(jù),并從保護(hù)或測(cè)控裝置接收跳閘/合閘指令;所述遙信比較檢測(cè)通過比較goose報(bào)文和相關(guān)聯(lián)的mms報(bào)文來識(shí)別異常事件;如果過程層網(wǎng)絡(luò)中保護(hù)智能電子設(shè)備goose報(bào)文的開入信號(hào)和來自站控層網(wǎng)絡(luò)的相關(guān)聯(lián)的信號(hào)報(bào)告mms報(bào)文不一致,則將發(fā)生異常告警。
進(jìn)一步的,所述遙測(cè)比較檢測(cè)具體為:在iec61850智能變電站中,合并單元mu具有采樣值模型,并向保護(hù)測(cè)控裝置發(fā)送sv消息,所述遙測(cè)比較檢測(cè)包含兩個(gè)規(guī)則:
a)范圍檢測(cè)規(guī)則
采樣值具有上邊界值和下邊界值,如果測(cè)量值在預(yù)期范圍之外,則發(fā)出告警,即式(19):
其中smv(i)(i=i,u,...)表示不同的采樣值,電流i和電壓u;[smv(i)min-e(i),smv(i)max+e(i)]代表上下邊界之間的范圍,e(i)是測(cè)量公差,在正常操作情況下,根據(jù)變電站的設(shè)計(jì)和操作規(guī)范配置上下邊界,500(330)kv變電站的總線電壓上、下邊界設(shè)置為90%和110%額定電壓。
b)一致性檢測(cè)規(guī)則
間隔層中的雙重化配置智能電子設(shè)備為a和b組,從關(guān)聯(lián)的電流互感器ct/電壓互感器vt接收相同的mu采樣值,檢測(cè)已配置的合并單元smv參數(shù)和相關(guān)聯(lián)的多個(gè)保護(hù)設(shè)備的mms之間的不一致性,遙測(cè)比較的參數(shù)包括電壓、電流和差動(dòng)電流,如果違反一致性檢測(cè)規(guī)則,將發(fā)生異常告警。
本發(fā)明還提供一種基于iec61850的電力工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),包括:
acd訪問控制檢測(cè)模塊:該模塊用于在初始感染階段,防止試圖與控制服務(wù)器通信的惡意軟件活動(dòng)和攻擊;其通過預(yù)先建立的數(shù)據(jù)鏈路層中的mac地址、網(wǎng)絡(luò)層中的ip地址和傳輸層端口的訪問控制白名單進(jìn)行檢測(cè),從捕獲的報(bào)文中提取目的和源ip地址、目的和源mac地址或端口,并與建立的訪問控制白名單進(jìn)行比較,如果所述ip地址、mac地址或端口不屬于所述的訪問控制白名單,則視為可疑的ip地址、mac地址或端口,該模塊將采取預(yù)設(shè)的動(dòng)作;如果屬于所述的訪問控制白名單,則視為正常的ip地址、mac地址或端口;
pwd協(xié)議白名單檢測(cè)模塊:該模塊用于檢測(cè)變電站站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中的異常協(xié)議流量并告警;其通過設(shè)置站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的支持的各種協(xié)議,建立協(xié)議白名單進(jìn)行檢測(cè),所述各種協(xié)議包括mms、cotp、tpkt、sntp、goose、smv和ieee1588;對(duì)于所述站控層網(wǎng)絡(luò),該模塊僅允許符合mms、cotp、tpkt或sntp協(xié)議的通信業(yè)務(wù),否則將認(rèn)為是可疑通信而生成告警信息;對(duì)于所述過程層網(wǎng)絡(luò),該模塊只允許goose、sv或ieee1588流量,否則將認(rèn)為是可疑流量而生成告警信息;
mbd基于模型的檢測(cè)模塊:該模塊用于檢測(cè)站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中惡意攻擊或無意異常的行為;其通過分析scd文件和iec61850報(bào)文內(nèi)容,并將檢測(cè)的報(bào)文與使用協(xié)議分析定義的正常行為模型進(jìn)行比較,如果出現(xiàn)違反任何正常行為模型的情形,將生成告警并記錄檢測(cè)結(jié)果;
mpd基于多參數(shù)的檢測(cè)模塊:該模塊用于通過監(jiān)測(cè)智能變電站的參數(shù)來識(shí)別由于內(nèi)部無意誤用或外部惡意攻擊而導(dǎo)致的威脅;其通過對(duì)來自站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的遙測(cè)數(shù)據(jù)和遙信數(shù)據(jù)進(jìn)行的檢測(cè),通過同源比對(duì)識(shí)別異常數(shù)據(jù),當(dāng)同源數(shù)據(jù)不一致時(shí),視為異常數(shù)據(jù);具體包括遙信比較檢測(cè)模塊和遙測(cè)比較檢測(cè)模塊。
進(jìn)一步的,所述acd訪問控制檢測(cè)模塊將采取預(yù)設(shè)的動(dòng)作具體為:在ids模式下發(fā)出警報(bào),在ips模式下阻止,并記錄檢測(cè)結(jié)果;如下式(1):
其中,ac=macsrc,macdst,ipsrc,ipdst,portsrc,portdst,acwl表示建立的訪問控制白名單;macsrc,macdst,ipsrc,ipdst,portsrc,portdst分別表示源mac地址和目的mac地址,源ip地址和目的ip地址,以及源端口和目的端口;每個(gè)主機(jī)或設(shè)備都有唯一的<ip,mac>匹配;如果智能電子設(shè)備沒有被新的裝置替換,但如果兩個(gè)或多個(gè)mac地址對(duì)應(yīng)相同的ip地址,即該模塊判斷為發(fā)生欺騙攻擊。
有益效果:本發(fā)明提高了基于iec61850協(xié)議的工控系統(tǒng)的網(wǎng)絡(luò)安全性,提出了適用于基于iec61850的工控網(wǎng)絡(luò)入侵檢測(cè)方法及系統(tǒng),集成了電力業(yè)務(wù)知識(shí)、協(xié)議規(guī)范和邏輯行為,是一種能夠減輕多種網(wǎng)絡(luò)攻擊的綜合有效的解決方案。本發(fā)明包括訪問控制檢測(cè)、協(xié)議白名單檢測(cè)、基于模型的檢測(cè)和基于多參數(shù)的檢測(cè)。其中,訪問控制檢測(cè)可以防止試圖與控制服務(wù)器通信的惡意軟件活動(dòng)和攻擊,在初始感染階段尤為有效;協(xié)議白名單檢測(cè)可檢測(cè)變電站站控層和過程層網(wǎng)絡(luò)中的異常協(xié)議流量并告警;基于模型的異常行為檢測(cè)方法具有發(fā)現(xiàn)站控層和過程層網(wǎng)絡(luò)中惡意攻擊或無意異常的潛力;基于多參數(shù)的檢測(cè)通過監(jiān)測(cè)智能變電站的最敏感的參數(shù)來識(shí)別由于內(nèi)部無意誤用或外部惡意攻擊而導(dǎo)致的針對(duì)工控系統(tǒng)的可能威脅。本發(fā)明在模擬實(shí)際500kv智能變電站的網(wǎng)絡(luò)物理試驗(yàn)平臺(tái)進(jìn)行驗(yàn)證,證實(shí)了入侵檢測(cè)方法的實(shí)時(shí)性和可用性。
附圖說明
圖1為本發(fā)明的流程圖;
圖2為本發(fā)明中遙信比較檢測(cè)的流程圖;
圖3為本發(fā)明中一致性檢測(cè)的流程圖。
具體實(shí)施方式
下面將結(jié)合附圖,對(duì)本發(fā)明的實(shí)施案例進(jìn)行詳細(xì)的描述;
如圖1所示,本發(fā)明所述的一種基于iec61850的電力工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法包括:
acd訪問控制檢測(cè):用于在初始感染階段,防止試圖與控制服務(wù)器通信的惡意軟件活動(dòng)和攻擊;其包括建立數(shù)據(jù)鏈路層中的mac地址、網(wǎng)絡(luò)層中的ip地址和傳輸層端口的訪問控制白名單,如果任何地址或端口不在相應(yīng)的白名單中,將采取預(yù)設(shè)的動(dòng)作;
pwd協(xié)議白名單檢測(cè):用于檢測(cè)變電站站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中的異常協(xié)議流量并告警;其包括對(duì)站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的支持的各種協(xié)議進(jìn)行設(shè)置,建立協(xié)議白名單,所述各種協(xié)議包括mms、cotp、tpkt、sntp、goose、smv和ieee1588;對(duì)于所述站控層網(wǎng)絡(luò),僅允許符合mms、cotp、tpkt或sntp正常協(xié)議的通信業(yè)務(wù),否則將認(rèn)為是可疑通信而生成告警信息;對(duì)于所述過程層網(wǎng)絡(luò),只允許goose、sv或ieee1588正常流量,否則將認(rèn)為是可疑流量而生成告警信息;
mbd基于模型的檢測(cè):用于檢測(cè)站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中惡意攻擊或無意異常的行為;其包括分析scd文件(substationconfigurationdescription,全站系統(tǒng)配置文件)和正常的iec61850報(bào)文內(nèi)容,使用深入的協(xié)議分析定義正常行為模型,并將檢測(cè)的報(bào)文與正常行為模型進(jìn)行比較,構(gòu)建檢測(cè)模型識(shí)別異常偏差;
mpd基于多參數(shù)的檢測(cè):用于通過監(jiān)測(cè)智能變電站的最敏感的參數(shù)來識(shí)別由于內(nèi)部無意誤用或外部惡意攻擊而導(dǎo)致的威脅;其包括對(duì)來自站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的遙測(cè)和遙信數(shù)據(jù)進(jìn)行的檢測(cè),識(shí)別異常,具體為遙信比較檢測(cè)和遙測(cè)比較檢測(cè)。
同時(shí),本發(fā)明還提供一種能實(shí)現(xiàn)上述基于iec61850的電力工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)煩方法的系統(tǒng),包括:
acd訪問控制檢測(cè)模塊:該模塊用于在初始感染階段,防止試圖與控制服務(wù)器通信的惡意軟件活動(dòng)和攻擊;其通過建立數(shù)據(jù)鏈路層中的mac地址、網(wǎng)絡(luò)層中的ip地址和傳輸層端口的訪問控制白名單進(jìn)行檢測(cè),如果任何地址或端口不在相應(yīng)的白名單中,該模塊將采取預(yù)設(shè)的動(dòng)作;
pwd協(xié)議白名單檢測(cè)模塊:該模塊用于檢測(cè)變電站站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中的異常協(xié)議流量并告警;其通過設(shè)置站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的支持的各種協(xié)議,建立協(xié)議白名單進(jìn)行檢測(cè),所述各種協(xié)議包括mms、cotp、tpkt、sntp、goose、smv和ieee1588;對(duì)于所述站控層網(wǎng)絡(luò),該模塊僅允許符合mms、cotp、tpkt或sntp正常協(xié)議的通信業(yè)務(wù),否則將認(rèn)為是可疑通信而生成告警信息;對(duì)于所述過程層網(wǎng)絡(luò),該模塊只允許goose、sv或ieee1588正常流量,否則將認(rèn)為是可疑流量而生成告警信息;
mbd基于模型的檢測(cè)模塊:該模塊用于檢測(cè)站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)中惡意攻擊或無意異常的行為;其通過分析scd文件和正常的iec61850報(bào)文內(nèi)容,使用深入的協(xié)議分析定義正常行為模型,并將檢測(cè)的報(bào)文與正常行為模型進(jìn)行比較,構(gòu)建檢測(cè)模型來識(shí)別異常偏差;
mpd基于多參數(shù)的檢測(cè)模塊:該模塊用于通過監(jiān)測(cè)智能變電站的最敏感的參數(shù)來識(shí)別由于內(nèi)部無意誤用或外部惡意攻擊而導(dǎo)致的威脅;其通過對(duì)來自站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)的遙測(cè)和遙信數(shù)據(jù)進(jìn)行的檢測(cè),識(shí)別異常,具體包括遙信比較檢測(cè)模塊和遙測(cè)比較檢測(cè)模塊。
下面詳細(xì)描述本發(fā)明方法中各檢測(cè)的過程,同時(shí)也是本發(fā)明系統(tǒng)中各檢測(cè)模塊的實(shí)現(xiàn)過程:
(1)acd訪問控制檢測(cè)
acd是一種訪問控制白名單策略,其中包括數(shù)據(jù)鏈路層中的介質(zhì)訪問控制(mac)地址、網(wǎng)絡(luò)層中的ip地址和傳輸層中的端口。iec61850流量的tcp端口為<102>。如果任何地址或端口不在相應(yīng)的白名單中,該ids將采取預(yù)設(shè)的動(dòng)作。例如,在ids(intrusiondetectionsystem,入侵檢測(cè)系統(tǒng))模式下發(fā)出警報(bào),在ips(intrusionpreventionsystem,入侵防御系統(tǒng))模式下阻止,并記錄檢測(cè)結(jié)果。如下式(1):
在這里,ac=macsrc,macdst,ipsrc,ipdst,portsrc,portdst,acwl表示相應(yīng)的白名單集合。macsrc,macdst,ipsrc,ipdst,portsrc,portdst表示源mac和目的mac,源ip和目的ip,以及源端口和目的端口。
智能變電站二次系統(tǒng)中的每個(gè)主機(jī)或設(shè)備都有唯一的<ip,mac>匹配。如果ied設(shè)備沒有被新的裝置替換,但從兩個(gè)或多個(gè)mac地址對(duì)應(yīng)相同的ip地址,這意味著可能發(fā)生欺騙攻擊。
(2)pwd協(xié)議白名單檢測(cè)
協(xié)議白名單檢測(cè)參考開放系統(tǒng)互連(osi)模型的第2-7層,處理智能變電站網(wǎng)絡(luò)的各種協(xié)議,例如mms、cotp、tpkt、簡單網(wǎng)絡(luò)時(shí)間協(xié)議(sntp)、goose、smv和ieee1588?;趇ec61850的典型變電站網(wǎng)絡(luò)包括站控層網(wǎng)絡(luò)和過程層網(wǎng)絡(luò)。對(duì)于站控層網(wǎng)絡(luò),ids可以被設(shè)置為僅允許符合mms/cotp/tpkt/sntp等正常協(xié)議的通信業(yè)務(wù)。對(duì)于過程層網(wǎng)絡(luò),ids只允許goose/sv/ieee1588等正常流量。在不同的情況下,ids可以設(shè)置為支持其它特定協(xié)議。例如,當(dāng)ids部署在智能變電站過程層網(wǎng)絡(luò)時(shí),僅允許goose/sv/ieee1588流量,否則將認(rèn)為是可疑流量而生成告警信息。
(3)mbd基于模型的檢測(cè)
基于模型的檢測(cè)方法分析了scd文件和正常的iec61850報(bào)文內(nèi)容,使用深入的協(xié)議分析定義了正常行為模型,并將檢測(cè)的報(bào)文與正確行為模型進(jìn)行比較,以識(shí)別異常偏差?;谀P偷漠惓P袨闄z測(cè)方法具有檢測(cè)未知攻擊的潛力。與傳統(tǒng)it網(wǎng)絡(luò)相比,智能變電站中的工控網(wǎng)絡(luò)具有不同的特征,例如有規(guī)律的流量和可預(yù)測(cè)的行為模式,這可能會(huì)簡化行為模型。所提出的mbd具有發(fā)現(xiàn)站控層和過程層網(wǎng)絡(luò)中的惡意攻擊或無意異常的潛力。
1)針對(duì)站控層網(wǎng)絡(luò)的mbd
在站控層網(wǎng)絡(luò)中,異常行為檢測(cè)基于映射到mms的acsi或sntp。檢測(cè)模型定義如下,
a)報(bào)告服務(wù)模型
在scd文件中,已配置每個(gè)ied的可實(shí)例化報(bào)告控制塊的最大數(shù)量。所提出的報(bào)告服務(wù)模型將每個(gè)ied的可實(shí)例化報(bào)告控制塊的最大數(shù)目定義為檢測(cè)規(guī)則。如果mbd識(shí)別可能占用ied的所有可實(shí)例化報(bào)告控制塊的異常連接請(qǐng)求,則告警可疑拒絕服務(wù)(dos)攻擊并記錄檢測(cè)結(jié)果。
b)關(guān)聯(lián)服務(wù)模型
提出的關(guān)聯(lián)服務(wù)模型定義了可連接的iec61850客戶端的最大數(shù)量。如果mbd檢測(cè)到對(duì)客戶端的異常連接請(qǐng)求,則產(chǎn)生告警并記錄檢測(cè)結(jié)果。
c)設(shè)置服務(wù)模型
所提出的設(shè)置服務(wù)模型定義僅允許iec61850客戶端修改設(shè)置。在違反此模型時(shí),mbd將發(fā)出告警信息。
d)文件傳輸模型
acsigetfile服務(wù)由客戶端用于將文件的內(nèi)容從服務(wù)器傳輸?shù)娇蛻舳?。客戶端使用acsigetfileattributevalues服務(wù)來獲取服務(wù)器文件存儲(chǔ)中的特定文件的名稱和屬性。文件傳輸模型定義了iec61850客戶端只能傳輸單個(gè)文件。如果違反此規(guī)則,它將生成告警并記錄檢測(cè)結(jié)果。
e)sntp模型
在變電站網(wǎng)絡(luò)中,sntp用于通過lan通信實(shí)現(xiàn)時(shí)間同步。sntp流量在傳輸層采用用戶數(shù)據(jù)報(bào)協(xié)議(udp)。在sntp流量方面,到iec61850服務(wù)器的udp連接的端口號(hào)應(yīng)為<123>。如果sntp流量的端口號(hào)不是<123>,mbd將觸發(fā)告警并將結(jié)果保存在日志文件中。
f)時(shí)間相關(guān)模型
重要的控制命令具有時(shí)間相關(guān)的約束,例如時(shí)間間隔限制和頻率限制。如果相同的合法命令發(fā)送太頻繁,則可能違反以下規(guī)則,如式(2)(3)。在每種情況下,ids將啟動(dòng)一些動(dòng)作(告警和日志)。
cv(n)-cv(n-1)<t→actions(alert,log)(2)
式(2)中cv是控制命令,n是正整數(shù)(n>1),并且t是時(shí)間間隔的極限。
式(3)中f表示頻率限制。
2)過程層的mbd
在過程層網(wǎng)絡(luò)中,模型檢測(cè)基于goose和smv協(xié)議規(guī)范。gooseapdu具有十二個(gè)字段,例如gocbref(控制塊引用),timeallowedtolive,datset(數(shù)據(jù)集引用),goid(gooseid),t(事件時(shí)間戳),stnum(狀態(tài)號(hào)),sqnum(測(cè)試標(biāo)識(shí)符),test(測(cè)試位),confrev(配置修訂),ndscom(需要調(diào)試),numdatsetentries(數(shù)據(jù)集條目數(shù))和alldata。根據(jù)iec61850-9-2,smv數(shù)據(jù)報(bào)在數(shù)據(jù)鏈路層中采用iso/iec8802-3,類似于goose數(shù)據(jù)報(bào)。svapdu具有諸如svid(smv控制塊id),smpcnt(采樣計(jì)數(shù)器),confrev(配置修訂),smpsynch(采用同步)和seqdata(數(shù)據(jù)序列)的五個(gè)字段。部分檢測(cè)模型定義如下:
a)目的地址模型
在scd文件(<communication>→<subnetwork>→<connectedap>)中配置目的iso/iec8802-3多播地址用于傳輸goose/smv。goose報(bào)文和smv報(bào)文的目的地址字段(6個(gè)八位字節(jié))分別以四個(gè)八位字節(jié)(01-0c-cd-01)和(01-0c-cd-04)開始。goose和smv的目的地地址模型如(4)和(5),即:
式(4)中p是過程層網(wǎng)絡(luò)中捕獲的報(bào)文,pgoose表示goose報(bào)文,dstafield表示iso/iec8802-3幀格式中的目的地址字段的值。
式(5)中psmv表示smv報(bào)文。
b)tpid字段模型
標(biāo)簽協(xié)議標(biāo)識(shí)符(tpid)字段(2個(gè)八位字節(jié))顯示為802.1q以太網(wǎng)編碼幀分配的以太網(wǎng)類型。goose/smv報(bào)文中的tpid字段的值應(yīng)為0x8100,即
其中tpidfield表示tpid字段的值,并且pgoose/smv表示goose或smv報(bào)文。
c)ethertype字段模型
iso/iec8802-3的ethertype字段(2個(gè)字節(jié))由ieee授權(quán)機(jī)構(gòu)注冊(cè)。goose和smv的分配的ethertype值分別是0x88b8和0x88ba,即式(7)(8):
其中ethtfield是ethertype字段的值。
d)優(yōu)先級(jí)域模型
優(yōu)先級(jí)字段(3比特)模型定義goose和smv報(bào)文的優(yōu)先級(jí)值。goose/smv的默認(rèn)值為4,也在scd文件中配置。優(yōu)先級(jí)值應(yīng)該從0到7,即式(9):
式(9)中priofield是用戶優(yōu)先級(jí)字段的值。
e)appid字段模型
每個(gè)goose/smv控制塊在scd文件中具有唯一的appid。goose報(bào)文的appid字段(2個(gè)八位字節(jié))應(yīng)當(dāng)是4位十六進(jìn)制,即[0000-3fff],并且smv報(bào)文的字段應(yīng)該是[4000-7fff]。這種檢測(cè)模型如式(10)和(11),
f)長度模型
goose/smv報(bào)文的長度字段(2個(gè)八位字節(jié))指定從appid到apdu開始的幀中的字節(jié)總數(shù),其等于8+m(m是apdu的長度,m<1492)。長度字段模型如式(12),
其中l(wèi)engfield是長度字段的值。
gooseapdu中的good字段的長度小于65字節(jié),即式(13),
其中l(wèi)engoidfield是good字段的長度。
g)timeallowedtolive字段模型
gooseapdu中的timeallowedtolive字段應(yīng)為doublemaxtime(2t0)。“maxtime”通常在scd文件中配置為<5000>(<communication>→<subnetwork>→<connectedap>→<gse>→<maxtime>)。如果在10000ms內(nèi)沒有任何goose數(shù)據(jù)包,這種檢測(cè)模式將發(fā)送通信中斷報(bào)警。
h)標(biāo)記字段模型
在goose標(biāo)記字段模型中,goose報(bào)文的gocbref,timeallowedtolive,datset,goid,t,stnum,sqnum,test,confrev,ndscom和numdatsetentries字段的標(biāo)記值是0x80,0x81,0x82,0x83,0x84,0x85,0x86,0x87,0x88,0x89和0x8a。在smv標(biāo)簽字段模型中,smv報(bào)文的svid,smpcnt,confrev和smpsynch字段的標(biāo)簽值分別為0x80,0x82,0x83和0x85。
i)smpcnt字段模型
smpcnt字段模型指定計(jì)數(shù)器的值,其在每次采樣模擬值的新樣本時(shí)遞增。當(dāng)合并單元(mu)的采樣率為4000hz(80個(gè)采樣/周期)時(shí),smpcnt的值應(yīng)當(dāng)在[0,3999]的范圍內(nèi)保持正確的順序,即式(14),
其中smpcfield是smpcnt字段的值。
j)相關(guān)模型
根據(jù)智能變電站的實(shí)際scd配置,appid字段等于目的地址字段的最后兩個(gè)八位字節(jié)。它可以被定義為相關(guān)域模型,即式(15),
其中dstafield(p)5,6表示目的地址字段的最后兩個(gè)八位字節(jié)。
gooseapdu中的gocbref字段的類型是包括邏輯設(shè)備(ld)名稱、邏輯節(jié)點(diǎn)(ln)名稱、功能約束(fc)和控制塊(cb)名稱的字符串,即ld/ln$fc$cb。gooseapdu中的datset字段包括ld名稱、ln名稱和數(shù)據(jù)集(ds)名稱,即ld/ln$ds。gooseapdu中的goid字段的默認(rèn)值類似于gobi參考字段的默認(rèn)值,即ld/ln$cb。gocoref字段中的ld/ln值與dataset字段中的ld/ln值匹配。gocoref字段中的控制塊名稱與goid字段中的控制塊名稱匹配。例如,gocbref:pm5001apigo/lln0$go$gocb1,dataset:pm5001apigo/lln0$dsgoose1,goid:pm5001apigo/lln0.gocb1。對(duì)應(yīng)的相關(guān)字典模型如式(16),
其中g(shù)ibfield,datsfield和goidfield分別表示gobiref,dataset和goid字段。
gooseapdu中的狀態(tài)數(shù)量(stnum)和序列號(hào)(sqnum)的變化嚴(yán)格遵守相關(guān)聯(lián)的行為模式。當(dāng)發(fā)送的goose消息中datset的值改變時(shí),stnum的值將增加,這將導(dǎo)致sqnum的值被設(shè)置為零。當(dāng)stnum的值沒有變化時(shí),sqnum的值將對(duì)每個(gè)goose傳輸遞增,但是它將在其最大值(sqnummax=4,294,967,295)處翻轉(zhuǎn)到0。
式(17)中stnum(gpi)和sqnum(gpi)分別表示第i個(gè)goose報(bào)文的stnum和sqnum值。
k)基于流量的模型
根據(jù)從實(shí)際變電站場景捕獲的業(yè)務(wù),基于業(yè)務(wù)的模型定義了每秒報(bào)文傳輸速率(pps)、每秒傳輸字節(jié)大小(bps)、報(bào)文長度(lop)和報(bào)文大小(sop)的上限和下限閾值,作為正常流量行為。這種流量檢測(cè)模型如式(18),
其中ppsmin和ppsmax表示pps的下限和上限閾值。
在這些協(xié)議模型之外的行為被認(rèn)為是異常和可疑的。如果違反任何上述模型,則mbd將生成告警并記錄檢測(cè)結(jié)果。
(4)mpd基于多參數(shù)的檢測(cè)
基于多參數(shù)的檢測(cè)的核心思想是通過監(jiān)測(cè)智能變電站的最敏感的參數(shù)來識(shí)別由于內(nèi)部無意誤用或外部惡意攻擊而導(dǎo)致的針對(duì)工控系統(tǒng)的可能的威脅。這些多維參數(shù)與智能變電站的安全和穩(wěn)定操作相關(guān),例如來自站控層和過程層網(wǎng)絡(luò)的遙測(cè)和遙信數(shù)據(jù)。從智能變電站的業(yè)務(wù)知識(shí)和操作經(jīng)驗(yàn)提出了多參數(shù)檢測(cè)策略,如關(guān)鍵開關(guān)信號(hào)和關(guān)鍵模擬信號(hào)比較。
1)遙信比較檢測(cè)規(guī)則
在iec61850智能變電站中,過程層網(wǎng)絡(luò)中的智能終端采用goose報(bào)文來向間隔層中的ied發(fā)送遙信數(shù)據(jù),并從保護(hù)或測(cè)控裝置接收跳閘/合閘指令。如圖2所示,所提出的遙信比較檢測(cè)規(guī)則通過比較goose報(bào)文和相關(guān)聯(lián)的mms報(bào)文來識(shí)別異常事件。例如,如果過程層網(wǎng)絡(luò)中保護(hù)ied(goose報(bào)文)的開入信號(hào)和來自站控層網(wǎng)絡(luò)的相關(guān)聯(lián)的信號(hào)報(bào)告(mms報(bào)文)不一致,則將發(fā)生異常告警。
2)遙測(cè)比較檢測(cè)規(guī)則
在iec61850智能變電站中,合并單元(mu)具有采樣值模型,并向保護(hù)測(cè)控裝置發(fā)送sv消息。遙測(cè)比較檢測(cè)規(guī)則包含兩個(gè)類別:
a)范圍檢測(cè)規(guī)則
通常采樣值具有上邊界值和下邊界值(例如電流(i)和電壓(u))。如果測(cè)量值在預(yù)期范圍之外,則發(fā)出告警,即式(19),
其中smv(i)(i=i,u,...)表示不同的采樣值,例如電流和電壓;[smv(i)min-e(i),smv(i)max+e(i)]代表上下邊界之間的范圍,e(i)是測(cè)量公差。在正常操作情況下,根據(jù)變電站的設(shè)計(jì)和操作規(guī)范配置上下邊界。例如,500(330)kv變電站的總線電壓上、下邊界設(shè)置為90%和110%額定電壓。從工控系統(tǒng)安全操作的角度來看,只要測(cè)量值在預(yù)期范圍之外,這種可疑現(xiàn)象應(yīng)該被變電站中的運(yùn)行人員注意到并解決。因此,所提出的范圍檢測(cè)規(guī)則可以識(shí)別由測(cè)量錯(cuò)誤或惡意攻擊導(dǎo)致的異常事件。
b)一致性檢測(cè)規(guī)則
在實(shí)際情況下,間隔層中的雙重化配置ied(a和b組)從關(guān)聯(lián)的電流互感器/電壓互感器(ct/vt)接收相同的mu采樣值。如圖3所示,提出的一致性檢測(cè)規(guī)則用于檢測(cè)已配置的合并單元smv參數(shù)和相關(guān)聯(lián)的多個(gè)保護(hù)設(shè)備的mms之間的不一致性(例如線路保護(hù)a/b、母線保護(hù)a/b和變壓器保護(hù)a/b)。遙測(cè)比較的參數(shù)包括電壓和電流,還包括差動(dòng)電流,即比較兩套保護(hù)mms報(bào)文中的差分電流。如果違反一致性檢測(cè)規(guī)則,將發(fā)生異常告警。本發(fā)明提出的一種基于iec61850的電力工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法及系統(tǒng),可在數(shù)字化變電站中形成一個(gè)邏輯網(wǎng)絡(luò)邊界,其中包含一個(gè)iec61850相關(guān)通信的安全區(qū)。下一步確??v深防御是在安全區(qū)建立監(jiān)督機(jī)制,可以檢測(cè)漏洞和失敗的安全控制,例如攻擊者穿透配置錯(cuò)誤的防火墻,或完全繞過防火墻由一個(gè)工程師已經(jīng)直接連接到變電站局域網(wǎng)并且被惡意軟件感染的電腦來發(fā)動(dòng)攻擊。一旦入侵者在目標(biāo)變電站網(wǎng)絡(luò)建立了存在,從基本網(wǎng)絡(luò)掃描到有意嘗試從ied獲得響應(yīng);或者使特定命令被執(zhí)行;自動(dòng)或手動(dòng)動(dòng)作將啟動(dòng),這些行動(dòng)不會(huì)被邊界防火墻阻止。因此,設(shè)計(jì)針對(duì)iec61850的入侵檢測(cè)系統(tǒng)是為了發(fā)現(xiàn)電力工控系統(tǒng)中可能存在的可疑惑異常行為,提高基于iec61850協(xié)議的電力工控系統(tǒng)的安全性。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此,本申請(qǐng)可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本申請(qǐng)可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、cd-rom、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
本申請(qǐng)是參照根據(jù)本申請(qǐng)實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。
這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。
這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。